1. LDAP 和 OID
首先介绍什么是目录(Directory),目录是一个保存各种信息的载体,能够跟方便查找。而在线目录(Online Directory)可以应用在分布式系统中被企业用作存储各种信息,可以看成是一种特殊的数据库(不是关系数据库),保存之如员工信息、服务等。
LDAP(LightWeight Directory Access Protocol)是轻量级的目录访问协议,是一个用于访问在线目录的协议,定义在TCP/IP协议之上。因为它是轻型的,所以在客户端方面需要很少的软件,特别适合在瘦客户端的应用。
OID(Oracle Internet Directory)是结合Oracle Database 和 LDAP 一起的一个目录服务,为分布式用户提供信息的共享和存储 ,可以看成是运行在Oracle Database上的一个应用程序。与数据库的交互也是使用Oracle Net Services。它的结构图如下:
Fig.1 Oracle Internet Directory Overview
1.1 Oracle Internet Directory Architecture
一个Oracle Internet Directory Node是由多个连接到同一目录存储的目录服务器实例(Directory Server Instance)组成的,所谓的目录存储可以看成为目录数据的存放点--例如Oracle Database。下图是一个一般的OID Node的示意图:
Fig.2 Oracle Internet Directory Node
目录服务器实例( Directory Server Instance)也被称为LDAP 服务器实例,专门用来处理目录请求,在一个OID Node中可以有超过一个的目录服务器实例;每一个目录服务器实例只有一个Listender Dispatcher进程为之工作。它的结构图如下:
Fig.3 Director Server Instance Architecture
在OID结构中的后台是一个称为目录元数据(Directory MetaData)的东东,它被目录服务器在处理LDAP请求时用来保存一些重要信息,可以看成是一个重要的数据结构,包括:Directory Schema、Access control policy point、Root DSE entry、Privilege groups、Catalog entry、Common entry等。 1.2 Oracle Internet Directory Concept 介绍一些OID的基本概念:
1)Entries:
在线目录里, 关于某一对象的一些信息集合称为条目,而每一个条目都可以唯一地被一个名字所标识,称为区别名(Distinguished Name, DN),这些条目可以组成一棵树,称为目录信息树(Directory Information Tree, DIT)
2)Attributes:
条目中的 一条条信息称为条目的属性 。 属性可以分为应用程序属性和系统属性(Operational Attribute), 应用程序属性是有目录客户端使用的,而系统属性只是由目录服务器使用。
OID实现了所有的LDAP中的常用属性,下面是一些Common Attributes的表
2. Oracle Single Sign On(SSO,单点登陆)
SSO使用OID作为存储用户登陆条目(entries),然后通过LDAP的认证机制去认证用户。在Oracle Identity Management Infrastrature 里安装SSO有三种方式:
1)把SSO和OID,后台数据库安装在同一目录下,结构如下图:
2)把SSO和OID分开成装,结构目录如下:
3).把SSO 和 HTTP Server也独立了,成3个目录:
选取适合自己的结构后,就可以接着安装了。以下就不再详细讲了。
