«
用Php如何操作LDAP

时间:2008-5-31    作者:Deri    分类: 分享 

   <p>  1 LDAP是什么</p><p>  LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,不过根据组织者的需要,它可以做得更加强大。</p><p>  LDAP最基本的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢得多。要特别注意的是,LDAP通常作为一个hierarchal数据库使用,而不是一个关系数据库。因此,它的结构用树来表示比用表格好。正因为这样,就不能用SQL语句了。</p><p>  简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。</p><p>  LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,其实是一话号码簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木。&#160;</p><p>  LDAP是一种特殊的数据库。但是LDAP和一般的数据库不同,明白这一点是很重要的。 LDAP对查询进行了优化,与写性能相比LDAP的读性能要优秀很多。</p><p>  1.1 LDAP的存储规则</p><p>  区分名(DN,Distinguished Name)&#160;</p><p>  和自然界中的树不同,文件系统/LDAP/电话号码簿目录的每一片枝叶都至少有一个独一无二的属性,这一属性可以帮助我们来区别这些枝叶。&#160;</p><p>  在文件系统中, 这些独一无二的属性就是带有完整路径的文件名。比如/etc/passwd,该文件名在该路径下是独一无二的。当然我们可以有/usr/passwd, /opt/passwd,但是根据它们的完整路径,它们仍然是唯一的。&#160;</p><p>  在LDAP中,一个条目的区分名称叫做“dn”或者叫做区分名。在一个目录中这个名称总是唯一的。比如,我的dn是"uid=aghaffar, ou=People, o=developer.ch"。不可能有相同的dn,但是我们可以有诸如"uid=aghaffar, ou=Administrators, o=developer.ch"的dn。这同上面文件系统中/etc/passwd 和 /usr/passwd的例子很类似。&#160;</p>
<p> </p>

   <p>  我们有独一无二的属性,在"ou=Administrators, o=developer.ch" 中uid和在"ou=People, o=developer.ch"中的uid。这并不矛盾。</p><p>  CN=Common Name 为用户名或服务器名,最长可以到80个字符,可以为中文;</p><p>  OU=Organization Unit为组织单元,最多可以有四级,每级最长32个字符,可以为中文;</p><p>  O=Organization 为组织名,可以3―64个字符长</p><p>  C=Country为国家名,可选,为2个字符长</p><p>  LDAP目录以一系列“属性对”的形式来存储记录项,每一个记录项包括属性类型和属性值(这与关系型数据库用行和列来存取数据有根本的不同)。</p><p>  mail = testmail@mccc.net</p><p>  othermailbox = testmailother@mccc.com</p><p>  givenname = givenname</p><p>  sn = test sn</p><p>  属性可添加,以下一个属性必须赋值:</p><p>  objectclass=person (值为:person 或 server 或 organization 或 其他自定义的值)</p><p>  2 Php如何操作LDAP</p><p>  2.1 Php如何与LDAP连接和关闭</p><p>  <code>$ds=ldap_connect("ServerName")<br />ServerName是LDAP的服务器名,<br />例:<br />$ds=ldap_connect(“10.31.172.30:1000”)<br />返回值是:true 或 false<br />关闭连接<br />ldap_close($ds);</code></p><p>  2.2 在php中如何搜索用户信息</p><p>  <code>$ds=ldap_connect("10.31.172.30:1000");<br />//首先连接上服务器<br />$justthese = array("cn","userpassword",”location”);<br />//搜索函数中的一个参数,要求返回哪些信息,<br />//以上传回cn,userpassword,location,这些都要求小写<br />$sr=ldap_search($ds,"o=jite", "cn=dom*",$justthese);&#160;<br />//第一个参数开启LDAP的代号<br />//第二个参数最基本的 dn 条件值 , 例:”o=jite,c=cn”<br />//第三个参数 filter 为布林条件,它的语法可以在 Netscape 站上找一份 dirsdkpg.pdf 档案.<br />// ’o’为组织名,’cn’ 为用户名,用户名可用通配符 ’*’<br />echo "domadmin姓氏有".ldap_count_entries($ds,$sr)." 个<p>";<br />//ldap_count_entries($ds,$sr)传回记录总数<br />$info = ldap_get_entries($ds, $sr);<br />//LDAP的全部传回资料<br />echo "资料传回 ".$info["count"]."笔:<p>";<br />for ($i=0; $i<$info["count"]; $i++) {<br />echo "dn为:". $info[$i]["dn"] ."<br>";<br />echo "cn为:". $info[$i]["cn"][0] ."<br>"; //显示用户名<br />echo "email为:". $info[$i]["mail"][0] ."<p>"; //显示mail<br />echo "email为:". $info[$i][“userpassword"][0] ."<p>"; //显示加密后的密码<br />}</code></p>
 <p> </p>

   <p>  2.3 添加用户</p><p>  <code>$ds=ldap_connect("10.31.172.30:1000");<br />//首先连接上服务器<br />$r=ldap_bind($ds,"cn=domadmin,o=jite","password");<br />//系住一个管理员,有写的权限<br />// cn=domadmin,o=jite顺序不能变<br />$info["cn"]="aaa"; //必填&#160;<br />$info["userpassword"]="aaa";&#160;<br />$info["location"]="shanghai";<br />$info["objectclass"] = "person"; //必填person为个人,还有server…<br />ldap_add($ds, "cn=".$info["cn"].",o=jite", $info);<br />ldap_unbind($ds);<br />//取消绑定<br />ldap_close($ds);<br />//关闭连接</code></p><p>  2.4 删除用户</p><p>  <code>$ds=ldap_connect("10.31.172.30:1000");<br />//首先连接上服务器&#160;<br />ldap_bind($ds,"cn=domadmin,o=jite","password");<br />//绑定管理员,有删除的权限<br />$dn="cn=dingxf,o=jite";<br />ldap_delete($ds, $dn);<br />//删除用户<br />ldap_unbind($ds);<br />//取消绑定<br />ldap_close($ds);<br />//关闭连接</code></p><p>  2.5 修改用户资料</p><p>  <code>$ds=ldap_connect("10.31.172.30:1000");<br />//首先连接上服务器&#160;<br />ldap_bind($ds,"cn=domadmin,o=jite","password");<br />//绑定管理员,有修改的权限<br />$dn="cn=dingxf,o=jite";&#160;<br />//用户dn<br />$info["userpassword"]="aaa"; //要修改的信息,放在数组变量中<br />$info["location"]="shanghaisdaf";<br />ldap_modify($ds, $dn , $info);<br />//修改函数<br />ldap_unbind($ds);<br />//取消绑定<br />ldap_close($ds);<br />//关闭连接</code></p></p><p>  2.6 用户登录验证</p><p>  <code>$ds=ldap_connect("10.31.172.30:1000");<br />//首先连接上服务器&#160;<br />if (ldap_bind($ds,"cn=dingxf,o=jite","dingxf")){<br />echo "验证通过";<br />}else{<br />echo "验证不通过";<br />}<br />ldap_unbind($ds);<br />//取消绑定<br />ldap_close($ds);<br />//关闭连接</code></p><p>  注:此方法比较简单,实用,它也有不足之处,如果不通过,ldap_bind()提示它自带的提示语:”Warning: LDAP: Unable to bind to server: Inappropriate authentication in /home/htdocs/jldl.net/ldap/test.php3 on line 16”</p></p>