A. LDAP是怎麼做認證的呢
LDAP是底層資料庫,提供用戶信息用的,並沒有認證功能,認證功能是又Radius完成的,Radius通過查詢LDAP資料庫,判斷用戶信息是否匹配。
Ldap是個類似月資料庫的東西:
不少LDAP開發人員喜歡把LDAP與關系資料庫相比,認為是另一種的存貯方式,然後在讀性能上進行比較。實際上,這種對比的基礎是錯誤的。LDAP和關系資料庫是兩種不同層次的概念,後者是存貯方式(同一層次如網格資料庫,對象資料庫),前者是存貯模式和訪問協議。LDAP是一個比關系資料庫抽象層次更高的存貯概念,與關系資料庫的查詢語言SQL屬同一級別。LDAP最基本的形式是一個連接資料庫的標准方式。該資料庫為讀查詢作了優化。因此它可以很快地得到查詢結果,不過在其它方面,例如更新,就慢得多。
B. Windows綜合認證與LDAP認證有什麼區別
LDAP作為一個統一認證的解決方案,主要的優點就在能夠快速響應用戶的查找需求。比如用戶的認證,這可能會有大量的並發。
如果用資料庫來實現,由於資料庫結構分成了各個表,要滿足認證這個非常簡單的需求,每次都需要去搜索資料庫,合成過濾,效率慢也沒有好處。
C. 如何用LDAP存取證書Java代碼怎麼實現
LDAP是輕量目錄訪問協議,英文全稱是Lightweight Directory Access Protocol,一般都簡稱為LDAP。它是基於X.500標準的,但是簡單多了並且可以根據需要定製。與X.500不同,LDAP支持TCP/IP,這對訪問Internet是必須的。LDAP的核心規范在RFC中都有定義,所有與LDAP相關的RFC都可以在LDAPman RFC網頁中找到。
簡單說來,LDAP是一個得到關於人或者資源的集中、靜態數據的快速方式。
D. 什麼是LDAP認證
LDAP是底層資料庫,提供用戶信息用的,並沒有認證功能,認證功能是又Radius完成的,Radius通過查詢LDAP資料庫,判斷用戶信息是否匹配。
Ldap是個類似月資料庫的東西:
不少LDAP開發人員喜歡把LDAP與關系資料庫相比,認為是另一種的存貯方式,然後在讀性能上進行比較。實際上,這種對比的基礎是錯誤的。LDAP和關系資料庫是兩種不同層次的概念,後者是存貯方式(同一層次如網格資料庫,對象資料庫),前者是存貯模式和訪問協議。LDAP是一個比關系資料庫抽象層次更高的存貯概念,與關系資料庫的查詢語言SQL屬同一級別。LDAP最基本的形式是一個連接資料庫的標准方式。該資料庫為讀查詢作了優化。因此它可以很快地得到查詢結果,不過在其它方面,例如更新,就慢得多。
E. 通過ldap能檢驗證書吊銷狀態嗎
密鑰管理中心(KMC):密鑰管理中心向CA服務提供相關密鑰服務,如密鑰生成、密鑰存儲、密鑰備份、密鑰恢復、密鑰託管和密鑰運算等。
CA認證 :CA認證是PKI公鑰基礎設施的核心,它主要完成生成/簽發證書、生成/簽發證書撤銷列表(CRL)、發布證書和CRL到目錄伺服器、維護證書資料庫和審計日誌庫等功能。
RA注冊審核:RA是數字證書的申請、審核和注冊中心。它是CA認證的延伸。在邏輯上RA和CA是一個整體,主要負責提供證書注冊、審核以及發證功能。
發布系統:發布系統主要提供LDAP服務、OCSP服務和注冊服務。注冊服務為用戶提供在線注冊的功能;LDAP提供證書和CRL的目錄瀏覽服務;OCSP提供證書狀態在線查詢服務。
應用介面系統:應用介面系統為外界提供使用PKI安全服務的入口。應用介面系統一般採用API、COM等多種形式。一個典型、完整、有效的PKI應用系統至少應具有以下部分
公鑰密碼證書管理(證書庫)
黑名單的發布和管理(證書撤銷)
密鑰的備份和恢復
自動更新密鑰
自動管理歷史密鑰
分布式體系結構的建立
認證是PKI安全體系的核心,對於一個大型的分布式應用系統,需要根據應用系統的分布情況和組織結構設立多級CA。CA信任體系描述了PKI安全體系的分布式結構。
證書簽發管理
CA在內的各級CA。根CA是整個CA體系的信任源。負責整個CA體系的管理,簽發並管理下級CA證書。從安全形度出發,根CA一般採用離線工作方式。
根以下的其他各級CA負責本轄區的安全,為本轄區用戶和下級CA簽發證書,並管理所發證書。理論上CA體系的層數可以沒有限制的,考慮到整個體系的信任強度,在實際建設中,一般都採用兩級或三級CA結構。
RA注冊審核設置
從廣義上講,RA是CA的一個組成部分,主要負責數字證書的申請、審核和注冊。除了根CA以外,每一個CA都包括一個RA,負責本級CA的證書申請、審核工作。
RA的設置可以根據行政管理來進行,RA的下級級構可以是RA分中心或業務受理點LRA。
受理點LRA與注冊RA共同組成證書申請、審核、注冊中心的整體。LRA面向最終用戶,負責對用戶提交的申請資料進行錄入、審核和證書製作。
KMC密鑰管理中心
一般來說,每一個CA中心都需要有一個KMC負責該CA區域內的密鑰管理任務。KMC可以根據應用所需PKI規模的大小靈活設置,既可以建立單獨的KMC,也可以採用鑲嵌式KMC,讓KMC模塊直接運行在CA伺服器上。
發布系統
發布系統是PKI安全體系中的一個重要組成部分。它由用於發布數字證書和CRL的證書發部系統、在線證書狀態查詢系統(OCSP)和在線注冊服務系統組成。證書和CRL採用標準的LDAP協議發布到LDAP伺服器上,應用程序可以通過發布系統驗證用戶證書的合法性。OCSP提供證書狀態的實時在線查詢功能。
F. openldap的用戶證書文件在哪
你可以看看這個網站的內容。
http://docs.sun.com/app/docs/doc/819-6950/userconcept-23283?l=zh&a=view
根據站點策略的不同,用戶帳戶信息和組信息可以存儲在本地系統的 /etc 文件中,也可以存儲在名稱服務或目錄服務中,如下所示:
NIS+ 名稱服務的信息存儲在表中。
NIS 名稱服務的信息存儲在映射中。
LDAP 目錄服務的信息存儲在帶索引的資料庫文件中。
--------------------------------------------------------------------------------
注 –
為了避免混淆,通常用文件來指用戶帳戶和組信息所在的位置,而不用資料庫、表或映射。
--------------------------------------------------------------------------------
多數用戶帳戶信息都存儲在 passwd 文件中。口令信息按如下方式進行存儲:
如果使用的是 NIS 或 NIS+,則存儲在 passwd 文件中
如果使用的是 /etc 文件,則存儲在 /etc/shadow 文件中
如果使用的是 LDAP,則存儲在 people 容器中
使用 NIS+ 或 LDAP(而非 NIS)時,可以使用口令生命期。
對於 NIS、NIS+ 和文件,組信息存儲在 group 文件中。對於 LDAP,組信息存儲在 group 容器中。
G. Java Ldap單點登錄,如何獲取Ldap server的證書
證書的域名和訪問的電腦的域名不匹配,忽略就好
~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~
H. 如何啟用 LDAP 通過 SSL 使用第三方證書頒發機構
你好
建議參考下面這篇的詳細教程
http://support.microsoft.com/kb/321051/zh-cn