A. LDAP是怎么做认证的呢
LDAP是底层数据库,提供用户信息用的,并没有认证功能,认证功能是又Radius完成的,Radius通过查询LDAP数据库,判断用户信息是否匹配。
Ldap是个类似月数据库的东西:
不少LDAP开发人员喜欢把LDAP与关系数据库相比,认为是另一种的存贮方式,然后在读性能上进行比较。实际上,这种对比的基础是错误的。LDAP和关系数据库是两种不同层次的概念,后者是存贮方式(同一层次如网格数据库,对象数据库),前者是存贮模式和访问协议。LDAP是一个比关系数据库抽象层次更高的存贮概念,与关系数据库的查询语言SQL属同一级别。LDAP最基本的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢得多。
B. Windows综合认证与LDAP认证有什么区别
LDAP作为一个统一认证的解决方案,主要的优点就在能够快速响应用户的查找需求。比如用户的认证,这可能会有大量的并发。
如果用数据库来实现,由于数据库结构分成了各个表,要满足认证这个非常简单的需求,每次都需要去搜索数据库,合成过滤,效率慢也没有好处。
C. 如何用LDAP存取证书Java代码怎么实现
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。
D. 什么是LDAP认证
LDAP是底层数据库,提供用户信息用的,并没有认证功能,认证功能是又Radius完成的,Radius通过查询LDAP数据库,判断用户信息是否匹配。
Ldap是个类似月数据库的东西:
不少LDAP开发人员喜欢把LDAP与关系数据库相比,认为是另一种的存贮方式,然后在读性能上进行比较。实际上,这种对比的基础是错误的。LDAP和关系数据库是两种不同层次的概念,后者是存贮方式(同一层次如网格数据库,对象数据库),前者是存贮模式和访问协议。LDAP是一个比关系数据库抽象层次更高的存贮概念,与关系数据库的查询语言SQL属同一级别。LDAP最基本的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢得多。
E. 通过ldap能检验证书吊销状态吗
密钥管理中心(KMC):密钥管理中心向CA服务提供相关密钥服务,如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等。
CA认证 :CA认证是PKI公钥基础设施的核心,它主要完成生成/签发证书、生成/签发证书撤销列表(CRL)、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能。
RA注册审核:RA是数字证书的申请、审核和注册中心。它是CA认证的延伸。在逻辑上RA和CA是一个整体,主要负责提供证书注册、审核以及发证功能。
发布系统:发布系统主要提供LDAP服务、OCSP服务和注册服务。注册服务为用户提供在线注册的功能;LDAP提供证书和CRL的目录浏览服务;OCSP提供证书状态在线查询服务。
应用接口系统:应用接口系统为外界提供使用PKI安全服务的入口。应用接口系统一般采用API、COM等多种形式。一个典型、完整、有效的PKI应用系统至少应具有以下部分
公钥密码证书管理(证书库)
黑名单的发布和管理(证书撤销)
密钥的备份和恢复
自动更新密钥
自动管理历史密钥
分布式体系结构的建立
认证是PKI安全体系的核心,对于一个大型的分布式应用系统,需要根据应用系统的分布情况和组织结构设立多级CA。CA信任体系描述了PKI安全体系的分布式结构。
证书签发管理
CA在内的各级CA。根CA是整个CA体系的信任源。负责整个CA体系的管理,签发并管理下级CA证书。从安全角度出发,根CA一般采用离线工作方式。
根以下的其他各级CA负责本辖区的安全,为本辖区用户和下级CA签发证书,并管理所发证书。理论上CA体系的层数可以没有限制的,考虑到整个体系的信任强度,在实际建设中,一般都采用两级或三级CA结构。
RA注册审核设置
从广义上讲,RA是CA的一个组成部分,主要负责数字证书的申请、审核和注册。除了根CA以外,每一个CA都包括一个RA,负责本级CA的证书申请、审核工作。
RA的设置可以根据行政管理来进行,RA的下级级构可以是RA分中心或业务受理点LRA。
受理点LRA与注册RA共同组成证书申请、审核、注册中心的整体。LRA面向最终用户,负责对用户提交的申请资料进行录入、审核和证书制作。
KMC密钥管理中心
一般来说,每一个CA中心都需要有一个KMC负责该CA区域内的密钥管理任务。KMC可以根据应用所需PKI规模的大小灵活设置,既可以建立单独的KMC,也可以采用镶嵌式KMC,让KMC模块直接运行在CA服务器上。
发布系统
发布系统是PKI安全体系中的一个重要组成部分。它由用于发布数字证书和CRL的证书发部系统、在线证书状态查询系统(OCSP)和在线注册服务系统组成。证书和CRL采用标准的LDAP协议发布到LDAP服务器上,应用程序可以通过发布系统验证用户证书的合法性。OCSP提供证书状态的实时在线查询功能。
F. openldap的用户证书文件在哪
你可以看看这个网站的内容。
http://docs.sun.com/app/docs/doc/819-6950/userconcept-23283?l=zh&a=view
根据站点策略的不同,用户帐户信息和组信息可以存储在本地系统的 /etc 文件中,也可以存储在名称服务或目录服务中,如下所示:
NIS+ 名称服务的信息存储在表中。
NIS 名称服务的信息存储在映射中。
LDAP 目录服务的信息存储在带索引的数据库文件中。
--------------------------------------------------------------------------------
注 –
为了避免混淆,通常用文件来指用户帐户和组信息所在的位置,而不用数据库、表或映射。
--------------------------------------------------------------------------------
多数用户帐户信息都存储在 passwd 文件中。口令信息按如下方式进行存储:
如果使用的是 NIS 或 NIS+,则存储在 passwd 文件中
如果使用的是 /etc 文件,则存储在 /etc/shadow 文件中
如果使用的是 LDAP,则存储在 people 容器中
使用 NIS+ 或 LDAP(而非 NIS)时,可以使用口令生命期。
对于 NIS、NIS+ 和文件,组信息存储在 group 文件中。对于 LDAP,组信息存储在 group 容器中。
G. Java Ldap单点登录,如何获取Ldap server的证书
证书的域名和访问的电脑的域名不匹配,忽略就好
~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~
H. 如何启用 LDAP 通过 SSL 使用第三方证书颁发机构
你好
建议参考下面这篇的详细教程
http://support.microsoft.com/kb/321051/zh-cn