LDAP应用技术简述

 一、简介；

        a)  X500目录服务；
        OSL X.500目录是基于OSI网络协议的目录服务协议，也是LDAP的前身。但是X。500的缺点是不支持TCP/IP，而是支持OSI协议，显然，在 Windows等个人电脑上不可以使用OSI协议，在此前提下，也就产生了访问X500目录的网关--LDAP。
        b)  LDAP；
        LDAP（Lightweight Directory Access Protocal, 轻型目录访问协议），是针对以X500目录为主的目录服务的前端访问协议，是OSL X.500目录访问网关。由于X500原来不是为TCP/IP网络设计的，而目录服务的最大使用者偏偏是TCP/IP客户，因此，LDAP就被设计成使用 TCP/IP访问OSI 目录服务的服务协议，而随着互联网成为网络的主流，LDAP也成为一个具备目录的大部分服务的协议。
        LDAP主要解决目录服务的前端访问形式，而不是对目录服务本身制定的的协议，理论上，LDAP支持后台的任何存储形式，包括X500，关系数据库，文本数据库或文件目录等。LDAP继承了X500目录的大部分定义，无论是访问样式还是语法都与X500相似。

        c)   Active Directory 活动目录；
        Active Directory (AD)是微软为.net中的对象访问定义的目录服务，包括目录服务本身，以及客户端API（ADSI）。Ad并不是LDAP在.net中的实现，而是 X500在.net中的实现，但AD前端支持并主要以LDAP形式进行访问。完整地说，AD是基于微软自身定义的X500扩展的一系列Schema实现的 X500目录服务及相关的访问控制工具的集合，其前端支持LDAP的查询，目的是对.net中涉及的所有网络对象提供目录服务。各个schema在一个树森林中是唯一的。
        普通的LDAP客户端工具与AD并不兼容。WINDOWS2000自带有一些LDAP客户端工具，包括ldifde.exe， ldp.exe。并提供专门的LDAP程序接口ASDI。同时，可以在WINDOWS管理台上添加AD管理snap-in，配合已有的AD基本管理工作。使用以上工具可以得到微软样式的详情，但总的来说，WINDOWS2000原则上不鼓励用户在AD的基础上进一步的开发，没有开发更多的资料。
        WINDOWS2000中，访问AD记录的API被集成到了内核，服务于WINDOWS2000从主机权限和对象管理，直接网络的权限和对象管理，同时API细节没有对外公开。因此，某种程度上，AD是一个只对WINDOWS2000有用的目录服务，AD连同访问API，形成一个基于 X500-LDAP的孤岛，从一开始就没有打算与其他厂商产品有兼容的余地，这也是微软的一贯风格。参考：
    http://www.microsoft.com/windows2000/en/server/help/default.asp? url=/windows2000/en/server/help/sag_ADschema_Intro.htm
    http://msdn.microsoft.com/library/default.asp? url=/library/en-us/netdir/ad/schema_implementation.asp

        AD在WINDOWS2000中注册表中的位置是：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\