隨著時(shí)間的推移，記憶會(huì)慢慢褪色，并在我們的腦海中變得混亂起來(lái)。事實(shí)證明，技術(shù)亦是如此：早在20世紀(jì)80年代，人們就創(chuàng)建了輕型目錄訪問(wèn)協(xié)議（LDAP），以便各種應(yīng)用程序在開(kāi)放式系統(tǒng)互聯(lián)（OSI）X.500目錄服務(wù)中存/取信息（LDAP最初是因?yàn)檫\(yùn)行DOS系統(tǒng)的X386電腦無(wú)法在DOS要求的640KRAM中加載X.500的正常訪問(wèn)協(xié)議——目錄訪問(wèn)協(xié)議（DAP），人們才創(chuàng)建了這樣一個(gè)“輕型”DAP版本，以便這些平臺(tái)可以查詢(xún)?cè)撃夸洠ｋm然X.500目錄以及x386電腦已經(jīng)像恐龍一樣消失了，但通用開(kāi)放架構(gòu)庫(kù)（repository）的理念卻繼續(xù)存在。

雖然LDAP保留了最初的X.500目錄服務(wù)標(biāo)準(zhǔn)，但是它現(xiàn)在已經(jīng)從一個(gè)支持DOS系統(tǒng)的低級(jí)協(xié)議發(fā)展到了目錄服務(wù)本身。不止LDAP和庫(kù)兩者的概念出現(xiàn)了混亂，就連開(kāi)放架構(gòu)OpenLDAP也與LDAP本身混淆了?，F(xiàn)在，許多公司都有“LDAP兼容”目錄，比如微軟的活動(dòng)目錄、IBM的Tivoli Directory Service、甲骨文的Java System Directory Server企業(yè)版等，都帶有企業(yè)內(nèi)部的專(zhuān)有架構(gòu)。當(dāng)X.500消失的時(shí)候，開(kāi)放式架構(gòu)庫(kù)也隨之消失了。

X.500開(kāi)放標(biāo)準(zhǔn)化的目錄（可以用一個(gè)供應(yīng)商的庫(kù)直接替換另一個(gè)供應(yīng)商的庫(kù)）已經(jīng)被今天的LDAP兼容目錄所取代，這種目錄提供互操作性，即兩個(gè)供應(yīng)商的產(chǎn)品可以彼此兼容。但是，OpenLDAP的互操作性使用的是古老的社區(qū)開(kāi)發(fā)標(biāo)準(zhǔn)OSI模型。OpenLDAP不像現(xiàn)在的商業(yè)產(chǎn)品，它是開(kāi)源的LDAP兼容目錄。它實(shí)際上是由更早的X.500的許多殘存內(nèi)容組成。OpenLDAP由OpenLDAP組織負(fù)責(zé)維護(hù)和支持，由OpenLDAP基金會(huì)進(jìn)行協(xié)調(diào)。OpenLDAP基金會(huì)是一個(gè)非營(yíng)利性機(jī)構(gòu)（依靠公司贊助和個(gè)人捐款），以促進(jìn)開(kāi)源LDAP開(kāi)發(fā)為宗旨。OpenLDAP像大多數(shù)LDAP兼容產(chǎn)品一樣遵循互聯(lián)網(wǎng)工程任務(wù)組（IETF） RFC-4510標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了與LDAP兼容目錄進(jìn)行相互協(xié)作所需要的標(biāo)準(zhǔn)和協(xié)議。

OpenLDAP 的最佳使用案例

OpenLDAP的價(jià)值有哪些，企業(yè)應(yīng)該如何使用它呢？OpenLDAP可以運(yùn)行在Windows 和Unix平臺(tái)上，并且是一個(gè)免費(fèi)的，與LDAP兼容的目錄軟件。這意味著它可以用作獨(dú)立的庫(kù)，或者作為在供應(yīng)商專(zhuān)有庫(kù)和應(yīng)用軟件中所使用的源代碼。

在Windows系統(tǒng)中采用OpenLDAP不能代替微軟的活動(dòng)目錄，因?yàn)槿缟纤?，所有的商業(yè)LDAP兼容庫(kù)都是各公司專(zhuān)有的。這意味著活動(dòng)目錄實(shí)現(xiàn)了微軟其他產(chǎn)品所使用的其他專(zhuān)用對(duì)象和API。通過(guò)購(gòu)買(mǎi)微軟的這些授權(quán)產(chǎn)品，使用Windows系統(tǒng)的企業(yè)會(huì)得到一些先進(jìn)的功能，但如果企業(yè)使用的應(yīng)用程序與活動(dòng)目錄不兼容，那么他們必須付更多的錢(qián)進(jìn)行整合、購(gòu)買(mǎi)授權(quán)插件等，或者選擇另外一種目錄結(jié)構(gòu)。當(dāng)多種應(yīng)用程序需要訪問(wèn)LDAP目錄時(shí)，OpenLDAP可以作為活動(dòng)目錄的代替品，企業(yè)不必為使用活動(dòng)目錄而支付額外的費(fèi)用或獲得授權(quán)。比如，OpenLDAP可以仿效活動(dòng)目錄的通用地址列表（GAL），為需要該信息的內(nèi)部開(kāi)發(fā)應(yīng)用程序提供此信息。此外，其他使用LDAP進(jìn)行認(rèn)證以及對(duì)象存儲(chǔ)的應(yīng)用程序和平臺(tái)也可以利用這個(gè)免費(fèi)庫(kù)。

OpenLDAP也是由社區(qū)所開(kāi)發(fā)的。與供應(yīng)商有限的開(kāi)發(fā)人員和預(yù)算相比，這一點(diǎn)使得OpenLDAP可以帶來(lái)更多的創(chuàng)新。OpenLDAP支持最新LDAP標(biāo)準(zhǔn)（v3.3）中很多可選的LDAP功能和擴(kuò)展功能，這些功能未必會(huì)出現(xiàn)在其他的商業(yè)LDAP兼容產(chǎn)品中。目前的OpenLDAP發(fā)行版本支持30多種可選功能和擴(kuò)展功能，包括基于DNS的服務(wù)位置（RFC 2247 & RFC 3088）、X.509證書(shū)圖表RFC 4523）、密碼修改操作（RFC 3062）以及其他的功能等等。因?yàn)檫@些功能一般不會(huì)得到商業(yè)供應(yīng)商的支持，所以O(shè)penLDAP可能是企業(yè)的唯一選擇，因?yàn)樗鼈冃枰@取這些功能來(lái)支持各種不同的應(yīng)用程序。那么，這里面有沒(méi)有隱含的不利因素呢？免費(fèi)并不意味著成本不會(huì)增加。這是因?yàn)槿魏伍_(kāi)源軟件都會(huì)有一些固定成本，或在時(shí)間上，或在資源上，比如說(shuō)：

◆OpenLDAP沒(méi)有專(zhuān)業(yè)人士提供服務(wù)，所以負(fù)責(zé)安裝、配置以及維護(hù)OpenLDAP的人員必須精通LDAP軟件并能創(chuàng)建整合程序，以便把OpenLDAP綁定到使用OpenLDAP數(shù)據(jù)的應(yīng)用程序上。

◆OpenLDAP沒(méi)有GUI界面。所有的安裝和配置都必須通過(guò)命令行完成。

◆多語(yǔ)言支持只存在于OpenLDAP工程之外的郵寄列表中（特別是沒(méi)經(jīng)過(guò)OpenLDAP項(xiàng)目認(rèn)可或者批準(zhǔn)的郵件列表）。

◆產(chǎn)品支持由OpenLDAP 網(wǎng)站的問(wèn)題跟蹤系統(tǒng)提供，該系統(tǒng)由OpenLDAP的成員獨(dú)立支持。

◆盡管OpenLDAP的技術(shù)支持網(wǎng)站對(duì)更新和補(bǔ)丁有所計(jì)劃和記錄，但是升級(jí)和補(bǔ)丁并不是定期公布的。　　

最后一點(diǎn)必須指出的是，OpenLDAP軟件的運(yùn)行沒(méi)有保障，正如上文所述，提供支持的組織只能靠贊助和個(gè)人捐款。但是，即便存在這些限制，OpenLDAP還是提供了那些專(zhuān)有軟件產(chǎn)品不愿提供、也無(wú)法提供的功能。當(dāng)企業(yè)希望保持應(yīng)用程序基礎(chǔ)設(shè)施多樣性而商業(yè)目錄產(chǎn)品又不能滿足所需的自定義水平時(shí)，OpenLDAP則將脫穎而出。市場(chǎng)上有了OpenLDAP之后，供應(yīng)商們總是會(huì)想起那個(gè)庫(kù)可以互換的時(shí)代。他們需要繼續(xù)提供各種創(chuàng)新的產(chǎn)品，否則有一天OpenLDAP可能會(huì)使得他們的產(chǎn)品走向滅亡。

【編輯推薦】

1. OpenLDAP遷移：從活動(dòng)目錄遷移到OpenLDAP
2. OpenLDAP多個(gè)未明任意代碼執(zhí)行漏洞