背景:
LDAP其实是一个电话簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木。不少LDAP开发人员喜欢把LDAP与关系数据库相比,认为是另一种的存贮方式,然后在读性能上进行比较。实际上,这种对比的基础是错误的。LDAP和关系数据库是两种不同层次的概念,后者是存贮方式(同一层次如网格数据库, 对象数据库),前者是存贮模式和访问协议。LDAP是一个比关系数据库抽象层次更高的存贮概念,与关系数据库的查询语言SQL属同一级别。LDAP最基本 的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢得多。
CN, OU, DC 都是 LDAP 连接服务器的端字符串中的区别名称(DN, distinguished name)
在 LDAP 目录中,
DC (Domain Component)
CN (Common Name)
OU (Organizational Unit)
LDAP 目录类似于文件系统目录。
下列目录:
DC=redmond,DC=wa,DC=microsoft,DC=com
如果我们类比文件系统的话,可被看作如下文件路径:
Com/Microsoft/Wa/Redmond
例如:CN=test,OU=developer,DC=domainname,DC=com
在上面的代码中 cn=test 可能代表一个用户名,ou=developer 代表一个 active directory 中的组织单位。这句话的含义可能就是说明 test 这个对象处在domainname.com 域的 developer 组织单元中。
实践:
Cognos可以支持LDAP作为其安全控制的第三方认证源,但在使用前需要完成一些连接配置,本文主要介绍配置过程和配置项的含义。
1, OpenDS安装
OpenDS可以免费下载,安装过程十分简单。
2, OpenDS管理
在OpenDS中可以添加以下类型节点:
用户:作为Cognos中LDAP认证源的用户
组: 作为Cognos中LDAP认证源的分组,其成员为用户。
组织单位:作为Cognos中LDAP认证源的文件夹。
组织和域:在Cognos中不起效。
3, Cognos配置
打开Cognos Configuration,新建名称空间
需要调整的配置项:
名称空间标识符:为名称空间选择时的名称。
主机端口:安装OpenDS服务器名和端口名
基准专有名称:OpenDS配置的基准DN名称。
用户查找:用于登录Cognos的用户账号。(uid=${userID})表示用uid作为Cognos登录账号,也可以用用户节点的其他属性做登录账号,比如cn
文件夹映射:默认将LDAP中的组织单位节点,对应为Cognos中的文件夹。
用户组映射:默认将LDAP中的组节点,对应为Cognos中的组。
账户映射:
名称,对应LDAP的用户的cn属性,该值显示在Cognos Connection如下位置
LDAP目录树与Cognos名称空间的对应
