什么是轻量级目录访问协议（LDAP）身份验证？

LDAP 采用轻量型结构并且使用了 DIT，因而能快速运行 LDAP 搜索并提供搜索结果。想要顺利浏览 LDAP 服务器并理解 LDAP 搜索的工作原理，了解 DIT 至关重要。

DIT 能够让用户快速浏览不同层级的 LDAP 目录，以缩小搜索结果范围并提供对查询的回复。DIT 以根目录开头，后跟国家或地区，然后划分为两个子类：域名（dc）和组织名称（o）。

域名（dc）

dc（例如，dc=com、dc=example）使用域名系统（DNS）映射来查找互联网域名并将其转译为 IP 地址。

大多数用户不知道他们搜索的个体的域名和/或 IP 地址。这时，LDAP 使用分配给用户的专有名称（DN）作为路径，以快速浏览 DIT 并找到搜索结果。接下来就要使用 o 子类了。

组织名称（o）

o 子类（例如，o-Company）是 DN 中列出的最常用子类之一，通常也是 LDAP 运行搜索时的起始位置。例如，一个简单路径通常以 o 子类开头，分叉到组织单元/部门（ou），后跟用户帐户或组。

组织单元（ou）

如前文所述，ou 是 o 的一个子类，通常表现为 ou=users 或 ou=group，分别包含用户帐户或组的列表。其在目录中可能如下所示：

o-Company

ou=groups

cn=developers

ou=users

cn=Susan 

通用名称（cn）

通用名称或 cn 用于标识组或个人用户帐户的名称（如 cn=developers、cn=Susan）。用户可以从属于某个组；因此，如果 Susan 是开发人员，则也可能会存在于 cn=developers 下。

属性和值

LDAP DIT 中的各个子类（即 o、ou、cn）包含属性或值，或含有 LDAP 目录相关信息的模式，它们有助于缩小搜索范围。属性有点像地址簿中的条目，有着名称、电话号码和地址等标签，每个属性分配有相应的值。例如，Susan 可能是 name 属性的值。

在 cn=Susan 帐户中，user id（uid）和 userPassword 是属性，而用户的登录凭据则是值。不过，在诸如 cn=developers 之类的组中，Susan 可能有 uniqueMember 属性（例如，uniqueMember=cn-Susan,ou-Users,o-Company）。这会将路径映射到 Susan 的个人用户帐户所处的位置，以及 LDAP 所搜索的信息。用户帐户是 DIT 中的末端，也是 LDAP 最终提取搜索结果的地方。

还有许多其他属性类型和语法可以帮助缩小搜索范围，包括 organizationalPerson（structural）或 personal（structural）等 ObjectClass。不过，为了保持轻量和易用，LDAP 中的属性数量是有限的。