隨著時間的推移，記憶會慢慢褪色，并在我們的腦海中變得混亂起來。事實證明，技術(shù)亦是如此：早在20世紀80年代，人們就創(chuàng)建了輕型目錄訪問協(xié)議（LDAP），以便各種應用程序在開放式系統(tǒng)互聯(lián)（OSI）X.500目錄服務中存/取信息（LDAP最初是因為運行DOS系統(tǒng)的X386電腦無法在DOS要求的640KRAM中加載X.500的正常訪問協(xié)議——目錄訪問協(xié)議（DAP），人們才創(chuàng)建了這樣一個“輕型”DAP版本，以便這些平臺可以查詢該目錄）。雖然X.500目錄以及x386電腦已經(jīng)像恐龍一樣消失了，但通用開放架構(gòu)庫（repository）的理念卻繼續(xù)存在。

雖然LDAP保留了最初的X.500目錄服務標準，但是它現(xiàn)在已經(jīng)從一個支持DOS系統(tǒng)的低級協(xié)議發(fā)展到了目錄服務本身。不止LDAP和庫兩者的概念出現(xiàn)了混亂，就連開放架構(gòu)OpenLDAP也與LDAP本身混淆了?，F(xiàn)在，許多公司都有“LDAP兼容”目錄，比如微軟的活動目錄、IBM的Tivoli Directory Service、甲骨文的Java System Directory Server企業(yè)版等，都帶有企業(yè)內(nèi)部的專有架構(gòu)。當X.500消失的時候，開放式架構(gòu)庫也隨之消失了。

X.500開放標準化的目錄（可以用一個供應商的庫直接替換另一個供應商的庫）已經(jīng)被今天的LDAP兼容目錄所取代，這種目錄提供互操作性，即兩個供應商的產(chǎn)品可以彼此兼容。但是，OpenLDAP的互操作性使用的是古老的社區(qū)開發(fā)標準OSI模型。OpenLDAP不像現(xiàn)在的商業(yè)產(chǎn)品，它是開源的LDAP兼容目錄。它實際上是由更早的X.500的許多殘存內(nèi)容組成。OpenLDAP由OpenLDAP組織負責維護和支持，由OpenLDAP基金會進行協(xié)調(diào)。OpenLDAP基金會是一個非營利性機構(gòu)（依靠公司贊助和個人捐款），以促進開源LDAP開發(fā)為宗旨。OpenLDAP像大多數(shù)LDAP兼容產(chǎn)品一樣遵循互聯(lián)網(wǎng)工程任務組（IETF） RFC-4510標準。該標準定義了與LDAP兼容目錄進行相互協(xié)作所需要的標準和協(xié)議。

OpenLDAP 的最佳使用案例

OpenLDAP的價值有哪些，企業(yè)應該如何使用它呢？OpenLDAP可以運行在Windows 和Unix平臺上，并且是一個免費的，與LDAP兼容的目錄軟件。這意味著它可以用作獨立的庫，或者作為在供應商專有庫和應用軟件中所使用的源代碼。

在Windows系統(tǒng)中采用OpenLDAP不能代替微軟的活動目錄，因為如上所述，所有的商業(yè)LDAP兼容庫都是各公司專有的。這意味著活動目錄實現(xiàn)了微軟其他產(chǎn)品所使用的其他專用對象和API。通過購買微軟的這些授權(quán)產(chǎn)品，使用Windows系統(tǒng)的企業(yè)會得到一些先進的功能，但如果企業(yè)使用的應用程序與活動目錄不兼容，那么他們必須付更多的錢進行整合、購買授權(quán)插件等，或者選擇另外一種目錄結(jié)構(gòu)。當多種應用程序需要訪問LDAP目錄時，OpenLDAP可以作為活動目錄的代替品，企業(yè)不必為使用活動目錄而支付額外的費用或獲得授權(quán)。比如，OpenLDAP可以仿效活動目錄的通用地址列表（GAL），為需要該信息的內(nèi)部開發(fā)應用程序提供此信息。此外，其他使用LDAP進行認證以及對象存儲的應用程序和平臺也可以利用這個免費庫。

OpenLDAP也是由社區(qū)所開發(fā)的。與供應商有限的開發(fā)人員和預算相比，這一點使得OpenLDAP可以帶來更多的創(chuàng)新。OpenLDAP支持最新LDAP標準（v3.3）中很多可選的LDAP功能和擴展功能，這些功能未必會出現(xiàn)在其他的商業(yè)LDAP兼容產(chǎn)品中。目前的OpenLDAP發(fā)行版本支持30多種可選功能和擴展功能，包括基于DNS的服務位置（RFC 2247 & RFC 3088）、X.509證書圖表RFC 4523）、密碼修改操作（RFC 3062）以及其他的功能等等。因為這些功能一般不會得到商業(yè)供應商的支持，所以OpenLDAP可能是企業(yè)的唯一選擇，因為它們需要獲取這些功能來支持各種不同的應用程序。那么，這里面有沒有隱含的不利因素呢？免費并不意味著成本不會增加。這是因為任何開源軟件都會有一些固定成本，或在時間上，或在資源上，比如說：

◆OpenLDAP沒有專業(yè)人士提供服務，所以負責安裝、配置以及維護OpenLDAP的人員必須精通LDAP軟件并能創(chuàng)建整合程序，以便把OpenLDAP綁定到使用OpenLDAP數(shù)據(jù)的應用程序上。

◆OpenLDAP沒有GUI界面。所有的安裝和配置都必須通過命令行完成。

◆多語言支持只存在于OpenLDAP工程之外的郵寄列表中（特別是沒經(jīng)過OpenLDAP項目認可或者批準的郵件列表）。

◆產(chǎn)品支持由OpenLDAP 網(wǎng)站的問題跟蹤系統(tǒng)提供，該系統(tǒng)由OpenLDAP的成員獨立支持。

◆盡管OpenLDAP的技術(shù)支持網(wǎng)站對更新和補丁有所計劃和記錄，但是升級和補丁并不是定期公布的。　　

最后一點必須指出的是，OpenLDAP軟件的運行沒有保障，正如上文所述，提供支持的組織只能靠贊助和個人捐款。但是，即便存在這些限制，OpenLDAP還是提供了那些專有軟件產(chǎn)品不愿提供、也無法提供的功能。當企業(yè)希望保持應用程序基礎設施多樣性而商業(yè)目錄產(chǎn)品又不能滿足所需的自定義水平時，OpenLDAP則將脫穎而出。市場上有了OpenLDAP之后，供應商們總是會想起那個庫可以互換的時代。他們需要繼續(xù)提供各種創(chuàng)新的產(chǎn)品，否則有一天OpenLDAP可能會使得他們的產(chǎn)品走向滅亡。

【編輯推薦】

1. OpenLDAP遷移：從活動目錄遷移到OpenLDAP
2. OpenLDAP多個未明任意代碼執(zhí)行漏洞