Cognos的LDAP认证集成——OpenDS安装配置要点

LDAP其实是一个电话簿，类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录，也类似于你在花园中所看到的树木。

不少LDAP开发人员喜欢把LDAP与关系数据库相比，认为是另一种的存贮方式，然后在读性能上进行比较。实际上，这种对比的基础是错误的。LDAP和关系数据库是两种不同层次的概念，后者是存贮方式（同一层次如网格数据库， 对象数据库），前者是存贮模式和访问协议。LDAP是一个比关系数据库抽象层次更高的存贮概念，与关系数据库的查询语言SQL属同一级别。LDAP最基本 的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果，不过在其它方面，例如更新，就慢得多。

CN, OU, DC 都是 LDAP 连接服务器的端字符串中的区别名称（DN, distinguished   name）
在 LDAP 目录中，

DC (Domain Component)

CN (Common Name)

OU (Organizational Unit)

LDAP 目录类似于文件系统目录。
下列目录：
DC=redmond,DC=wa,DC=microsoft,DC=com      
如果我们类比文件系统的话，可被看作如下文件路径:   
Com/Microsoft/Wa/Redmond  
例如：CN=test,OU=developer,DC=domainname,DC=com
在上面的代码中 cn=test 可能代表一个用户名，ou=developer 代表一个 active directory 中的组织单位。这句话的含义可能就是说明 test 这个对象处在domainname.com 域的 developer 组织单元中。

实践：

Cognos可以支持LDAP作为其安全控制的第三方认证源，但在使用前需要完成一些连接配置，本文主要介绍配置过程和配置项的含义。

1， OpenDS安装

OpenDS可以免费下载，安装过程十分简单。

2， OpenDS管理

在OpenDS中可以添加以下类型节点：

用户：作为Cognos中LDAP认证源的用户

组： 作为Cognos中LDAP认证源的分组，其成员为用户。

组织单位：作为Cognos中LDAP认证源的文件夹。

组织和域：在Cognos中不起效。

3， Cognos配置

打开Cognos Configuration，新建名称空间

需要调整的配置项：

名称空间标识符：为名称空间选择时的名称。

主机端口：安装OpenDS服务器名和端口名

基准专有名称：OpenDS配置的基准DN名称。

用户查找：用于登录Cognos的用户账号。(uid=${userID})表示用uid作为Cognos登录账号，也可以用用户节点的其他属性做登录账号，比如cn

文件夹映射：默认将LDAP中的组织单位节点，对应为Cognos中的文件夹。

用户组映射：默认将LDAP中的组节点，对应为Cognos中的组。

账户映射：

名称，对应LDAP的用户的cn属性，该值显示在Cognos Connection如下位置

LDAP目录树与Cognos名称空间的对应