LDAP (Lightweight Directory Access Protocol)

LDAP

Copyright © Shutterstock / Vector_Bird

Was ist LDAP?

LDAP ist die Abkürzung für “Lightweight Directory Access Protocol” und bezeichnet ein Client / Server-Protokoll, das für den Zugriff auf und die Verwaltung von Verzeichnisinformationen verwendet wird. Es liest und editiert Verzeichnisse über IP-Netzwerke und wird direkt über TCP / IP mit einfachen String-Formaten für die Datenübertragung ausgeführt. Es wurde ursprünglich als Frontend für das X.500 Directory Access Protocol entwickelt. LDAP kann einfach und leicht an kundenspezifische Bedürfnisse angepasst werden.

Das Lightweight Directory Access Protocol wurde von Tim Howes von der University of Michigan, Steve Kille von der Isode Limited und Wengyik Yeong von Performance Systems International im Jahr 1993 entwickelt. LDAP ist plattformübergreifend und standardbasiert. Daher ist der Servertyp, der das Verzeichnis hostet, für das Protokoll irrelevant. LDAP-Server sind einfach zu installieren, zu warten und zu optimieren. Der LDAP-Serverprozess fragt das LDAP-Informationsverzeichnis ab und aktualisiert es. LDAP-Server können Daten entweder durch Push- oder Pull-Methoden replizieren. Die Replikationstechnologie ist ebenfalls einfach zu konfigurieren und zu integrieren.
LDAP bietet Client-Server-Zugriff auf Verzeichnisse über ein Computernetzwerk und wird daher als ein Verzeichnisdienst bezeichnet. Es bietet nicht nur die Möglichkeit, Informationen zu suchen und zu lesen, sondern auch eine Möglichkeit, Informationen in einem Verzeichnis hinzuzufügen, zu aktualisieren und zu löschen.

Implementierung von LDAP Standards

Zwei allgemeine Typen von Verzeichnisserversoftware implementieren die Lightweight Directory Access Protocol Standards:

  • Eigenständige LDAP-Server
  • LDAP-Gatewayserver

Eigenständige Lightweight Directory Access Protocol Server konzentrieren sich ausschließlich auf LDAP als ihren einzigen Zugriffsmechanismus. Ihre proprietären internen Datenspeicher sind für diese Zugriffe optimiert. Anstatt an einen lokalen Datenspeicher gebunden zu sein, übersetzen Lightweight Directory Access Protocol Gateway-Server zwischen LDAP und einem anderen nativen Netzwerkprotokoll oder einer Anwendungsprogrammschnittstelle (API), um auf Verzeichnisinformationen zuzugreifen. Ein Beispiel ist die ursprüngliche Verwendung von LDAP als Gateway zu anderen Verzeichnisdiensten, die X.500-Standards unterstützen. Ein anderes Beispiel für ein solches Lightweight Directory Access Protocol Gateway ist ein Server, der einen LDAP Zugriff auf Informationen bereitstellt, die sich in Oracle-Datenbanktabellen befinden.

Das Verzeichnismodell des Lightweight Directory Access Protocol basiert auf Einträgen. Ein Eintrag ist eine Sammlung von Attributen mit einem Namen, einem sogenannten Distinguished Name (DN). Mit dem DN wird eindeutig auf den Eintrag verwiesen. Jedes der Attribute des Eintrags hat einen Typ und einen oder mehrere Werte. Bei den Typen handelt es sich normalerweise um mnemonische Zeichenfolgen wie “cn” für den allgemeinen Namen oder “mail” für die E-Mail-Adresse. Die Werte hängen davon ab, um welchen Attributtyp es sich handelt. Beispielsweise kann ein E-Mail-Attribut eine E-Mail-Adresse mit einem Attributwert von info@onlinesolutionsgroup.de enthalten. Ein jpegPhoto-Attribut würde ein Foto im binären JPEG-Format enthalten.
In Lightweight Directory Access Protocol sind Verzeichniseinträge in einer hierarchischen Baumstruktur angeordnet, die manchmal politische, geografische oder organisatorische Grenzen widerspiegelt. Einträge, die Länder repräsentieren, erscheinen oben auf dem Baum. Darunter befinden sich Einträge, die Staaten oder nationale Organisationen repräsentieren. Darunter können Einträge stehen, die Personen, Organisationseinheiten, Drucker, Dokumente oder alles andere darstellen, was eingetragen werden soll. Darüber hinaus kann mit dem Protokoll gesteuert werden, welche Attribute in einem Eintrag erforderlich und zulässig sind, indem ein spezielles, als Objektklasse bezeichnetes Attribut verwendet wird. Die Werte des Attributs “objectClass” bestimmen die Attribute, die im Eintrag angegeben werden können.

Wie wird auf die Informationen im LDAP verwiesen?

Ein Eintrag wird durch seinen definierten Namen referenziert, der aus dem Namen des Eintrags selbst (als relative Distinguished Name oder RDN bezeichnet) erstellt wird und die Namen seiner Vorgängereinträge miteinander verkettet. Zum Beispiel hat ein Eintrag für Angela Merkel einen RDN von cn = Angela Merkel und einen DN von cn = Angela Merkel, o = Bundeskanzleramt (o = objectclass Organisation), c = DE (c = objectclass Country). Das vollständige DN-Format ist in RFC 2253 beschrieben.

Lightweight Directory Access Protocol Server unterstützen verschiedene Namensformate. Während die Benennung nach Land, Organisation und Organisationseinheit eine Methode ist, besteht eine andere Methode darin, Einträge basierend auf dem registrierten DNS-Domänennamen einer Organisation zu benennen.

Wie wird auf die Informationen zugegriffen?

Das Protokoll definiert Operationen zum Abfragen und Aktualisieren des Verzeichnisses. Es werden Operationen zum Hinzufügen oder Löschen eines Eintrags zu oder aus dem Verzeichnis, zum Ändern eines vorhandenen Eintrags und zum Ändern des Namens eines Eintrags bereitgestellt. Am häufigsten wird das Protokoll jedoch verwendet, um nach Informationen in dem Verzeichnis zu suchen. Die LDAP-Suchoperation ermöglicht, dass ein Teil des Verzeichnisses nach Einträgen durchsucht wird, die bestimmten Kriterien entsprechen, die von einem Suchfilter angegeben werden. Informationen können von jedem Eintrag angefordert werden, der den Kriterien entspricht. Die Vergleichsoperation des Protokolls ermöglicht das Testen eines Werts in einem Eintrag, ohne diesen Wert an den Client zu senden.

Beispiel

Ein Beispiel für eine Suche ist, dass der gesamte Verzeichnisbaum unter einem Unternehmen nach Personen mit dem Namen Mayer durchsucht und die E-Mail-Adresse jedes gefundenen Eintrags abgerufen werden soll. Ebenso ist es möglich, direkt unter dem Eintrag c = DE nach Organisationen mit der Zeichenfolge ABCD in ihrem Namen zu suchen, die eine FAX-Nummer haben.

Wie sind die Informationen vor unbefugtem Zugriff geschützt?

Lightweight Directory Access Protocol Clientanforderungen können mithilfe einer anonymen Identität ausgeführt werden oder die Protokoll Bindungsoperation kann zur Bereitstellung einer Authentifizierungsidentität verwendet werden. Der Server kann die Identität verwenden, um beim Zugriff auf Einträge im Verzeichnis eine Berechtigungsprüfung durchzuführen. Eine Zugriffssteuerungsliste (Access Control List, ACL) bietet eine Möglichkeit zum Schutz von Informationen, die in einem LDAP-Verzeichnis gespeichert sind. Eine ACL wird verwendet, um den Zugriff auf verschiedene Teile des Verzeichnisses, auf bestimmte Verzeichniseinträge oder auf Informationen innerhalb eines Eintrags zu beschränken. Die Zugriffssteuerung kann für einzelne Benutzer oder für Gruppen festgelegt werden. Dieser Authentifizierungsprozess kann von verteilten Anwendungen genutzt werden, die eine bestimmte Form der Authentifizierung implementieren müssen. Auf der Ebene der Benutzeranwendung werden keine Sicherheitsprüfungen durchgeführt. Dies alles geschieht direkt über das LDAP-Verzeichnis.

Das Lightweight Directory Access Protocol definiert nicht, wie Programme auf der Client-Server-Seite funktionieren, es definiert jedoch die Sprache, die von Client-Programmen verwendet wird, um mit Servern zu kommunizieren. Das Protokoll ist nicht auf Kontaktinformationen oder Informationen über Personen beschränkt. Das Protokoll wird verwendet, um nach Verschlüsselungszertifikaten, Zeigern zu Druckern und anderen Diensten in einem Netzwerk zu suchen und “Single Sign-On” bereitzustellen, wobei ein Kennwort für einen Benutzer von vielen Diensten gemeinsam genutzt wird. Das LDAP eignet sich für alle Arten von verzeichnisähnlichen Informationen, bei denen schnelle Suchvorgänge und weniger häufige Aktualisierungen die Norm sind. LDAP Server können von Arbeitsgruppen und in unternehmensweiten Netzwerken eingesetzt werden.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte