LDAP (Lightweight Directory Access Protocol)

Lightweight Directory Access Protocol

┬ę Copyright Shutterstock/ shaneinsweden

Was ist LDAP?

LDAP ist die Abk├╝rzung f├╝r “Lightweight Directory Access Protocol” und bezeichnet ein Client / Server-Protokoll, das f├╝r den Zugriff auf und die Verwaltung von Verzeichnisinformationen verwendet wird. Es liest und editiert Verzeichnisse ├╝ber IP-Netzwerke und wird direkt ├╝ber TCP / IP mit einfachen String-Formaten f├╝r die Daten├╝bertragung ausgef├╝hrt. Es wurde urspr├╝nglich als Frontend f├╝r das X.500 Directory Access Protocol entwickelt. LDAP kann einfach und leicht an kundenspezifische Bed├╝rfnisse angepasst werden.

Das Lightweight Directory Access Protocol wurde von Tim Howes von der University of Michigan, Steve Kille von der Isode Limited und Wengyik Yeong von Performance Systems International im Jahr 1993 entwickelt. LDAP ist plattform├╝bergreifend und standardbasiert. Daher ist der Servertyp, der das Verzeichnis hostet, f├╝r das Protokoll irrelevant. LDAP-Server sind einfach zu installieren, zu warten und zu optimieren. Der LDAP-Serverprozess fragt das LDAP-Informationsverzeichnis ab und aktualisiert es. LDAP-Server k├Ânnen Daten entweder durch Push- oder Pull-Methoden replizieren. Die Replikationstechnologie ist ebenfalls einfach zu konfigurieren und zu integrieren.

LDAP bietet Client-Server-Zugriff auf Verzeichnisse ├╝ber ein Computernetzwerk und wird daher als ein Verzeichnisdienst bezeichnet. Es bietet nicht nur die M├Âglichkeit, Informationen zu suchen und zu lesen, sondern auch eine M├Âglichkeit, Informationen in einem Verzeichnis hinzuzuf├╝gen, zu aktualisieren und zu l├Âschen.

Implementierung von LDAP Standards

Zwei allgemeine Typen von Verzeichnisserversoftware implementieren die Lightweight Directory Access Protocol Standards:

  • Eigenst├Ąndige LDAP-Server
  • LDAP-Gatewayserver

Eigenst├Ąndige Lightweight Directory Access Protocol Server konzentrieren sich ausschlie├člich auf LDAP als ihren einzigen Zugriffsmechanismus. Ihre propriet├Ąren internen Datenspeicher sind f├╝r diese Zugriffe optimiert. Anstatt an einen lokalen Datenspeicher gebunden zu sein, ├╝bersetzen Lightweight Directory Access Protocol Gateway-Server zwischen LDAP und einem anderen nativen Netzwerkprotokoll oder einer Anwendungsprogrammschnittstelle (API), um auf Verzeichnisinformationen zuzugreifen. Ein Beispiel ist die urspr├╝ngliche Verwendung von LDAP als Gateway zu anderen Verzeichnisdiensten, die X.500-Standards unterst├╝tzen. Ein anderes Beispiel f├╝r ein solches Lightweight Directory Access Protocol Gateway ist ein Server, der einen LDAP Zugriff auf Informationen bereitstellt, die sich in Oracle-Datenbanktabellen befinden.

Das Verzeichnismodell des Lightweight Directory Access Protocol basiert auf Eintr├Ągen. Ein Eintrag ist eine Sammlung von Attributen mit einem Namen, einem sogenannten Distinguished Name (DN). Mit dem DN wird eindeutig auf den Eintrag verwiesen. Jedes der Attribute des Eintrags hat einen Typ und einen oder mehrere Werte. Bei den Typen handelt es sich normalerweise um mnemonische Zeichenfolgen wie “cn” f├╝r den allgemeinen Namen oder “mail” f├╝r die E-Mail-Adresse. Die Werte h├Ąngen davon ab, um welchen Attributtyp es sich handelt. Beispielsweise kann ein E-Mail-Attribut eine E-Mail-Adresse mit einem Attributwert von info@onlinesolutionsgroup.de enthalten. Ein jpegPhoto-Attribut w├╝rde ein Foto im bin├Ąren JPEG-Format enthalten.
In Lightweight Directory Access Protocol sind Verzeichniseintr├Ąge in einer hierarchischen Baumstruktur angeordnet, die manchmal politische, geografische oder organisatorische Grenzen widerspiegelt. Eintr├Ąge, die L├Ąnder repr├Ąsentieren, erscheinen oben auf dem Baum. Darunter befinden sich Eintr├Ąge, die Staaten oder nationale Organisationen repr├Ąsentieren. Darunter k├Ânnen Eintr├Ąge stehen, die Personen, Organisationseinheiten, Drucker, Dokumente oder alles andere darstellen, was eingetragen werden soll. Dar├╝ber hinaus kann mit dem Protokoll gesteuert werden, welche Attribute in einem Eintrag erforderlich und zul├Ąssig sind, indem ein spezielles, als Objektklasse bezeichnetes Attribut verwendet wird. Die Werte des Attributs “objectClass” bestimmen die Attribute, die im Eintrag angegeben werden k├Ânnen.

Wie wird auf die Informationen im LDAP verwiesen?

Ein Eintrag wird durch seinen definierten Namen referenziert, der aus dem Namen des Eintrags selbst (als relative Distinguished Name oder RDN bezeichnet) erstellt wird und die Namen seiner Vorg├Ąngereintr├Ąge miteinander verkettet. Zum Beispiel hat ein Eintrag f├╝r Angela Merkel einen RDN von cn = Angela Merkel und einen DN von cn = Angela Merkel, o = Bundeskanzleramt (o = objectclass Organisation), c = DE (c = objectclass Country). Das vollst├Ąndige DN-Format ist in RFC 2253 beschrieben.

Lightweight Directory Access Protocol Server unterst├╝tzen verschiedene Namensformate. W├Ąhrend die Benennung nach Land, Organisation und Organisationseinheit eine Methode ist, besteht eine andere Methode darin, Eintr├Ąge basierend auf dem registrierten DNS-Dom├Ąnennamen einer Organisation zu benennen.

Wie wird auf die Informationen zugegriffen?

Das Protokoll definiert Operationen zum Abfragen und Aktualisieren des Verzeichnisses. Es werden Operationen zum Hinzuf├╝gen oder L├Âschen eines Eintrags zu oder aus dem Verzeichnis, zum ├ändern eines vorhandenen Eintrags und zum ├ändern des Namens eines Eintrags bereitgestellt. Am h├Ąufigsten wird das Protokoll jedoch verwendet, um nach Informationen in dem Verzeichnis zu suchen. Die LDAP-Suchoperation erm├Âglicht, dass ein Teil des Verzeichnisses nach Eintr├Ągen durchsucht wird, die bestimmten Kriterien entsprechen, die von einem Suchfilter angegeben werden. Informationen k├Ânnen von jedem Eintrag angefordert werden, der den Kriterien entspricht. Die Vergleichsoperation des Protokolls erm├Âglicht das Testen eines Werts in einem Eintrag, ohne diesen Wert an den Client zu senden.

Beispiel

Ein Beispiel f├╝r eine Suche ist, dass der gesamte Verzeichnisbaum unter einem Unternehmen nach Personen mit dem Namen Mayer durchsucht und die E-Mail-Adresse jedes gefundenen Eintrags abgerufen werden soll. Ebenso ist es m├Âglich, direkt unter dem Eintrag c = DE nach Organisationen mit der Zeichenfolge ABCD in ihrem Namen zu suchen, die eine FAX-Nummer haben.

Wie sind die Informationen vor unbefugtem Zugriff gesch├╝tzt?

Lightweight Directory Access Protocol Clientanforderungen k├Ânnen mithilfe einer anonymen Identit├Ąt ausgef├╝hrt werden oder die Protokoll Bindungsoperation kann zur Bereitstellung einer Authentifizierungsidentit├Ąt verwendet werden. Der Server kann die Identit├Ąt verwenden, um beim Zugriff auf Eintr├Ąge im Verzeichnis eine Berechtigungspr├╝fung durchzuf├╝hren. Eine Zugriffssteuerungsliste (Access Control List, ACL) bietet eine M├Âglichkeit zum Schutz von Informationen, die in einem LDAP-Verzeichnis gespeichert sind. Eine ACL wird verwendet, um den Zugriff auf verschiedene Teile des Verzeichnisses, auf bestimmte Verzeichniseintr├Ąge oder auf Informationen innerhalb eines Eintrags zu beschr├Ąnken. Die Zugriffssteuerung kann f├╝r einzelne Benutzer oder f├╝r Gruppen festgelegt werden. Dieser Authentifizierungsprozess kann von verteilten Anwendungen genutzt werden, die eine bestimmte Form der Authentifizierung implementieren m├╝ssen. Auf der Ebene der Benutzeranwendung werden keine Sicherheitspr├╝fungen durchgef├╝hrt. Dies alles geschieht direkt ├╝ber das LDAP-Verzeichnis.

Das Lightweight Directory Access Protocol definiert nicht, wie Programme auf der Client-Server-Seite funktionieren, es definiert jedoch die Sprache, die von Client-Programmen verwendet wird, um mit Servern zu kommunizieren. Das Protokoll ist nicht auf Kontaktinformationen oder Informationen ├╝ber Personen beschr├Ąnkt. Das Protokoll wird verwendet, um nach Verschl├╝sselungszertifikaten, Zeigern zu Druckern und anderen Diensten in einem Netzwerk zu suchen und “Single Sign-On” bereitzustellen, wobei ein Kennwort f├╝r einen Benutzer von vielen Diensten gemeinsam genutzt wird. Das LDAP eignet sich f├╝r alle Arten von verzeichnis├Ąhnlichen Informationen, bei denen schnelle Suchvorg├Ąnge und weniger h├Ąufige Aktualisierungen die Norm sind. LDAP Server k├Ânnen von Arbeitsgruppen und in unternehmensweiten Netzwerken eingesetzt werden.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte