LDAP (Lightweight Directory Access Protocol)

Was ist LDAP?

LDAP ist die AbkĂŒrzung fĂŒr “Lightweight Directory Access Protocol” und bezeichnet ein Client / Server-Protokoll, das fĂŒr den Zugriff auf und die Verwaltung von Verzeichnisinformationen verwendet wird. Es liest und editiert Verzeichnisse ĂŒber IP-Netzwerke und wird direkt ĂŒber TCP / IP mit einfachen String-Formaten fĂŒr die DatenĂŒbertragung ausgefĂŒhrt. Es wurde ursprĂŒnglich als Frontend fĂŒr das X.500 Directory Access Protocol entwickelt. LDAP kann einfach und leicht an kundenspezifische BedĂŒrfnisse angepasst werden.

Das Lightweight Directory Access Protocol wurde von Tim Howes von der University of Michigan, Steve Kille von der Isode Limited und Wengyik Yeong von Performance Systems International im Jahr 1993 entwickelt. LDAP ist plattformĂŒbergreifend und standardbasiert. Daher ist der Servertyp, der das Verzeichnis hostet, fĂŒr das Protokoll irrelevant. LDAP-Server sind einfach zu installieren, zu warten und zu optimieren. Der LDAP-Serverprozess fragt das LDAP-Informationsverzeichnis ab und aktualisiert es. LDAP-Server können Daten entweder durch Push- oder Pull-Methoden replizieren. Die Replikationstechnologie ist ebenfalls einfach zu konfigurieren und zu integrieren.

LDAP bietet Client-Server-Zugriff auf Verzeichnisse ĂŒber ein Computernetzwerk und wird daher als ein Verzeichnisdienst bezeichnet. Es bietet nicht nur die Möglichkeit, Informationen zu suchen und zu lesen, sondern auch eine Möglichkeit, Informationen in einem Verzeichnis hinzuzufĂŒgen, zu aktualisieren und zu löschen.

Implementierung von LDAP Standards

Zwei allgemeine Typen von Verzeichnisserversoftware implementieren die Lightweight Directory Access Protocol Standards:

  • EigenstĂ€ndige LDAP-Server
  • LDAP-Gatewayserver

EigenstĂ€ndige Lightweight Directory Access Protocol Server konzentrieren sich ausschließlich auf LDAP als ihren einzigen Zugriffsmechanismus. Ihre proprietĂ€ren internen Datenspeicher sind fĂŒr diese Zugriffe optimiert. Anstatt an einen lokalen Datenspeicher gebunden zu sein, ĂŒbersetzen Lightweight Directory Access Protocol Gateway-Server zwischen LDAP und einem anderen nativen Netzwerkprotokoll oder einer Anwendungsprogrammschnittstelle (API), um auf Verzeichnisinformationen zuzugreifen. Ein Beispiel ist die ursprĂŒngliche Verwendung von LDAP als Gateway zu anderen Verzeichnisdiensten, die X.500-Standards unterstĂŒtzen. Ein anderes Beispiel fĂŒr ein solches Lightweight Directory Access Protocol Gateway ist ein Server, der einen LDAP Zugriff auf Informationen bereitstellt, die sich in Oracle-Datenbanktabellen befinden.

Wie werden Informationen im LDAP Verzeichnis gespeichert?

Das Verzeichnismodell des Lightweight Directory Access Protocol basiert auf EintrĂ€gen. Ein Eintrag ist eine Sammlung von Attributen mit einem Namen, einem sogenannten Distinguished Name (DN). Mit dem DN wird eindeutig auf den Eintrag verwiesen. Jedes der Attribute des Eintrags hat einen Typ und einen oder mehrere Werte. Bei den Typen handelt es sich normalerweise um mnemonische Zeichenfolgen wie “cn” fĂŒr den allgemeinen Namen oder “mail” fĂŒr die E-Mail-Adresse. Die Werte hĂ€ngen davon ab, um welchen Attributtyp es sich handelt. Beispielsweise kann ein E-Mail-Attribut eine E-Mail-Adresse mit einem Attributwert von info@onlinesolutionsgroup.de enthalten. Ein jpegPhoto-Attribut wĂŒrde ein Foto im binĂ€ren JPEG-Format enthalten.

Wie sind die Informationen im LDAP angeordnet?

In Lightweight Directory Access Protocol sind VerzeichniseintrĂ€ge in einer hierarchischen Baumstruktur angeordnet, die manchmal politische, geografische oder organisatorische Grenzen widerspiegelt. EintrĂ€ge, die LĂ€nder reprĂ€sentieren, erscheinen oben auf dem Baum. Darunter befinden sich EintrĂ€ge, die Staaten oder nationale Organisationen reprĂ€sentieren. Darunter können EintrĂ€ge stehen, die Personen, Organisationseinheiten, Drucker, Dokumente oder alles andere darstellen, was eingetragen werden soll. DarĂŒber hinaus kann mit dem Protokoll gesteuert werden, welche Attribute in einem Eintrag erforderlich und zulĂ€ssig sind, indem ein spezielles, als Objektklasse bezeichnetes Attribut verwendet wird. Die Werte des Attributs “objectClass” bestimmen die Attribute, die im Eintrag angegeben werden können.

Wie wird auf die Informationen im LDAP verwiesen?

Ein Eintrag wird durch seinen definierten Namen referenziert, der aus dem Namen des Eintrags selbst (als relative Distinguished Name oder RDN bezeichnet) erstellt wird und die Namen seiner VorgĂ€ngereintrĂ€ge miteinander verkettet. Zum Beispiel hat ein Eintrag fĂŒr Angela Merkel einen RDN von cn = Angela Merkel und einen DN von cn = Angela Merkel, o = Bundeskanzleramt (o = objectclass Organisation), c = DE (c = objectclass Country). Das vollstĂ€ndige DN-Format ist in RFC 2253 beschrieben.

Lightweight Directory Access Protocol Server unterstĂŒtzen verschiedene Namensformate. WĂ€hrend die Benennung nach Land, Organisation und Organisationseinheit eine Methode ist, besteht eine andere Methode darin, EintrĂ€ge basierend auf dem registrierten DNS-DomĂ€nennamen einer Organisation zu benennen.

Wie wird auf die Informationen zugegriffen?

Das Protokoll definiert Operationen zum Abfragen und Aktualisieren des Verzeichnisses. Es werden Operationen zum HinzufĂŒgen oder Löschen eines Eintrags zu oder aus dem Verzeichnis, zum Ändern eines vorhandenen Eintrags und zum Ändern des Namens eines Eintrags bereitgestellt. Am hĂ€ufigsten wird das Protokoll jedoch verwendet, um nach Informationen in dem Verzeichnis zu suchen. Die LDAP-Suchoperation ermöglicht, dass ein Teil des Verzeichnisses nach EintrĂ€gen durchsucht wird, die bestimmten Kriterien entsprechen, die von einem Suchfilter angegeben werden. Informationen können von jedem Eintrag angefordert werden, der den Kriterien entspricht. Die Vergleichsoperation des Protokolls ermöglicht das Testen eines Werts in einem Eintrag, ohne diesen Wert an den Client zu senden.

Ein Beispiel fĂŒr eine Suche ist, dass der gesamte Verzeichnisbaum unter einem Unternehmen nach Personen mit dem Namen Mayer durchsucht und die E-Mail-Adresse jedes gefundenen Eintrags abgerufen werden soll. Ebenso ist es möglich, direkt unter dem Eintrag c = DE nach Organisationen mit der Zeichenfolge ABCD in ihrem Namen zu suchen, die eine FAX-Nummer haben.

Wie sind die Informationen vor unbefugtem Zugriff geschĂŒtzt?

Lightweight Directory Access Protocol Clientanforderungen können mithilfe einer anonymen IdentitĂ€t ausgefĂŒhrt werden oder die Protokoll Bindungsoperation kann zur Bereitstellung einer AuthentifizierungsidentitĂ€t verwendet werden. Der Server kann die IdentitĂ€t verwenden, um beim Zugriff auf EintrĂ€ge im Verzeichnis eine BerechtigungsprĂŒfung durchzufĂŒhren. Eine Zugriffssteuerungsliste (Access Control List, ACL) bietet eine Möglichkeit zum Schutz von Informationen, die in einem LDAP-Verzeichnis gespeichert sind. Eine ACL wird verwendet, um den Zugriff auf verschiedene Teile des Verzeichnisses, auf bestimmte VerzeichniseintrĂ€ge oder auf Informationen innerhalb eines Eintrags zu beschrĂ€nken. Die Zugriffssteuerung kann fĂŒr einzelne Benutzer oder fĂŒr Gruppen festgelegt werden. Dieser Authentifizierungsprozess kann von verteilten Anwendungen genutzt werden, die eine bestimmte Form der Authentifizierung implementieren mĂŒssen. Auf der Ebene der Benutzeranwendung werden keine SicherheitsprĂŒfungen durchgefĂŒhrt. Dies alles geschieht direkt ĂŒber das LDAP-Verzeichnis.

Das Lightweight Directory Access Protocol definiert nicht, wie Programme auf der Client-Server-Seite funktionieren, es definiert jedoch die Sprache, die von Client-Programmen verwendet wird, um mit Servern zu kommunizieren. Das Protokoll ist nicht auf Kontaktinformationen oder Informationen ĂŒber Personen beschrĂ€nkt. Das Protokoll wird verwendet, um nach VerschlĂŒsselungszertifikaten, Zeigern zu Druckern und anderen Diensten in einem Netzwerk zu suchen und “Single Sign-On” bereitzustellen, wobei ein Kennwort fĂŒr einen Benutzer von vielen Diensten gemeinsam genutzt wird. Das LDAP eignet sich fĂŒr alle Arten von verzeichnisĂ€hnlichen Informationen, bei denen schnelle SuchvorgĂ€nge und weniger hĂ€ufige Aktualisierungen die Norm sind. LDAP Server können von Arbeitsgruppen und in unternehmensweiten Netzwerken eingesetzt werden.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte