Definition

LDAP (Lightweight Directory Access Protocol)

LDAP (Lightweight Directory Access Protocol) ist ein Softwareprotokoll, das es jedem ermöglicht, Daten über Organisationen, Einzelpersonen und andere Ressourcen wie Dateien und Geräte in einem Netzwerk zu finden - sei es im öffentlichen Internet oder im Intranet eines Unternehmens. LDAP ist eine „leichtgewichtige“ (weniger Code) Version des Directory Access Protocol (DAP), das Teil von X.500 ist, einem Standard für Verzeichnisdienste in einem Netzwerk.

Ein Verzeichnis teilt dem Benutzer mit, wo sich etwas im Netz befindet. In TCP/IP-Netzen (einschließlich des Internets) ist das Domänennamensystem (DNS) das Verzeichnissystem, das verwendet wird, um den Domänennamen mit einer bestimmten Netzadresse (einem eindeutigen Ort im Netz) zu verbinden. Der Benutzer kennt jedoch möglicherweise den Domänennamen nicht. Mit LDAP kann ein Benutzer nach einer Person suchen, ohne zu wissen, wo sie sich befindet (obwohl zusätzliche Informationen bei der Suche hilfreich sind).

Verwendungszwecke von LDAP

Die übliche Verwendung von LDAP ist die Bereitstellung eines zentralen Ortes für die Authentifizierung, das heißt die Speicherung von Benutzernamen und Kennwörtern. LDAP kann dann in verschiedenen Anwendungen oder Diensten verwendet werden, um Benutzer mit einem Plug-in zu validieren. LDAP kann beispielsweise zur Validierung von Benutzernamen und Passwörtern mit Docker, Jenkins, Kubernetes, Open VPN und Linux Samba-Servern verwendet werden. LDAP Single Sign-On kann auch von Systemadministratoren genutzt werden, um den Zugriff auf eine LDAP-Datenbank zu kontrollieren.

LDAP kann auch dazu verwendet werden, Vorgänge in eine Verzeichnisserver-Datenbank einzufügen, Sitzungen zu authentifizieren - oder zu binden -, LDAP-Einträge zu löschen, Einträge mit verschiedenen Befehlen zu suchen und zu vergleichen, vorhandene Einträge zu ändern, Einträge zu erweitern, Anfragen aufzugeben oder Vorgänge zu entbinden.

LDAP wird in Microsofts Active Directory verwendet, kann aber auch in anderen Tools wie Open LDAP, Red Hat Directory Servers und IBM Tivoli Directory Servers eingesetzt werden. Open LDAP ist eine Open-Source-LDAP-Anwendung. Es handelt sich um einen Windows-LDAP-Client und ein Admin-Tool, das für die Kontrolle von LDAP-Datenbanken entwickelt wurde. Mit diesem Tool können Benutzer Daten, die auf einem LDAP-Server erscheinen, durchsuchen, nachschlagen, entfernen, erstellen und ändern. Open LDAP ermöglicht auch die Verwaltung von Passwörtern und das Durchsuchen nach Schemata.

Red Hat Directory Servers ist ein Tool zur Verwaltung mehrerer Systeme mit einem Red Hat Directory Server in einer UNIX-Umgebung. Red Hat Directory Servers ermöglicht die Speicherung von Benutzerdaten in einem LDAP-Server. Das Tool bietet Benutzern einen sicheren und eingeschränkten Zugriff auf Verzeichnisdaten, Gruppenmitgliedschaft und Fernzugriff sowie Zugriff über Validierungsverfahren.

IBM Tivoli Directory Server ist eine IBM-basierte Implementierung von LDAP, die auf einem LDAP-Framework basiert. Dieses Tool konzentriert sich auf die schnellere Entwicklung und Verteilung von Identitätskontrollen, Sicherheit und Webanwendungen. Tivoli Directory Server umfasst verschiedene Validierungsmethoden wie die Validierung über digitale Zertifikate, Simple Authentication and Security Layer (SASL) und CRAM-MD5.

Wenn eine Organisation Schwierigkeiten hat zu entscheiden, wann sie LDAP einsetzen soll, sollte sie es in einigen Anwendungsfällen in Betracht ziehen. Sie sollten es in Betracht ziehen, wenn:

  • ein einzelner Datenbestand regelmäßig gefunden und abgerufen werden muss
  • die Organisation viele kleinere Dateneinträge hat
  • die Organisation alle kleineren Daten an einem zentralen Ort haben möchte und die Daten nicht extrem stark untergliedert sein müssen

Ebenen des LDAP-Verzeichnisses (LDAP Directory)

Eine LDAP-Konfiguration ist in einer einfachen Baum-Hierarchie organisiert, die aus den folgenden Ebenen besteht:

  • Das Stammverzeichnis (der Ausgangspunkt oder die Quelle des Baums), das sich verzweigt in:
  • Länder, die sich jeweils verzweigen zu:
  • Organisationen, die sich wiederum verzweigen in:
  • Organisationseinheiten (Bereiche, Abteilungen), die sich verzweigen zu: Personen (mit Personen, Dateien und Dateien):
  • Einzelpersonen (einschließlich Personen, Dateien und gemeinsam genutzte Ressourcen wie Drucker).

Ein LDAP-Verzeichnis kann auf viele Server verteilt werden. Jeder Server kann eine replizierte Version des gesamten Verzeichnisses haben, die regelmäßig synchronisiert wird. Ein LDAP-Server wird als Directory System Agent (DSA) bezeichnet. Ein LDAP-Server, der eine Anfrage von einem Benutzer erhält, übernimmt die Verantwortung für die Anfrage und leitet sie bei Bedarf an andere DSAs weiter, sorgt aber für eine einzige koordinierte Antwort für den Benutzer.

LDAP und Active Directory

Lightweight Directory Access Protocol ist das Protokoll, das Exchange Server für die Kommunikation mit Active Directory verwendet. Um wirklich zu verstehen, was LDAP ist und was es tut, ist es wichtig, das Grundkonzept von Active Directory im Zusammenhang mit Exchange zu verstehen.

Active Directory ist ein Verzeichnisdienst zur Verwaltung von Domänen, Benutzern und verteilten Ressourcen wie Objekten für Windows-Betriebssysteme. Der Sinn eines Verzeichnisdienstes besteht darin, dass er Domänen und Objekte verwaltet und gleichzeitig kontrolliert, welche Benutzer Zugriff auf die einzelnen Ressourcen haben. Active Directory ist auf Windows Server 10 verfügbar und besteht aus mehreren Diensten. Zu den Diensten, die in Active Directory enthalten sind, gehören Domänen-, Lightweight Directory-, Zertifikats-, Federation- und Rechteverwaltungsdienste. Jeder Dienst wird unter dem Namen Active Directory zusammengefasst, um die Möglichkeiten der Verzeichnisverwaltung zu erweitern. Active Directory wurde erstmals 1999 vorgestellt und hat seitdem immer wieder Updates erhalten - darunter ein Update mit Windows Server 2016, das die Sicherheit von Active Directory-Umgebungen und die Fähigkeit zur Migration von Active-Directory-Umgebungen in Cloud- oder Hybrid-Cloud-Umgebungen verbessert.

Active Directory enthält Informationen zu jedem Benutzerkonto in einem gesamten Netzwerk. Es behandelt jedes Benutzerkonto als ein Objekt. Jedes Benutzerobjekt hat auch mehrere Attribute. Ein Beispiel für ein Attribut ist der Vorname, Nachname oder die E-Mail-Adresse des Benutzers. All diese Informationen befinden sich in einer riesigen, kryptischen Datenbank auf einem Domänencontroller - Active Directory. Die Herausforderung besteht darin, die Informationen in einem brauchbaren Format zu extrahieren. Dies ist die Hauptaufgabe von LDAP.

LDAP verwendet eine relativ einfache, stringbasierte Abfrage, um Informationen aus Active Directory zu extrahieren. LDAP kann Objekte wie Benutzernamen und Kennwörter in Active Directory speichern und extrahieren und diese Objektdaten in einem Netzwerk gemeinsam nutzen. Das Schöne daran ist, dass dies alles hinter den Kulissen geschieht. Ein normaler Endbenutzer muss nie manuell eine LDAP-Abfrage durchführen, da Outlook LDAP-fähig ist und alle notwendigen Abfragen selbständig durchführen kann.

Diese Definition wurde zuletzt im Januar 2022 aktualisiert

Erfahren Sie mehr über IoT, IIoT und Industrie 4.0

ComputerWeekly.de
Close