LDAP (Lightweight Directory Access Protocol)

Was ist LDAP (Lightweight Directory Access Protocol)?

Das Lightweight Directory Access Protocol, kurz LDAP, ist ein Softwareprotokoll, das es jedem ermöglicht, Daten über Organisationen, Einzelpersonen und andere Ressourcen wie Dateien und Geräte in einem Netzwerk zu finden – sei es im öffentlichen Internet oder im Intranet eines Unternehmens. LDAP ist eine leichtgewichtige (weniger Code) Version des Directory Access Protocol (DAP), das Teil von X.500 ist, einem Standard für Verzeichnisdienste in einem Netzwerk.

Ein Verzeichnis teilt dem Benutzer mit, wo sich etwas im Netz befindet. In TCP/IP-Netzen (einschließlich des Internets) ist das Domänennamensystem (DNS) das Verzeichnissystem, das verwendet wird, um den Domänennamen mit einer bestimmten Netzadresse (einem eindeutigen Ort im Netz) zu verbinden. Der Benutzer kennt jedoch möglicherweise den Domänennamen nicht. Mit LDAP kann ein Nutzer nach einer Person suchen, ohne zu wissen, wo sie sich befindet (obwohl zusätzliche Informationen bei der Suche hilfreich sind).

Wofür wird LDAP verwendet?

Die übliche Verwendung von LDAP ist die Bereitstellung eines zentralen Ortes für die Authentifizierung, das heißt es speichert die Benutzernamen und Kennwörter. LDAP kann dann in verschiedenen Anwendungen oder Diensten verwendet werden, um Benutzer mit einem Plug-in zu validieren. LDAP kann beispielsweise zur Validierung von Benutzernamen und Passwörtern mit Docker, Jenkins, Kubernetes, Open VPN und Samba-Servern verwendet werden. LDAP Single Sign-On lässt sich auch von Systemadministratoren nutzen, um den Zugriff auf eine LDAP-Datenbank zu kontrollieren.

LDAP ermöglicht auch, Vorgänge in eine Verzeichnisserver-Datenbank einzufügen, Sitzungen zu authentifizieren oder zu binden, LDAP-Einträge zu löschen, Einträge mit verschiedenen Befehlen zu suchen und zu vergleichen, vorhandene Einträge zu ändern, Einträge zu erweitern, Anfragen aufzugeben oder Vorgänge zu entbinden.

LDAP wird in Microsofts Active Directory verwendet, kann aber auch in anderen Tools wie Open LDAP, Red Hat Directory Server und IBM Security Directory Server eingesetzt werden. Open LDAP ist eine Open-Source-LDAP-Anwendung. Es handelt sich um einen Windows-LDAP-Client und ein Admin-Tool, das für die Kontrolle von LDAP-Datenbanken entwickelt wurde. Mit diesem Tool können Benutzer Daten, die auf einem LDAP-Server erscheinen, durchsuchen, nachschlagen, entfernen, erstellen und ändern. Open LDAP ermöglicht auch die Verwaltung von Passwörtern und das Durchsuchen nach Schemata.

Red Hat Directory Server ist ein Tool zur Verwaltung mehrerer Systeme mit einem LDAP-Server in einer UNIX-Umgebung. Red Hat Directory Servers ermöglicht die Speicherung von Benutzerdaten in einem LDAP-Server. Das Tool bietet Benutzern außerdem einen sicheren und eingeschränkten Zugriff auf Verzeichnisdaten, Gruppenmitgliedschaft und Fernzugriff sowie den Zugriff über Validierungsverfahren.

IBM Security Directory Server ist eine IBM-basierte Implementierung von LDAP. Dieses Tool konzentriert sich auf die schnellere Entwicklung und Verteilung von Identitätskontrolle, Sicherheit und Webanwendungen. Security Directory Server umfasst verschiedene Validierungsmethoden zum Beispiel die Überprüfung mittels digitalem Zertifikat, Simple Authentication and Security Layer (SASL) und CRAM-MD5.

Wenn eine Organisation Schwierigkeiten hat, zu entscheiden, wann sie LDAP einsetzen soll, sollte sie dies in Anwendungsfällen wie den folgenden in Betracht ziehen:

• wenn ein einzelner Datensatz regelmäßig gefunden und abgerufen werden muss
• wenn die Organisation viele kleinere Dateneinträge hat
• wenn die Organisation alle kleineren Daten an einem zentralen Ort haben möchte und sie nicht extrem stark strukturiert sein müssen

Ebenen des LDAP-Verzeichnisses (LDAP Directory)

Eine LDAP-Konfiguration ist in einer einfachen Baumhierarchie organisiert, die aus den folgenden Ebenen besteht:

1. Das Stammverzeichnis, das sich verzweigt zu:
2. Ländern, die sich jeweils verzweigen zu:
3. Organisationen, die sich verzweigen zu:
4. Organisationseinheiten (Geschäftsbereiche, Abteilungen und so weiter), die sich wiederum verzweigen zu:
5. Einzelpersonen, zu denen Personen, Dateien und gemeinsam genutzte Ressourcen wie beispielsweise Drucker gehören.

Ein LDAP-Verzeichnis kann auf viele Server verteilt sein. Jeder Server kann eine replizierte Version des gesamten Verzeichnisses haben, die regelmäßig synchronisiert wird. Ein LDAP-Server nennt man Directory System Agent (DSA). Ein LDAP-Server, der eine Anfrage von einem Benutzer erhält, übernimmt die Verantwortung für die Anfrage und leitet sie bei Bedarf an andere DSAs weiter, sorgt aber für eine einzige koordinierte Antwort an den Benutzer.

LDAP und Active Directory

Lightweight Directory Access Protocol ist das Protokoll, das Exchange Server für die Kommunikation mit Active Directory verwendet. Um wirklich zu verstehen, was LDAP ist und was es tut, ist es wichtig, das Grundkonzept von Active Directory im Zusammenhang mit Microsoft Exchange zu verstehen.

Active Directory ist ein Verzeichnisdienst zur Verwaltung von Domänen, Benutzern und verteilten Ressourcen wie Objekten für Windows-Betriebssysteme. Der Sinn eines Verzeichnisdienstes besteht darin, dass er Domänen und Objekte verwaltet und gleichzeitig kontrolliert, welche Benutzer Zugriff auf die einzelnen Ressourcen haben. Active Directory ist auf Windows Server verfügbar und besteht aus mehreren Diensten. Zu den Diensten, die in Active Directory enthalten sind, gehören solche für Domänen-, Lightweight Directory-, Zertifikats-, Federation- und Rechteverwaltung. Jeder Dienst wird unter dem Namen Active Directory zusammengefasst, um die Möglichkeiten der Verzeichnisverwaltung zu erweitern. Active Directory wurde erstmals 1999 vorgestellt und hat seitdem immer wieder Updates erhalten - darunter ein Update mit Windows Server 2016, das die Sicherheit von Active Directory-Umgebungen und die Fähigkeit zur Migration von Active-Directory-Umgebungen in Cloud- oder Hybrid-Cloud-Umgebungen verbesserte.

Active Directory enthält Informationen zu jedem Benutzerkonto im gesamten Netzwerk. Es behandelt jedes Benutzerkonto als ein Objekt. Jedes Benutzerobjekt hat auch mehrere Attribute. Ein Beispiel für ein Attribut ist der Vorname, Nachname oder die E-Mail-Adresse des Benutzers. All diese Informationen befinden sich in einer riesigen, verschlüsselten Datenbank auf einem Domänencontroller – Active Directory. Die Herausforderung besteht darin, die Informationen in einem brauchbaren Format zu extrahieren. Dies ist die Hauptaufgabe von LDAP.

LDAP verwendet eine relativ einfache, stringbasierte Abfrage, um Informationen aus Active Directory zu extrahieren. LDAP kann Objekte wie Benutzernamen und Kennwörter in Active Directory speichern und extrahieren und diese Objektdaten in einem Netzwerk gemeinsam nutzen. Das Schöne daran ist, dass dies alles hinter den Kulissen geschieht. Ein normaler Endbenutzer muss nie manuell eine LDAP-Abfrage durchführen, da beispielsweise Outlook LDAP-fähig ist und alle notwendigen Abfragen selbstständig durchführen kann.