LDAP (Lightweight Directory Access Protocol) è un protocollo software per consentire a chiunque di individuare i dati su organizzazioni, individui e altre risorse come file e dispositivi in una rete-sia su Internet pubblica o su una intranet aziendale. LDAP è una versione” leggera ” (più piccola quantità di codice) di Directory Access Protocol (DAP), che fa parte di X. 500, uno standard per i servizi di directory in una rete.,
Una directory indica all’utente dove si trova qualcosa nella rete. Sulle reti TCP / IP (incluso Internet), il domain Name system (DNS) è il sistema di directory utilizzato per collegare il nome di dominio a un indirizzo di rete specifico (una posizione univoca sulla rete). Tuttavia, l’utente potrebbe non conoscere il nome di dominio. LDAP consente a un utente di cercare un individuo senza sapere dove si trovano (anche se ulteriori informazioni aiuteranno nella ricerca).,
Usi di LDAP
L’uso comune di LDAP è quello di fornire un posto centrale per l’autenticazione-il che significa che memorizza nomi utente e password. LDAP può quindi essere utilizzato in diverse applicazioni o servizi per convalidare gli utenti con un plugin. Come alcuni esempi, LDAP può essere utilizzato per convalidare nomi utente e password con Docker, Jenkins, Kubernetes, Open VPN e server Linux Samba. LDAP single sign-on può essere utilizzato anche dagli amministratori di sistema per controllare l’accesso a un database LDAP.,
LDAP può anche essere utilizzato per aggiungere operazioni in un database del server di directory, autenticare sessions o associare sessions sessioni, eliminare le voci LDAP, cercare e confrontare le voci utilizzando diversi comandi, modificare le voci esistenti, estendere le voci, abbandonare le richieste o separare le operazioni.
LDAP è utilizzato in Active Directory di Microsoft, ma può essere utilizzato anche in altri strumenti come Open LDAP, Red Hat Directory Server e IBM Tivoli Directory Server per esempio. Open LDAP è un’applicazione LDAP open source. Si tratta di un client LDAP di Windows e strumento di amministrazione sviluppato per il controllo del database LDAP., Questo strumento dovrebbe consentire agli utenti di sfogliare, cercare, rimuovere, creare e modificare i dati che appaiono su un server LDAP. Open LDAP consente inoltre agli utenti di gestire le password e navigare per schema.
Red Hat Directory Servers è uno strumento utilizzato per gestire più sistemi con un Red Hat Directory Server in un ambiente UNIX. Red Hat Directory Servers consente agli utenti di memorizzare i dettagli utente in un server LDAP. Lo strumento fornisce agli utenti un accesso sicuro e limitato ai dati della directory, l’appartenenza al gruppo e l’accesso remoto, nonché l’accesso tramite procedure di convalida.,
IBM Tivoli Directory Server è un’implementazione basata su IBM di LDAP; essendo basata su un framework LDAP. Questo strumento si concentra sullo sviluppo e la distribuzione più veloce di controllo di identità, sicurezza e applicazioni web. Tivoli Directory Server include diversi metodi di convalida, come la convalida tramite certificato digitale, SASL (Simple Authentication and Security Layer) e CRAM-MD5.
Se un’organizzazione ha difficoltà a decidere quando utilizzare LDAP, dovrebbe considerarlo in alcuni casi d’uso., Si dovrebbe considerare se:
- un unico pezzo di dati deve essere trovato e accedere regolarmente;
- l’organizzazione ha un sacco di piccole voci di dati;
- l’organizzazione vuole che tutti i piccoli pezzi di dati in una posizione centralizzata, e non c’è bisogno di essere un’estrema quantità di organizzazione tra i dati.,
Livelli di directory LDAP
Una configurazione LDAP è organizzato in una semplice struttura gerarchica composta dai seguenti livelli:
- La directory radice (il punto di partenza, l’origine dell’albero), che si dirama a:
- nazioni, ciascuna delle quali filiali di:
- le Organizzazioni, che si diramano a:
- unità Organizzative (divisioni, dipartimenti e così via), che si dirama a (include la voce):
- Persone (che include la gente, file e risorse condivise, come ad esempio le stampanti).,
Una directory LDAP può essere distribuita tra molti server. Ogni server può avere una versione replicata della directory totale che viene sincronizzata periodicamente. Un server LDAP è chiamato Directory System Agent (DSA). Un server LDAP che riceve una richiesta da un utente si assume la responsabilità della richiesta, passandola ad altri DSAS se necessario, ma garantendo un’unica risposta coordinata per l’utente.
LDAP e Active Directory
Lightweight Directory Access Protocol è il protocollo utilizzato da Exchange Server per comunicare con Active Directory., Per capire davvero cos’è LDAP e cosa fa, è importante comprendere il concetto di base alla base di Active Directory in relazione a Exchange.
Active Directory è un servizio di directory per la gestione di domini, utenti e risorse distribuite come oggetti per i sistemi operativi Windows. Il punto dietro un servizio di directory è che gestisce domini e oggetti mentre controlla quali utenti hanno accesso a ciascuna risorsa. Active Directory è disponibile su Windows Server 10 e comprende più servizi., I servizi inclusi in Active Directory sono Domain, Lightweight Directory, Certificate, Federation e Rights Management services. Ogni servizio è incluso sotto il nome di Active Directory per espandere le funzionalità di gestione delle directory. Active Directory è stato presentato in anteprima nel 1999 e da allora ha continuato a ricevere aggiornamenti, incluso un aggiornamento con Windows Server 2016 che ha migliorato gli ambienti Active Directory sicuri e la possibilità di migrare gli ambienti Active Directory in ambienti cloud o cloud ibridi.,
Active Directory contiene informazioni riguardanti ogni account utente su un’intera rete. Tratta ogni account utente come un oggetto. Ogni oggetto utente ha anche più attributi. Un esempio di attributo è il nome, il cognome o l’indirizzo e-mail dell’utente. Tutte queste informazioni esistono all’interno di un enorme database criptico su un controller di dominio-Active Directory. La sfida è estrarre informazioni in un formato utilizzabile. Questo è il lavoro principale di LDAP.
LDAP utilizza una query relativamente semplice basata su stringhe per estrarre informazioni da Active Directory., LDAP può archiviare ed estrarre oggetti come nomi utente e password in Active Directory e condividere i dati dell’oggetto in una rete. La parte bella è che tutto questo accade dietro le quinte. Un normale utente finale non dovrà mai eseguire manualmente una query LDAP, perché Outlook è abilitato per LDAP e sa come eseguire tutte le query necessarie da solo.