LDAP (Lightweight Directory Access Protocol) jest protokołem programowym umożliwiającym każdemu zlokalizowanie danych o organizacjach, osobach i innych zasobach, takich jak pliki i urządzenia w sieci-czy to w publicznym Internecie, czy w intranecie korporacyjnym. LDAP jest „lekką” (mniejszą ilością kodu) wersją protokołu dap (Directory Access Protocol), który jest częścią X. 500, standardu usług katalogowych w sieci.,
katalog informuje użytkownika, gdzie w sieci coś się znajduje. W sieciach TCP/IP (w tym w Internecie), system nazw domen (DNS) jest systemem katalogów używanym do powiązania nazwy domeny z określonym adresem sieciowym (unikalną lokalizacją w sieci). Użytkownik może jednak nie znać nazwy domeny. LDAP pozwala użytkownikowi na wyszukiwanie osoby bez wiedzy, gdzie się znajduje (chociaż dodatkowe informacje pomogą w wyszukiwaniu).,
użycie LDAP
powszechnym zastosowaniem LDAP jest zapewnienie centralnego miejsca do uwierzytelniania-co oznacza, że przechowuje nazwy użytkowników i hasła. LDAP może być następnie używany w różnych aplikacjach lub Usługach do walidacji użytkowników za pomocą wtyczki. Jako przykłady, LDAP może być używany do walidacji nazw użytkowników i haseł za pomocą serwerów Docker, Jenkins, Kubernetes, Open VPN i Linux Samba. Pojedyncze logowanie LDAP może być również używane przez administratorów systemu do kontrolowania dostępu do bazy danych LDAP.,
LDAP może być również używany do dodawania operacji do bazy danych serwera katalogów, uwierzytelniania sesji — lub bind–, usuwania wpisów LDAP, wyszukiwania i porównywania wpisów za pomocą różnych poleceń, modyfikowania istniejących wpisów, rozszerzania wpisów, porzucania żądań lub usuwania operacji.
LDAP jest używany w Microsoft Active Directory, ale może być również używany w innych narzędziach, takich jak Open LDAP, Red Hat Directory Servers i IBM Tivoli Directory Servers na przykład. Open LDAP to aplikacja LDAP o otwartym kodzie źródłowym. Jest to klient Windows LDAP i narzędzie administracyjne opracowane do kontroli bazy danych LDAP., To narzędzie powinno umożliwić użytkownikom przeglądanie, wyszukiwanie, usuwanie, tworzenie i zmienianie danych pojawiających się na serwerze LDAP. Open LDAP pozwala również użytkownikom zarządzać hasłami i przeglądać według schematu.
Red Hat Directory Servers jest narzędziem służącym do zarządzania wieloma systemami za pomocą Red Hat Directory Server w środowisku UNIX. Red Hat Directory Servers pozwala użytkownikom na przechowywanie danych użytkownika na serwerze LDAP. Narzędzie zapewnia użytkownikom bezpieczny i ograniczony dostęp do danych katalogowych, członkostwa w grupie i zdalnego dostępu, a także dostęp za pośrednictwem procedur walidacji.,
IBM Tivoli Directory Server jest implementacją LDAP opartą na LDAP. To narzędzie koncentruje się na szybszym rozwoju i dystrybucji kontroli tożsamości, bezpieczeństwa i aplikacji internetowych. Serwer katalogowy Tivoli zawiera różne metody walidacji, takie jak Walidacja za pomocą certyfikatu cyfrowego, Simple Authentication and Security Layer (SASL) i CRAM-MD5.
jeśli organizacja ma problemy z podjęciem decyzji o użyciu LDAP, powinna rozważyć to w kilku przypadkach., Powinni to rozważyć, jeśli:
- pojedynczy fragment danych musi być znaleziony i dostępny regularnie;
- organizacja ma dużo mniejszych wpisów danych;
- organizacja chce wszystkich mniejszych fragmentów danych w jednej scentralizowanej lokalizacji i nie musi być ekstremalnie dużo organizacji między danymi.,
poziomy katalogu LDAP
konfiguracja LDAP jest zorganizowana w prostą hierarchię „drzewa” składającą się z następujących poziomów:
- katalog główny (miejsce początkowe lub źródło drzewa), który rozgałęzia się na:
- kraje, z których każdy rozgałęzia się na:
- organizacje, które rozgałęzia się na:
- jednostki organizacyjne (oddziały, wydziały itp.), które rozgałęzia się na: (zawiera wpis dla):
- osób (który obejmuje osoby, pliki i współdzielone zasoby, takie jak drukarki).,
katalog LDAP może być dystrybuowany między wieloma serwerami. Każdy serwer może mieć zreplikowaną wersję katalogu total, która jest okresowo synchronizowana. Serwer LDAP nazywany jest agentem systemu katalogów (DSA). Serwer LDAP, który otrzymuje żądanie od użytkownika, bierze odpowiedzialność za żądanie, przekazując je innym DSA w razie potrzeby, ale zapewniając jedną skoordynowaną odpowiedź dla użytkownika.
LDAP i Active Directory
Lightweight Directory Access Protocol to protokół używany przez Exchange Server do komunikacji z Active Directory., Aby naprawdę zrozumieć, czym jest LDAP i co robi, ważne jest, aby zrozumieć podstawową koncepcję Active Directory, ponieważ odnosi się ona do Exchange.
Active Directory to usługa katalogowa służąca do zarządzania domenami, użytkownikami i rozproszonymi zasobami, takimi jak obiekty dla systemów operacyjnych Windows. Punktem za usługą katalogową jest to, że zarządza ona domenami i obiektami, kontrolując jednocześnie, którzy użytkownicy mają dostęp do każdego Zasobu. Usługa Active Directory jest dostępna w systemie Windows Server 10 i składa się z wielu usług., Usługi zawarte w Active Directory to usługi domeny, Lightweight Directory, Certificate, Federation i Rights Management. Każda usługa jest dostępna pod nazwą Active Directory, aby rozszerzyć możliwości zarządzania katalogami. Active Directory został po raz pierwszy wyświetlony w 1999 roku i od tego czasu nadal otrzymywał aktualizacje – w tym aktualizację z systemem Windows Server 2016, która poprawiła bezpieczne środowiska Active Directory i możliwość migracji środowisk Active Directory do środowisk chmurowych lub hybrydowych.,
Active Directory zawiera informacje dotyczące każdego konta użytkownika w całej sieci. Traktuje każde konto użytkownika jako obiekt. Każdy obiekt użytkownika ma również wiele atrybutów. Przykładem atrybutu jest imię, nazwisko lub adres e-mail użytkownika. Wszystkie te informacje istnieją w ogromnej, tajemniczej bazie danych na kontrolerze domeny-Active Directory. Wyzwaniem jest wyodrębnienie informacji w użytecznym formacie. To główne zadanie LDAP.
LDAP używa stosunkowo prostego, opartego na łańcuchach zapytania do wyodrębniania informacji z usługi Active Directory., LDAP może przechowywać i wyodrębniać obiekty, takie jak nazwy użytkowników i hasła w usłudze Active Directory, a także udostępniać te dane w sieci. Najlepsze jest to, że to wszystko dzieje się za kulisami. Zwykły użytkownik końcowy nigdy nie będzie musiał ręcznie wykonywać zapytania LDAP, ponieważ Outlook jest włączony LDAP i wie, jak samodzielnie wykonywać wszystkie niezbędne zapytania.