LDAP

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 14. maaliskuuta 2021 tarkistetusta versiosta . tarkastukset vaativat 9 muokkausta .

LDAP ( englanninkielinen  Lightweight Directory Access Protocol -  "kevyt hakemistopääsyprotokolla ") on sovelluskerroksen protokolla X.500 - hakemistopalveluun pääsyä varten , jonka IETF on kehittänyt ITU-T :n kehittämän DAP - protokollan kevytversiona . LDAP on suhteellisen yksinkertainen protokolla , joka käyttää TCP/IP -protokollaa ja mahdollistaa todennus- ( sidonta- ), haku- ( haku- ) ja vertailutoiminnot ( vertailu ) sekä toiminnot merkintöjen lisäämiseksi, muokkaamiseksi tai poistamiseksi . Yleensä LDAP- palvelin hyväksyy saapuvat yhteydet portissa 389 käyttämällä TCP- tai UDP-protokollia . SSL - kapseloidut LDAP-istunnot käyttävät yleensä porttia 636.

Jokainen LDAP- hakemiston merkintä koostuu yhdestä tai useammasta määritteestä ja sillä on yksilöllinen nimi (DN - englantilainen  erottuva nimi ). Yksilöllinen nimi voi näyttää esimerkiksi tältä: "cn=Ivan Petrov,ou=Työntekijät,dc=esimerkki,dc=com" [1] . Yksilöllinen nimi koostuu yhdestä tai useammasta erottuvasta suhteellisesta nimestä (RDN ), jotka on erotettu pilkulla .  Suhteellinen yksilöllinen nimi on muotoa AttributeName=value . Samalla hakemistotasolla ei voi olla kahta merkintää, joilla on sama suhteellinen yksilöllinen nimi. Tämän rakenteen ansiosta LDAP-hakemiston merkinnän yksilöllinen nimi voidaan helposti esittää puuna.

Merkintä voi koostua vain niistä attribuuteista, jotka on määritelty merkintäluokan kuvauksessa ( objektiluokka ), jotka puolestaan ​​yhdistetään skeemoiksi ( schema ). Kaava määrittelee mitkä attribuutit vaaditaan tietylle luokalle ja mitkä ovat valinnaisia. Kaava määrittelee myös attribuuttien vertailun tyypin ja säännöt. Jokainen merkintämäärite voi tallentaa useita arvoja.

Standardit

LDAP-protokolla on määritelty seuraavissa RFC :issä :

• RFC 4510  - Lightweight Directory Access Protocol (LDAP): teknisten eritelmien etenemissuunnitelma (korvaa RFC 3377 :n )
• RFC 4511  - Lightweight Directory Access Protocol (LDAP): Protokolla
• RFC 4512  - Lightweight Directory Access Protocol (LDAP): hakemistotietomallit
• RFC 4513  - Lightweight Directory Access Protocol (LDAP): todennusmenetelmät ja suojausmekanismit
• RFC 4514  - LDAP (Lightweight Directory Access Protocol): erottuvien nimien merkkijonoesitys
• RFC 4515  - Lightweight Directory Access Protocol (LDAP): Hakusuodattimien merkkijonoesitys
• RFC 4516  - Lightweight Directory Access Protocol (LDAP): Uniform Resource Locator
• RFC 4517  - Lightweight Directory Access Protocol (LDAP): syntaksit ja täsmäyssäännöt
• RFC 4518  - Lightweight Directory Access Protocol (LDAP): Kansainvälinen merkkijonojen valmistelu
• RFC 4519  - Lightweight Directory Access Protocol (LDAP): Schema käyttäjäsovelluksille
• RFC 4520 (alias BCP 64) – Internet Assigned Numbers Authority (IANA) huomioi LDAP (Lightweight Directory Access Protocol) -protokollassa (korvaa RFC 3383:n )
• RFC 4521 (alias BCP 118) – Lightweight Directory Access Protocol (LDAP) -protokollaa koskevia huomioita: laajennus

Protokollan lisäksi on olemassa huipputason kansainväliset standardit, jotka kuvaavat kaiken, mikä liittyy järjestelmäintegraatiomalliin ja hakemistoon (Directory), johon päästään LDAP:n ja DAP:n avulla:

• Suositus ITU-T X.200 (1994) | ISO/IEC 7498-1:1994, Tietotekniikka — Avointen järjestelmien yhteenliittäminen — Perusviitemalli: Perusmalli.
• Suositus ITU-T X.500 (2019) | ISO/IEC 9594-1:2020, Tietotekniikka - Open Systems Interconnection - Hakemisto: Yleiskatsaus konsepteihin, malleihin ja palveluihin.
• Suositus ITU-T X.501 (2019) | ISO/IEC 9594-2:2020, Tietotekniikka - Avoimet järjestelmät - Hakemisto: Mallit.
• Suositus ITU-T X.509 (2019) | ISO/IEC 9594-8:2020, Tietotekniikka — Avointen järjestelmien yhteenliittäminen — Hakemisto: Julkisen avaimen ja attribuuttien varmennekehykset.
• Suositus ITU-T X.511 (2019) | ISO/IEC 9594-3:2020, Tietotekniikka - Avointen järjestelmien yhteenliittäminen - Hakemisto: Abstrakti palvelun määritelmä.
• Suositus ITU-T X.518 (2019) | ISO/IEC 9594-4:2020, Tietotekniikka – Avointen järjestelmien yhteenliittäminen – Hakemisto: Hajautetun toiminnan menettelyt.
• Suositus ITU-T X.519 (2019) | ISO/IEC 9594-5:2020, Tietotekniikka - Open Systems Interconnection - Hakemisto: Protokollaspesifikaatiot.
• Suositus ITU-T X.520 (2019) | ISO/IEC 9594-6:2020, Tietotekniikka — Open Systems Interconnection — Hakemisto: Valitut attribuuttityypit.
• Suositus ITU-T X.521 (2019) | ISO/IEC 9594-7:2020, Tietotekniikka - Open Systems Interconnection - Hakemisto: Valitut objektiluokat.
• Suositus ITU-T X.525 (2019) | ISO/IEC 9594-9:2020, Tietotekniikka - Avointen järjestelmien yhteenliittäminen - Hakemisto: Replikointi.

Protokollan toiminnallinen kuvaus

LDAP-protokolla määrittää seuraavat toiminnot hakemiston käyttöä varten:

• Yhdistä/irrota toiminnot
  • Sidonta ( sidos ) - mahdollistaa asiakkaan liittämisen tiettyyn hakemistoobjektiin (todelliseen tai virtuaaliseen) kaikkien muiden luku-/kirjoitustoimintojen käyttöoikeuksien valvomiseksi. Jotta asiakas voisi toimia hakemiston kanssa, sen on oltava autentikoitu kokonaisuutena, jonka erottuva nimi on hakemiston kuvaamassa nimiavaruudessa. Sidostoimintopyynnössä asiakas ei saa määrittää erottuvaa nimeä, jolloin yhteys muodostetaan erityisellä aliaksella anonyymi (yleensä jotain vierastiliä, jolla on vähimmäisoikeudet)
  • Unbind ( unbind ) - Sallii asiakkaan siirtyä todennukseen uudella erotetulla nimellä LDAP-palvelinyhteysistunnon aikana. Unbind-komento on mahdollinen vasta palvelimelle todennuksen jälkeen bindillä, muuten unbind-kutsu palauttaa virheen
• Haku ( haku ) - tietojen lukeminen hakemistosta. Toiminto on monimutkainen, syötteenä tarvitaan monia parametreja, joista tärkeimmät ovat:
  • Hakukanta ( baseDN ) - DIT-haara, josta tiedonhaku alkaa
  • Haun syvyys ( soveltamisala ) - voi olla arvoja (laajennemisjärjestyksessä): base, one, sub
    • base - haku suoraan solmussa - hakukanta
    • yksi - etsi kaikki solmut, jotka ovat hierarkian kannan suoria jälkeläisiä, eli sijaitsevat yhden tason sen alapuolella
    • ali - haku koko hakukannan alla olevalta alueelta (baseDN)
  • Hakusuodatin ( searchFilter ) on lauseke, joka määrittää kriteerit luetteloobjektien valitsemiseksi, jotka kuuluvat soveltamisalaparametrin määrittämän hakualueen piiriin. Hakusuodatinlauseke on kirjoitettu puolan kielellä (etuliite) , joka koostuu loogisista (loogisista) operaattoreista ja operandeista, jotka puolestaan ​​ovat sisäisiä operaattoreita LDAP-attribuuttien arvojen (vasemmalla puolella) ja lausekkeiden (oikealla puolella) yhteensovittamiseksi. yhtäläisyysmerkkiä käyttäen.

Loogisia operaattoreita edustaa standardi "set": & (looginen "AND"), | (looginen "TAI") ja ! (looginen "EI").

Esimerkki hakusuodattimesta[ missä? ] :

(&(!(entryDN:dnSubtreeMatch:=dc=Piter,dc=Venäjä,ou=Ihmiset,dc=esimerkki,dc=com))(objectClass=sambaSamAccount)
(|(sn=Lazar*)(uid=Nakhims*) ))

• Muokkaustoiminnot - mahdollistavat tietojen muuttamisen Katalogissa, kun taas muokkaamisen käsite sisältää sekä tietueiden lisäämisen, poistamisen ja siirtämisen kokonaisuutena että tietueiden muokkaamisen niiden attribuuttien tasolla. Muutosten alatyypit:
  • Lisääminen ( lisää ) - uuden tietueen lisääminen
  • Poista ( Delete ) — tietueen poistaminen
  • RDN-muutos ( modrdn ) - siirrä/kopioi merkintä
  • Tietueen muokkaus ( muokkaa ) — mahdollistaa tietueen muokkaamisen sen attribuuttien tasolla,
    • uuden attribuutin tai moniarvoisen attribuutin uuden arvon lisääminen (add)
    • attribuutin poistaminen kaikkine arvoineen (poista)
    • yhden määritteen arvon korvaaminen toisella (korvaa)
    • sekä attribuutin arvon lisääminen (pienentäminen) osana atomioperaatiota (lisäystä)
• Vertailutoiminto ( vertaa ) - mahdollistaa tietyn erottuvan nimen vertaamaan valittua attribuuttia annettuun arvoon

Opportunity Request Operaatio

LDAP-standardi määrittelee erikoistoiminnon, jonka avulla asiakkaat voivat saada tietoa palvelimen tukemista protokollaversioista ja LDAP-palvelimen ominaisuuksista. Tämä komento on hakutoiminnon lisäosa (laajennus), ja se suoritetaan seuraavalla viimeksi mainitun parametrien yhdistelmällä:

• BIND anonyymi
• baseDN-hakukanta määritetty muodossa "" (tyhjä merkkijono)
• Hakualueen hakusyvyys on määritetty perustaksi
• Hakusuodatin: (objectClass=*)
• Luettelo pyydetyistä attribuuteista: joko eksplisiittinen luettelo tai " + " ( VAROITUS ! " * " ei näytä palveluattribuuttien arvoja, jotka sisältävät kaiken hyödyllisen tiedon)

Esimerkiksi käytettäessä LDAP-asiakasta OpenLDAP-jakelusta , capability query -komento saattaa näyttää tältä:

ldapsearch -x -H ldap://host:port -LLL -b "" -s base '(objectClass=*)' supportedControls supportedCapabilities

Kaaviokyselytoiminto

Jos haluat pyytää tietoja LDAP-hakemiston nykyisestä skeemasta, sinun on ensin suoritettava Kyselyominaisuudet-toiminto hankkimalla subschemaSubentry -attribuutin arvo .

ldapsearch -x -H ldap://host:port -LLL -s base -b "" '(objectClass=*)' subschemaSubentry

Saatua arvoa käytetään hakupohjan erottuvana nimenä ( baseDN ) Schema Query Operationissa, jota voidaan kuvata seuraavasti:

• BIND anonyymi tai täysi. Useimmat hakemistopalvelimet tukevat skeemakyselyä ilman sidontaa, mutta poikkeuksiakin on (kuten Active Directory );
• Hakupohjan baseDN on yhtä suuri kuin Capability Query Operationin palauttaman subschemaSubentry -attribuutin arvo ;
• Hakualueen hakusyvyys on määritetty perustana ;
• Hakusuodatin: (objectClass=*) ;
• Lista pyydetyistä attribuuteista: attribuuttien eksplisiittinen luettelointi (attributeTypes, objectClasses) on mahdollista kaikille hakemistopalvelimille, OpenLDAP :n ja joidenkin muiden (OpenDS, ApacheDS jne.) tapauksessa on mahdollista määrittää "+";

Esimerkiksi käytettäessä LDAP-asiakasta OpenLDAP-jakelusta skeeman kyselytoiminto saattaa näyttää tältä:

ldapsearch -x -H ldap://host:port -LLL -s base -b "cn=Subschema" '(objectClass=*)' ldapSyntaxes matchingRules

Toteutukset

Palvelinpuoli

LDAP on laajalti käytetty standardi hakemistopalvelujen käyttämiseen. Vapaasti jaetuista avoimista toteutuksista tunnetaan parhaiten OpenLDAP -palvelin , omistetuista protokollatuki on saatavilla Active Directoryssa  , Microsoftin hakemistopalvelussa , joka on suunniteltu keskittämään Windowsin verkonhallinta . IBM Lotus Domino -palvelin sisältää myös LDAP-palvelun [2] [3] . Myös muut suuret yritykset tarjoavat LDAP-protokollana tukevia hakemistopalveluita, kuten Novell ja Sun  - OpenDS ja myöhemmin OpenDJ.

Luettelo tämän päivän tunnetuimmista LDAP-palvelimista:

1. OpenLDAP
2. ForgeRock OpenDJ
3. Novell eDirectory
4. Apple Open Directory (OpenLDAP-projektin haara)
5. Microsoft Active Directory
6. Samba4 LDAP (MS AD:n avoimen lähdekoodin toteutus)
7. RedHat Directory Server
8. 389 Directory Server (olennaisesti testiversio edellisestä)
9. Oracle Directory Server
10. Apache Directory Server
11. IBM Tivoli Directory Server
12. IBM Domino LDAP
13. CommuniGate LDAP

Asiakaspuoli

LDAP-asiakkaat ovat sekä sähköpostiohjelmien osoitekirjoja että eri verkkopalvelujen (DNS, SMTP, Samba, UTS jne.) taustaohjelmia.

Katso myös

• Hakemistopalvelu
• LDIF

Muistiinpanot

1. ↑ LDAP-parametrien kuvaus Arkistoitu 31. toukokuuta 2011 Wayback Machinessa 
2. ↑ Domino LDAP -skeema (downlink) . Haettu 31. lokakuuta 2010. Arkistoitu alkuperäisestä 8. kesäkuuta 2013. (määrätön) 
3. ↑ Lotus Domino LDAP Configuration Guide (downlink) . Haettu 31. lokakuuta 2010. Arkistoitu alkuperäisestä 4. maaliskuuta 2016. (määrätön) 

Linkit

Resurssit

• LDAP-arkkitehtuuri, toteutukset ja trendit
• LDAP:n ymmärtäminen - Suunnittelu ja toteutus - redbook IBM:ltä

Palvelimet

• OpenLDAP-projektin kotisivu
• Apple Open Directory – Directory Server ja API Framework Mac OS X Serverissä
• OpenDS on avoimen lähdekoodin projekti, joka perustuu Sun Enterprise Java System Directory Server -koodiin.
• 389 Directory Server  - aiemmin Fedora Project Directory Server, avoimen lähdekoodin projekti, josta luodaan kaupallinen tuote - RedHat Directory Server
• Apache Directory Project on Apache Foundationin luoma hakemistopalvelin
• Windows Server 2003 Active Directory  – virallinen Active Directory -sivusto
• IBM Lotus Domino  - Google LDAP -haku Lotus Dominossa
• Mandriva Directory Server

Asiakkaat

• Apache Directory Studio  on monikäyttöinen avoimen lähdekoodin ( APL2 ) ohjelma LDAP-hakemiston hallintaan, joka perustuu Eclipseen ( Java ).
• LdapAdmin  — Avoimen lähdekoodin ( GPL ) ohjelma Windowsille LDAP-tietojen hallintaan
• JXplorer  on avoimen lähdekoodin Java LDAP - hakemistonhallintatyökalu .
• PHP LDAP admin  - edistynyt web-pohjainen LDAP-asiakas

Ohjelmointirajapinnat (API)

• Perl-LDAP  - olio- perl - moduuli LDAP-työskentelyyn
• python-ldap ja ldaptor  - LDAP-moduulit Pythonille
• Java LDAP  - Java -kirjasto LDAP:n kanssa työskentelemiseen
• PHP LDAP  - PHP toimii LDAP-protokollan yli
• Crystal LDAP - LDAP-asiakasohjelma Crystal -kielelle

Kyselykielet
.QL CQL CODASYL COQL D DAX DMX Datalog ERROL GraphQL ISBL LDAP MQL MDX OQL OCL Poliqarp-kyselykieli QUEL SMARTS SPARQL SQL SuprTool TMQL XQuery XPath XSQL YQL

Avoimet ryhmästandardit
ARM CDE CLI CMPI DCE DRDA LDAP Motiivi SUS ( POSIX ) X11

URI- järjestelmät
Virallinen	aaa aaas noin lippalakki korkki cid crid tiedot dav sanele dns faksi tiedosto ftp mennä gopher h323 http https Olen imap iri ldap postia osoitteeseen mid uutiset nfs nntp pop- Lehdistö rtsp siemailla siemaillen snmp puh telnet uurna url Katso lähde wais xmpp
epävirallinen	tavoite bolo btc bzr soita kromi cvs cs2d daap ed2k ed2kftp syöttää kalastaa git gizmoprojekti iax2 irc ircs itms lastfm ldaps magneetti mms msnim psyk rsync toinen elämä Skype ssh svn sftp jk tekstiviesti soldat höyryä webcal xfire ymsgr