Будь-яка запис в каталозі LDAP складається з одного або декількох атрибутів і має унікальне ім'я (DN - англ. Distinguished Name). Унікальне ім'я може виглядати, наприклад, наступним чином: «cn = Іван Петров, ou = Співробітники, dc = example, dc = com» [1]. Унікальне ім'я складається з одного або декількох відносних унікальних імен (RDN - англ. Relative Distinguished Name), розділених комою. Відносне унікальне ім'я має вигляд ІмяАтрібута = значення. На одному рівні каталогу не може існувати двох записів з однаковими відносними унікальними іменами. В силу такої структури унікального імені записи в каталозі LDAP можна легко уявити у вигляді дерева.
Запис може складатися тільки з тих атрибутів, які визначені в описі класу записи (object class), які, в свою чергу, об'єднані в схеми (schema). У схемі визначено, які атрибути є для даного класу обов'язковими, а які - необов'язковими. Також схема визначає тип і правила порівняння атрибутів. Кожен атрибут записи може зберігати кілька значень.
Протокол LDAP визначений в наступних RFC:
- RFC 4510 - Lightweight Directory Access Protocol (LDAP): Technical Specification Roadmap (замінює RFC 3377)
- RFC 4511 - Lightweight Directory Access Protocol (LDAP): The Protocol
- RFC 4512 - Lightweight Directory Access Protocol (LDAP): Directory Information Models
- RFC 4513 - Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms
- RFC 4514 - Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Names
- RFC 4515 - Lightweight Directory Access Protocol (LDAP): String Representation of Search Filters
- RFC 4516 - Lightweight Directory Access Protocol (LDAP): Uniform Resource Locator
- RFC 4517 - Lightweight Directory Access Protocol (LDAP): Syntaxes and Matching Rules
- RFC 4518 - Lightweight Directory Access Protocol (LDAP): Internationalized String Preparation
- RFC 4519 - Lightweight Directory Access Protocol (LDAP): Schema for User Applications
- RFC 4520 (aka BCP 64) - Internet Assigned Numbers Authority (IANA) Considerations for the Lightweight Directory Access Protocol (LDAP) (замінює RFC 3383)
- RFC 4521 (aka BCP 118) - Considerations for Lightweight Directory Access Protocol (LDAP): Extension
Функціональне опис протоколу
У протоколі LDAP визначені наступні операції для роботи з Каталогом:
- Операції підключення / відключення
- Підключення (bind) - дозволяє асоціювати клієнта з певним об'єктом Каталогу (фактичним або віртуальним) для здійснення контролю доступу для всіх інших операцій читання / запису. Для того, щоб працювати з Каталогом, клієнт зобов'язаний пройти аутентифікацію як об'єкт, відмітна ім'я (Distinguished Name) знаходиться в просторі імен, описуваному Каталогом. У запиті операції bind клієнт може не вказувати відмітна ім'я, в такому випадку буде здійснено підключення під спеціальним псевдонімом anonymous (зазвичай це щось на зразок гостьової облікового запису з мінімальними правами)
- Відключення (unbind) - дозволяє клієнту в рамках сеансу з'єднання з LDAP-сервером переключитися на аутентифікацію з новим відмітним ім'ям. Команда unbind можлива тільки після аутентифікації на сервері з використанням bind, в іншому випадку виклик unbind повертає помилку
- Пошук (search) - читання даних з Каталогу. Операція складна, на вхід приймає безліч параметрів, серед яких основними є:
- База пошуку (baseDN) - гілка DIT, від якої починається пошук даних
- Глибина пошуку (scope) - може мати значення (в порядку збільшення охоплюється області): base, one, sub
- base - пошук безпосередньо у вузлі - базі пошуку
- one - пошук по всіх вузлах, що є прямими нащадками базового в ієрархії, тобто лежачим на один рівень нижче нього
- sub - пошук по всій області, нижележащей щодо бази пошуку (baseDN)
- Фільтр пошуку (searchFilter) - це вираз, що визначає критерії відбору об'єктів каталогу, що потрапляють в область пошуку, що задається параметром scope. Вираз фільтра пошуку записується в польській (префиксной) нотації. що складається з логічних (булевих) операторів і операндів, в свою чергу є внутрішніми операторами зіставлення значень атрибутів LDAP (в лівій частині) з виразами (в правій частині) з використанням знака рівності.
Логічні оператори представлені стандартним «набором»: (Логічне «І»), | (Логічне «АБО») і! (Логічне «НЕ»).
Приклад фільтра пошуку:
Операція запиту можливостей
У стандарті LDAP визначена спеціальна операція, що дозволяє клієнтам отримувати інформацію про підтримувані сервером версіях протоколу і можливості LDAP-сервера. Ця команда є надбудовою (розширенням) для операції search і виконується при наступному поєднанні параметрів останньої:
- BIND анонімний
- База пошуку baseDN вказана як "" (порожній рядок)
- Глибина пошуку scope вказана як base
- Фільтр пошуку: (objectClass = *)
- Перелік запитуваних атрибутів: або явне перерахування, або «+» (УВАГА. "*" Не покаже значення службових атрибутів, що містять всю корисну інформацію)
Наприклад, при використанні LDAP-клієнта з поставки OpenLDAP команда запиту можливостей може виглядати як:
ldapsearch -x -H ldap: // host: port -LLL -b "" -s base '(objectClass = *)' supportedControls supportedCapabilities
Операція запиту схеми
Для запиту інформації про діючою схемою LDAP-каталогу перш необхідно виконати Операцію запиту можливостей. отримавши значення атрибута subschemaSubentry.
ldapsearch -x -H ldap: // host: port -LLL -s base -b "" '(objectClass = *)' subschemaSubentry
Отримане значення використовується в якості розпізнавального імені бази пошуку (baseDN) в Операції запиту схеми, яку можна описати так:
- BIND анонімний, або повний. Більшість серверів каталогів підтримують запит схеми без попереднього BIND, але, є винятки (наприклад, Active Directory);
- База пошуку baseDN дорівнює значенню атрибута subschemaSubentry. повертається Операцією запиту можливостей;
- Глибина пошуку scope вказана як base;
- Фільтр пошуку: (objectClass = *);
- Перелік запитуваних атрибутів: явне перерахування атрибутів (attributeTypes, objectClasses) можливо для всіх серверів каталогів, в разі OpenLDAP і деяких інших (OpenDS, ApacheDS і т. Д.) Можливе зазначення «+»;
Наприклад, при використанні LDAP-клієнта з поставки OpenLDAP Операція запиту схеми може виглядати так:
ldapsearch -x -H ldap: // host: port -LLL -s base -b "cn = Subschema" '(objectClass = *)' ldapSyntaxes matchingRules
реалізації
серверна частина
LDAP є широко використовуваним стандартом доступу до служб каталогів. З вільно розповсюджуваних відкритих реалізацій найбільш відомий сервер OpenLDAP. з пропрієтарних - підтримка протоколу є в Active Directory - службі каталогів від компанії Microsoft. призначеної для централізації управління мережами Windows. Сервер IBM Lotus Domino в своєму складі також має службу LDAP. [2] [3] Свої реалізації служб каталогів, що підтримують LDAP як протокол доступу, пропонують і інші великі компанії, наприклад, Novell і Sun - OpenDS [4] і, згодом, OpenDJ.
клієнтська частина
Примітки
Дивитися що таке "LDAP" в інших словниках:
LDAP - im TCP / IP-Protokollstapel: Anwendung LDAP Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang ... Deutsch Wikipedia
Ldap - im TCP / IP-Protokollstapel: Anwendung LDAP Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang ... Deutsch Wikipedia
LDAP - son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicación el cual permite el acceso a un servicio de directorio ordenado y distribuido ... ... Wikipedia Español
LDAP - (Lighweight Directory Access Protocol) en sí es un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP puede considerarse una base de datos (aunque su sistema de almacenamiento puede ser otro ... ... Enciclopedia Universal
LDAP - protokolas statusas T sritis informatika apibrėžtis Supaprastintos kreipties į katalogus ↑ protokolas, skirtas prieiti prie katalogų paslaugų, pavyzdžiui, prie bendrovės adresų knygų, iš skirtingų operacinių sistemų. LDAP yra supaprastinta ... ... Enciklopedinis kompiuterijos žodynas
LDAP - Lightweight Directory Access Protocol Lightweight Directory Access Protocol (LDAP) est à l origine un protocole permettant l interrogation et la modification des services d annuaire. Ce protocole repose sur TCP / IP. Il a cependant évolué pour ... ... Wikipédia en Français
Ldap - Lightweight Directory Access Protocol Lightweight Directory Access Protocol (LDAP) est à l origine un protocole permettant l interrogation et la modification des services d annuaire. Ce protocole repose sur TCP / IP. Il a cependant évolué pour ... ... Wikipédia en Français
LDAP - Lightweight Directory Access Protocol (Computing »Telecom) Lightweight Directory Access Protocol (Computing» Software) Lightweight Directory Access Protocol (Computing »Security) Lightweight Directory Access Protocol (Computing» General) ... ... Abbreviations dictionary
LDAP - Lightweight Directory Access Protocol, definiert in RFC1487 um OSI Ballast abgespecktes X.500 Zugriffsprotokoll ... Acronyms
LDAP - ● ►en sg. m. ►PROT Lightweight Directory Access Protocol. protocole de gestion d annuaires de réseau, conçu à l Université du Michigan, et reconnu par la plupart des grosses sociétés du secteur. C est une adaptation allégée du standard X500. C ... ... Dictionnaire d'informatique francophone