Ldap - це

Будь-яка запис в каталозі LDAP складається з одного або декількох атрибутів і має унікальне ім'я (DN - англ. Distinguished Name). Унікальне ім'я може виглядати, наприклад, наступним чином: «cn = Іван Петров, ou = Співробітники, dc = example, dc = com» [1]. Унікальне ім'я складається з одного або декількох відносних унікальних імен (RDN - англ. Relative Distinguished Name), розділених комою. Відносне унікальне ім'я має вигляд ІмяАтрібута = значення. На одному рівні каталогу не може існувати двох записів з однаковими відносними унікальними іменами. В силу такої структури унікального імені записи в каталозі LDAP можна легко уявити у вигляді дерева.

Запис може складатися тільки з тих атрибутів, які визначені в описі класу записи (object class), які, в свою чергу, об'єднані в схеми (schema). У схемі визначено, які атрибути є для даного класу обов'язковими, а які - необов'язковими. Також схема визначає тип і правила порівняння атрибутів. Кожен атрибут записи може зберігати кілька значень.

Протокол LDAP визначений в наступних RFC:

  • RFC 4510 - Lightweight Directory Access Protocol (LDAP): Technical Specification Roadmap (замінює RFC 3377)
  • RFC 4511 - Lightweight Directory Access Protocol (LDAP): The Protocol
  • RFC 4512 - Lightweight Directory Access Protocol (LDAP): Directory Information Models
  • RFC 4513 - Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms
  • RFC 4514 - Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Names
  • RFC 4515 - Lightweight Directory Access Protocol (LDAP): String Representation of Search Filters
  • RFC 4516 - Lightweight Directory Access Protocol (LDAP): Uniform Resource Locator
  • RFC 4517 - Lightweight Directory Access Protocol (LDAP): Syntaxes and Matching Rules
  • RFC 4518 - Lightweight Directory Access Protocol (LDAP): Internationalized String Preparation
  • RFC 4519 - Lightweight Directory Access Protocol (LDAP): Schema for User Applications
  • RFC 4520 (aka BCP 64) - Internet Assigned Numbers Authority (IANA) Considerations for the Lightweight Directory Access Protocol (LDAP) (замінює RFC 3383)
  • RFC 4521 (aka BCP 118) - Considerations for Lightweight Directory Access Protocol (LDAP): Extension

Функціональне опис протоколу

У протоколі LDAP визначені наступні операції для роботи з Каталогом:

  • Операції підключення / відключення
    • Підключення (bind) - дозволяє асоціювати клієнта з певним об'єктом Каталогу (фактичним або віртуальним) для здійснення контролю доступу для всіх інших операцій читання / запису. Для того, щоб працювати з Каталогом, клієнт зобов'язаний пройти аутентифікацію як об'єкт, відмітна ім'я (Distinguished Name) знаходиться в просторі імен, описуваному Каталогом. У запиті операції bind клієнт може не вказувати відмітна ім'я, в такому випадку буде здійснено підключення під спеціальним псевдонімом anonymous (зазвичай це щось на зразок гостьової облікового запису з мінімальними правами)
    • Відключення (unbind) - дозволяє клієнту в рамках сеансу з'єднання з LDAP-сервером переключитися на аутентифікацію з новим відмітним ім'ям. Команда unbind можлива тільки після аутентифікації на сервері з використанням bind, в іншому випадку виклик unbind повертає помилку
  • Пошук (search) - читання даних з Каталогу. Операція складна, на вхід приймає безліч параметрів, серед яких основними є:
    • База пошуку (baseDN) - гілка DIT, від якої починається пошук даних
    • Глибина пошуку (scope) - може мати значення (в порядку збільшення охоплюється області): base, one, sub
      • base - пошук безпосередньо у вузлі - базі пошуку
      • one - пошук по всіх вузлах, що є прямими нащадками базового в ієрархії, тобто лежачим на один рівень нижче нього
      • sub - пошук по всій області, нижележащей щодо бази пошуку (baseDN)
    • Фільтр пошуку (searchFilter) - це вираз, що визначає критерії відбору об'єктів каталогу, що потрапляють в область пошуку, що задається параметром scope. Вираз фільтра пошуку записується в польській (префиксной) нотації. що складається з логічних (булевих) операторів і операндів, в свою чергу є внутрішніми операторами зіставлення значень атрибутів LDAP (в лівій частині) з виразами (в правій частині) з використанням знака рівності.

Логічні оператори представлені стандартним «набором»: (Логічне «І»), | (Логічне «АБО») і! (Логічне «НЕ»).

Приклад фільтра пошуку:

Операція запиту можливостей

У стандарті LDAP визначена спеціальна операція, що дозволяє клієнтам отримувати інформацію про підтримувані сервером версіях протоколу і можливості LDAP-сервера. Ця команда є надбудовою (розширенням) для операції search і виконується при наступному поєднанні параметрів останньої:

  • BIND анонімний
  • База пошуку baseDN вказана як "" (порожній рядок)
  • Глибина пошуку scope вказана як base
  • Фільтр пошуку: (objectClass = *)
  • Перелік запитуваних атрибутів: або явне перерахування, або «+» (УВАГА. "*" Не покаже значення службових атрибутів, що містять всю корисну інформацію)

Наприклад, при використанні LDAP-клієнта з поставки OpenLDAP команда запиту можливостей може виглядати як:

ldapsearch -x -H ldap: // host: port -LLL -b "" -s base '(objectClass = *)' supportedControls supportedCapabilities

Операція запиту схеми

Для запиту інформації про діючою схемою LDAP-каталогу перш необхідно виконати Операцію запиту можливостей. отримавши значення атрибута subschemaSubentry.

ldapsearch -x -H ldap: // host: port -LLL -s base -b "" '(objectClass = *)' subschemaSubentry

Отримане значення використовується в якості розпізнавального імені бази пошуку (baseDN) в Операції запиту схеми, яку можна описати так:

  • BIND анонімний, або повний. Більшість серверів каталогів підтримують запит схеми без попереднього BIND, але, є винятки (наприклад, Active Directory);
  • База пошуку baseDN дорівнює значенню атрибута subschemaSubentry. повертається Операцією запиту можливостей;
  • Глибина пошуку scope вказана як base;
  • Фільтр пошуку: (objectClass = *);
  • Перелік запитуваних атрибутів: явне перерахування атрибутів (attributeTypes, objectClasses) можливо для всіх серверів каталогів, в разі OpenLDAP і деяких інших (OpenDS, ApacheDS і т. Д.) Можливе зазначення «+»;

Наприклад, при використанні LDAP-клієнта з поставки OpenLDAP Операція запиту схеми може виглядати так:

ldapsearch -x -H ldap: // host: port -LLL -s base -b "cn = Subschema" '(objectClass = *)' ldapSyntaxes matchingRules

реалізації

серверна частина

LDAP є широко використовуваним стандартом доступу до служб каталогів. З вільно розповсюджуваних відкритих реалізацій найбільш відомий сервер OpenLDAP. з пропрієтарних - підтримка протоколу є в Active Directory - службі каталогів від компанії Microsoft. призначеної для централізації управління мережами Windows. Сервер IBM Lotus Domino в своєму складі також має службу LDAP. [2] [3] Свої реалізації служб каталогів, що підтримують LDAP як протокол доступу, пропонують і інші великі компанії, наприклад, Novell і Sun - OpenDS [4] і, згодом, OpenDJ.

клієнтська частина

Примітки

Дивитися що таке "LDAP" в інших словниках:

LDAP - im TCP / IP-Protokollstapel: Anwendung LDAP Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang ... Deutsch Wikipedia

Ldap - im TCP / IP-Protokollstapel: Anwendung LDAP Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang ... Deutsch Wikipedia

LDAP - son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicación el cual permite el acceso a un servicio de directorio ordenado y distribuido ... ... Wikipedia Español

LDAP - (Lighweight Directory Access Protocol) en sí es un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP puede considerarse una base de datos (aunque su sistema de almacenamiento puede ser otro ... ... Enciclopedia Universal

LDAP - protokolas statusas T sritis informatika apibrėžtis Supaprastintos kreipties į katalogus ↑ protokolas, skirtas prieiti prie katalogų paslaugų, pavyzdžiui, prie bendrovės adresų knygų, iš skirtingų operacinių sistemų. LDAP yra supaprastinta ... ... Enciklopedinis kompiuterijos žodynas

LDAP - Lightweight Directory Access Protocol Lightweight Directory Access Protocol (LDAP) est à l origine un protocole permettant l interrogation et la modification des services d annuaire. Ce protocole repose sur TCP / IP. Il a cependant évolué pour ... ... Wikipédia en Français

Ldap - Lightweight Directory Access Protocol Lightweight Directory Access Protocol (LDAP) est à l origine un protocole permettant l interrogation et la modification des services d annuaire. Ce protocole repose sur TCP / IP. Il a cependant évolué pour ... ... Wikipédia en Français

LDAP - Lightweight Directory Access Protocol (Computing »Telecom) Lightweight Directory Access Protocol (Computing» Software) Lightweight Directory Access Protocol (Computing »Security) Lightweight Directory Access Protocol (Computing» General) ... ... Abbreviations dictionary

LDAP - Lightweight Directory Access Protocol, definiert in RFC1487 um OSI Ballast abgespecktes X.500 Zugriffsprotokoll ... Acronyms

LDAP - ● ►en sg. m. ►PROT Lightweight Directory Access Protocol. protocole de gestion d annuaires de réseau, conçu à l Université du Michigan, et reconnu par la plupart des grosses sociétés du secteur. C est une adaptation allégée du standard X500. C ... ... Dictionnaire d'informatique francophone