LDAP

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2021. március 14-én felülvizsgált verziótól ; az ellenőrzések 9 szerkesztést igényelnek .

Az LDAP ( angolul Lightweight Directory Access Protocol – „könnyű címtár - hozzáférési protokoll ”) egy alkalmazási rétegbeli protokoll az X.500 címtárszolgáltatás eléréséhez , amelyet az IETF fejlesztett ki az ITU-T által kifejlesztett DAP protokoll egyszerűsített változataként . Az LDAP egy viszonylag egyszerű protokoll , amely TCP/IP -t használ, és lehetővé teszi a hitelesítést ( bind ), keresést ( keresés ) és összehasonlítást ( összehasonlítást ). ), valamint a bejegyzések hozzáadásának, módosításának vagy törlésének műveletei . Az LDAP- kiszolgáló általában a 389 -es porton fogadja a bejövő kapcsolatokat TCP vagy UDP protokollok használatával . SSL – a beágyazott LDAP-munkamenetek általában a 636 -os portot használják.

Az LDAP- címtár minden bejegyzése egy vagy több attribútumból áll, és egyedi névvel rendelkezik (DN - angol megkülönböztető név ). Az egyedi név például a következőképpen nézhet ki: "cn=Ivan Petrov,ou=Alkalmazottak,dc=example,dc=com" [1] . Az egyedi név egy vagy több relatív megkülönböztető névből (RDN ) áll, vesszővel elválasztva . A relatív egyedi név formátuma AttributeName=value . Nem létezhet két azonos relatív egyedi névvel rendelkező bejegyzés ugyanazon a könyvtárszinten. Ennek a szerkezetnek köszönhetően az LDAP-címtár bejegyzéseinek egyedi neve könnyen faként ábrázolható.

Egy bejegyzés csak azokból az attribútumokból állhat, amelyek a bejegyzési osztály leírásában vannak definiálva ( objektumosztály ), amelyek viszont sémákká ( séma ) vannak kombinálva. A séma meghatározza, hogy egy adott osztályhoz mely attribútumok szükségesek, és melyek opcionálisak. A séma meghatározza az attribútumok összehasonlításának típusát és szabályait is. Minden bejegyzés attribútum több értéket tárolhat.

Szabványok

Az LDAP protokollt a következő RFC -k határozzák meg :

RFC 4510 – Lightweight Directory Access Protocol (LDAP): Műszaki specifikáció ütemterv (az RFC 3377 helyébe lép )
RFC 4511 – Lightweight Directory Access Protocol (LDAP): A protokoll
RFC 4512 – Lightweight Directory Access Protocol (LDAP): Címtárinformációs modellek
RFC 4513 – LDAP (Lightweight Directory Access Protocol): hitelesítési módszerek és biztonsági mechanizmusok
RFC 4514 – Lightweight Directory Access Protocol (LDAP): megkülönböztetett nevek karakterlánc-ábrázolása
RFC 4515 – Lightweight Directory Access Protocol (LDAP): a keresési szűrők karakterlánc-ábrázolása
RFC 4516 – Lightweight Directory Access Protocol (LDAP): egységes erőforrás-kereső
RFC 4517 – Lightweight Directory Access Protocol (LDAP): szintaxisok és illesztési szabályok
RFC 4518 – Könnyű címtárelérési protokoll (LDAP): nemzetközi karakterlánc-előkészítés
RFC 4519 – Lightweight Directory Access Protocol (LDAP): Séma felhasználói alkalmazásokhoz
RFC 4520 (más néven BCP 64) – Az Internet Assigned Numbers Authority (IANA) megfontolások az LDAP (Lightweight Directory Access Protocol) esetében (az RFC 3383 helyébe lép )
RFC 4521 (más néven BCP 118) – A Lightweight Directory Access Protocol (LDAP) szempontjai: Kiterjesztés

A protokollon kívül léteznek legfelső szintű nemzetközi szabványok, amelyek mindent leírnak, ami a rendszerintegrációs modellel és az LDAP és DAP segítségével elérhető címtárral (Directory) kapcsolatos:

ITU-T X.200 (1994) ajánlás | ISO/IEC 7498-1:1994, Információtechnológia – Nyílt rendszerek összekapcsolása – Alapvető referenciamodell: Az alapmodell.
ITU-T X.500 (2019) ajánlás | ISO/IEC 9594-1:2020, Információtechnológia – Nyílt rendszerek összekapcsolása – A címtár: A koncepciók, modellek és szolgáltatások áttekintése.
ITU-T X.501 (2019) ajánlás | ISO/IEC 9594-2:2020, Információtechnológia – Nyílt rendszerek összekapcsolása – A címtár: Modellek.
ITU-T X.509 (2019) ajánlás | ISO/IEC 9594-8:2020, Információtechnológia – Nyílt rendszerek összekapcsolása – A címtár: Nyilvános kulcsú és attribútum-tanúsítvány-keretrendszerek.
ITU-T X.511 (2019) ajánlás | ISO/IEC 9594-3:2020, Információtechnológia – Nyílt rendszerek összekapcsolása – A címtár: Absztrakt szolgáltatásdefiníció.
ITU-T X.518 (2019) ajánlás | ISO/IEC 9594-4:2020, Információtechnológia – Nyílt rendszerek összekapcsolása – A címtár: Eljárások az elosztott működéshez.
ITU-T X.519 (2019) ajánlás | ISO/IEC 9594-5:2020, Információtechnológia – Nyílt rendszerek összekapcsolása – Címtár: Protokollspecifikációk.
ITU-T X.520 (2019) ajánlás | ISO/IEC 9594-6:2020, Információtechnológia – Nyílt rendszerek összekapcsolása – Címtár: Kiválasztott attribútumtípusok.
ITU-T X.521 (2019) ajánlás | ISO/IEC 9594-7:2020, Információtechnológia – Nyílt rendszerek összekapcsolása – A címtár: Kiválasztott objektumosztályok.
ITU-T X.525 (2019) ajánlás | ISO/IEC 9594-9:2020, Információtechnológia – Nyílt rendszerek összekapcsolása – Címtár: Replikáció.

A protokoll működési leírása

Az LDAP protokoll a következő műveleteket határozza meg a címtárral való munkához:

Csatlakoztatási/leválasztási műveletek
- Összerendelés ( bind ) – lehetővé teszi, hogy egy klienst társítson egy adott Directory objektumhoz (tényleges vagy virtuális), hogy az összes többi olvasási/írási művelethez hozzáférés-szabályozást gyakoroljon. A címtárral való együttműködéshez az ügyfelet olyan entitásként kell hitelesíteni, amelynek megkülönböztető neve a címtár által leírt névtérben található. A kötési műveleti kérelemben a kliens nem ad meg megkülönböztető nevet, ebben az esetben a kapcsolat anonim speciális alias alatt jön létre (általában olyan, mint egy vendégfiók minimális jogokkal)
- Unbind ( unbind ) – Lehetővé teszi az ügyfél számára, hogy egy új megkülönböztető névvel hitelesítésre váltson egy LDAP-kiszolgáló kapcsolati munkamenetén belül. Az unbind parancs csak a bind segítségével történő hitelesítés után lehetséges, ellenkező esetben az unbind hívás hibát ad vissza
Keresés ( keresés ) - adatok olvasása a címtárból. A művelet összetett, sok paramétert vesz igénybe bemenetként, amelyek közül a legfontosabbak a következők:
- Keresési alap ( baseDN ) - DIT ág, ahonnan az adatkeresés indul
- Keresési mélység ( hatókör ) - értékei lehetnek (a hatókör növekedésének sorrendjében): alap, egy, al
  - alap - keresés közvetlenül a csomópontban - keresési bázis
  - egy - keresés az összes olyan csomóponton keresztül, amelyek a hierarchia alapjának közvetlen leszármazottai, azaz egy szinttel alatta találhatók
  - al - keresés a keresési alap mögötti teljes területen (baseDN)
- A keresési szűrő ( searchFilter ) egy kifejezés, amely meghatározza a hatókörparaméter által megadott keresési hatókörbe tartozó katalógusobjektumok kiválasztásának feltételeit. A keresési szűrő kifejezés lengyel (előtag) jelöléssel van írva , amely logikai (logikai) operátorokból és operandusokból áll, amelyek viszont belső operátorok az LDAP attribútumértékek (bal oldalon) és kifejezések (jobb oldalon) egyeztetésére. egyenlőségjel használatával.

A logikai operátorokat egy szabványos "halmaz" képviseli: & (logikai "ÉS"), | (logikai "VAGY") és ! (logikai "NEM").

Példa a keresési szűrőre[ hol? ] :

(&(!(entryDN:dnSubtreeMatch:=dc=Piter,dc=Oroszország,ou=Emberek,dc=példa,dc=com))(objectClass=sambaSamAccount)
(|(sn=Lazar*)(uid=Nakhims*) ))

Módosítási műveletek - lehetővé teszik a katalógus adatainak módosítását, míg a módosítás fogalma magában foglalja a rekordok egészének hozzáadását, törlését és áthelyezését, valamint a rekordok szerkesztését az attribútumok szintjén. Módosítási altípusok:
- Hozzáadás ( add ) - új bejegyzés hozzáadása
- Törlés ( törlés ) – rekord törlése
- RDN módosítás ( modrdn ) - bejegyzés áthelyezése/másolása
- Rekord módosítása ( módosítás ) – lehetővé teszi a rekord szerkesztését az attribútumok szintjén,
  - új attribútum vagy többértékű attribútum új értékének hozzáadása (hozzáadás)
  - attribútum törlése az összes értékével együtt (törlés)
  - az egyik attribútumérték lecserélése egy másikra (csere)
  - valamint az attribútum értékének növelése (csökkentése) egy atomi művelet részeként (növekmény)
Összehasonlító művelet ( összehasonlítás ) - lehetővé teszi, hogy egy adott megkülönböztető név összehasonlítsa a kiválasztott attribútumot az adott értékkel

Lehetőségkérés művelet

Az LDAP szabvány egy speciális műveletet határoz meg, amely lehetővé teszi az ügyfelek számára, hogy információkat szerezzenek a szerver által támogatott protokollverziókról és az LDAP szerver képességeiről. Ez a parancs egy kiegészítő (kiterjesztés) a keresési művelethez , és az utóbbi paramétereinek következő kombinációjával kerül végrehajtásra:

BIND névtelen
baseDN keresési bázis megadva "" (üres karakterlánc)
A hatókör keresési mélysége alapként van megadva
Keresési szűrő: (objectClass=*)
A kért attribútumok listája: vagy explicit felsorolás, vagy " + " ( FIGYELEM ! A " * " nem jeleníti meg az összes hasznos információt tartalmazó szolgáltatásattribútumok értékeit)

Például az OpenLDAP disztribúcióból származó LDAP kliens használatakor a capability query parancs így nézhet ki:

ldapsearch -x -H ldap://host:port -LLL -b "" -s base '(objectClass=*)' supportedControls supportedCapabilities

Séma lekérdezési művelet

Ha információkat szeretne kérni egy LDAP-címtár aktuális sémájáról, először végre kell hajtania egy Query Capabilities műveletet az alschemaSubentry attribútum értékének lekérésével .

ldapsearch -x -H ldap://host:port -LLL -s base -b "" '(objectClass=*)' subschemaSubentry

Az eredményül kapott érték a keresési alap megkülönböztető neve ( baseDN ) lesz a séma lekérdezési műveletben, amely a következőképpen írható le:

BIND névtelen vagy teljes. A legtöbb címtárszerver támogatja a séma lekérdezést anélkül, hogy előzetesen BIND-ot kellene kötni, de vannak kivételek (például az Active Directory );
A keresési alap baseDN megegyezik a Capability Query Operation által visszaadott subschemaSubentry attribútum értékével ;
A hatókör keresési mélysége alapként van megadva ;
Keresési szűrő: (objectClass=*) ;
A kért attribútumok listája: az attribútumok explicit felsorolása (attributeTypes, objectClasses) minden címtárszervernél lehetséges, OpenLDAP és néhány más (OpenDS, ApacheDS stb.) esetén "+" megadása lehetséges;

Például az OpenLDAP disztribúcióból származó LDAP kliens használatakor a séma lekérdezési művelete így nézhet ki:

ldapsearch -x -H ldap://host:port -LLL -s base -b "cn=Subschema" '(objectClass=*)' ldapSyntaxes matchingRules

Megvalósítások

Szerver oldali

Az LDAP egy széles körben használt szabvány a címtárszolgáltatások elérésére. A szabadon terjesztett nyílt megvalósítások közül az OpenLDAP szerver a legismertebb , a szabadalmazottak közül a Microsoft Active Directory címtárszolgáltatásában érhető el a protokolltámogatás, amely a Windows hálózatkezelés központosítására szolgál . Az IBM Lotus Domino szerver egy LDAP szolgáltatást is tartalmaz [2] [3] . Más nagyvállalatok is kínálják az LDAP-t hozzáférési protokollként támogató címtárszolgáltatásokat, például a Novell és a Sun – OpenDS , majd az OpenDJ.

A mai leghíresebb LDAP szerverek listája:

OpenLDAP
ForgeRock OpenDJ
Novell eDirectory
Apple Open Directory (az OpenLDAP projekt egyik ága)
Microsoft Active Directory
Samba4 LDAP (az MS AD nyílt forráskódú megvalósítása)
RedHat Directory Server
389 Directory Server (lényegében az előző tesztverziója)
Oracle Directory Server
Apache Directory Server
IBM Tivoli Directory Server
IBM Domino LDAP
CommuniGate LDAP

Kliens oldal

Az LDAP kliensek egyszerre levelezőkliens -címjegyzékek és különféle hálózati szolgáltatások (DNS, SMTP, Samba, UTS stb.) háttérrendszerei.

Lásd még

Jegyzetek

↑ Az LDAP-paraméterek leírása Archiválva : 2011. május 31. a Wayback Machine -nél
↑ A Domino LDAP séma (lefelé irányuló kapcsolat) . Letöltve: 2010. október 31. Az eredetiből archiválva : 2013. június 8.. (határozatlan)
↑ Lotus Domino LDAP konfigurációs útmutató (lefelé irányuló kapcsolat) . Letöltve: 2010. október 31. Az eredetiből archiválva : 2016. március 4.. (határozatlan)

Linkek

Források

Szerverek

OpenLDAP projekt honlapja
Apple Open Directory – Directory Server és API Framework Mac OS X Server rendszeren
Az OpenDS egy nyílt forráskódú projekt, amely a Sun Enterprise Java System Directory Server kódján alapul.
389 Directory Server – korábban Fedora Project Directory Server, egy nyílt forráskódú projekt, amelyből kereskedelmi terméket hoznak létre – RedHat Directory Server
Az Apache Directory Project egy címtárszerver, amelyet az Apache Foundation hozott létre
Windows Server 2003 Active Directory – Hivatalos Active Directory webhely
IBM Lotus Domino – Google LDAP keresés a Lotus Domino alkalmazásban
Mandriva Directory Server

Ügyfelek

Az Apache Directory Studio egy többplatformos nyílt forráskódú ( APL2 ) program egy Eclipse ( Java ) alapú LDAP-címtár adminisztrálására.
LdapAdmin – Nyílt forráskódú ( GPL ) program a Windows számára az LDAP adatok kezelésére
A JXplorer egy nyílt forráskódú Java LDAP címtáradminisztrációs eszköz .
PHP LDAP admin – fejlett webalapú LDAP kliens

Programozási felületek (API-k)

Perl-LDAP - objektum-orientált Perl modul az LDAP-pal való munkához
python-ldap és ldaptor – LDAP modulok Pythonhoz
Java LDAP - Java könyvtár az LDAP-val való együttműködéshez
PHP LDAP - PHP funkciók az LDAP protokollon keresztüli munkához
Crystal LDAP – LDAP kliens a Crystal nyelvhez

Lekérdezési nyelvek
.QL CQL CODASYL COQL D DAX DMX Adat napló ERROL GraphQL ISBL LDAP MQL MDX OQL OCL Poliqarp lekérdezési nyelv QUEL SMARTS SPARQL SQL SuprTool TMQL XQuery XPath XSQL YQL

A nyílt csoportszabványok
KAR CDE CLI CMPI DCE DRDA LDAP Motívum SUS ( POSIX ) X11

URI- sémák
Hivatalos	aaa aaas ról ről egy sapka sapka cid crid adat dav diktálja dns fax fájlt ftp megy hörcsög h323 http https im imap iri ldap mail címre középső hírek nfs nntp pop nyomja meg rtsp korty kortyol snmp tel telnet urna url Forrás megtekintése wais xmpp
nem hivatalos	cél bolo btc bzr hívja fel króm cvs cs2d daap ed2k ed2kftp takarmány hal git gizmoprojekt iax2 irc ircs itms lastfm ldaps mágnes mms msnim pszich rsync második élet Skype ssh svn sftp vkinek sms soldat gőz webcal xfire ymsgr