Was ist LDAP und wie funktioniert es?

Lightweight Directory Access Protocol (LDAP) ist ein Protokoll, das es Anwendungen ermöglicht, Benutzerinformationen schnell abzufragen.

Jemand in Ihrem Büro möchte zwei Dinge tun: Eine E-Mail an einen kürzlich gemieteten Mitarbeiter senden und eine Kopie dieser Konversation auf einem neuen Drucker ausdrucken. LDAP (Lightweight Directory Access Protocol) macht beides möglich.

Richten Sie es richtig ein, und dieser Mitarbeiter muss nicht mit IHM sprechen, um die Aufgaben zu erledigen.

Was ist LDAP?

Unternehmen speichern Benutzernamen, Passwörter, E-Mail-Adressen, Druckerverbindungen und andere statische Daten in Verzeichnissen. LDAP ist ein offenes, herstellerneutrales Anwendungsprotokoll für den Zugriff auf und die Verwaltung dieser Daten. LDAP kann auch die Authentifizierung angehen, sodass sich Benutzer nur einmal anmelden und auf viele verschiedene Dateien auf dem Server zugreifen können.

LDAP ist ein Protokoll, daher wird nicht angegeben, wie Verzeichnisprogramme funktionieren. Stattdessen ist es eine Form der Sprache, die es Benutzern ermöglicht, die benötigten Informationen sehr schnell zu finden.

LDAP ist herstellerneutral und kann daher mit einer Vielzahl verschiedener Verzeichnisprogramme verwendet werden. In der Regel enthält ein Verzeichnis Daten, die:

  • Beschreibend. Mehrere Punkte, wie Name und Ort, kommen zusammen, um ein Asset zu definieren.
  • Statisch. Die Informationen ändern sich nicht viel, und wenn doch, sind die Verschiebungen subtil.
  • Wertvoll. Im Verzeichnis gespeicherte Daten sind für die Kerngeschäftsfunktionen von entscheidender Bedeutung und werden immer wieder berührt.

Manchmal verwenden Menschen LDAP zusammen mit anderen Systemen während des gesamten Arbeitstages. Beispielsweise können Ihre Mitarbeiter LDAP verwenden, um sich mit Druckern zu verbinden oder Kennwörter zu überprüfen. Diese Mitarbeiter können dann für E-Mails zu Google wechseln, das überhaupt nicht auf LDAP angewiesen ist.

LDAP ist nicht neu. Das definitive Whitepaper, das beschreibt, wie Verzeichnisdienste funktionieren und wie LDAP funktionieren sollte, wurde 2003 veröffentlicht. Trotz seines Alters ist LDAP heute noch weit verbreitet.

Der LDAP-Prozess erklärt

Wie LDAP funktioniert

Der durchschnittliche Mitarbeiter verbindet sich Dutzende oder sogar hunderte Male pro Tag mit LDAP. Diese Person weiß möglicherweise nicht einmal, dass die Verbindung hergestellt wurde, obwohl die Schritte zum Abschließen einer Abfrage kompliziert und komplex sind.

Eine LDAP-Abfrage beinhaltet typischerweise:

  • Sitzungsverbindung. Der Benutzer stellt über einen LDAP-Port eine Verbindung zum Server her.
  • Anfrage. Der Benutzer sendet eine Abfrage, z. B. eine E-Mail-Suche, an den Server.
  • Antwort. Das LDAP-Protokoll fragt das Verzeichnis ab, findet die Informationen und liefert sie an den Benutzer.
  • Fertigstellung. Der Benutzer trennt die Verbindung zum LDAP-Port.

Die Suche sieht einfach aus, aber viel Codierung macht die Funktion möglich. Entwickler müssen die Größenbeschränkung der Suche festlegen, die Zeit, die der Server für die Verarbeitung aufwenden kann, wie viele Variablen in eine Suche einbezogen werden können und vieles mehr.

Eine Person, die von Unternehmen zu Unternehmen hüpft, kann an jedem Standort mit LDAP suchen durchführen. Die Art und Weise, wie die Suchvorgänge funktionieren und wie sie funktionieren, kann jedoch sehr unterschiedlich sein, je nachdem, wie das LDAP konfiguriert ist.

Bevor eine Suche beginnt, muss der LDAP den Benutzer authentifizieren. Für diese Arbeit stehen zwei Methoden zur Verfügung:

  • Einfach. Der richtige Name und das richtige Passwort verbinden den Benutzer mit dem Server.
  • Einfache Authentifizierungs- und Sicherheitsschicht (SASL). Ein sekundärer Dienst wie Kerberos führt die Authentifizierung durch, bevor der Benutzer eine Verbindung herstellen kann. Für Unternehmen, die erweiterte Sicherheit benötigen, kann dies eine gute Option sein.

Einige Abfragen stammen aus den Unternehmensmauern, andere beginnen jedoch auf Mobilgeräten oder Heimcomputern. Die meiste LDAP-Kommunikation wird ohne Verschlüsselung oder Verschlüsselung gesendet, was zu Sicherheitsproblemen führen kann. Die meisten Unternehmen verwenden Transport Layer Security (TLS), um die Sicherheit von LDAP-Nachrichten zu gewährleisten.

Menschen können alle Arten von Operationen mit LDAP bewältigen. Sie können:

  • Hinzufügen. Geben Sie eine neue Datei in die Datenbank ein.
  • Streichen. Nehmen Sie eine Datei aus der Datenbank heraus.
  • Suche. Starten Sie eine Abfrage, um etwas in der Datenbank zu finden.
  • Vergleichen. Untersuchen Sie zwei Dateien auf Ähnlichkeiten oder Unterschiede.
  • Ändern. Nehmen Sie eine Änderung an einem vorhandenen Eintrag vor.

LDAP-Begriffe zum Verständnis

Die durchschnittliche Person, die an einem Computer herumtippt, muss die Vor- und Nachteile von LDAP nicht kennen. Menschen, die an Netzwerksicherheit und -zugriff arbeiten, müssen jedoch über ein tiefes Verständnis der Kernkonzepte und -strukturen verfügen. Und die Sprache, mit der LDAP beschrieben wird, kann für Anfänger undurchdringlich sein.

Allgemeine Begriffe, die Sie sehen werden, wenn Sie anfangen, sich mit LDAP vertraut zu machen, umfassen:

  • Datenmodelle. Welche Arten von Informationen befinden sich in Ihrem Verzeichnis? Modelle helfen Ihnen, die Facetten in Ihrem LDAP zu verstehen. Sie können allgemeine Informationen (z. B. eine Objektklasse), Namen (wie jedes Element eindeutig referenziert wird), Funktionen (wie auf die Daten zugegriffen wird) und Sicherheit (wie Benutzer die Authentifizierung durchlaufen) haben.
  • Distinguished Name (DN). Dies ist eine eindeutige Kennung für jeden Eintrag, der auch die Position innerhalb des Informationsbaums beschreibt.
  • Änderungen. Dies sind Anforderungen, die LDAP-Benutzer stellen, um die einem Eintrag zugeordneten Daten zu ändern. Zu den definierten Änderungstypen gehören Hinzufügen, Löschen, Ersetzen und Erhöhen.
  • Relativer definierter Name (RDN). Dies ist eine Möglichkeit, DNs zusammenzubinden und gleichzeitig den relativen Standort anzugeben.
  • Schema. Die Codierung, die Ihrem LDAP zugrunde liegt, wird als Schema bezeichnet. Sie verwenden diese Sprache, um das Format und die Attribute jedes Elements auf dem Server zu beschreiben.
  • URLs. Dies ist eine Zeichenfolge, die die Adresse und den Port eines Servers sowie andere Daten enthält, die eine Gruppe definieren, einen Speicherort angeben oder einen Vorgang an einen anderen Server verweisen können.
  • Einheitliche Ressourcenkennung (Uniform Resource Identifier, URI). Dies ist eine Zeichenfolge, die eine Ressource definiert.

Dies ist nur ein Hinweis auf die Sprache, die Sie beherrschen müssen, um LDAP-Protokolle ordnungsgemäß zu implementieren. Aber da LDAP ein Open-Source-Protokoll ist, gibt es viele Dokumente, die Ihnen helfen können, in kürzester Zeit wie ein Profi zu programmieren.

LDAP vs. Active Directory

Einige Leute verwenden LDAP und Active Directory austauschbar, und die Gewohnheit verursacht eine große Verwirrung. Diese beiden Tools arbeiten zusammen, aber sie sind definitiv nicht dasselbe.

Active Directory ist ein proprietäres Verzeichnistool, mit dem IT-Assets wie Computer, Drucker und Benutzer organisiert werden. Als Microsoft-Produkt wird es häufig in der Windows-Umgebung verwendet. Wenn Sie jemals mit Windows in einem Netzwerk gearbeitet haben, untermauert dieses System einige der Daten.

LDAP ist ein Protokoll, das Active Directory lesen kann, aber Sie können es auch mit anderen Programmen verwenden, einschließlich solchen, die auf Linux basieren. Als herstellerneutrales Protokoll können Sie dieses Tool verwenden, um mit allen Arten von Produkten zu arbeiten, die nichts mit Windows zu tun haben.

LDAP und Active Directory arbeiten also zusammen, um Benutzern zu helfen. Aber sie konkurrieren nicht miteinander, und sie tun nicht genau dasselbe.

LDAP + Okta

LDAP unterstützt den Zugriff auf wichtige Dateien. Da diese Daten jedoch sensibel sind, ist es wichtig, dass Sie die Informationen vor denen schützen, die Ihnen Schaden zufügen könnten. Wenn Sie in einer hybriden Umgebung mit einigen Teilen Ihrer Daten in der Cloud arbeiten, sind Ihre Risiken noch größer.

Okta kann Ihnen helfen, diese kritischen Informationen zu schützen. Finden Sie heraus, wie.

Was ist LDAP? LDAP Linux Wie man.

Geschichte und technischer Überblick über LDAP. LDAP.com .

Der LDAP-Suchvorgang. LDAP.com .

Konfigurieren von Active Directory für die LDAP-Authentifizierung. IBM.

Grundlegende LDAP-Konzepte. LDAP.com .

LDAP-URLs. LDAP.com .

LDAP-Schema verstehen. LDAP.com .

So gestalten Sie die Single Sign-On-Implementierung Ihres Unternehmens so reibungslos wie möglich. (Juli 2016). Forbes.

Übersicht über Active Directory-Domänendienste. (Mai 2017). Microsoft.

Verstehen von Active Directory. (März 2018). Medium.

Was ist LDAP-Authentifizierung? (Juli 2018). In: Houston Chronicle.

Identitätsbewusstsein geht Hand in Hand mit der digitalen Transformation. (April 2020). Forbes.

Leave a Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.