Что такое LDAP: Определение и объяснение

LDAP был разработан как протокол приложений и доступа для поставщиков услуг каталогов. Протокол LDAP может использоваться для поиска, изменения или аутентификации данных, информации и элементов в больших масштабах в распределенных службах каталогов и для управления связью с базами данных каталогов.

LDAP, в переводе «Lightweight Directory Access Protocol», относится к группе сетевых протоколов и используется как стандартизированный протокол доступа для запросов и изменений по модели клиент-сервер в распределенных, централизованных службах каталогов. В этом контексте часто используется термин LDAP-сервер, когда серверы каталогов взаимодействуют через протокол LDAP. «Легкий» происходит от того, что он считается облегченным вариантом протокола доступа DAP (Directory Access Protocol), определенного в соответствии с X.500. Поскольку DAP слишком сложен для эффективной реализации на крупных предприятиях с обширными пользовательскими данными, на практике часто используется LDAP.

LDAP основан на стеке TCP/IP-протоколов и может гибко использоваться для любой системы каталогов. Для транспортировки данных он может использовать порты TCP и UDP. Он особенно распространен в областях и отраслях, где требуется обрабатывать и управлять большими объемами данных и информации, таких как телекоммуникации, авиация, информационные технологии, разработка аппаратного и программного обеспечения. Стандартными портами для передачи данных являются порт 389 для незащищенной передачи данных и порт 636 для передачи данных с шифрованием TLS.

Чтобы понять, как работает LDAP, важно понять роль, которую играет в службах каталогов LDAP. С ростом цифровизации компании полагаются на эффективную обработку и организацию данных. Чтобы четко структурировать их и запрашивать или изменять без больших усилий, используются службы каталогов. В них информация и атрибуты различных объектов, таких как пользователи, оборудование, приложения, рабочие станции или данные для входа в систему, организованы в иерархическую древовидную структуру, называемую DIT (Directory Information Tree).

LDAP используется как средство связи для каталогов LDAP и серверов LDAP для эффективного поиска, изменения или аутентификации атрибутов в сложной службе каталогов. Клиенты LDAP получают доступ к соответствующему каталогу через сервер LDAP или шлюз LDAP. Сервер LDAP — это обычно сервер каталогов, структура данных которого соответствует спецификациям LDAP и который осуществляет передачу данных с использованием текущего протокола LDAP версии 3 (по состоянию на февраль 2022 года).

К важным и распространенным задачам и видам использования LDAP относятся:

• Центральное хранение/аутентификация/авторизация пользовательских данных и паролей.
• Внесение записей и операций в базу данных каталога.
• Аутентификация или связывание сеансов
• изменение, поиск, сравнение, расширение или удаление записей каталога
• Поиск схем
• Отправка запросов
• Операции развязывания

Конфигурации LDAP используют стандартизированную иерархическую древовидную структуру (DIT) для каталогов и структуру данных, которая может быть распределена по многим серверам. Стандартизация осуществляется соответствующей схемой классов объектов и их атрибутов. Древовидная иерархия, в свою очередь, разбивается или разветвляется на различные репрезентативные политические, географические или организационные уровни следующим образом:

• Корень (корень)
• Страны
• Организации
• Организационные единицы
• Люди
• Лица / ресурсы

Каталог LDAP может существовать на серверах LDAP в виде реплицированной полной версии, которая синхронизирует изменения с оригиналом. Запросы к каталогу проходят через серверы LDAP, также называемые агентами системы каталогов (Directory System Agents, DSA), которые могут распределять запросы по дополнительным серверам DSA, но гарантируют пользователям быстрый, эффективно абстрагированный ответ.

LDAP использует объектно-ориентированный подход к программированию, который включает объекты, классы, наследование и соответствующий полиморфизм. Независимая запись каталога LDAP (объект LDAP) состоит из атрибутов и обязательного имени объекта «Distinguished Name». Структура отличительного имени похожа на соглашения об именовании файлов и предотвращает появление идентичных объектов на одном уровне. Атрибуты, составляющие объект, имеют определенный тип, обозначаемый аббревиатурами, такими как cn (common name), st (state) или sn (surname). Кроме того, атрибуты могут быть одно- или многозначными, в зависимости от типа. В то время как существуют объекты-контейнеры, содержащие объекты, концы древовидной иерархии разветвляются на отдельные объекты-листья.

Протокол использует специальные последовательности доступа, которые сообщают серверу LDAP, кто обращается к каталогу, с помощью директивы bind и отличительного имени (DN). BaseDN может использоваться для определения того, какие уровни каталога могут быть использованы для поиска, используя такие спецификации, как base (этот объект), sub (этот и все объекты ниже него) или one (уровень ниже baseDN). Поисковые запросы обычно выполняются конечными пользователями не вручную, а с помощью программ с поддержкой LDAP (например, Outlook). В свою очередь, соответствующая служба каталогов контролирует, кому разрешен доступ.

LDAP, наряду с Kerberos, SMB и DNS, является одним из четырех центральных стандартных протоколов, обеспечивающих бесперебойную связь и передачу данных в Active Directory компании Microsoft. Active Directory разработан для использования в качестве службы каталогов в серверах Exchange с поддержкой LDAP для обеспечения унифицированных запросов к каталогам Active Directory и интеграции служб на основе LDAP в среду AD.

Active Directory является мощной, относительно масштабируемой службой каталогов для крупных предприятий с несколькими тысячами сотрудников и ориентирована на структуры Windows. Протокол LDAP, с другой стороны, предлагает большую гибкость и расширяемость для крупных развертываний с разветвленными сообществами пользователей благодаря своей среде Linux/Unix и совместимости с открытым исходным кодом. По этой причине LDAP и серверы LDAP также используются в таких отраслях, как мобильная связь и авиация, где обрабатывается несколько миллионов запросов на аутентификацию пользователей.

К случаям использования LDAP относятся:

• Администрирование пользователей и систем
• Сопоставление протоколов и RFC
• Информация NIS/информация о загрузке
• Администрирование данных зоны DNS и точек монтирования
• Организация псевдонимов (электронной почты) и серверов DHCP.

LDAP особенно распространен в областях, которые зависят от комплексных адресных запросов и аутентификации пользователей. К ним относятся:

• Адресные книги: Программные решения для управления цифровыми книгами контактов/адресов, такие как Mozilla Thunderbird, Microsoft Outlook или Apple Contacts.
• Управление пользователями: Службы каталогов для управления пользователями, такие как Apple Open Directory, Microsoft Active Directory или NetlQ eDirectory.
• Аутентификация: Программные интерфейсы для аутентификации пользователей, такие как PAM.
• Управление данными пользователя: Организация/управление данными пользователей в серверах POP/IMAP/SMTP или в системах баз данных и почтовых серверах, таких как qmail, sendmail или exim.
• Системы управления документами: Легитимизация запрашивающих пользователей или генерация телефонных справочников, как в многофункциональных принтерах, решениях AntiSpam, VoIP, WebProxy или NetScaler.

LDAP позволяет оптимизировать аутентификацию, авторизацию и эффективный поиск адресных и пользовательских данных. Благодаря своим многочисленным преимуществам для предприятий, LDAP служит промышленным стандартом, который поддерживается большинством программных продуктов. Основными преимуществами являются быстрые запросы и соединения, простой язык запросов и четко структурированный протокол. Доступ к данным и их считывание в службах каталогов с поддержкой LDAP осуществляется быстро благодаря ненормированному хранению данных. Это особенно заметно в областях с большим количеством небольших, не сильно разделенных записей данных.

LDAP также предлагает значительную экономию времени и мощные структуры данных для регулярных запросов в больших наборах данных или для распределенного хранения данных, включая распределенные службы каталогов в масштабах всего сервера, связанную репликацию каталогов для согласования данных и надежную высокую доступность. Защищенный SSL/TLS вариант LDAP LDAPS также гарантирует шифрование данных отправителя и получателя и, следовательно, аутентификацию на основе сертификатов. Благодаря установлению соединения SSL/TLS обмен данными дополнительно защищен от манипуляций и кражи данных.