LDAP ist das Standard-TCP/IP-Stack-Protokoll, das zum Speichern und Abfragen von Informationen aus einem hierarchischen Verzeichnis verwendet wird. Es handelt sich um eine Alternative zum X.500-Verzeichnisdienstprotokoll, das ressourcenintensiver ist. LDAP wird häufig für die SSO-Authentifizierung und -Speicherung verwendet. Standardmäßig verwendet LDAP den TCP-Port 389 für die unverschlüsselte Kommunikation und den TLS-Port 636 über einen verschlüsselten Kanal.

Wie funktioniert LDAP?

1. Client startet eine LDAP-Sitzung über den dedizierten TCP-Port.
2. (Optional) Lesen und ändern Sie die Sitzungsoptionswerte.
3. Stellen Sie eine Verbindung zum LDAP-Server her oder binden Sie sich mithilfe einer der Bindungsfunktionen explizit an den Server mit einem privilegierten authentifizierten Client.
4. Senden Sie eine Anfrage an einen E-Mail-Server oder stellen Sie eine Verbindung zu einem Drucker her. Der Server empfängt die Anfrage und gibt die entsprechenden Informationen an den Benutzer zurück.
5. Schließen Sie nach Abschluss die Verbindung zum LDAP-Server.

LDAP verwendet im Gegensatz zu den meisten modernen http-basierten Protokollen dauerhafte Verbindungen, die bei der Kommunikation mit einem Verzeichnisserver tagelang bestehen können.

Vorteile der Verwendung von LDAP

1. Es ist ein ausgereiftes Protokoll, das sich ständig weiterentwickelt. Es ist ein wichtiger Bestandteil der meisten großen Unternehmen, daher besteht die Notwendigkeit, Überarbeitungen vorzunehmen und die Standards des Protokolls zu aktualisieren.
2. LDAP ist eine leichtgewichtige Version des X.500-Protokolls, aber auch im Vergleich zu anderen modernen Protokollen sehr leichtgewichtig.
3. LDAP ist sicher und wird häufig zum Speichern von Benutzernamen, Passwörtern und anderen vertraulichen Informationen verwendet. Aber seine Sicherheit hängt von seiner Umsetzung ab. Bei der Einführung dieses Protokolls ist es wichtig, Best Practices zu befolgen, wie zum Beispiel:
   • Einrichten einer Zugriffskontrollrichtlinie.
   • Verwaltung mehrerer Kopien der Verzeichnisdaten.
   • Verschlüsseln sensibler Informationen wie Passwörter.

Komponenten von LDAP

Attribut: Die Daten im LDAP-System werden in Schlüssel-Wert-Paaren gespeichert, die als Attribute bezeichnet werden. Sie können einen Attributwert festlegen, indem Sie den Namen und den Wert durch einen Doppelpunkt und ein Leerzeichen trennen. z.B.

Mail: [email protected]

Verwenden Sie ein Gleichheitszeichen, um auf ein Attribut und seine Daten zu verweisen, ohne es festzulegen. z.B.

[email protected]

Zu den am häufigsten verwendeten Attributen gehören:
- ou: Organisationseinheit
- _ dn_: Distinguished Name
- cn: gebräuchlicher Name
- Beschreibung
- dc: Domänenkomponente
- givenName: Vorname
- mail: E-Mail-Adresse
- sn: Nachname

Einträge: Ein Eintrag ist eine Sammlung von Attributen, die mit etwas verknüpft sind oder etwas beschreiben. Ein Eintrag könnte ein Benutzer in Ihrem System sein. Betrachten Sie es als eine Zeile in einer relationalen Datenbank. Jeder Eintrag besteht aus:
– ein Distinguished Name (identifiziert eindeutig einen bestimmten Eintrag in der DIT-Hierarchie
- eine Sammlung von Attributen (sie enthalten die Daten für den Eintrag)
- eine Sammlung von Objektklassen (sie geben an, welche Art von Objekt ein Eintrag darstellt, z. B. Informationen über ein Gerät oder eine Person)

dn: ou=Users,dc=example,dc=com,uid=jd001
objectClass: EntUsers
cn: Jane Doe
sn: Doe
mail: [email protected]
uid: jd001

Suchfilter: werden zum Definieren der Kriterien zum Identifizieren von Einträgen verwendet, die bestimmte Arten von Informationen enthalten.
LDAP-URLS: Diese URL enthält verschiedene Informationen, die auf einen Verzeichnisserver oder ein Suchkriterium verweisen können.

Hauptbetreiber von LDAP

1. Hinzufügen: Einen neuen Eintrag in das Verzeichnis einfügen.
2. Ändern: Vorhandene Verzeichniseinträge ändern.
3. Bind: Authentifizieren und verbinden Sie den LDAP-Client mit dem Server.
4. Löschen: Verzeichniseinträge entfernen.

LDAP wird von Microsoft Active Directory und anderen Verzeichnisservern wie OpenLDAP und Red Hat Directory Server verwendet. Um LDAP innerhalb eines Unternehmens einzurichten, benötigen Sie einen Verzeichnisserver, Benutzer mit unterschiedlichen Berechtigungen, abfragbare Verzeichnisdaten und eine LDAP-Client-Anwendung.
-