Lightweight Directory Access Protocol
Anwendung | LDAP | ||||
Transport | UDP | TCP | |||
Internet | IP (IPv4, IPv6) | ||||
Netzzugang | Ethernet | Token Bus |
Token Ring |
FDDI | … |
Das Lightweight Directory Access Protocol (LDAP), deutsch etwa Leichtgewichtiges Verzeichniszugriffsprotokoll, ist ein Netzwerkprotokoll zur Abfrage und Änderung von Informationen verteilter Verzeichnisdienste. Seine aktuelle und dritte Version ist in RFC 4510 bis RFC 4532 spezifiziert, das eigentliche Protokoll in RFC 4511.[1]
LDAP ist der De-facto-Industriestandard für Authentifizierung, Autorisierung sowie Adress- und Benutzerverzeichnisse. Die meisten Softwareprodukte, die mit Benutzerdaten umgehen müssen und am Markt relevant sind, unterstützen LDAP.
Standardport ist:
- 389 für ungesicherte oder mit STARTTLS gesicherte Verbindungen[2]
- 636 für mit TLS gesicherte Verbindungen (LDAPS).[3]
Verbindungsloses LDAP wie per UDP war nie weit verbreitet und ist längst außerhalb der Standardisierung.[4]
Überblick
BearbeitenLDAP basiert auf dem Client-Server-Modell[5] und wird bei Verzeichnisdiensten (englisch directories oder directory services) eingesetzt.[6] Es beschreibt die Kommunikation zwischen dem LDAP-Client und dem Verzeichnis-(Directory-)Server. Aus einem solchen Verzeichnis können objektbezogene Daten, z. B. Personendaten oder Rechnerkonfigurationen, ausgelesen werden.[7] Die Kommunikation erfolgt auf Basis von Abfragen.[8]
Hierbei ist „Verzeichnis“ im Sinne beispielsweise eines Telefonbuches gemeint und nicht im Sinne von „Dateiordner“.
Das Verzeichnis kann beispielsweise ein Adressbuch enthalten: In seinem E-Mail-Client stößt ein Nutzer die Aktion Suche die Mailadresse von Joe User an. Der E-Mail-Client formuliert eine LDAP-Abfrage an das Verzeichnis, das die Adressinformationen bereitstellt. Das Verzeichnis formuliert die Antwort und übermittelt sie an den Client: joe.user@example.org.
LDAP bietet alle Funktionen, die für eine solche Kommunikation notwendig sind:
- Anmeldung am Server (bind)
- die Suchabfrage (Suche mir bitte alle Informationen zum Benutzer mit dem Namen „Joe User“)
- die Modifikation der Daten (Ändere das Passwort des Benutzers Joe User).
Mittlerweile hat sich im administrativen Sprachgebrauch eingebürgert, dass man von einem LDAP-Server spricht,[9] wenn man einen Directory-Server meint, dessen Datenstruktur der LDAP-Spezifikation entspricht und der über das LDAPv3-Protokoll, das in RFC 2251[10] festgelegt wurde, Daten austauschen kann.
Neuere Implementierungen, die über RFC 2251[10] hinausgehen, indem sie zusätzlich die Replikation der Daten zwischen verschiedenen Verzeichnissen berücksichtigen, sind Gegenstand für eine mögliche Erweiterung des Protokolls.[11]
Geschichte
BearbeitenLDAP wurde an der Universität von Michigan (UMich) entwickelt und 1993 erstmals im RFC 1487[12] vorgeschlagen.[13] Gleichzeitig stellte die UMich die erste Serverimplementierung vor, die heute als „UMich-LDAP“ bekannt ist.
LDAP ist eine vereinfachte ("lightweight") Alternative zum Directory Access Protocol (DAP), das als Teil des X.500-Standard spezifiziert ist.[14] Der X.500-Standard ist sehr umfangreich und setzt auf einem vollständigen ISO/OSI-Stack auf, was die Implementierung schwierig und hardwareintensiv machte.
LDAP wurde mit dem Ziel entwickelt, Verzeichnisdienste einfacher und somit populärer zu machen. LDAP setzt auf einen TCP/IP-Stack auf und implementiert nur eine Auswahl der DAP-Funktionen und -Datentypen.[15] Dadurch ließ sich LDAP auch auf Arbeitsplatzrechnern der frühen 1990er Jahre implementieren und gewann eine breite Anwendungsbasis.
LDAP und X.500
BearbeitenLDAP ist ein Zugriffsmechanismus gemäß X.500 und äußerlich auf dessen Dienst- und Datenmodelle festgelegt.[16] Im Hintergrund jedoch lässt LDAP alles offen und jegliches Verzeichnissystem zu. Es gibt auch keine Festlegung vom LDAP auf einen bestimmten Unterbau wie TCP oder IP.
Wo X.500 in seinem Directory Access Protocol (DAP) mehrere aufeinander aufbauende Nachrichten erfordert, kann im LDAP eine einzige zusammengefasste Nachricht genügen.[17]
Funktionsweise
BearbeitenUm eine Übersicht über die Funktionsweise einer LDAP-Architektur zu bekommen, ist es notwendig, dass man zwischen der Organisation des LDAP-Verzeichnisses und dem Protokoll LDAP unterscheidet.
LDAP-Verzeichnis
BearbeitenDie Datenstruktur eines LDAP-Verzeichnisses ist durch einen hierarchischen Baum mit Wurzeln, Zweigen und Blättern gegeben.[18] Dieser Baum wird auch Directory Information Tree (DIT) genannt.[19] Die Wurzel (root, suffix) ist das oberste Datenobjekt, unter ihm verzweigen sich die höheren Strukturen.[20]
Beispiel: Wird ein LDAP-Verzeichnis in einem Unternehmen mit dem Namen ACME eingesetzt, so kann die Organisation als Wurzel definiert werden: o=acme.
Personen können in Zweigen unterhalb dieser Wurzel hinterlegt werden: ou=Personen,o=acme.
Gruppen können in anderen Zweigen unterhalb der Wurzel hinterlegt werden: ou=Gruppen,o=acme.
Damit die Organisation der Daten nicht willkürlich geschieht, verwendet jedes LDAP-Verzeichnis eine bestimmte, genormte und gegebenenfalls erweiterte Struktur. Die Struktur wird durch das verwendete Schema definiert.[21] Ein LDAP-Schema definiert jeweils Objekt-Klassen mit ihren Attributen, z. B. die Klasse person oder die Klasse organisation.
Die Verzeichniseinträge heißen LDAP-Objekte.[22] Jedes Objekt gehört zu mindestens einer, in der Regel aber zu mehreren Klassen.[23] So sind für die Daten einer Person, ihrer E-Mail-Adresse und ihrer Passwörter nicht etwa drei Objekte notwendig, sondern dasselbe Objekt gehört zu drei Klassen. Diese könnten in diesem Beispiel person, inetOrgPerson und POSIX-Benutzerkonto heißen.
Es gibt drei Arten von Objektklassen:
- Da ein Objekt zu mindestens einer strukturellen Klasse gehören muss, ist dies die Standardeinstellung.
- Daneben gibt es noch Hilfsklassen, welche verschiedenartigen Objekten gleiche Attribute zuweisen.
- Zu guter Letzt existieren noch abstrakte Basisklassen, von denen keine Objekte, sondern nur untergeordnete Basisklassen erzeugt werden können.
Jedes Objekt ist eigenständig und aus Attributen zusammengesetzt.[24] Ein einzelnes Objekt wird eindeutig durch den Distinguished Name (DN) identifiziert,[25] z. B. uid=juser,ou=People,ou=webdesign,c=de,o=acme. Dieser setzt sich aus einzelnen Relative Distinguished Names (RDN) zusammen.[26]
Eine andere Schreibweise für den DN ist der canonical name, der keine Attribut-Tags wie ou oder c enthält und bei dem die Trennung zwischen den RDNs durch Schrägstriche erfolgt;[27] außerdem beginnt die Reihenfolge, im Gegensatz zum DN, mit dem obersten Eintrag, also z. B. acme/de/webdesign/People/juser.
Jedes Attribut eines Objekts hat einen bestimmten Typ und einen oder mehrere Werte. Die Typenbezeichnungen der Attribute sind meist einfach zu merkende Kürzel, z. B.:
- cn für common name
- sn für surname (Nachname)
- ou für organizational unit
- st für state (Bundesstaat / -land)
- c für country
- mail für e-mail address.
Die erlaubten Werte eines Attributs sind vom Typ abhängig. So könnte ein mail-Attribut die Adresse hans.wurst@example.com enthalten, ein jpegPhoto-Attribut dagegen würde ein Foto als binäre Daten im JPEG-Format speichern. Die in der Objektklasse definierten Attribute können entweder obligatorisch (mandatory) oder optional sein.
Die Objekte werden in einer hierarchischen Struktur gespeichert, die politische, geographische oder organisatorische Grenzen widerspiegelt. Die größten Einheiten werden an die Wurzel des Verzeichnisbaumes gestellt, der sich nach unten immer weiter auffächert. Während Objekte, die selbst Objekte enthalten, als Containerobjekte bezeichnet werden, heißen die „Enden“ des Baumes Blattobjekte.[28]
Wenn einzelne LDAP-Server für einzelne Teile des Verzeichnisbaumes zuständig sind, spricht man von Partitionen.[29] Stellt ein Client eine Anfrage, für die der Server nicht zuständig ist, so kann der Server den Client an einen anderen Server verweisen.
LDAP-Server lassen sich redundant aufbauen. Hierzu wird oft eine Master-Slave-Konfiguration verwendet. Versucht ein Client, Daten auf einem Slave-Server zu ändern, so wird er an den Master verwiesen; die Änderungen auf dem Master-Server werden dann an alle Slave-Server weitergegeben.
Da viele verschiedene Schemata in verschiedenen Versionen in Benutzung sind, ist die Vorstellung eines „globalen“ alles umfassenden LDAP-Verzeichnisses nicht real. LDAP-Server werden als zentraler Verzeichnisdienst für verschiedene Zwecke in verschiedenen Größen eingesetzt, die Objekthierarchie bleibt aber in der Regel auf eine Organisation beschränkt.
Protokoll
BearbeitenLDAP ist ein Protokoll der Anwendungsschicht (Applicationlayer) nach dem für TCP verwendeten DoD-Vier-Schichten-Modell und arbeitet mittels genau spezifizierter Zugriffs-Prozesse:
- bind
- Mit der bind-Direktive vermittelt man dem Directory-Server über einen DN, wer den Zugriff durchführen möchte (entweder anonym, per Passwort-Authentifizierung oder anders)
- baseDN
- Die BaseDN definiert, wo im Verzeichnisbaum abwärts die Suche nach bestimmten Objekten gestartet werden soll. Die Suche kann festgelegt werden auf eine Suche über
- genau dieses Objekt (base)
- dieses Objekt und alles darunter (sub)
- eine Ebene unterhalb des BaseDNs (one).
Ansonsten gelten die notwendigen Such-Spezifikationen wie Suchoperator (Beispiel (&(mail=joe*)(ou=people))), Server-Benennung (z. B. ldap.acme.com) oder Port-Benennung.
Beispiel
BearbeitenBeispiel für eine LDAP-Suchanfrage durch ein Kommandozeilenprogramm:
ldapsearch -h ldap.acme.com -p 389 -s sub -D "cn=Directory Manager,o=acme" -W -b "ou=people,o=acme" "(&(mail=joe*)(c=de))" mail
Erklärung: Das Kommandozeilenprogramm kontaktiert über LDAP
- den Directory-Server (d. h. den Host, deswegen das -h)
ldap.acme.com
- auf Port
389
- und meldet sich über das Benutzerkonto des
Directory Managers
an diesem System an; - das Passwort wird interaktiv abgefragt (
-W
). - Die Anfrage zielt auf alle Benutzereinträge (
-s sub
, d. h. unterhalb, des Zweiges (englisch branch, daher das -b)ou=people,o=acme
) - und sucht nach Personen aus Deutschland, deren Mailadresse mit
joe
beginnt ((&(mail=joe*)(c=de))
). - Werden Personen gefunden, auf die dieser Filter passt, so wird deren Mailadresse zurückgegeben (
mail
).
Anwendungen
BearbeitenLDAP wird heutzutage in vielen Bereichen eingesetzt, beispielsweise:
- in Adressbuch-Software wie Apple Adressbuch, HCL Notes, Microsoft Outlook, Mozilla Thunderbird, Novell Evolution, der OpenOffice.org- und LibreOffice-Serienbrieferstellung und dem Mailprogramm The Bat
- in Benutzerverwaltungs-Software wie NetIQ eDirectory, Apple Open Directory, POSIX-Benutzerkonten, Microsoft Active Directory Service
- in Authentifizierungs-Software wie PAM
- zur Verwaltung von Benutzerdaten für SMTP-, POP- und IMAP-Server sowie in folgenden Mailservern: postfix, qmail, exim, Lotus Domino, sendmail, Cyrus, Courier; auch in den dazugehörigen Antispam-Aufsätzen SpamAssassin und Amavisd.
LDAP und hierarchische Datenbanken
BearbeitenLDAP agiert als Frontend zu hierarchischen Datenbanken. LDAP an sich ist keine Datenbank, sondern lediglich das Protokoll zur Kommunikation.
Potentielle Probleme
BearbeitenKeine Normalformen
BearbeitenHierarchische Datenbanken erzwingen keine Normalformen, z. B. können multivalued attributes erlaubt sein.
Abfragesprache
BearbeitenLDAP unterstützt nicht alle relationalen Operationen:
- Projektion (Spaltenauswahl): wird unterstützt, allerdings nur ohne Erzeugung errechneter Attribute
- Selektion (Zeilenauswahl): wird unterstützt
- Kreuzprodukt (JOIN): wird nicht unterstützt
- Spaltenumbenennung (Rename, AS): wird nicht unterstützt (es gibt keinen „Dereferenziere diesen DN“-Operator, damit existiert auch kein Selfjoin)
- Aggregation (GROUP BY): muss mit Schleifen im Client auscodiert werden.
Anders als SQL ist die LDAP-Abfragesprache keine Algebra, weil ihr die Abgeschlossenheit fehlt: Abfrageergebnisse von LDAP-Anfragen sind keine LDAP-Bäume, sondern Knotenmengen; daher ist die LDAP-Abfragesprache auch nicht auf LDAP-Ergebnisse anwendbar, um sie zu verfeinern.
Stärken
BearbeitenAutorisierung und Authentifizierung
BearbeitenDas Protokoll und LDAP-Server sind auf Authentifizierung (Passwortprüfung), Autorisierung (Rechteprüfung) und Adressbuch-Suchen optimiert. Der schnelle Verbindungsauf- und -abbau, das einfach strukturierte Protokoll und die knappe Abfragesprache sorgen für eine schnelle Verarbeitung.
Schneller Lesezugriff
BearbeitenDurch seine nicht normalisierte Datenspeicherung kann auf alle Daten eines LDAP-Datensatzes sehr schnell zugegriffen werden, weil alle Daten sofort mit einem einzigen Lesezugriff ausgelesen werden können.
Verteilte Datenhaltung
BearbeitenLDAP bietet verteilte Datenhaltung, z. B. redundante lokale Datenspeicherung an verteilten Standorten, lose gekoppelte Replikation zum Datenabgleich zwischen den Standorten und extrem hohe Verfügbarkeit ohne komplexe Konfiguration oder hohe Kosten.
Flexibles, voll objektorientiertes Datenmodell
BearbeitenLDAP erbt vom X.500-Standard das objektorientierte Datenmodell. Damit können LDAP-Verzeichnisse flexibel an volatile Anforderungen angepasst werden, ohne dass bereits im Verzeichnis implementierte Funktionalität verlorengeht.
LDAP-Software
BearbeitenLDAP-Server
BearbeitenViele Hersteller bieten LDAP-Server, beispielsweise:
- Apache Software Foundation (FLOSS-Variante Apache Directory Server)
- Apple (durch Open Directory)
- Atos (durch DirX Directory Server; übernommen von Siemens IT Solutions and Services)
- ForgeRock (Weiterentwicklung eines Sun-Forks seit der Übernahme von Sun durch Oracle 2010)
- HCL Technologies (durch Tivoli Directory Server bzw. HCL Domino Server mit LDAP-Task)
- Microsoft (durch Active Directory beziehungsweise ADAM) (Service wird installiert, wenn Windows zum Domain Controller wird)
- Novell (durch eDirectory)
- OpenLDAP (FLOSS-Variante für eine Vielzahl unterschiedlicher Plattformen)
- Oracle (durch Oracle Internet Directory)
- Red Hat (FLOSS-Variante 389 Directory Server)
- Sun (durch Sun Java System Directory Server; übernommen durch Oracle)
- Univention (durch Univention Corporate Server (UCS) mit OpenLDAP)
LDAP-Clients
BearbeitenClient-Software erlaubt den Zugriff auf die Verzeichnisdaten, zum Beispiel:
- cURL: quelloffenes Kommandozeilenwerkzeug, das auch LDAP unterstützt.[30]
- Active Directory Explorer: Ein kostenloser LDAP-Client von Sysinternals für Windows
- JXplorer: quelloffener Client, der in Java entwickelt wurde.
- LDAP Browser: Ein kostenloser LDAP-Client für Windows
- LDAP Administrator: Ein erweitertes LDAP-Verwaltungstool, das zur Arbeit mit fast allen LDAP-Servern entwickelt wurde einschließlich Active Directory, Novell Directory Services, Netscape/iPlanet usw.
- LDAP Admin: LDAP-Client, der zur Arbeit unter Windows entwickelt wurde.
- Apache Directory Studio: Ein plattformübergreifender Client, der in Java von Apache Software Foundation entwickelt wurde.
- GQ: Client, der in GTK+/GTK2 unter GPL für GNU/Linux entwickelt wurde.
- LDAP Account Manager: Webfrontend für die Verwaltung diverser Kontotypen in einem LDAP-Verzeichnis. Es wurde in PHP geschrieben.
- Luma: QT4-basierter Client für Linux. Der Einsatz von Plugins ermöglicht eine einfache Verwaltung von Benutzerkonten, Adressbücher usw.
- phpLDAPadmin: Ein plattformübergreifender webbasierter Client, der unter GPL in PHP zur einfachen Verwaltung von LDAP-Verzeichnissen entwickelt wurde.
- FusionDirectory: GPL-lizenzierte Web-Anwendung, die in PHP zum einfachen Verwalten von LDAP-Verzeichnissen und allen dazugehörenden Diensten entwickelt wurde. Es hat sich zu einem IDM entwickelt.[31]
- ldap-csvexport: GPL-lizenziertes, Perl-Kommandozeilentool für den Export von LDAP-Daten als CSV mit vielen Features.
- ldap-preg_replace: GPL-lizenziertes, Perl-Kommandozeilentool für das massenhafte Ändern von Attributen mit regulären Ausdrücken.
Siehe auch
BearbeitenLiteratur
Bearbeiten- Dieter Klünter, Jochen Laser: LDAP verstehen, OpenLDAP einsetzen. Grundlagen und Praxiseinsatz. dpunkt.verlag, Heidelberg 2007, ISBN 978-3-89864-263-7.
- Gerald Carter: LDAP System Administration. O’Reilly, 2003.
Weblinks
Bearbeiten- Introduction to LDAP. (PDF; 2,4 MB) quark.humbug.org.au
- Einführender Artikel zu OpenLDAP. In: Linux Magazin.
Einzelnachweise
Bearbeiten- ↑ Jim Sermersheim: RFC – Lightweight Directory Access Protocol (LDAP): The Protocol [Errata: RFC 4511]. Juni 2006 (löst ab, englisch).
- ↑ RFC – Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms. (englisch).
- ↑ Service Name and Transport Protocol Port Number Registry. IANA, abgerufen am 16. Juni 2023.
- ↑ K. Zeilenga: RFC – Connection-less Lightweight Directory Access Protocol (CLDAP) to Historic Status. März 2003 (englisch).
- ↑ Justin Parisi: LDAP::LDAP Servers and Clients – Part 5. In: Why Is The Internet Broken? 29. Juli 2015, abgerufen am 26. Februar 2018 (englisch).
- ↑ Kapitel 22. Grundlagen der Vernetzung / 22.9. LDAP – Ein Verzeichnisdienst. In: Administrationshandbuch. SUSE LINUX, abgerufen am 26. Februar 2018.
- ↑ Frank-Michael Schlede, Thomas Bär / Andreas Donner: Was ist LDAP (Lightweight Directory Access Protocol)? In: IP Insider. 1. August 2017, abgerufen am 26. Februar 2018.
- ↑ Holger Kattner: LDAP-Abfragen erstellen. In: Computerwoche - TEC Workshop. 1. September 2006, abgerufen am 26. Februar 2018.
- ↑ Choosing an LDAP Server. In: LDAP.com. UnboundID, 2015, archiviert vom (nicht mehr online verfügbar) am 27. Februar 2018; abgerufen am 26. Februar 2018 (englisch).
- ↑ a b RFC – Lightweight Directory Access Protocol (v3). Dezember 1997 (englisch).
- ↑ 18. Replication. In: OpenLDAP. OpenLDAP Foundation, 2011, abgerufen am 26. Februar 2018 (englisch).
- ↑ RFC – X.500 Lightweight Directory Access Protocol. Juli 1993 (englisch).
- ↑ The Most Complete History of Directory Services You Will Ever Find. 13. April 2012, abgerufen am 26. Februar 2018 (englisch).
- ↑ Petra Haberer: Geschichte und Versionen von LDAP – ‘Leightweight’-Zugang zu X.500. In: LDAP verstehen. MitLinX Internetdienstleistungen, abgerufen am 26. Februar 2018.
- ↑ About Lightweight Directory Access Protocol – What is LDAP? In: Microsoft Developer Network (MSDN). Microsoft, abgerufen am 26. Februar 2018 (englisch).
- ↑ Kurt Zeilenga: RFC – Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map. Juni 2006, Abschnitt 2: Relationship to X.500. (löst ab, englisch).
- ↑ Jim Sermersheim: RFC – Lightweight Directory Access Protocol (LDAP): The Protocol [Errata: RFC 4511]. Juni 2006, Abschnitt 3: Protocol Model. (löst ab, englisch).
- ↑ Margaret Rouse: LDAP (Lightweight Directory Access Protocol). In: Search Networkling.de. TechTarget Germany, Juni 2014, abgerufen am 26. Februar 2018.
- ↑ Directory Information Tree. In: LDAP Setup and Configuration Guide. Oracle Corporation, 2010, abgerufen am 26. Februar 2018 (englisch).
- ↑ DIT and the LDAP Root DSE. In: LDAP.com. UnboundID, 2015, archiviert vom (nicht mehr online verfügbar) am 27. Februar 2018; abgerufen am 26. Februar 2018 (englisch).
- ↑ Petra Haberer: Schema, Objektklassen und Verzeichniseinträge. In: LDAP Objektklassen und Schemas. mitlinx.de, abgerufen am 28. Februar 2018.
- ↑ Philipp Föckeler: LDAP Objekte im Verzeichnis suchen (ADO). In: SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial. Abgerufen am 1. März 2018.
- ↑ Thomas Bendler, Steffen Dettmer: 2 Eine kleine Einführung in LDAP. In: Das Lightweight Directory Access Protocol. Abgerufen am 1. März 2018.
- ↑ Philipp Föckeler: LDAP Objekt-Attribute lesen. In: SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial. Abgerufen am 1. März 2018.
- ↑ Philipp Föckeler: LDAP Pfadnamen - Distinguished Names. In: SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial. Abgerufen am 1. März 2018.
- ↑ Oracle: Distinguished Names and Relative Distinguished Names. In: Understanding the LDAP Binding Component. Abgerufen am 2. März 2018 (englisch).
- ↑ Microsoft: Canonical-Name attribute. In: Micorosoft Developer Network (MSDN). Abgerufen am 2. März 2018 (englisch).
- ↑ Patrick Schnabel: Verzeichnisdienste (X.500) - Objekte (X.500). In: Elektronik Kompendium. Abgerufen am 2. März 2018.
- ↑ The Apache Software Foundation: 1.4.3 - Adding your own partition. In: Apache Directory. 2018, abgerufen am 2. März 2018.
- ↑ RFC – An LDAP URL Format. (englisch).
- ↑ Qu’est-ce que FusionDirectory ? In: Fusiondirectory est une solution de gestion des identités. Abgerufen am 29. Januar 2021 (französisch).