Lightweight Directory Access Protocol
Z Wikipedii
Ten artykuł wymaga dopracowania zgodnie z zaleceniami edycyjnymi. Po naprawieniu wszystkich błędów można usunąć tę wiadomość. |
Lightweight Directory Access Protocol (LDAP). Jest to "lekki" protokół przeznaczony do dostępu do usług katalogowych.
Bazuje na usługach katalogowych X.500. Wykorzystywany praktycznie w adresacji sieci Internet/Intranet w celu zapewnienia niezawodności, skalowalności i bezpieczeństwa danych. W odróżnieniu od X.500 nie potrzebuje ani szerokiego pasma ani dużej mocy obliczeniowej. LDAP pracuje w oparciu o protokół TCP/IP lub inne połączeniowe usługi transportu. Dane grupowane są w strukturze przypominającej drzewo katalogów. Każdy obiekt jest jednoznacznie identyfikowany poprzez swoje położenie w drzewie - tzw. distinguished name (DN).
Słowo "katalog" oznacza raczej kartotekę, niż znany "folder", dlatego myślenie o LDAP w kategoriach kartoteki znacznie ułatwi pojęcie co to takiego.
LDAP (Lightweight Directory Access Protocol) – jest to serwis katalogowy pozwalający na wymianę informacji ponad protokołem TCP/IP. LDAP w wielu sytuacjach uznawane jest za rozwiązanie lepsze od innych usług katalogowych, ponieważ korzystając z TCP/IP (które działa tylko w warstwie transportowej modelu OSI) daje niezwykle szybkie odpowiedzi na żądania zgłaszane przez klienta.
Klient LDAP ma możliwość wykonania następujących funkcji:
- bind / unbind
- search
- modify
- add
- delete
Funkcją operacji bind jest inicjacja sesji pomiędzy klientem a serwerem. Pozwala ona na uwierzytelnienie klienta na serwerze. Operacja bind musi być pierwszym żądaniem otrzymanym przez serwer od klienta w LDAP sesji. Operacja bind wymaga potwierdzenia odbioru od serwera, w którym znajduje się znak potwierdzenia oraz informacja na temat statusu żądania klienta. Natomiast funkcją operacji unbind jest kończenie połączenia w sesji LDAP. Funkcja unbind nie potrzebuje potwierdzenia – połączenie jest po prostu kończone.
Operacja search daje możliwość klientowi zgłoszenia żądania poszukiwanego zasobu, które będzie realizowane przez serwer. W ten sposób klient może pobierać oraz wyszukiwać informacje.
Operacja modify zezwala klientowi na modyfikowanie, wprowadzanie nowych pozycji oraz ich usuwanie z bazy danych znajdującej się na serwerze.
Operacja add daje klientowi możliwość zgłoszenia żądania dodania wpisów do katalogu, zmiany istniejącego wpisu oraz zmiany nazwy wpisu.
Operacja delete zezwala klientowi na żądanie usunięcia wpisów do katalogu.
Informacje w katalogu są przechowywane w postaci wpisów (Entries). Każdy wpis jest obiektem jednej lub wielu klas. Klasy mogą być dziedziczone. Każda klasa składa się z jednego lub wielu atrybutów, które mogą być opcjonalne lub obowiązkowe. Istnieje wiele podstawowych typów atrybutów. Atrybuty mogą mieć więcej niż jedną wartość. Można tworzyć swoje klasy i atrybuty. Wpisy są identyfikowane jednoznacznie przez DN (Distinguished Name). Mogą być również identyfikowane względem nadrzędnego wpisu (kontekstu) poprzez RDN (Relational Distinguished Name). Dostęp do wpisu chroniony jest poprzez listy kontroli dostępu (ACL – Access Control List). Można tworzyć uprawnienia dla kontekstów, wpisów oraz poszczególnych atrybutów. Wpisy mogą być eksportowane / importowane do / z plików tekstowych w specjalnych formacie LDIF (LDAP Data Interchange Format). Format LDIF jest to format wymiany danych protokołu LDAP. W tych plikach znajdują się instrukcje manipulujące informacjami katalogowymi.
Wszystkie wpisy zorganizowane są w postaci struktury drzewa katalogowego, najczęściej bazującego na politycznej, geograficznej lub organizacyjnej strukturze (struktura hierarchiczna).
Atrybuty występujące w pliku schematów core.schema:
- UID (User Identifier) Identyfikator użytkownika ,
- RID (Relative Identifier) czyli liczba reprezentująca względny identyfikator użytkownika ,
- CN (Common Name) Nazwa,
- SN (Surname) Nazwisko,
- OU (Organizational Unit) Jednostka organizacyjna,
- O (Organization) Jednostka,
- DC (Domain Component) Składnik nazwy domenowej,
- C (Country) Państwo
Uwierzytelnianie i autoryzacja: Istnieją następujące sposoby uwierzytelnień:
- anonimowe – klient ma prawa wbudowanego użytkownika guest,
- na hasło – użytkownik loguje się poprzez dn / hasło,
- SSL – następuje wymiana certyfikatów,
- PROXY – wykorzystywane przez aplikacje, która uwierzytelnia się na hasło użytkownika PROXY, a następnie działa w imieniu zadanego użytkownika. Takie uwierzytelnienie stosuje serwis DAS.
Autoryzacja wykonywana jest podczas wykonywania operacji, a nie po uwierzytelnieniu.
[edytuj] Zobacz też
Warstwa aplikacji
ADSP (AppleTalk) • APPC • AFP (AppleTalk) • DAP • DLC • DNS53 • ed2k • FTAM • FTP20,21 • Gopher • HTTP80 • HTTPS443 • IMAP143 • IRC194,529 • Named Pipes • NCP524 • NetBIOS137,138,139 • NWLink • NBT • NNTP119 • NTP123 • PAP • POP3110 • RPC • RTSP • SNMP161,162 • SMTP25 • SMB • SSL/TLS • SSH22 • TDI • Telnet23 • X.400 • X.500 • XDR • ZIP (AppleTalk)
(Cyfry w indeksie oznaczają numery portu)
Warstwa transportowa
ATP (AppleTalk) • NBP (AppleTalk) • NetBEUI • RTP • RTMP (AppleTalk) • SPX • TCP • UDP • SCTP
Warstwa sieciowa
IP • ICMP • IPsec • NAT • IPX • NWLink • NetBEUI • DDP (AppleTalk)
Warstwa dostępu do sieci
ARP • 10BASE-T • 802.11 WiFi • ADSL • Ethernet • EtherTalk • FDDI • Fibre Channel • ISDN • LocalTalk (AppleTalk) • NDIS • ODI • PPP • RS-232 • SLIP • Token Ring • TokenTalk (AppleTalk) • V.90