Lightweight Directory Access Protocol
aus Wikipedia, der freien Enzyklopädie
| Anwendung | LDAP | |||
| Transport | UDP | TCP | ||
| Internet | IP | |||
| Netzwerk | Ethernet | Token Ring |
FDDI | ... |
Das Lightweight Directory Access Protocol (LDAP) /ˈlaɪtweɪt .../ ist in der Computertechnik ein Netzwerkprotokoll, das die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes (eine im Netzwerk verteilte hierarchische Datenbank) erlaubt. Die aktuelle Version ist in RFC 4511 spezifiziert.
Inhaltsverzeichnis |
[Bearbeiten] Überblick
LDAP ist ein Netzwerkprotokoll, das bei sogenannten Verzeichnisdiensten (engl. directories) zum Einsatz kommt. Es vermittelt die Kommunikation zwischen dem sogenannten LDAP-Client und dem Verzeichnis (Directory Server). Aus einem solchen Verzeichnis können objektbezogene Daten, z. B. Personendaten, Rechnerkonfigurationen, etc. ausgelesen werden. Die Kommunikation erfolgt abfragebasiert.
Zum Beispiel kann das Verzeichnis ein Adressbuch enthalten: In seinem E-Mail-Client stößt ein User die Aktion Suche mir die Mailadresse von Joe User heraus an. Der E-Mail-Client formuliert eine LDAP-Abfrage an das Verzeichnis (Directory-Server), das die Adressinformationen bereitstellt. Das Verzeichnis formuliert die Antwort und übermittelt sie an den Client: joe.user@acme.invalid.
Mittlerweile hat sich im administrativen Sprachgebrauch eingebürgert, dass man von einem LDAP-Server spricht. Damit meint man einen Directory-Server, dessen Daten-Struktur der LDAP-Spezifikation entspricht und der über das Netzwerkprotokoll LDAPv3 Daten mit Client-Systemen austauschen kann.
Das Protokoll bietet alle Funktionen, die für eine solche Kommunikation notwendig sind: Anmeldung am Server (sogenannte bind), die Suchabfrage (Suche mir bitte alle Informationen zum Benutzer mit dem Namen 'Joe User') und die Modifikation der Daten (Beim Benutzer 'Joe Cool' ändere bitte das Passwort).
Neuere Implementierungen, die über RFC 2251 hinausgehen und Gegenstand für eine mögliche Erweiterung des Protokolls sind, berücksichtigen die Replikation der Daten zwischen verschiedenen Directories.
[Bearbeiten] Geschichte
LDAP wurde an der Universität von Michigan (UMich) entwickelt und 1993 erstmals im RFC 1487 vorgeschlagen. Zeitgleich stellte die UMich die erste Serverimplementation vor, die heute als "UMich-LDAP" bekannt ist. Das LDAP ist eine vereinfachte Alternative zum Directory Access Protocol (DAP), welches als Teil des X.500-Standard spezifiziert ist. Der X.500-Standard ist sehr umfangreich und setzt auf einem vollständigen ISO/OSI-Stack auf, was die Implementierung schwierig und hardwareintensiv machte. LDAP wurde mit dem Ziel entwickelt, Verzeichnisdienste einfacher und somit populärer zu machen. LDAP setzt auf einem TCP/IP-Stack auf und implementiert nur eine Auswahl der DAP-Funktionen und Datentypen. Dadurch ließ sich LDAP auch auf Arbeitsplatzrechnern der frühen Neunzigerjahre implementieren und gewann eine breite Anwendungsbasis.
[Bearbeiten] LDAP und X.500
Während X.500 eine sehr strenge Implementierung der Directory-Daten erfordert und von der Protokollseite her mit DAP einen viel größeren Funktions- und Kontrollumfang als LDAP besitzt, hat sich gezeigt, dass diese Architektur gerade deswegen einer breiteren Verteilung in vielen Unternehmen im Wege steht. Die Entscheidung, eine „lightweight“-Version des DAP-Protokolls zu implementieren, führte zu einer hohen Flexibilität in den Netzwerken, so dass solche Verzeichnisse zum ersten Mal „Internet-tauglich“ wurden.
[Bearbeiten] Funktionsweise
Um eine Übersicht über die Funktionsweise einer LDAP-Architektur zu bekommen, ist es notwendig, dass man zwischen der Organisation des LDAP-Verzeichnisses und dem Protokoll LDAP unterscheidet.
[Bearbeiten] LDAP-Verzeichnis
Die Datenstruktur eines LDAP-Verzeichnisses ist durch einen hierarchischen Baum mit Wurzeln, Zweigen und Blättern gegeben. Die Wurzel (root, suffix) ist das oberste Datenobjekt, unter ihm verzweigen sich die höheren Strukturen. Beispiel: Wird ein LDAP-Verzeichnis in einem Unternehmen mit dem Namen ACME eingesetzt, kann die Organisation als Wurzel definiert werden: o=acme.
Personen können in Zweigen unterhalb dieser Wurzel hinterlegt werden: ou=Personen,o=acme
Gruppen können in anderen Zweigen unterhalb der Wurzel hinterlegt werden: ou=Gruppen,o=acme
Damit die Organisation der Daten nicht vollkommen willkürlich geschieht, verwendet jedes LDAP-Verzeichnis eine bestimmte (genormte und ggf. erweiterte) Struktur. Die Struktur wird durch das verwendete Schema definiert. Ein LDAP-Schema definiert jeweils Objekt-Klassen mit ihren Attributen, z. B. die Klasse person oder die Klasse organisation.
Die Verzeichniseinträge heißen LDAP Objekte. Jedes Objekt gehört zu mindestens einer, in der Regel aber zu mehreren Klassen. So sind für die Daten einer Person, ihrer E-Mail-Adresse und ihrer Passwörter nicht etwa drei Objekte notwendig, sondern dasselbe Objekt gehört zu drei Klassen. Diese könnten in diesem Beispiel person, inetOrgPerson und posixAccount heißen.
Es gibt drei Arten von Objektklassen: Da ein Objekt zu mindestens einer strukturellen Klasse gehören muss, ist dies die Standardeinstellung. Daneben gibt es noch Hilfsklassen, welche dazu benutzt werden können, verschiedenartigen Objekten gleiche Attribute zuzuweisen. Zuguterletzt existieren noch abstrakte Basisklassen, von denen keine Objekte, sondern nur untergeordnete Basisklassen erzeugt werden können.
Jedes Objekt ist eigenständig und aus Attributen zusammengesetzt. Ein einzelnes Objekt wird eindeutig durch den Distinguished Name (DN) identifiziert (z. B. uid=juser,ou=People,ou=webdesign,c=de,o=acme). Dieser setzt sich aus einzelnen Relative Distinguished Names (RDN) zusammen. Eine andere Schreibweise für den DN ist der canonical name, der keine Attribut-Tags (ou, c etc.) enthält und bei dem die Trennung zwischen den RDNs durch Schrägstriche erfolgt. Außerdem beginnt die Reihenfolge, im Gegensatz zum dn, mit dem obersten Eintrag, also z. B. acme/de/webdesign/People/juser.
Jedes Attribut eines Objekts hat einen bestimmten Typ und einen oder mehrere Werte. Die Typenbezeichnung eines Attributs sind meist einfach zu merkende Kürzel wie z. B. cn für common name, ou für organizational unit, s für state, c für country oder mail für e-mail address. Die erlaubten Werte eines Attributs sind vom Typ abhängig. So könnte ein mail-Attribut die Adresse hans.wurst@example.com enthalten, ein jpegPhoto-Attribut dagegen würde ein Foto als binäre Daten im JPEG-Format speichern. Die in der Objektklasse definierten Attribute können entweder obligatorisch (mandatory) oder optional sein.
Die Objekte werden in einer hierarchischen Struktur gespeichert, die politische, geographische oder organisatorische Grenzen widerspiegelt. Die größten Einheiten werden an die Spitze des Verzeichnisbaumes gestellt, der sich nach unten immer weiter auffächert. Während Objekte, die selbst Objekte enthalten, als Containerobjekte bezeichnet werden, heißen die „Enden“ des Baumes Blattobjekte.
Wenn einzelne LDAP-Server für einzelne Teile des Verzeichnisbaumes zuständig sind, spricht man von Partitionen. Stellt ein Client eine Anfrage, für die der Server nicht zuständig ist, kann der Server den Client an einen anderen Server verweisen. LDAP-Server lassen sich redundant aufbauen. Hierzu wird oft eine Master-Slave-Konfiguration verwendet. Versucht ein Client Daten auf einem Slave-Server zu ändern, wird er an den Master verwiesen. Die Änderungen auf dem Master-Server werden dann an alle Slave-Server weitergegeben.
Da viele verschiedene Schemata in verschiedenen Versionen in Benutzung sind, ist die Vorstellung eines „globalen“ alles umfassenden LDAP-Verzeichnisses nicht real. LDAP-Server werden als zentraler Verzeichnisdienst für verschiedene Zwecke in verschiedenen Größen eingesetzt, die Objekthierarchie bleibt aber in der Regel auf eine Organisation beschränkt.
[Bearbeiten] LDAP-Protokoll
Das LDAP-Protokoll ist auf der obersten Netzwerkschicht angesiedelt und arbeitet mittels genau spezifizierter Zugriffs-Prozesse:
- bind: Mit der bind -Direktive vermittelt man dem Directory-Server über eine dn, wer den Zugriff durchführen möchte (entweder anonym, per Password-Authentifizierung oder anders)
- baseDN: Die BaseDN definiert, wo im Verzeichnisbaum abwärts die Suche nach bestimmten Objekten gestartet werden soll. Diese Suche kann festgelegt werden auf eine Suche über
- genau dieses Objekt (base)
- dieses Objekt und alles darunter (sub)
- eine Ebene unterhalb des BaseDNs (one)
Ansonsten gelten die notwendigen Such-Spezifikationen wie Such-Operator (Beispiel (&(mail=joe*)(ou=People))), Server-Benennung: (Beispiel ldap.acme.com), Port-Benennung usw.
Beispiel für eine LDAP-Suchanfrage durch ein einfaches Kommandozeilenprogramm:
ldapsearch -h ldap.acme.com -p 389 -s sub -D "cn=Directory Manager,o=acme" -W -b "ou=personen,o=acme" "(&(mail=joe*)(c=germany))" mail
Erklärung: Das Kommandozeilenprogramm kontaktiert über LDAP den Directoryserver ldap.acme.com (Port 389) und meldet sich über den Account des Directory Managers an diesem System an. Die Anfrage zielt auf alle Benutzer-Einträge (unterhalb des Zweiges ou=personen,o=acme) und sucht nach Personen aus Deutschland, deren Mailadresse mit joe beginnen ((&(mail=joe*)(co=germany))). Werden Personen gefunden, die auf diesen Filter passen, so wird deren Mailadresse zurückgegeben (mail)
[Bearbeiten] Anwendungen
LDAP kommt heutzutage in vielen Bereichen zum Einsatz, z.B.:
- Adressbuch (z.B. Mozilla Thunderbird, IBM Lotus Notes, Novell Evolution, Ritlabs The Bat!, Openoffice.org Serienbrieferstellung, Microsoft Outlook)
- Benutzerverwaltung (z.B. POSIX Accounts, ADS)
- Authentifizierung (z.B. PAM)
- Verwaltung von Benutzerdaten für SMTP- POP- und IMAP-Server, sowie Antispam-Software (z.B. postfix, qmail, exim, Lotus Domino, sendmail, Cyrus, Courier, SpamAssassin und Amavisd)
[Bearbeiten] Unterstützung von LDAP
Viele Anbieter von Verzeichnisdiensten unterstützen LDAP, z. B.:
- Apache Software Foundation (durch Apache Directory Server)
- Apple (durch Open Directory)
- AT&T
- Banyan Vines
- Critical Path
- Hewlett-Packard
- IBM/Lotus
- Microsoft (durch ADS bzw. ADAM)
- Novell (durch NDS)
- openLDAP (openSource Variante für eine Vielzahl unterschiedlicher Plattformen, so z. B. auch Linux)
- Oracle (durch Oracle Internet Directory)
- RedHat (openSource Variante Fedora Directory Server)
- SGI
- Siemens (durch Siemens DirX Directory Server)
- Sun (durch Sun ONE Directory Server)
GQ [1] und Luma [2] ermöglichen das direkte Betrachten und Bearbeiten von LDAP-Verzeichnissen.
Der Export und Import erfolgt mittels LDIF.
[Bearbeiten] LDAP vs. relationale Datenbank
LDAP agiert als Frontend zu hierarchischen Datenbanken. Diese Form der Datenhaltung ist auf völlig andere Problemstellungen zugeschnitten als das relationale Modell.
[Bearbeiten] Potentielle Probleme
- Keine Normalformen: LDAP agiert als Frontend zu hierarchischen Datenbanken. Diese Struktur erzwingt keine Normalformen, zum Beispiel können multivalued attributes erlaubt sein.
- Abfragesprache: Von den relationalen Operationen Projektion (Spaltenauswahl), Selektion (Zeilenauswahl), Kreuzprodukt (Join), Spaltenumbenennung (Rename, AS) und Aggregation (GROUP BY) unterstützt LDAP nur Projektion (ohne Erzeugung von errechneten Attributen) und Selektion. Analoge Operationen zum Join oder einen „Dereferenziere diesen DN“-Operator gibt es nicht, ein Rename (und damit ein Selfjoin) existiert nicht und Aggregation muss mit Schleifen im Client auscodiert werden. Anders als SQL ist die LDAP-Abfragesprache keine Algebra, es fehlt die Abgeschlossenheit. Abfrageergebnisse von LDAP-Anfragen sind keine LDAP-Bäume, sondern Knotenmengen und die LDAP-Abfragesprache ist auf LDAP-Ergebnisse nicht wieder anwendbar, um die Ergebnisse zu verfeinern.
[Bearbeiten] Quellen zu vermeintlichen Problemen von LDAP
[Bearbeiten] Stärken und Anwendungsschwerpunkte von LDAP
- Autorisierung und Authentifizierung: Das LDAP-Protokoll und LDAP-Server sind auf Authentisierung (Passwortprüfung), Autorisierung (Rechteprüfung) und Adressbuch-Lookups optimiert. Der schnelle Verbindungsauf/-abbau, das einfach strukturierte Protokoll und die performante Abfragesprache sorgt für eine Verarbeitung mit sehr guter Performance.
- Schneller Lesezugriff: Durch seine nichtnormalisierte Datenspeicherung kann auf alle Daten eines LDAP-Datensatzes extrem schnell zugegriffen werden, weil alle Daten sofort mit einem einzigen Lesezugriff ausgelesen werden können.
- Verteilte Datenhaltung: LDAP bietet verteilte Datenhaltung (z. B. Redundante lokale Datenspeicherung an verteilten Standorten), lose gekoppelte Replikation (zum Datenabgleich zwischen den Standorten) und extrem hohe Verfügbarkeit ohne komplexe Konfiguration oder hohe Kosten.
- Flexibles, voll objektorientiertes Datenmodell: LDAP erbt vom X.500 Standard das Objektorientierte Datenmodell. Damit können LDAP-Verzeichnisse flexibel an volatile Anforderungen angepasst werden, ohne dass bereits im Verzeichnis implementierte Funktionalität verloren geht.
- Breite Anwendungsunterstützung: LDAP ist der Industrie-Defacto-Standard für Authentisierung, Autorisierung und User/Address-Directories. Jedes Softwareprodukt, das mit Userdaten umgehen muss und Marktrelevanz hat, unterstützt LDAP als Protokoll.
[Bearbeiten] Siehe auch
- Verzeichnisdienst
- OpenLDAP – Referenzimplementierung LDAPv3
- Active Directory Service
LDAPv2 (veraltet)
- RFC 1777, RFC 1778, RFC 1823, RFC 1959, RFC 1960
LDAPv3
- RFC 4510, RFC 4511, RFC 4512, RFC 4513, RFC 4514, RFC 4515, RFC 4516, RFC 4517, RFC 4518, RFC 4519
- (vormals RFC 2251, RFC 2252, RFC 2253, RFC 2254, RFC 2255, RFC 2256)
[Bearbeiten] Weblinks
- OpenLDAP – Open Source-Referenzimplementierung LDAPv3
- Fedora Directory Server – Freie Alternative zu OpenLDAP
- Apache Directory Server – Ein LDAP-Server in Java unter der Apache-Lizenz
- Verzeichnisdienst.de – Umfangreiche Linksammlung zu LDAP-Verzeichnisdiensten
- LDAP Browser – Kostenloser Softerra LDAP Browser für Windows (Download)
- LDAP Articles, Links, Whitepapers
- Spring LDAP
- Einführender Artikel zu OpenLDAP im Linux Magazin
