Lightweight Directory Access Protocol: Unterschied zwischen den Versionen

Lightweight Directory Access Protocol (LDAP) ist ein Netzwerkprotokoll zur Abfrage und Änderung von Informationen verteilter Verzeichnisdienst

Beschreibung

Lightweight Directory Access Protocol (LDAP)

• deutsch etwa Leichtgewichtiges Verzeichniszugriffsprotokoll
• De-facto-Industriestandard für Authentifizierung, Autorisierung sowie Adress- und Benutzerverzeichnisse.
• Die meisten Softwareprodukte, die mit Benutzerdaten umgehen müssen und am Markt relevant sind, unterstützen LDAP.

Standard-Ports

• 389 für ungesicherte sowie nur mit STARTTLS gesicherte Verbindungen
• 636 für mit TLS gesicherte Verbindungen (LDAPS).

Überblick

LDAP basiert auf dem Client-Server-Modell und wird bei Verzeichnisdiensten (englisch directories oder directory services) eingesetzt. Es beschreibt die Kommunikation zwischen dem LDAP-Client und dem Verzeichnis-(Directory-)Server.

• Aus einem solchen Verzeichnis können objektbezogene Daten, z. B. Personendaten oder Rechnerkonfigurationen, ausgelesen werden.

Hierbei ist „Verzeichnis“ im Sinne beispielsweise eines Telefonbuches gemeint und nicht im Sinne von „Dateiordner“.

Das Verzeichnis kann beispielsweise ein Adressbuch enthalten: In seinem E-Mail-Client stößt ein Nutzer die Aktion Suche die Mailadresse von Joe User an.

• Der E-Mail-Client formuliert eine LDAP-Abfrage an das Verzeichnis, das die Adressinformationen bereitstellt.
• Das Verzeichnis formuliert die Antwort und übermittelt sie an den Client: joe.user@example.org.

LDAP bietet alle Funktionen, die für eine solche Kommunikation notwendig sind:

• Anmeldung am Server (bind)
• die Suchabfrage (Suche mir bitte alle Informationen zum Benutzer mit dem Namen „Joe User“)
• die Modifikation der Daten (Ändere das Passwort des Benutzers Joe User).

Mittlerweile hat sich im administrativen Sprachgebrauch eingebürgert, dass man von einem LDAP-Server spricht, wenn man einen Directory-Server meint, dessen Datenstruktur der LDAP-Spezifikation entspricht und der über das LDAPv3-Protokoll, das in RFC 2251 festgelegt wurde, Daten austauschen kann.

Neuere Implementierungen, die über RFC 2251 hinausgehen, indem sie zusätzlich die Replikation der Daten zwischen verschiedenen Verzeichnissen berücksichtigen, sind Gegenstand für eine mögliche Erweiterung des Protokolls.

Geschichte

LDAP wurde an der Universität von Michigan (UMich) entwickelt

• 1993 erstmals im RFC 1487 vorgeschlagen. Gleichzeitig stellte die UMich die erste Serverimplementierung vor, die heute als „UMich-LDAP“ bekannt ist.

LDAP ist eine vereinfachte ("lightweight") Alternative zum Directory Access Protocol (DAP)

• das als Teil des X.500-Standard spezifiziert ist. Der X.500-Standard ist sehr umfangreich und setzt auf einem vollständigen ISO/OSI-Stack auf, was die Implementierung schwierig und hardwareintensiv machte.

LDAP wurde mit dem Ziel entwickelt, Verzeichnisdienste einfacher und somit populärer zu machen.

• LDAP setzt auf einen TCP/IP-Stack auf und implementiert nur eine Auswahl der DAP-Funktionen und -Datentypen. Dadurch ließ sich LDAP auch auf Arbeitsplatzrechnern der frühen 1990er Jahre implementieren und gewann eine breite Anwendungsbasis.

LDAP und X.500

LDAP ist ein Zugriffsmechanismus gemäß X.500 und äußerlich auf dessen Dienst- und Datenmodelle festgelegt. Im Hintergrund jedoch lässt LDAP alles offen und jegliches Verzeichnissystem zu.

• Es gibt auch keine Festlegung vom LDAP auf einen bestimmten Unterbau wie TCP und UDP oder IP.

Wo X.500 in seinem Directory Access Protocol (DAP) mehrere aufeinander aufbauende Nachrichten erfordert, kann im LDAP eine einzige zusammengefasste Nachricht genügen.

Funktionsweise

Um eine Übersicht über die Funktionsweise einer LDAP-Architektur zu bekommen, ist es notwendig, dass man zwischen der Organisation des LDAP-Verzeichnisses und dem Protokoll LDAP unterscheidet.

LDAP-Verzeichnis

Die Datenstruktur eines LDAP-Verzeichnisses ist durch einen hierarchischen Baum mit Wurzeln, Zweigen und Blättern gegeben.

Beispiel: Wird ein LDAP-Verzeichnis in einem Unternehmen mit dem Namen ACME eingesetzt, so kann die Organisation als Wurzel definiert werden: o=acme.

Personen können in Zweigen unterhalb dieser Wurzel hinterlegt werden: ou=Personen,o=acme

Gruppen können in anderen Zweigen unterhalb der Wurzel hinterlegt werden: ou=Gruppen,o=acme

Damit die Organisation der Daten nicht willkürlich geschieht, verwendet jedes LDAP-Verzeichnis eine bestimmte, genormte und gegebenenfalls erweiterte Struktur.

• Die Struktur wird durch das verwendete Schema definiert. Ein LDAP-Schema definiert jeweils Objekt-Klassen mit ihren Attributen, z. B. 
• die Klasse person oder die Klasse organisation.

Die Verzeichniseinträge heißen LDAP-Objekte. So sind für die Daten einer Person, ihrer E-Mail-Adresse und ihrer Passwörter nicht etwa drei Objekte notwendig, sondern dasselbe Objekt gehört zu drei Klassen.

• Diese könnten in diesem Beispiel person, inetOrgPerson und POSIX-Benutzerkonto heißen.

Es gibt drei Arten von Objektklassen:

1. Da ein Objekt zu mindestens einer strukturellen Klasse gehören muss, ist dies die Standardeinstellung.
2. Daneben gibt es noch Hilfsklassen, welche verschiedenartigen Objekten gleiche Attribute zuweisen.
3. Zu guter Letzt existieren noch abstrakte Basisklassen, von denen keine Objekte, sondern nur untergeordnete Basisklassen erzeugt werden können.

Jedes Objekt ist eigenständig und aus Attributen zusammengesetzt. z. B. uid=juser,ou=People,ou=webdesign,c=de,o=acme.

• Dieser setzt sich aus einzelnen Relative Distinguished Names (RDN) zusammen.

Eine andere Schreibweise für den DN ist der canonical name, der keine Attribut-Tags wie ou oder c enthält und bei dem die Trennung zwischen den RDNs durch Schrägstriche erfolgt; außerdem beginnt die Reihenfolge, im Gegensatz zum DN, mit dem obersten Eintrag, also z. B. acme/de/webdesign/People/juser.

Jedes Attribut eines Objekts hat einen bestimmten Typ und einen oder mehrere Werte.

• Die Typenbezeichnungen der Attribute sind meist einfach zu merkende Kürzel, z. B. :
• cn für common name
• sn für surname (Nachname)
• ou für organizational unit
• st für state (Bundesstaat / -land)
• c für country
• mail für e-mail address.

Die erlaubten Werte eines Attributs sind vom Typ abhängig.

• So könnte ein mail-Attribut die Adresse hans.wurst@example.com enthalten, ein jpegPhoto-Attribut dagegen würde ein Foto als binäre Daten im JPEG-Format speichern.
• Die in der Objektklasse definierten Attribute können entweder obligatorisch (mandatory) oder optional sein.

Die Objekte werden in einer hierarchischen Struktur gespeichert, die politische, geographische oder organisatorische Grenzen widerspiegelt.

• Die größten Einheiten werden an die Wurzel des Verzeichnisbaumes gestellt, der sich nach unten immer weiter auffächert.
• Während Objekte, die selbst Objekte enthalten, als Containerobjekte bezeichnet werden, heißen die „Enden“ des Baumes Blattobjekte.

Wenn einzelne LDAP-Server für einzelne Teile des Verzeichnisbaumes zuständig sind, spricht man von Partitionen. Stellt ein Client eine Anfrage, für die der Server nicht zuständig ist, so kann der Server den Client an einen anderen Server verweisen.

LDAP-Server lassen sich redundant aufbauen.

• Hierzu wird oft eine Master-Slave-Konfiguration verwendet.
• Versucht ein Client, Daten auf einem Slave-Server zu ändern, so wird er an den Master verwiesen; die Änderungen auf dem Master-Server werden dann an alle Slave-Server weitergegeben.

Da viele verschiedene Schemata in verschiedenen Versionen in Benutzung sind, ist die Vorstellung eines „globalen“ alles umfassenden LDAP-Verzeichnisses nicht real.

• LDAP-Server werden als zentraler Verzeichnisdienst für verschiedene Zwecke in verschiedenen Größen eingesetzt, die Objekthierarchie bleibt aber in der Regel auf eine Organisation beschränkt.

Protokoll

LDAP ist ein Protokoll der Anwendungsschicht (Applicationlayer) nach dem für TCP verwendeten DoD-Vier-Schichten-Modell und arbeitet mittels genau spezifizierter Zugriffs-Prozesse:

bind

Mit der bind-Direktive vermittelt man dem Directory-Server über einen DN, wer den Zugriff durchführen möchte (entweder anonym, per Passwort-Authentifizierung oder anders)

baseDN

Die BaseDN definiert, wo im Verzeichnisbaum abwärts die Suche nach bestimmten Objekten gestartet werden soll.

• Die Suche kann festgelegt werden auf eine Suche über

• genau dieses Objekt (base)
• dieses Objekt und alles darunter (sub)
• eine Ebene unterhalb des BaseDNs (one).

Ansonsten gelten die notwendigen Such-Spezifikationen wie Suchoperator (Beispiel (&(mail=joe*)(ou=People))), Server-Benennung (z. B. ldap.acme.com) oder Port-Benennung.

Beispiel

Beispiel für eine LDAP-Suchanfrage durch ein Kommandozeilenprogramm:

ldapsearch -h ldap.acme.com -p 389 -s sub -D "cn=Directory Manager,o=acme" -W -b "ou=personen,o=acme" "(&(mail=joe*)(c=germany))" mail

Erklärung: Das Kommandozeilenprogramm kontaktiert über LDAP

• den Directory-Server (d. h. den Host, deswegen das -h) ldap.acme.com
• auf Port 389
• und meldet sich über das Benutzerkonto des Directory Managers an diesem System an;
• das Passwort wird interaktiv abgefragt (-W).
• Die Anfrage zielt auf alle Benutzereinträge (-s sub, d. h.
• unterhalb, des Zweiges (englisch branch, daher das -b) ou=personen,o=acme)
• und sucht nach Personen aus Deutschland, deren Mailadresse mit joe beginnt ((&(mail=joe*)(c=germany))).
• Werden Personen gefunden, auf die dieser Filter passt, so wird deren Mailadresse zurückgegeben (mail).

Anwendung

LDAP wird heutzutage in vielen Bereichen eingesetzt, beispielsweise:

• in Adressbuch-Software wie Apple Adressbuch, HCL Notes, Microsoft Outlook, Mozilla Thunderbird, Novell Evolution, der OpenOffice.org- und LibreOffice-Serienbrieferstellung und dem Mailprogramm The Bat
• in Benutzerverwaltungs-Software wie NetIQ eDirectory, Apple Open Directory, POSIX-Benutzerkonten, Microsoft Active Directory Service
• in Authentifizierungs-Software wie PAM
• zur Verwaltung von Benutzerdaten für SMTP-, POP- und IMAP-Server sowie in folgenden Mailservern: postfix, qmail, exim, Lotus Domino, sendmail, Cyrus, Courier; auch in den dazugehörigen Antispam-Aufsätzen SpamAssassin und Amavisd.

LDAP und hierarchische Datenbanken

LDAP ist keine Datenbank, sondern das Protokoll zur Kommunikation. Es agiert als Frontend zu hierarchischen Datenbanken.

Potentielle Probleme

Keine Normalformen

Hierarchische Datenbanken erzwingen keine Normalformen, z. B. können multivalued attributes erlaubt sein.

Abfragesprache

LDAP unterstützt nicht alle relationalen Operationen:

• Projektion (Spaltenauswahl): wird unterstützt, allerdings nur ohne Erzeugung errechneter Attribute
• Selektion (Zeilenauswahl): wird unterstützt
• Kreuzprodukt (JOIN): wird nicht unterstützt
• Spaltenumbenennung (Rename, AS): wird nicht unterstützt (es gibt keinen „Dereferenziere diesen DN“-Operator, damit existiert auch kein Selfjoin)
• Aggregation (GROUP BY): muss mit Schleifen im Client auscodiert werden.

Anders als SQL ist die LDAP-Abfragesprache keine Algebra, weil ihr die Abgeschlossenheit fehlt: Abfrageergebnisse von LDAP-Anfragen sind keine LDAP-Bäume, sondern Knotenmengen; daher ist die LDAP-Abfragesprache auch nicht auf LDAP-Ergebnisse anwendbar, um sie zu verfeinern.

Stärken

Autorisierung und Authentifizierung

Das Protokoll und LDAP-Server sind auf Authentifizierung (Passwortprüfung), Autorisierung (Rechteprüfung) und Adressbuch-Suchen optimiert.

• Der schnelle Verbindungsauf- und -abbau, das einfach strukturierte Protokoll und die knappe Abfragesprache sorgen für eine schnelle Verarbeitung.

Schneller Lesezugriff

Durch seine nicht normalisierte Datenspeicherung kann auf alle Daten eines LDAP-Datensatzes sehr schnell zugegriffen werden, weil alle Daten sofort mit einem einzigen Lesezugriff ausgelesen werden können.

Verteilte Datenhaltung

LDAP bietet verteilte Datenhaltung, z. B. redundante lokale Datenspeicherung an verteilten Standorten, lose gekoppelte Replikation zum Datenabgleich zwischen den Standorten und extrem hohe Verfügbarkeit ohne komplexe Konfiguration oder hohe Kosten.

Flexibles, voll objektorientiertes Datenmodell

LDAP erbt vom X.500-Standard das objektorientierte Datenmodell.

• Damit können LDAP-Verzeichnisse flexibel an volatile Anforderungen angepasst werden, ohne dass bereits im Verzeichnis implementierte Funktionalität verlorengeht.

Sicherheit

Dokumentation

RFC

1. Protokoll: RFC 4511
2. Aktuelle dritte Version: RFC 4510 bis RFC 4532

Man-Page

Info-Pages

Siehe auch

1. Kerberos

LDAP-Software

LDAP-Server

Viele Hersteller bieten LDAP-Server, beispielsweise:

• Apache Software Foundation (FLOSS-Variante Apache Directory Server)
• Apple (durch Open Directory)
• HCL Technologies (durch Tivoli Directory Server bzw. 
• HCL Domino Server mit LDAP-Task)
• Microsoft (durch Active Directory beziehungsweise ADAM) (Service wird installiert, wenn Windows zum Domain Controller wird)
• Novell (durch eDirectory)
• OpenLDAP (FLOSS-Variante für eine Vielzahl unterschiedlicher Plattformen)
• Oracle (durch Oracle Internet Directory)
• Red Hat (FLOSS-Variante 389 Directory Server)
• Atos (durch DirX Directory Server; übernommen von Siemens IT Solutions and Services)
• Sun (durch Sun Java System Directory Server; übernommen durch Oracle)
• Univention (durch Univention Corporate Server (UCS) mit OpenLDAP)
• ForgeRock (Weiterentwicklung eines Sun-Forks seit der Übernahme von Sun durch Oracle 2010)

LDAP-Clients

Client-Software erlaubt den Zugriff auf die Verzeichnisdaten, zum Beispiel:

• cURL: Ein quelloffenes Kommandozeilenwerkzeug, das das LDAP Protokoll unterstützt.
• Active Directory Explorer: Ein kostenloser LDAP-Client von Sysinternals für Windows
• JXplorer: Ein quelloffener Client, der in Java entwickelt wurde.
• LDAP Browser: Ein kostenloser LDAP-Client für Windows
• LDAP Administrator: Ein erweitertes LDAP-Verwaltungstool, das zur Arbeit mit fast allen LDAP-Servern entwickelt wurde einschließlich Active Directory, Novell Directory Services, Netscape/iPlanet usw.
• LDAP Admin: Ein LDAP-Client, der zur Arbeit unter Windows entwickelt wurde.
• Vorlage:Lang: Ein plattformübergreifender Client, der in Java von Apache Software Foundation entwickelt wurde.
• GQ: Ein Client, der in GTK+/GTK2 unter GPL für GNU/Linux entwickelt wurde.
• LDAP Account Manager: LDAP Account Manager ist ein Webfrontend für die Verwaltung diverser Kontotypen in einem LDAP-Verzeichnis.
• Es wurde in PHP geschrieben.
• Luma: Eine in QT4 entwickelte Clientanwendung für Linux.
• Der Einsatz von Plugins ermöglicht eine einfache Verwaltung von Benutzerkonten, Adressbücher usw.
• phpLDAPadmin: Ein plattformübergreifender webbasierter Client, der unter GPL in PHP zum einfachen Verwaltung von LDAP-Verzeichnissen entwickelt wurde.
• FusionDirectory: Eine GPL-lizenzierte Web-Anwendung, die in PHP zum einfachen Verwalten von LDAP-Verzeichnissen und allen dazugehörenden Diensten entwickelt wurde.
• Es hat sich zu einem IDM entwickelt.
• ldap-csvexport: Ein GPL-lizenziertes, Perl-basiertes Kommandozeilentool für den Export von LDAP-Daten als CSV mit vielen Features.
• ldap-preg_replace: Ein GPL-lizenziertes, Perl-basiertes Kommandozeilentool für das massenhafte Ändern von Attributen mit regulären Ausdrücken.

Links

Projekt

Weblinks

1. Introduction to LDAP (PDF; 2,35 MB)
2. Einführender Artikel zu OpenLDAP im Linux Magazin

Literatur

1. Dieter Klünter, Jochen Laser: LDAP verstehen, OpenLDAP einsetzen - Grundlagen und Praxiseinsatz, ISBN 978-3-89864-263-7
2. Gerald Carter: LDAP System Administration, O’Reilly (2003)