Lightweight Directory Access Protocol – Wikipedia

LDAP im TCP/IP-Protokollstapel:
Anwendung LDAP
Transport UDP TCP
Internet IP (IPv4, IPv6)
Netzzugang Ethernet Token
Bus
Token
Ring
FDDI

Das Lightweight Directory Access Protocol (LDAP), deutsch etwa Leichtgewichtiges Verzeichniszugriffsprotokoll, ist ein Netzwerkprotokoll zur Abfrage und Änderung von Informationen verteilter Verzeichnisdienste. Seine aktuelle und dritte Version ist in RFC 4510 bis RFC 4532 spezifiziert, das eigentliche Protokoll in RFC 4511.[1]

LDAP ist der De-facto-Industriestandard für Authentifizierung, Autorisierung sowie Adress- und Benutzerverzeichnisse. Die meisten Softwareprodukte, die mit Benutzerdaten umgehen müssen und am Markt relevant sind, unterstützen LDAP.

Standardport ist:

  • 389 für ungesicherte oder mit STARTTLS gesicherte Verbindungen[2]
  • 636 für mit TLS gesicherte Verbindungen (LDAPS).[3]

Verbindungsloses LDAP wie per UDP war nie weit verbreitet und ist längst außerhalb der Standardisierung.[4]

LDAP basiert auf dem Client-Server-Modell[5] und wird bei Verzeichnisdiensten (englisch directories oder directory services) eingesetzt.[6] Es beschreibt die Kommunikation zwischen dem LDAP-Client und dem Verzeichnis-(Directory-)Server. Aus einem solchen Verzeichnis können objektbezogene Daten, z. B. Personendaten oder Rechnerkonfigurationen, ausgelesen werden.[7] Die Kommunikation erfolgt auf Basis von Abfragen.[8]

Hierbei ist „Verzeichnis“ im Sinne beispielsweise eines Telefonbuches gemeint und nicht im Sinne von „Dateiordner“.

Das Verzeichnis kann beispielsweise ein Adressbuch enthalten: In seinem E-Mail-Client stößt ein Nutzer die Aktion Suche die Mailadresse von Joe User an. Der E-Mail-Client formuliert eine LDAP-Abfrage an das Verzeichnis, das die Adressinformationen bereitstellt. Das Verzeichnis formuliert die Antwort und übermittelt sie an den Client: [email protected].

LDAP bietet alle Funktionen, die für eine solche Kommunikation notwendig sind:

  • Anmeldung am Server (bind)
  • die Suchabfrage (Suche mir bitte alle Informationen zum Benutzer mit dem Namen „Joe User“)
  • die Modifikation der Daten (Ändere das Passwort des Benutzers Joe User).

Mittlerweile hat sich im administrativen Sprachgebrauch eingebürgert, dass man von einem LDAP-Server spricht,[9] wenn man einen Directory-Server meint, dessen Datenstruktur der LDAP-Spezifikation entspricht und der über das LDAPv3-Protokoll, das in RFC 2251[10] festgelegt wurde, Daten austauschen kann.

Neuere Implementierungen, die über RFC 2251[10] hinausgehen, indem sie zusätzlich die Replikation der Daten zwischen verschiedenen Verzeichnissen berücksichtigen, sind Gegenstand für eine mögliche Erweiterung des Protokolls.[11]

LDAP wurde an der Universität von Michigan (UMich) entwickelt und 1993 erstmals im RFC 1487[12] vorgeschlagen.[13] Gleichzeitig stellte die UMich die erste Serverimplementierung vor, die heute als „UMich-LDAP“ bekannt ist.

LDAP ist eine vereinfachte ("lightweight") Alternative zum Directory Access Protocol (DAP), das als Teil des X.500-Standard spezifiziert ist.[14] Der X.500-Standard ist sehr umfangreich und setzt auf einem vollständigen ISO/OSI-Stack auf, was die Implementierung schwierig und hardwareintensiv machte.

LDAP wurde mit dem Ziel entwickelt, Verzeichnisdienste einfacher und somit populärer zu machen. LDAP setzt auf einen TCP/IP-Stack auf und implementiert nur eine Auswahl der DAP-Funktionen und -Datentypen.[15] Dadurch ließ sich LDAP auch auf Arbeitsplatzrechnern der frühen 1990er Jahre implementieren und gewann eine breite Anwendungsbasis.

LDAP ist ein Zugriffsmechanismus gemäß X.500 und äußerlich auf dessen Dienst- und Datenmodelle festgelegt.[16] Im Hintergrund jedoch lässt LDAP alles offen und jegliches Verzeichnissystem zu. Es gibt auch keine Festlegung vom LDAP auf einen bestimmten Unterbau wie TCP oder IP.

Wo X.500 in seinem Directory Access Protocol (DAP) mehrere aufeinander aufbauende Nachrichten erfordert, kann im LDAP eine einzige zusammengefasste Nachricht genügen.[17]

LDAP-Directory-Eintrag

Um eine Übersicht über die Funktionsweise einer LDAP-Architektur zu bekommen, ist es notwendig, dass man zwischen der Organisation des LDAP-Verzeichnisses und dem Protokoll LDAP unterscheidet.

LDAP-Verzeichnis

[Bearbeiten | Quelltext bearbeiten]

Die Datenstruktur eines LDAP-Verzeichnisses ist durch einen hierarchischen Baum mit Wurzeln, Zweigen und Blättern gegeben.[18] Dieser Baum wird auch Directory Information Tree (DIT) genannt.[19] Die Wurzel (root, suffix) ist das oberste Datenobjekt, unter ihm verzweigen sich die höheren Strukturen.[20]

Beispiel: Wird ein LDAP-Verzeichnis in einem Unternehmen mit dem Namen ACME eingesetzt, so kann die Organisation als Wurzel definiert werden: o=acme.

Personen können in Zweigen unterhalb dieser Wurzel hinterlegt werden: ou=Personen,o=acme.

Gruppen können in anderen Zweigen unterhalb der Wurzel hinterlegt werden: ou=Gruppen,o=acme.

Damit die Organisation der Daten nicht willkürlich geschieht, verwendet jedes LDAP-Verzeichnis eine bestimmte, genormte und gegebenenfalls erweiterte Struktur. Die Struktur wird durch das verwendete Schema definiert.[21] Ein LDAP-Schema definiert jeweils Objekt-Klassen mit ihren Attributen, z. B. die Klasse person oder die Klasse organisation.

Die Verzeichniseinträge heißen LDAP-Objekte.[22] Jedes Objekt gehört zu mindestens einer, in der Regel aber zu mehreren Klassen.[23] So sind für die Daten einer Person, ihrer E-Mail-Adresse und ihrer Passwörter nicht etwa drei Objekte notwendig, sondern dasselbe Objekt gehört zu drei Klassen. Diese könnten in diesem Beispiel person, inetOrgPerson und POSIX-Benutzerkonto heißen.

Es gibt drei Arten von Objektklassen:

  1. Da ein Objekt zu mindestens einer strukturellen Klasse gehören muss, ist dies die Standardeinstellung.
  2. Daneben gibt es noch Hilfsklassen, welche verschiedenartigen Objekten gleiche Attribute zuweisen.
  3. Zu guter Letzt existieren noch abstrakte Basisklassen, von denen keine Objekte, sondern nur untergeordnete Basisklassen erzeugt werden können.

Jedes Objekt ist eigenständig und aus Attributen zusammengesetzt.[24] Ein einzelnes Objekt wird eindeutig durch den Distinguished Name (DN) identifiziert,[25] z. B. uid=juser,ou=People,ou=webdesign,c=de,o=acme. Dieser setzt sich aus einzelnen Relative Distinguished Names (RDN) zusammen.[26]

Eine andere Schreibweise für den DN ist der canonical name, der keine Attribut-Tags wie ou oder c enthält und bei dem die Trennung zwischen den RDNs durch Schrägstriche erfolgt;[27] außerdem beginnt die Reihenfolge, im Gegensatz zum DN, mit dem obersten Eintrag, also z. B. acme/de/webdesign/People/juser.

Jedes Attribut eines Objekts hat einen bestimmten Typ und einen oder mehrere Werte. Die Typenbezeichnungen der Attribute sind meist einfach zu merkende Kürzel, z. B.:

  • cn für common name
  • sn für surname (Nachname)
  • ou für organizational unit
  • st für state (Bundesstaat / -land)
  • c für country
  • mail für e-mail address.

Die erlaubten Werte eines Attributs sind vom Typ abhängig. So könnte ein mail-Attribut die Adresse [email protected] enthalten, ein jpegPhoto-Attribut dagegen würde ein Foto als binäre Daten im JPEG-Format speichern. Die in der Objektklasse definierten Attribute können entweder obligatorisch (mandatory) oder optional sein.

Die Objekte werden in einer hierarchischen Struktur gespeichert, die politische, geographische oder organisatorische Grenzen widerspiegelt. Die größten Einheiten werden an die Wurzel des Verzeichnisbaumes gestellt, der sich nach unten immer weiter auffächert. Während Objekte, die selbst Objekte enthalten, als Containerobjekte bezeichnet werden, heißen die „Enden“ des Baumes Blattobjekte.[28]

Baumstruktur der LDAP-Inhalte

Wenn einzelne LDAP-Server für einzelne Teile des Verzeichnisbaumes zuständig sind, spricht man von Partitionen.[29] Stellt ein Client eine Anfrage, für die der Server nicht zuständig ist, so kann der Server den Client an einen anderen Server verweisen.

LDAP-Server lassen sich redundant aufbauen. Hierzu wird oft eine Master-Slave-Konfiguration verwendet. Versucht ein Client, Daten auf einem Slave-Server zu ändern, so wird er an den Master verwiesen; die Änderungen auf dem Master-Server werden dann an alle Slave-Server weitergegeben.

Da viele verschiedene Schemata in verschiedenen Versionen in Benutzung sind, ist die Vorstellung eines „globalen“ alles umfassenden LDAP-Verzeichnisses nicht real. LDAP-Server werden als zentraler Verzeichnisdienst für verschiedene Zwecke in verschiedenen Größen eingesetzt, die Objekthierarchie bleibt aber in der Regel auf eine Organisation beschränkt.

LDAP ist ein Protokoll der Anwendungsschicht (Applicationlayer) nach dem für TCP verwendeten DoD-Vier-Schichten-Modell und arbeitet mittels genau spezifizierter Zugriffs-Prozesse:

bind
Mit der bind-Direktive vermittelt man dem Directory-Server über einen DN, wer den Zugriff durchführen möchte (entweder anonym, per Passwort-Authentifizierung oder anders)
baseDN
Die BaseDN definiert, wo im Verzeichnisbaum abwärts die Suche nach bestimmten Objekten gestartet werden soll. Die Suche kann festgelegt werden auf eine Suche über
  • genau dieses Objekt (base)
  • dieses Objekt und alles darunter (sub)
  • eine Ebene unterhalb des BaseDNs (one).

Ansonsten gelten die notwendigen Such-Spezifikationen wie Suchoperator (Beispiel (&(mail=joe*)(ou=people))), Server-Benennung (z. B. ldap.acme.com) oder Port-Benennung.

Beispiel für eine LDAP-Suchanfrage durch ein Kommandozeilenprogramm:

ldapsearch -h ldap.acme.com -p 389 -s sub -D "cn=Directory Manager,o=acme" -W -b "ou=people,o=acme" "(&(mail=joe*)(c=de))" mail

Erklärung: Das Kommandozeilenprogramm kontaktiert über LDAP

  • den Directory-Server (d. h. den Host, deswegen das -h) ldap.acme.com
  • auf Port 389
  • und meldet sich über das Benutzerkonto des Directory Managers an diesem System an;
  • das Passwort wird interaktiv abgefragt (-W).
  • Die Anfrage zielt auf alle Benutzereinträge (-s sub, d. h. unterhalb, des Zweiges (englisch branch, daher das -b) ou=people,o=acme)
  • und sucht nach Personen aus Deutschland, deren Mailadresse mit joe beginnt ((&(mail=joe*)(c=de))).
  • Werden Personen gefunden, auf die dieser Filter passt, so wird deren Mailadresse zurückgegeben (mail).

LDAP wird heutzutage in vielen Bereichen eingesetzt, beispielsweise:

LDAP und hierarchische Datenbanken

[Bearbeiten | Quelltext bearbeiten]

LDAP agiert als Frontend zu hierarchischen Datenbanken. LDAP an sich ist keine Datenbank, sondern lediglich das Protokoll zur Kommunikation.

Potentielle Probleme

[Bearbeiten | Quelltext bearbeiten]

Keine Normalformen

[Bearbeiten | Quelltext bearbeiten]

Hierarchische Datenbanken erzwingen keine Normalformen, z. B. können multivalued attributes erlaubt sein.

LDAP unterstützt nicht alle relationalen Operationen:

  • Projektion (Spaltenauswahl): wird unterstützt, allerdings nur ohne Erzeugung errechneter Attribute
  • Selektion (Zeilenauswahl): wird unterstützt
  • Kreuzprodukt (JOIN): wird nicht unterstützt
  • Spaltenumbenennung (Rename, AS): wird nicht unterstützt (es gibt keinen „Dereferenziere diesen DN“-Operator, damit existiert auch kein Selfjoin)
  • Aggregation (GROUP BY): muss mit Schleifen im Client auscodiert werden.

Anders als SQL ist die LDAP-Abfragesprache keine Algebra, weil ihr die Abgeschlossenheit fehlt: Abfrageergebnisse von LDAP-Anfragen sind keine LDAP-Bäume, sondern Knotenmengen; daher ist die LDAP-Abfragesprache auch nicht auf LDAP-Ergebnisse anwendbar, um sie zu verfeinern.

Autorisierung und Authentifizierung

[Bearbeiten | Quelltext bearbeiten]

Das Protokoll und LDAP-Server sind auf Authentifizierung (Passwortprüfung), Autorisierung (Rechteprüfung) und Adressbuch-Suchen optimiert. Der schnelle Verbindungsauf- und -abbau, das einfach strukturierte Protokoll und die knappe Abfragesprache sorgen für eine schnelle Verarbeitung.

Schneller Lesezugriff

[Bearbeiten | Quelltext bearbeiten]

Durch seine nicht normalisierte Datenspeicherung kann auf alle Daten eines LDAP-Datensatzes sehr schnell zugegriffen werden, weil alle Daten sofort mit einem einzigen Lesezugriff ausgelesen werden können.

Verteilte Datenhaltung

[Bearbeiten | Quelltext bearbeiten]

LDAP bietet verteilte Datenhaltung, z. B. redundante lokale Datenspeicherung an verteilten Standorten, lose gekoppelte Replikation zum Datenabgleich zwischen den Standorten und extrem hohe Verfügbarkeit ohne komplexe Konfiguration oder hohe Kosten.

Flexibles, voll objektorientiertes Datenmodell

[Bearbeiten | Quelltext bearbeiten]

LDAP erbt vom X.500-Standard das objektorientierte Datenmodell. Damit können LDAP-Verzeichnisse flexibel an volatile Anforderungen angepasst werden, ohne dass bereits im Verzeichnis implementierte Funktionalität verlorengeht.

Viele Hersteller bieten LDAP-Server, beispielsweise:

Client-Software erlaubt den Zugriff auf die Verzeichnisdaten, zum Beispiel:

  • cURL: quelloffenes Kommandozeilenwerkzeug, das auch LDAP unterstützt.[30]
  • Active Directory Explorer: Ein kostenloser LDAP-Client von Sysinternals für Windows
  • JXplorer: quelloffener Client, der in Java entwickelt wurde.
  • LDAP Browser: Ein kostenloser LDAP-Client für Windows
  • LDAP Administrator: Ein erweitertes LDAP-Verwaltungstool, das zur Arbeit mit fast allen LDAP-Servern entwickelt wurde einschließlich Active Directory, Novell Directory Services, Netscape/iPlanet usw.
  • LDAP Admin: LDAP-Client, der zur Arbeit unter Windows entwickelt wurde.
  • Apache Directory Studio: Ein plattformübergreifender Client, der in Java von Apache Software Foundation entwickelt wurde.
  • GQ: Client, der in GTK+/GTK2 unter GPL für GNU/Linux entwickelt wurde.
  • LDAP Account Manager: Webfrontend für die Verwaltung diverser Kontotypen in einem LDAP-Verzeichnis. Es wurde in PHP geschrieben.
  • Luma: QT4-basierter Client für Linux. Der Einsatz von Plugins ermöglicht eine einfache Verwaltung von Benutzerkonten, Adressbücher usw.
  • phpLDAPadmin: Ein plattformübergreifender webbasierter Client, der unter GPL in PHP zur einfachen Verwaltung von LDAP-Verzeichnissen entwickelt wurde.
  • FusionDirectory: GPL-lizenzierte Web-Anwendung, die in PHP zum einfachen Verwalten von LDAP-Verzeichnissen und allen dazugehörenden Diensten entwickelt wurde. Es hat sich zu einem IDM entwickelt.[31]
  • ldap-csvexport: GPL-lizenziertes, Perl-Kommandozeilentool für den Export von LDAP-Daten als CSV mit vielen Features.
  • ldap-preg_replace: GPL-lizenziertes, Perl-Kommandozeilentool für das massenhafte Ändern von Attributen mit regulären Ausdrücken.
  • Dieter Klünter, Jochen Laser: LDAP verstehen, OpenLDAP einsetzen. Grundlagen und Praxiseinsatz. dpunkt.verlag, Heidelberg 2007, ISBN 978-3-89864-263-7.
  • Gerald Carter: LDAP System Administration. O’Reilly, 2003.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Jim Sermersheim: RFC 4511 – Lightweight Directory Access Protocol (LDAP): The Protocol [Errata: RFC 4511]. Juni 2006 (löst RFC 3771 ab, englisch).
  2. RFC 4513 – Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms. (englisch).
  3. Service Name and Transport Protocol Port Number Registry. IANA, abgerufen am 16. Juni 2023.
  4. K. Zeilenga: RFC 3352 – Connection-less Lightweight Directory Access Protocol (CLDAP) to Historic Status. März 2003 (englisch).
  5. Justin Parisi: LDAP::LDAP Servers and Clients – Part 5. In: Why Is The Internet Broken? 29. Juli 2015, abgerufen am 26. Februar 2018 (englisch).
  6. Kapitel 22. Grundlagen der Vernetzung / 22.9. LDAP – Ein Verzeichnisdienst. In: Administrationshandbuch. SUSE LINUX, abgerufen am 26. Februar 2018.
  7. Frank-Michael Schlede, Thomas Bär / Andreas Donner: Was ist LDAP (Lightweight Directory Access Protocol)? In: IP Insider. 1. August 2017, abgerufen am 26. Februar 2018.
  8. Holger Kattner: LDAP-Abfragen erstellen. In: Computerwoche - TEC Workshop. 1. September 2006, abgerufen am 26. Februar 2018.
  9. Choosing an LDAP Server. In: LDAP.com. UnboundID, 2015, archiviert vom Original (nicht mehr online verfügbar) am 27. Februar 2018; abgerufen am 26. Februar 2018 (englisch).
  10. a b RFC 2251 – Lightweight Directory Access Protocol (v3). Dezember 1997 (englisch).
  11. 18. Replication. In: OpenLDAP. OpenLDAP Foundation, 2011, abgerufen am 26. Februar 2018 (englisch).
  12. RFC 1487 – X.500 Lightweight Directory Access Protocol. Juli 1993 (englisch).
  13. The Most Complete History of Directory Services You Will Ever Find. 13. April 2012, abgerufen am 26. Februar 2018 (englisch).
  14. Petra Haberer: Geschichte und Versionen von LDAP – ‘Leightweight’-Zugang zu X.500. In: LDAP verstehen. MitLinX Internetdienstleistungen, abgerufen am 26. Februar 2018.
  15. About Lightweight Directory Access Protocol – What is LDAP? In: Microsoft Developer Network (MSDN). Microsoft, abgerufen am 26. Februar 2018 (englisch).
  16. Kurt Zeilenga: RFC 4510 – Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map. Juni 2006, Abschnitt 2: Relationship to X.500. (löst RFC 3771 ab, englisch).
  17. Jim Sermersheim: RFC 4511 – Lightweight Directory Access Protocol (LDAP): The Protocol [Errata: RFC 4511]. Juni 2006, Abschnitt 3: Protocol Model. (löst RFC 3771 ab, englisch).
  18. Margaret Rouse: LDAP (Lightweight Directory Access Protocol). In: Search Networkling.de. TechTarget Germany, Juni 2014, abgerufen am 26. Februar 2018.
  19. Directory Information Tree. In: LDAP Setup and Configuration Guide. Oracle Corporation, 2010, abgerufen am 26. Februar 2018 (englisch).
  20. DIT and the LDAP Root DSE. In: LDAP.com. UnboundID, 2015, archiviert vom Original (nicht mehr online verfügbar) am 27. Februar 2018; abgerufen am 26. Februar 2018 (englisch).
  21. Petra Haberer: Schema, Objektklassen und Verzeichniseinträge. In: LDAP Objektklassen und Schemas. mitlinx.de, abgerufen am 28. Februar 2018.
  22. Philipp Föckeler: LDAP Objekte im Verzeichnis suchen (ADO). In: SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial. Abgerufen am 1. März 2018.
  23. Thomas Bendler, Steffen Dettmer: 2 Eine kleine Einführung in LDAP. In: Das Lightweight Directory Access Protocol. Abgerufen am 1. März 2018.
  24. Philipp Föckeler: LDAP Objekt-Attribute lesen. In: SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial. Abgerufen am 1. März 2018.
  25. Philipp Föckeler: LDAP Pfadnamen - Distinguished Names. In: SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial. Abgerufen am 1. März 2018.
  26. Oracle: Distinguished Names and Relative Distinguished Names. In: Understanding the LDAP Binding Component. Abgerufen am 2. März 2018 (englisch).
  27. Microsoft: Canonical-Name attribute. In: Micorosoft Developer Network (MSDN). Abgerufen am 2. März 2018 (englisch).
  28. Patrick Schnabel: Verzeichnisdienste (X.500) - Objekte (X.500). In: Elektronik Kompendium. Abgerufen am 2. März 2018.
  29. The Apache Software Foundation: 1.4.3 - Adding your own partition. In: Apache Directory. 2018, abgerufen am 2. März 2018.
  30. RFC 1959 – An LDAP URL Format. (englisch).
  31. Qu’est-ce que FusionDirectory ? In: Fusiondirectory est une solution de gestion des identités. Abgerufen am 29. Januar 2021 (französisch).