Lightweight Directory Access Protocol
Das Lightweight Directory Access Protocol (LDAP), deutsch etwa Leichtgewichtiges Verzeichniszugriffsprotokoll, ist ein Netzwerkprotokoll zur Abfrage und Änderung von Informationen verteilter Verzeichnisdienste. Seine aktuelle und dritte Version ist in RFC 4510 bis RFC 4532 spezifiziert, das eigentliche Protokoll in RFC 4511.
Anwendung | LDAP | ||||
Transport | UDP | TCP | |||
Internet | IP (IPv4, IPv6) | ||||
Netzzugang | Ethernet | Token Bus |
Token Ring |
FDDI | … |
LDAP ist der De-facto-Industriestandard für Authentifizierung, Autorisierung sowie Adress- und Benutzerverzeichnisse. Die meisten Softwareprodukte, die mit Benutzerdaten umgehen müssen und am Markt relevant sind, unterstützen LDAP.
Der Standardport ist:
Überblick
LDAP basiert auf dem Client-Server-Modell[3] und wird bei Verzeichnisdiensten (englisch directories oder directory services) eingesetzt.[4] Es beschreibt die Kommunikation zwischen dem LDAP-Client und dem Verzeichnis-(Directory-)Server. Aus einem solchen Verzeichnis können objektbezogene Daten, z. B. Personendaten oder Rechnerkonfigurationen, ausgelesen werden.[5] Die Kommunikation erfolgt auf Basis von Abfragen.[6]
Hierbei ist „Verzeichnis“ im Sinne beispielsweise eines Telefonbuches gemeint und nicht im Sinne von „Dateiordner“.
Das Verzeichnis kann beispielsweise ein Adressbuch enthalten: In seinem E-Mail-Client stößt ein Nutzer die Aktion Suche die Mailadresse von Joe User an. Der E-Mail-Client formuliert eine LDAP-Abfrage an das Verzeichnis, das die Adressinformationen bereitstellt. Das Verzeichnis formuliert die Antwort und übermittelt sie an den Client: joe.user@example.org.
LDAP bietet alle Funktionen, die für eine solche Kommunikation notwendig sind:
- Anmeldung am Server (bind)
- die Suchabfrage (Suche mir bitte alle Informationen zum Benutzer mit dem Namen „Joe User“)
- die Modifikation der Daten (Ändere das Passwort des Benutzers Joe User).
Mittlerweile hat sich im administrativen Sprachgebrauch eingebürgert, dass man von einem LDAP-Server spricht,[7] wenn man einen Directory-Server meint, dessen Datenstruktur der LDAP-Spezifikation entspricht und der über das LDAPv3-Protokoll, das in RFC 2251 festgelegt wurde, Daten austauschen kann.
Neuere Implementierungen, die über RFC 2251 hinausgehen, indem sie zusätzlich die Replikation der Daten zwischen verschiedenen Verzeichnissen berücksichtigen, sind Gegenstand für eine mögliche Erweiterung des Protokolls.[8]
Geschichte
LDAP wurde an der Universität von Michigan (UMich) entwickelt und 1993 erstmals im RFC 1487 vorgeschlagen.[9] Gleichzeitig stellte die UMich die erste Serverimplementierung vor, die heute als „UMich-LDAP“ bekannt ist.
LDAP ist eine vereinfachte ("lightweight") Alternative zum Directory Access Protocol (DAP), das als Teil des X.500-Standard spezifiziert ist.[10] Der X.500-Standard ist sehr umfangreich und setzt auf einem vollständigen ISO/OSI-Stack auf, was die Implementierung schwierig und hardwareintensiv machte.
LDAP wurde mit dem Ziel entwickelt, Verzeichnisdienste einfacher und somit populärer zu machen. LDAP setzt auf einen TCP/IP-Stack auf und implementiert nur eine Auswahl der DAP-Funktionen und -Datentypen.[11] Dadurch ließ sich LDAP auch auf Arbeitsplatzrechnern der frühen 1990er Jahre implementieren und gewann eine breite Anwendungsbasis.
LDAP und X.500
LDAP ist ein Zugriffsmechanismus gemäß X.500 und äußerlich auf dessen Dienst- und Datenmodelle festgelegt.[12] Im Hintergrund jedoch lässt LDAP alles offen und jegliches Verzeichnissystem zu. Es gibt auch keine Festlegung vom LDAP auf einen bestimmten Unterbau wie TCP und UDP oder IP.
Wo X.500 in seinem Directory Access Protocol (DAP) mehrere aufeinander aufbauende Nachrichten erfordert, kann im LDAP eine einzige zusammengefasste Nachricht genügen.[13]
Funktionsweise
Um eine Übersicht über die Funktionsweise einer LDAP-Architektur zu bekommen, ist es notwendig, dass man zwischen der Organisation des LDAP-Verzeichnisses und dem Protokoll LDAP unterscheidet.
LDAP-Verzeichnis
Die Datenstruktur eines LDAP-Verzeichnisses ist durch einen hierarchischen Baum mit Wurzeln, Zweigen und Blättern gegeben.[14] Dieser Baum wird auch Directory Information Tree (DIT) genannt.[15] Die Wurzel (root, suffix) ist das oberste Datenobjekt, unter ihm verzweigen sich die höheren Strukturen.[16]
Beispiel: Wird ein LDAP-Verzeichnis in einem Unternehmen mit dem Namen ACME eingesetzt, so kann die Organisation als Wurzel definiert werden: o=acme.
Personen können in Zweigen unterhalb dieser Wurzel hinterlegt werden: ou=Personen,o=acme
Gruppen können in anderen Zweigen unterhalb der Wurzel hinterlegt werden: ou=Gruppen,o=acme
Damit die Organisation der Daten nicht willkürlich geschieht, verwendet jedes LDAP-Verzeichnis eine bestimmte, genormte und gegebenenfalls erweiterte Struktur. Die Struktur wird durch das verwendete Schema definiert.[17] Ein LDAP-Schema definiert jeweils Objekt-Klassen mit ihren Attributen, z. B. die Klasse person oder die Klasse organisation.
Die Verzeichniseinträge heißen LDAP-Objekte.[18] Jedes Objekt gehört zu mindestens einer, in der Regel aber zu mehreren Klassen.[19] So sind für die Daten einer Person, ihrer E-Mail-Adresse und ihrer Passwörter nicht etwa drei Objekte notwendig, sondern dasselbe Objekt gehört zu drei Klassen. Diese könnten in diesem Beispiel person, inetOrgPerson und POSIX-Benutzerkonto heißen.
Es gibt drei Arten von Objektklassen:
- Da ein Objekt zu mindestens einer strukturellen Klasse gehören muss, ist dies die Standardeinstellung.
- Daneben gibt es noch Hilfsklassen, welche verschiedenartigen Objekten gleiche Attribute zuweisen.
- Zu guter Letzt existieren noch abstrakte Basisklassen, von denen keine Objekte, sondern nur untergeordnete Basisklassen erzeugt werden können.
Jedes Objekt ist eigenständig und aus Attributen zusammengesetzt.[20] Ein einzelnes Objekt wird eindeutig durch den Distinguished Name (DN) identifiziert,[21] z. B. uid=juser,ou=People,ou=webdesign,c=de,o=acme. Dieser setzt sich aus einzelnen Relative Distinguished Names (RDN) zusammen.[22]
Eine andere Schreibweise für den DN ist der canonical name, der keine Attribut-Tags wie ou oder c enthält und bei dem die Trennung zwischen den RDNs durch Schrägstriche erfolgt;[23] außerdem beginnt die Reihenfolge, im Gegensatz zum DN, mit dem obersten Eintrag, also z. B. acme/de/webdesign/People/juser.
Jedes Attribut eines Objekts hat einen bestimmten Typ und einen oder mehrere Werte. Die Typenbezeichnungen der Attribute sind meist einfach zu merkende Kürzel, z. B.:
- cn für common name
- sn für surname (Nachname)
- ou für organizational unit
- st für state (Bundesstaat / -land)
- c für country
- mail für e-mail address.
Die erlaubten Werte eines Attributs sind vom Typ abhängig. So könnte ein mail-Attribut die Adresse hans.wurst@example.com enthalten, ein jpegPhoto-Attribut dagegen würde ein Foto als binäre Daten im JPEG-Format speichern. Die in der Objektklasse definierten Attribute können entweder obligatorisch (mandatory) oder optional sein.
Die Objekte werden in einer hierarchischen Struktur gespeichert, die politische, geographische oder organisatorische Grenzen widerspiegelt. Die größten Einheiten werden an die Wurzel des Verzeichnisbaumes gestellt, der sich nach unten immer weiter auffächert. Während Objekte, die selbst Objekte enthalten, als Containerobjekte bezeichnet werden, heißen die „Enden“ des Baumes Blattobjekte.[24]
Wenn einzelne LDAP-Server für einzelne Teile des Verzeichnisbaumes zuständig sind, spricht man von Partitionen.[25] Stellt ein Client eine Anfrage, für die der Server nicht zuständig ist, so kann der Server den Client an einen anderen Server verweisen.
LDAP-Server lassen sich redundant aufbauen. Hierzu wird oft eine Master-Slave-Konfiguration verwendet. Versucht ein Client, Daten auf einem Slave-Server zu ändern, so wird er an den Master verwiesen; die Änderungen auf dem Master-Server werden dann an alle Slave-Server weitergegeben.
Da viele verschiedene Schemata in verschiedenen Versionen in Benutzung sind, ist die Vorstellung eines „globalen“ alles umfassenden LDAP-Verzeichnisses nicht real. LDAP-Server werden als zentraler Verzeichnisdienst für verschiedene Zwecke in verschiedenen Größen eingesetzt, die Objekthierarchie bleibt aber in der Regel auf eine Organisation beschränkt.
Protokoll
LDAP ist ein Protokoll der Anwendungsschicht (Applicationlayer) nach dem für TCP verwendeten DoD-Vier-Schichten-Modell und arbeitet mittels genau spezifizierter Zugriffs-Prozesse:
- bind
- Mit der bind-Direktive vermittelt man dem Directory-Server über einen DN, wer den Zugriff durchführen möchte (entweder anonym, per Passwort-Authentifizierung oder anders)
- baseDN
- Die BaseDN definiert, wo im Verzeichnisbaum abwärts die Suche nach bestimmten Objekten gestartet werden soll. Die Suche kann festgelegt werden auf eine Suche über
- genau dieses Objekt (base)
- dieses Objekt und alles darunter (sub)
- eine Ebene unterhalb des BaseDNs (one).
Ansonsten gelten die notwendigen Such-Spezifikationen wie Suchoperator (Beispiel (&(mail=joe*)(ou=People))), Server-Benennung (z. B. ldap.acme.com) oder Port-Benennung.
Beispiel
Beispiel für eine LDAP-Suchanfrage durch ein Kommandozeilenprogramm:
ldapsearch -h ldap.acme.com -p 389 -s sub -D "cn=Directory Manager,o=acme" -W -b "ou=personen,o=acme" "(&(mail=joe*)(c=germany))" mail
Erklärung: Das Kommandozeilenprogramm kontaktiert über LDAP
- den Directory-Server (d. h. den Host, deswegen das -h)
ldap.acme.com
- auf Port
389
- und meldet sich über das Benutzerkonto des
Directory Managers
an diesem System an; - das Passwort wird interaktiv abgefragt (
-W
). - Die Anfrage zielt auf alle Benutzereinträge (
-s sub
, d. h. unterhalb, des Zweiges (englisch branch, daher das -b)ou=personen,o=acme
) - und sucht nach Personen aus Deutschland, deren Mailadresse mit
joe
beginnt ((&(mail=joe*)(c=germany))
). - Werden Personen gefunden, auf die dieser Filter passt, so wird deren Mailadresse zurückgegeben (
mail
).
Anwendungen
LDAP wird heutzutage in vielen Bereichen eingesetzt, beispielsweise:
- in Adressbuch-Software wie Apple Adressbuch, HCL Notes, Microsoft Outlook, Mozilla Thunderbird, Novell Evolution, der OpenOffice.org- und LibreOffice-Serienbrieferstellung und dem Mailprogramm The Bat
- in Benutzerverwaltungs-Software wie NetIQ eDirectory, Apple Open Directory, POSIX-Benutzerkonten, Microsoft Active Directory Service
- in Authentifizierungs-Software wie PAM
- zur Verwaltung von Benutzerdaten für SMTP-, POP- und IMAP-Server sowie in folgenden Mailservern: postfix, qmail, exim, Lotus Domino, sendmail, Cyrus, Courier; auch in den dazugehörigen Antispam-Aufsätzen SpamAssassin und Amavisd.
LDAP und hierarchische Datenbanken
LDAP agiert als Frontend zu hierarchischen Datenbanken. LDAP an sich ist keine Datenbank, sondern lediglich das Protokoll zur Kommunikation.
Keine Normalformen
Hierarchische Datenbanken erzwingen keine Normalformen, z. B. können multivalued attributes erlaubt sein.
Abfragesprache
LDAP unterstützt nicht alle relationalen Operationen:
- Projektion (Spaltenauswahl): wird unterstützt, allerdings nur ohne Erzeugung errechneter Attribute
- Selektion (Zeilenauswahl): wird unterstützt
- Kreuzprodukt (JOIN): wird nicht unterstützt
- Spaltenumbenennung (Rename, AS): wird nicht unterstützt (es gibt keinen „Dereferenziere diesen DN“-Operator, damit existiert auch kein Selfjoin)
- Aggregation (GROUP BY): muss mit Schleifen im Client auscodiert werden.
Anders als SQL ist die LDAP-Abfragesprache keine Algebra, weil ihr die Abgeschlossenheit fehlt: Abfrageergebnisse von LDAP-Anfragen sind keine LDAP-Bäume, sondern Knotenmengen; daher ist die LDAP-Abfragesprache auch nicht auf LDAP-Ergebnisse anwendbar, um sie zu verfeinern.
Autorisierung und Authentifizierung
Das Protokoll und LDAP-Server sind auf Authentifizierung (Passwortprüfung), Autorisierung (Rechteprüfung) und Adressbuch-Suchen optimiert. Der schnelle Verbindungsauf- und -abbau, das einfach strukturierte Protokoll und die knappe Abfragesprache sorgen für eine schnelle Verarbeitung.
Schneller Lesezugriff
Durch seine nicht normalisierte Datenspeicherung kann auf alle Daten eines LDAP-Datensatzes sehr schnell zugegriffen werden, weil alle Daten sofort mit einem einzigen Lesezugriff ausgelesen werden können.
Verteilte Datenhaltung
LDAP bietet verteilte Datenhaltung, z. B. redundante lokale Datenspeicherung an verteilten Standorten, lose gekoppelte Replikation zum Datenabgleich zwischen den Standorten und extrem hohe Verfügbarkeit ohne komplexe Konfiguration oder hohe Kosten.
Flexibles, voll objektorientiertes Datenmodell
LDAP erbt vom X.500-Standard das objektorientierte Datenmodell. Damit können LDAP-Verzeichnisse flexibel an volatile Anforderungen angepasst werden, ohne dass bereits im Verzeichnis implementierte Funktionalität verlorengeht.
LDAP-Software
LDAP-Server
Viele Hersteller bieten LDAP-Server, beispielsweise:
- Apache Software Foundation (FLOSS-Variante Apache Directory Server)
- Apple (durch Open Directory)
- HCL Technologies (durch Tivoli Directory Server bzw. HCL Domino Server mit LDAP-Task)
- Microsoft (durch Active Directory beziehungsweise ADAM) (Service wird installiert, wenn Windows zum Domain Controller wird)
- Novell (durch eDirectory)
- OpenLDAP (FLOSS-Variante für eine Vielzahl unterschiedlicher Plattformen)
- Oracle (durch Oracle Internet Directory)
- Red Hat (FLOSS-Variante 389 Directory Server)
- Atos (durch DirX Directory Server; übernommen von Siemens IT Solutions and Services)
- Sun (durch Sun Java System Directory Server; übernommen durch Oracle)
- Univention (durch Univention Corporate Server (UCS) mit OpenLDAP)
- ForgeRock (Weiterentwicklung eines Sun-Forks seit der Übernahme von Sun durch Oracle 2010)
LDAP-Clients
Client-Software erlaubt den Zugriff auf die Verzeichnisdaten, zum Beispiel:
- cURL: Ein quelloffenes Kommandozeilenwerkzeug, das das LDAP Protokoll unterstützt.[26]
- Active Directory Explorer: Ein kostenloser LDAP-Client von Sysinternals für Windows
- JXplorer: Ein quelloffener Client, der in Java entwickelt wurde.
- LDAP Browser: Ein kostenloser LDAP-Client für Windows
- LDAP Administrator: Ein erweitertes LDAP-Verwaltungstool, das zur Arbeit mit fast allen LDAP-Servern entwickelt wurde einschließlich Active Directory, Novell Directory Services, Netscape/iPlanet usw.
- LDAP Admin: Ein LDAP-Client, der zur Arbeit unter Windows entwickelt wurde.
- Apache Directory Studio: Ein plattformübergreifender Client, der in Java von Apache Software Foundation entwickelt wurde.
- GQ: Ein Client, der in GTK+/GTK2 unter GPL für GNU/Linux entwickelt wurde.
- LDAP Account Manager: LDAP Account Manager ist ein Webfrontend für die Verwaltung diverser Kontotypen in einem LDAP-Verzeichnis. Es wurde in PHP geschrieben.
- Luma: Eine in QT4 entwickelte Clientanwendung für Linux. Der Einsatz von Plugins ermöglicht eine einfache Verwaltung von Benutzerkonten, Adressbücher usw.
- phpLDAPadmin: Ein plattformübergreifender webbasierter Client, der unter GPL in PHP zum einfachen Verwaltung von LDAP-Verzeichnissen entwickelt wurde.
- FusionDirectory: Eine GPL-lizenzierte Web-Anwendung, die in PHP zum einfachen Verwalten von LDAP-Verzeichnissen und allen dazugehörenden Diensten entwickelt wurde. Es hat sich zu einem IDM entwickelt.[27]
- ldap-csvexport: Ein GPL-lizenziertes, Perl-basiertes Kommandozeilentool für den Export von LDAP-Daten als CSV mit vielen Features.
- ldap-preg_replace: Ein GPL-lizenziertes, Perl-basiertes Kommandozeilentool für das massenhafte Ändern von Attributen mit regulären Ausdrücken.
Siehe auch
Literatur
- Dieter Klünter, Jochen Laser: LDAP verstehen, OpenLDAP einsetzen. Grundlagen und Praxiseinsatz. dpunkt.verlag, Heidelberg 2007, ISBN 978-3-89864-263-7.
- Gerald Carter: LDAP System Administration. O’Reilly, 2003.
Weblinks
- Introduction to LDAP (PDF; 2,35 MB)
- Einführender Artikel zu OpenLDAP im Linux Magazin
Einzelnachweise
- RFC 4513 - Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms. Network Working Group, abgerufen am 11. Februar 2021 (englisch).
- Expert(s): Service Name and Transport Protocol Port Number Registry. Hrsg.: iana.org. (iana.org).
- Justin Parisi: LDAP::LDAP Servers and Clients – Part 5. In: Why Is The Internet Broken? 29. Juli 2015, abgerufen am 26. Februar 2018 (englisch).
- Kapitel 22. Grundlagen der Vernetzung / 22.9. LDAP – Ein Verzeichnisdienst. In: Administrationshandbuch. SUSE LINUX, abgerufen am 26. Februar 2018.
- Frank-Michael Schlede, Thomas Bär / Andreas Donner: Was ist LDAP (Lightweight Directory Access Protocol)? In: IP Insider. Vogel IT-Medien GmbH, 1. August 2017, abgerufen am 26. Februar 2018.
- Holger Kattner: LDAP-Abfragen erstellen. In: Computerwoche - TEC Workshop. IDG Business Media GmbH, 1. September 2006, abgerufen am 26. Februar 2018.
- Choosing an LDAP Server. (Nicht mehr online verfügbar.) In: LDAP.com. UnboundID, 2015, archiviert vom Original am 27. Februar 2018; abgerufen am 26. Februar 2018 (englisch). Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- 18. Replication. In: OpenLDAP. OpenLDAP Foundation, 2011, abgerufen am 26. Februar 2018 (englisch).
- The Most Complete History of Directory Services You Will Ever Find. 13. April 2012, abgerufen am 26. Februar 2018 (englisch).
- Petra Haberer: Geschichte und Versionen von LDAP - 'Leightweight'-Zugang zu X.500. In: LDAP verstehen. MitLinX Internetdienstleistungen, abgerufen am 26. Februar 2018.
- About Lightweight Directory Access Protocol - What is LDAP? In: Microsoft Developer Network (MSDN). Microsoft, abgerufen am 26. Februar 2018 (englisch).
- Kurt Zeilenga: RFC 4510 – Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map. Juni 2006. S. 2. Standard: [Track]. (Löst RFC 3771 ab – Internet Engineering Task Force – englisch).
- Jim Sermersheim: RFC 4511 – Lightweight Directory Access Protocol (LDAP): The Protocol. [Errata: RFC 4511]. Juni 2006. S. 5. Standard: [Track]. (Löst RFC 3771 ab – englisch).
- Margaret Rouse: LDAP (Lightweight Directory Access Protocol). In: Search Networkling.de. TechTarget Germany GmbH, Juni 2014, abgerufen am 26. Februar 2018.
- Directory Information Tree. In: LDAP Setup and Configuration Guide. Oracle Corporation, 2010, abgerufen am 26. Februar 2018 (englisch).
- DIT and the LDAP Root DSE. (Nicht mehr online verfügbar.) In: LDAP.com. UnboundID, 2015, archiviert vom Original am 27. Februar 2018; abgerufen am 26. Februar 2018 (englisch). Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- Petra Haberer: Schema, Objektklassen und Verzeichniseinträge. In: LDAP Objektklassen und Schemas. mitlinx.de, abgerufen am 28. Februar 2018.
- Philipp Föckeler: LDAP Objekte im Verzeichnis suchen (ADO). In: SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial. Abgerufen am 1. März 2018.
- Thomas Bendler, Steffen Dettmer: 2 Eine kleine Einführung in LDAP. In: Das Lightweight Directory Access Protocol. Abgerufen am 1. März 2018.
- Philipp Föckeler: LDAP Objekt-Attribute lesen. In: SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial. Abgerufen am 1. März 2018.
- Philipp Föckeler: LDAP Pfadnamen - Distinguished Names. In: SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial. Abgerufen am 1. März 2018.
- Oracle: Distinguished Names and Relative Distinguished Names. In: Understanding the LDAP Binding Component. Abgerufen am 2. März 2018 (englisch).
- Microsoft: Canonical-Name attribute. In: Micorosoft Developer Network (MSDN). Abgerufen am 2. März 2018 (englisch).
- Patrick Schnabel: Verzeichnisdienste (X.500) - Objekte (X.500). In: Elektronik Kompendium. Abgerufen am 2. März 2018.
- The Apache Software Foundation: 1.4.3 - Adding your own partition. In: Apache Directory. 2018, abgerufen am 2. März 2018.
- RFC 1959 – An LDAP URL Format. Network Working Group, abgerufen am 14. Mai 2020 (englisch).
- Qu'est-ce que FusionDirectory ? In: Fusiondirectory est une solution de gestion des identités. Abgerufen am 29. Januar 2021 (fr-FR).