LDAP ist das "Lightweight Directory Access Protocol" - ein Protokoll zum Zugriff auf einen VerzeichnisDienst.

Unter Linux ist OpenLDAP die übliche Implementierung. Auf freenode (IRC) findet man u.u. in #ldap{en} hilfe.


Inhalt


1. Übersicht (von Jakub Piotrowski)

Heutige Rechner-Infrastrukturen werden immer umfangreicher und somit komplizierter. Nicht nur im Internet verlieren sich die Informationen, die unstrukturiert ins Web gestellt werden. Auch in Unternehmensnetzen drohen Informationen verloren zu gehen, da sie entweder nicht mehr aufgefunden werden oder niemand mehr weiß, daß sie existieren. Fragen wie: "Welches ist der nächstgelegene Drucker?" oder "Wie lautet die Email-Adresse des Projektleiters?" möchten einfach und schnell beantwortet werden. Zeit für ein entsprechendes Auskunftssystem!

Grundlagen zu x.500:

1.1. Allgemeines

Die Anforderung ist alles andere als neu. Notwendige Informationen müssen für einen schnellen und leichten Zugriff katalogisiert werden. Was nützen mir dutzende Handwerker in der Stadt, wenn ich keinen finde? Seit langem existiert (NIS) von Sun Microsystems, ist aber unsicher.

Um solche Ressourcen schnell und sicher finden, verwalten und nutzen zu können, wird ein Verzeichnis benötigt, in dem alle relevanten Informationen gehalten werden. Mehrere solcher Verzeichnisdienste existieren bereits: Novells NDS, Microsofts NTDS, Banyans StreetTalk oder OSI's X.500.

1.2. Geschichte

X.500 wurde 1988 von der CCITT spezifiziert als "eine Menge offener Systeme, die gemeinsam eine Datenbank halten, in der Informationen über Objekte der realen Welt abgelegt sind". Die CCITT spezifiziert im wesentlichen drei Protokolle (Siehe auch Abb.1 ):

  1. DAP (Directory Access Protocol), das zum Zugriff auf die Informationen dient
  2. DSP (Directory Service Protocol), mit dem die Kommunikation zwischen Servern durchgeführt wird
  3. DISP (Directory Information Shadowing Protocol)

Allerdings setzt X.500 auf einem vollständigen ISO/OSI-Stack auf, was einen durchschlagenden Erfolg unmöglich machte.

X.500 kann als vollständig bezeichnet werden: Nichts, was nicht in ihm gespeichert werden könnte. Das Verzeichnis stellt eine Objektdatenbank dar. Zu speichernde Informationen werden in Objektklassen beschrieben: Attributnamen, Typen und deren Wertebereich. Wesentliche Nachteile sind der hohe Implementationsaufwand und der "schwergewichtige" Zugriff. Die Kommunikation zwischen Client und Server erzeugt eine recht hohe Netzlast, die einer allgegenwärtigen Nutzung hinderlich ist. LDAP schlägt eine Brücke.

1.3. Was ist LDAP?

Die erste Implementation von LDAPv1( Lightweight Directory Access Protocol ) wurde an der Universität von Michigan im Juli 1993 entwickelt.

Im Jahr 1995 wurde von Yeong, Howes und Kille an der Universität von Michigan LDAPv2 spezifiziert, um "einen Teil der Last des Verzeichniszugriffs vom Client zu nehmen und die Verbreitung von Verzeichnisdiensten zu vergrößern".

LDAP bietet einen vollen Verzeichniszugriff über einen TCP/IP-Stack und vereinfacht so den Zugriff auf ein X.500-Verzeichnis. Es wurde nur ein Teil der DAP-Funktionen übernommen, allerdings reichen die vorhandenen vollständig aus, um den Rest zu emulieren.

1.4. Weiterlesen kann man hier:

2. Fragen

2.1. Warum LDAP

und nicht PAM?

Ist es nicht möglich, dass alle meine Dienste (wie z.B. Samba) nur auf PAM zugreifen und ich dann LDAP nur für posixAccount einrichten muss?

Wenn ich mehrere verschiedene Dienste habe, die sowohl PAM- als auch LDAP-Authentifizierung zulassen und einige, die nur PAM zulassen, ist es doch wohl konsistenter, wenn ich alle über PAM laufen lasse und dann nur die PAM-Konfiguration bearbeite, um das zu konfigurieren (Die Idee hinter PAM ist doch eben diese Einheitlichkeit). Oder hat es irgendeinen Sinn, manche Dienste direkt auf LDAP zugreifen zu lassen?


KategorieProtokoll

LDAP (zuletzt geändert am 2007-12-23 22:47:14 durch localhost)