- LDAP
-
LDAP im TCP/IP‑Protokollstapel: Anwendung LDAP Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang Ethernet Token
BusToken
RingFDDI …
Das Lightweight Directory Access Protocol (LDAP) [ˈlaɪtweɪt …] ist ein Anwendungsprotokoll aus der Computertechnik. Es erlaubt die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes (eine im Netzwerk verteilte hierarchische Datenbank) über das TCP/IP-Netzwerk. Die aktuelle Version ist in RFC 4511 spezifiziert.Inhaltsverzeichnis
Überblick
LDAP basiert auf dem Client-Server-Modell und kommt bei sogenannten Verzeichnisdiensten (englisch directories oder directory services) zum Einsatz. Es beschreibt die Kommunikation zwischen dem sogenannten LDAP-Client und dem Verzeichnis-(Directory-)Server. Aus einem solchen Verzeichnis können objektbezogene Daten wie zum Beispiel Personendaten oder Rechnerkonfigurationen ausgelesen werden. Die Kommunikation erfolgt auf Basis von Abfragen.
Das Verzeichnis kann beispielsweise ein Adressbuch enthalten: In seinem E-Mail-Client stößt ein Nutzer die Aktion Suche die Mailadresse von Joe User an. Der E-Mail-Client formuliert eine LDAP-Abfrage an das Verzeichnis, das die Adressinformationen bereitstellt. Das Verzeichnis formuliert die Antwort und übermittelt sie an den Client: joe.user@example.org.
Mittlerweile hat sich im administrativen Sprachgebrauch eingebürgert, dass man von einem LDAP-Server spricht. Damit meint man einen Directory-Server, dessen Datenstruktur der LDAP-Spezifikation entspricht und der über das LDAPv3-Protokoll Daten austauschen kann.
Das Protokoll bietet alle Funktionen, die für eine solche Kommunikation notwendig sind: Anmeldung am Server (bind), die Suchabfrage (Suche mir bitte alle Informationen zum Benutzer mit dem Namen 'Joe User') und die Modifikation der Daten (Ändere das Passwort beim Benutzer Joe User).
Neuere Implementierungen, die über RFC 2251 hinausgehen und Gegenstand für eine mögliche Erweiterung des Protokolls sind, berücksichtigen die Replikation der Daten zwischen verschiedenen Verzeichnissen.
Geschichte
LDAP wurde an der Universität von Michigan (UMich) entwickelt und 1993 erstmals im RFC 1487 vorgeschlagen. Gleichzeitig stellte die UMich die erste Serverimplementierung vor, die heute als „UMich-LDAP“ bekannt ist. Das LDAP ist eine vereinfachte Alternative zum Directory Access Protocol (DAP), das als Teil des X.500-Standard spezifiziert ist. Der X.500-Standard ist sehr umfangreich und setzt auf einem vollständigen ISO/OSI-Stack auf, was die Implementierung schwierig und hardwareintensiv machte. LDAP wurde mit dem Ziel entwickelt, Verzeichnisdienste einfacher und somit populärer zu machen. LDAP setzt auf einem TCP/IP-Stack auf und implementiert nur eine Auswahl der DAP-Funktionen und Datentypen. Dadurch ließ sich LDAP auch auf Arbeitsplatzrechnern der frühen neunziger Jahre implementieren und gewann eine breite Anwendungsbasis.
LDAP und X.500
X.500 erfordert eine strenge Implementierung der Verzeichnisdaten und besitzt mit DAP einen größeren Funktions- und Kontrollumfang als LDAP. Dies behinderte die breitere Verteilung in vielen Unternehmen. Die Entscheidung, eine „Lightweight“-Version des DAP-Protokolls zu implementieren, führte zu einer hohen Flexibilität in den Netzwerken, so dass solche Verzeichnisse zum ersten Mal „Internet-tauglich“ wurden.
Funktionsweise
Um eine Übersicht über die Funktionsweise einer LDAP-Architektur zu bekommen, ist es notwendig, dass man zwischen der Organisation des LDAP-Verzeichnisses und dem Protokoll LDAP unterscheidet.
LDAP-Verzeichnis
Die Datenstruktur eines LDAP-Verzeichnisses ist durch einen hierarchischen Baum mit Wurzeln, Zweigen und Blättern gegeben. Die Wurzel (root, suffix) ist das oberste Datenobjekt, unter ihm verzweigen sich die höheren Strukturen. Beispiel: Wird ein LDAP-Verzeichnis in einem Unternehmen mit dem Namen ACME eingesetzt, kann die Organisation als Wurzel definiert werden: o=acme.
Personen können in Zweigen unterhalb dieser Wurzel hinterlegt werden: ou=Personen,o=acme
Gruppen können in anderen Zweigen unterhalb der Wurzel hinterlegt werden: ou=Gruppen,o=acme
Damit die Organisation der Daten nicht willkürlich geschieht, verwendet jedes LDAP-Verzeichnis eine bestimmte, genormte und gegebenenfalls erweiterte Struktur. Die Struktur wird durch das verwendete Schema definiert. Ein LDAP-Schema definiert jeweils Objekt-Klassen mit ihren Attributen, wie zum Beispiel die Klasse person oder die Klasse organisation.
Die Verzeichniseinträge heißen LDAP-Objekte. Jedes Objekt gehört zu mindestens einer, in der Regel aber zu mehreren Klassen. So sind für die Daten einer Person, ihrer E-Mail-Adresse und ihrer Passwörter nicht etwa drei Objekte notwendig, sondern dasselbe Objekt gehört zu drei Klassen. Diese könnten in diesem Beispiel person, inetOrgPerson und posixAccount heißen.
Es gibt drei Arten von Objektklassen: Da ein Objekt zu mindestens einer strukturellen Klasse gehören muss, ist dies die Standardeinstellung. Daneben gibt es noch Hilfsklassen, welche dazu benutzt werden können, verschiedenartigen Objekten gleiche Attribute zuzuweisen. Zu guter Letzt existieren noch abstrakte Basisklassen, von denen keine Objekte, sondern nur untergeordnete Basisklassen erzeugt werden können.
Jedes Objekt ist eigenständig und aus Attributen zusammengesetzt. Ein einzelnes Objekt wird eindeutig durch den Distinguished Name (DN) identifiziert wie zum Beispiel uid=juser,ou=People,ou=webdesign,c=de,o=acme. Dieser setzt sich aus einzelnen Relative Distinguished Names (RDN) zusammen. Eine andere Schreibweise für den DN ist der canonical name, der keine Attribut-Tags wie ou, c und so weiter enthält und bei dem die Trennung zwischen den RDNs durch Schrägstriche erfolgt. Außerdem beginnt die Reihenfolge, im Gegensatz zum dn, mit dem obersten Eintrag, also zum Beispiel acme/de/webdesign/People/juser.
Jedes Attribut eines Objekts hat einen bestimmten Typ und einen oder mehrere Werte. Die Typenbezeichnungen der Attribute sind meist einfach zu merkende Kürzel wie zum Beispiel cn für common name, ou für organizational unit, s für state, c für country oder mail für e-mail address. Die erlaubten Werte eines Attributs sind vom Typ abhängig. So könnte ein mail-Attribut die Adresse hans.wurst@example.com enthalten, ein jpegPhoto-Attribut dagegen würde ein Foto als binäre Daten im JPEG-Format speichern. Die in der Objektklasse definierten Attribute können entweder obligatorisch (mandatory) oder optional sein.
Die Objekte werden in einer hierarchischen Struktur gespeichert, die politische, geographische oder organisatorische Grenzen widerspiegelt. Die größten Einheiten werden an die Spitze des Verzeichnisbaumes gestellt, der sich nach unten immer weiter auffächert. Während Objekte, die selbst Objekte enthalten, als Containerobjekte bezeichnet werden, heißen die „Enden“ des Baumes Blattobjekte.
Wenn einzelne LDAP-Server für einzelne Teile des Verzeichnisbaumes zuständig sind, spricht man von Partitionen. Stellt ein Client eine Anfrage, für die der Server nicht zuständig ist, kann der Server den Client an einen anderen Server verweisen. LDAP-Server lassen sich redundant aufbauen. Hierzu wird oft eine Master-Slave-Konfiguration verwendet. Versucht ein Client, Daten auf einem Slave-Server zu ändern, wird er an den Master verwiesen. Die Änderungen auf dem Master-Server werden dann an alle Slave-Server weitergegeben.
Da viele verschiedene Schemata in verschiedenen Versionen in Benutzung sind, ist die Vorstellung eines „globalen“ alles umfassenden LDAP-Verzeichnisses nicht real. LDAP-Server werden als zentraler Verzeichnisdienst für verschiedene Zwecke in verschiedenen Größen eingesetzt, die Objekthierarchie bleibt aber in der Regel auf eine Organisation beschränkt.
LDAP-Protokoll
Das LDAP-Protokoll ist ein Protokoll der Anwendungsschicht (Applicationlayer) nach dem für TCP verwendeten DOD 4-Schichtenmodell und arbeitet mittels genau spezifizierter Zugriffs-Prozesse:
- bind: Mit der bind-Direktive vermittelt man dem Directory-Server über eine dn, wer den Zugriff durchführen möchte (entweder anonym, per Passwort-Authentifizierung oder anders)
- baseDN: Die BaseDN definiert, wo im Verzeichnisbaum abwärts die Suche nach bestimmten Objekten gestartet werden soll. Diese Suche kann festgelegt werden auf eine Suche über
- genau dieses Objekt (base)
- dieses Objekt und alles darunter (sub)
- eine Ebene unterhalb des BaseDNs (one)
Ansonsten gelten die notwendigen Such-Spezifikationen wie Suchoperator (Beispiel (&(mail=joe*)(ou=People))), Server-Benennung – wie zum Beispiel ldap.acme.com –, Port-Benennung und so weiter.
Beispiel für eine LDAP-Suchanfrage durch ein einfaches Kommandozeilenprogramm:
ldapsearch -h ldap.acme.com -p 389 -s sub -D "cn=Directory Manager,o=acme" -W -b "ou=personen,o=acme" "(&(mail=joe*)(c=germany))" mail
Erklärung: Das Kommandozeilenprogramm kontaktiert über LDAP den Directory-Server ldap.acme.com (Port 389) und meldet sich über den Account des Directory Managers an diesem System an. Die Anfrage zielt auf alle Benutzereinträge (unterhalb des Zweiges ou=personen,o=acme) und sucht nach Personen aus Deutschland, deren Mailadresse mit joe beginnen ((&(mail=joe*)(c=germany))). Werden Personen gefunden, die auf diesen Filter passen, so wird deren Mailadresse zurückgegeben (mail).
Anwendungen
LDAP kommt heutzutage in vielen Bereichen zum Einsatz, beispielsweise:
- Adressbuch wie zum Beispiel Apple Adressbuch, IBM Lotus Notes, Microsoft Outlook, Mozilla Thunderbird, Novell Evolution, der OpenOffice.org Serienbrieferstellung und dem Mailprogramm von Ritlabs The Bat!
- Benutzerverwaltung wie zum Beispiel Apple Open Directory, POSIX Accounts, Microsoft Active Directory Service
- Authentifizierung wie zum Beispiel PAM
- Verwaltung von Benutzerdaten für SMTP-, POP- und IMAP-Server, sowie in folgenden Mailservern: postfix, qmail, exim, Lotus Domino, sendmail, Cyrus, Courier. Auch in den dazugehörigen Antispam-Aufsetzen: SpamAssassin und Amavisd
Unterstützung von LDAP
Viele Anbieter von Verzeichnisdiensten unterstützen LDAP, beispielsweise:
- Apache Software Foundation (durch Apache Directory)
- Apple (durch Open Directory)
- AT&T
- Banyan Vines
- Critical Path
- Hewlett-Packard
- IBM/Lotus
- Microsoft (durch ADS beziehungsweise ADAM) (Service wird installiert wenn Windows 2003 zum Domain Controller wird)
- Novell (durch NDS)
- OpenLDAP (OpenSource Variante für eine Vielzahl unterschiedlicher Plattformen)
- Oracle (durch Oracle Internet Directory)
- OTRS (über das Modul Net::LDAP)
- RedHat (openSource Variante Fedora Directory Server)
- SGI
- Siemens (durch Siemens DirX Directory Server)
- Sun (durch Sun Java System Directory Server)
GQ und Luma ermöglichen das direkte Betrachten und Bearbeiten von LDAP-Verzeichnissen.
Der Export und Import erfolgt mittels LDIF.
LDAP und Datenbankmodelle
LDAP agiert als Frontend zu hierarchischen Datenbanken. Diese Form der Datenhaltung ist auf völlig andere Problemstellungen zugeschnitten als das relationale Modell. LDAP an sich ist auch keine Datenbank, sondern lediglich das Protokoll zur Kommunikation.
Potentielle Probleme
- Keine Normalformen: LDAP agiert als Frontend zu hierarchischen Datenbanken. Diese Struktur erzwingt keine Normalformen, zum Beispiel können multivalued attributes erlaubt sein.
- Abfragesprache: Von den relationalen Operationen Projektion (Spaltenauswahl), Selektion (Zeilenauswahl), Kreuzprodukt (Join), Spaltenumbenennung (Rename, AS) und Aggregation (GROUP BY) unterstützt LDAP nur Projektion ohne Erzeugung von errechneten Attributen und Selektion. Analoge Operationen zum Join oder einen „Dereferenziere diesen DN“-Operator gibt es nicht, ein Rename und damit ein Selfjoin existiert nicht und Aggregation muss mit Schleifen im Client auscodiert werden. Anders als SQL ist die LDAP-Abfragesprache keine Algebra, es fehlt die Abgeschlossenheit. Abfrageergebnisse von LDAP-Anfragen sind keine LDAP-Bäume, sondern Knotenmengen, und die LDAP-Abfragesprache ist auf LDAP-Ergebnisse nicht wieder anwendbar, um die Ergebnisse zu verfeinern.
Quellen zu vermeintlichen Problemen von LDAP
Stärken und Anwendungsschwerpunkte von LDAP
- Autorisierung und Authentifizierung: Das LDAP-Protokoll und LDAP-Server sind auf Authentifizierung (Passwortprüfung), Autorisierung (Rechteprüfung) und Adressbuch-Lookups optimiert. Der schnelle Verbindungsauf- und -abbau, das einfach strukturierte Protokoll und die performante Abfragesprache sorgen für eine Verarbeitung mit sehr guter Performance.
- Schneller Lesezugriff: Durch seine nichtnormalisierte Datenspeicherung kann auf alle Daten eines LDAP-Datensatzes sehr schnell zugegriffen werden, weil alle Daten sofort mit einem einzigen Lesezugriff ausgelesen werden können.
- Verteilte Datenhaltung: LDAP bietet verteilte Datenhaltung wie zum Beispiel redundante lokale Datenspeicherung an verteilten Standorten, lose gekoppelte Replikation zum Datenabgleich zwischen den Standorten und extrem hohe Verfügbarkeit ohne komplexe Konfiguration oder hohe Kosten.
- Flexibles, voll objektorientiertes Datenmodell: LDAP erbt vom X.500-Standard das objektorientierte Datenmodell. Damit können LDAP-Verzeichnisse flexibel an volatile Anforderungen angepasst werden, ohne dass bereits im Verzeichnis implementierte Funktionalität verloren geht.
- Breite Anwendungsunterstützung: LDAP ist der Industrie-de-facto-Standard für Authentifizierung, Autorisierung und Benutzer- und Adressverzeichnisse. Die meisten Softwareprodukte, die mit Benutzerdaten umgehen müssen und Marktrelevanz haben, unterstützen LDAP als Protokoll.
Siehe auch
- Verzeichnisdienst
- OpenLDAP – Referenzimplementierung LDAPv3
- Active Directory Service
- Request for Comments
Weblinks
- OpenLDAP – Open-Source-Referenzimplementierung LDAPv3
- Fedora Directory Server – Freie Alternative zu OpenLDAP
- OpenDS – Open-Source – LDAP-Server von SUN, komplett in Java implementiert
- Apache Directory Server – Ein LDAP-Server in Java unter der Apache-Lizenz
- Apache Directory Studio – Ein LDAP Browser und Directory Client für Linux, MacOS und Windows. Auch als Eclipse Plugin nutzbar
- Verzeichnisdienst.de – Umfangreiche Linksammlung zu LDAP-Verzeichnisdiensten
- LDAP Browser – Eingeschränkte Testversion des Softerra LDAP Browser für Windows (Download)
- LDAP Articles, Links, Whitepapers (Introduction to LDAP (PDF))
- Spring LDAP
- Einführender Artikel zu OpenLDAP im Linux Magazin
- LDAPcon – International Conference on LDAP
Wikimedia Foundation.