▷ Ldap: cos'è e a cosa serve questo protocollo

Il protocollo LDAP è ampiamente utilizzato oggi dalle aziende che scommettono sul software libero utilizzando le distribuzioni Linux per esercitare le funzioni di una directory attiva in cui verranno gestite le credenziali e le autorizzazioni dei lavoratori e delle stazioni di lavoro nelle reti LAN aziendali connessioni client / server.

Indice dei contenuti

In questo articolo vedremo nel modo più completo possibile in che cosa consiste questo protocollo e lo strumento corrispondente, insieme alla struttura e ai termini più utilizzati in esso.

Che cos'è LDAP?

LDAP è l'abbreviazione di Lightweight Directory Access Protocol). È un insieme di protocolli di licenza aperti utilizzati per accedere alle informazioni archiviate centralmente in una rete. Questo protocollo viene utilizzato a livello di applicazione per accedere ai servizi di directory remota.

Una directory remota è un insieme di oggetti organizzati gerarchicamente, come nomi, indirizzi, ecc. Questi oggetti saranno resi disponibili da una serie di client collegati attraverso una rete, generalmente interna o LAN, e forniranno le identità e le autorizzazioni per quegli utenti che li usano.

LDAP si basa sul protocollo X.500 per la condivisione delle directory e contiene queste informazioni in modo gerarchico e classificato per fornirci una struttura intuitiva dal punto di vista della gestione da parte degli amministratori. È, per così dire, un elenco telefonico, ma con più attributi e credenziali. In questo caso usiamo il termine directory per fare riferimento all'organizzazione di questi oggetti.

In generale, queste directory sono sostanzialmente utilizzate per contenere informazioni sugli utenti virtuali, in modo che altri utenti accedano e dispongano delle informazioni sui contatti memorizzati qui. Ma è molto più di questo, poiché è in grado di comunicare in remoto con altre directory LDAP situate su server che potrebbero essere dall'altra parte del mondo per accedere alle informazioni disponibili. In questo modo viene creato un database di informazioni decentralizzato e completamente accessibile.

La versione corrente si chiama LDAPv3 ed è definita in un foglio di documentazione RFC 4511 accessibile al pubblico.

Operazione LDAP

LDAP è un protocollo basato sulla connessione tra client e server. I dati relativi alla directory verranno archiviati nel server LDAP, che sarà in grado di utilizzare un'ampia varietà di database per questo spazio di archiviazione, diventando molto grande.

Le operazioni di accesso e amministrazione sono molto simili a quelle di Windows Active Directory. Quando il client LDAP si connette al server, è possibile eseguire due azioni di base, eseguire una query e ottenere informazioni sulla directory o modificarle.

• Se un client consulta le informazioni, il server LDAP può collegarle direttamente se ha una directory ospitata al suo interno o reindirizzare la richiesta a un altro server che dispone effettivamente di tali informazioni. Questo può essere locale o remoto. Se un client desidera modificare le informazioni della directory, il server verificherà se l'utente che accede a questa directory dispone o meno delle autorizzazioni di amministratore. Quindi, le informazioni e la gestione di una directory LDAP possono essere eseguite in remoto.

La porta di connessione per il protocollo LDAP è TCP 389, sebbene, ovviamente, possa essere modificata dall'utente e impostarla su quella che desidera se la indica al server.

Come vengono archiviate le informazioni in LDAP

In una directory LDAP possiamo memorizzare sostanzialmente le stesse informazioni di una Active Directory di Windows. Il sistema si basa sulla seguente struttura:

• Voci, chiamate oggetti in Active Directory. Queste voci sono raccolte di attributi con un nome distinto (DN). Questo nome viene utilizzato per assegnare un identificatore univoco e irripetibile a una voce della directory. Una voce può essere il nome di un'organizzazione e gli attributi penderanno da essa. Anche una persona può essere una voce. Attributi: che hanno un tipo di identificatore e i valori corrispondenti. I tipi vengono utilizzati per identificare i nomi degli attributi, ad esempio "mail", "name", "jpegPhoto", ecc. Alcuni degli attributi che appartengono a una voce devono essere obbligatori e altri facoltativi. LDIF: LDAP Data Interchange Format è la rappresentazione di testo ASCII delle voci LDAP. Questo dovrebbe essere il formato dei file utilizzati per importare informazioni in una directory LDAP. Quando viene scritta una riga vuota, significa la fine di una voce.

dn: :::

Alberi: è l' organizzazione gerarchica delle voci. Ad esempio, in una struttura ad albero possiamo trovare un paese in cima e come quello principale, e all'interno di questo avremo i diversi stati che compongono il paese. All'interno di ogni stato saremo in grado di elencare i distretti, i cittadini e gli indirizzi di dove vivono e così via.

Se lo applicassimo a Internet e all'informatica, potremmo organizzare una directory LDAP per mezzo di un nome di dominio che farebbe le funzioni dell'albero e da esso appenderebbero i diversi dipartimenti o unità organizzative di un'azienda, dipendenti, ecc. Ed è proprio in questo modo che si formano attualmente le directory, grazie all'utilizzo di un servizio DNS, possiamo associare un indirizzo IP a una directory LDAP per potervi accedere attraverso il nome di dominio.

Come si accede alle informazioni in LDAP

Una voce di esempio per una directory LDAP potrebbe essere:

dn: cn = Jose Castillo, dc = profesionalreview, dc = com cn: Jose Castillo datoNome: Jose sn: Castillo telephoneNumber: +34 666 666 666 mail: [email protected] objectClass: inetOrgPerson objectClass: organizerPersonal oggettoClass: person objectClass: top

• dn (nome dominio): nome della voce, ma non parte della voce stessa. dc: componente di dominio per identificare le parti del dominio in cui è archiviata la directory LDAP. cn (nome comune): nome dell'attributo per identificare il nome utente, ad esempio sn (cognome): cognome del telefono dell'utente Nombre, mail…: identifica il nome dell'attributo telefono ed e-mail. objectClass: diversi input per definire le proprietà degli attributi

Un server LDAP, oltre alla memorizzazione di un albero, può contenere sottotitoli che includono voci specifiche per il dominio primario. Inoltre, è possibile memorizzare riferimenti ad altri server di directory per dividere il contenuto, se necessario.

Struttura di un URL di accesso in LDAP

Quando si effettuano connessioni remote a un server LDAP, sarà necessario l'uso di indirizzi URL per ottenere informazioni da esso. La struttura di base

ldap: // server: port / DN? attributi? ambito? filtri? estensioni

• server o host: è l'indirizzo IP o il nome di dominio della porta del server LDAP: la porta di connessione al server, per impostazione predefinita sarà 389 DN: nome distinto da utilizzare nella ricerca Attributi: è un elenco di campi da restituire separati da virgole Ambito o ambito: è l'ambito della ricerca Filtri: per filtrare la ricerca in base all'identificatore dell'oggetto, ad esempio. Estensioni: saranno le estensioni delle stringhe di caratteri dell'URL in LDAP.

Per esempio:

ldap: //ldap.profesionalreview.com/cn=Jose%20Castillo, dc=profesionalreview, cd=com

Stiamo cercando tutti gli utenti nella voce di Jose Castillo su profesionalreview.com.

Oltre a questa notazione, avremo anche una versione di LADP con certificato di sicurezza SSL, il cui identificatore per l'URL sarà "ldaps:".

Strumenti più importanti che utilizzano il protocollo LDAP

Esistono attualmente vari strumenti che utilizzano questo protocollo per la comunicazione client-server di un servizio di directory. Ancora più importante, anche Windows Active Directory utilizza questo protocollo di comunicazione.

• OpenLDAP: è l'implementazione gratuita del protocollo LDAP. Ha una propria licenza ed è compatibile con altri server che utilizzano lo stesso protocollo. È utilizzato da diverse distribuzioni Linux e BSD. Active Directory: è un archivio di dati di directory con licenza Microsoft e implementato nei suoi sistemi operativi server da Windows 2000. In realtà, sotto la struttura di Active Directory è presente uno schema LDAPv3, quindi è anche compatibile con altri sistemi che implementano questo protocollo. nelle loro directory. Red Hat Directory Server: è anche un server basato su LDAP simile ad Active Directory, ma che utilizza uno strumento open source. All'interno di questa directory possiamo archiviare oggetti come utenti chiave, gruppi, criteri di autorizzazione, ecc. Apache Directory Server: un'altra grande implementazione che utilizza LDAP è la directory con licenza del software Apache. Inoltre, implementa altri protocolli come Kerberos e NTP e ha un'interfaccia di viste tipica dei database relazionali. Novell Directory Services: questo è il server di directory di Novell per la gestione dell'accesso a un archivio di risorse su uno o più server in rete. È costituito da una struttura di database gerarchica orientata agli oggetti in cui sono memorizzati tutti i target di directory tipici. Apri DS: finiamo questo elenco con la directory basata su Java di SUN Microsystems, che verrà successivamente rilasciata a tutti gli utenti. Naturalmente, è sviluppato in JAVA, avremo bisogno del pacchetto Java Runtime Environmet per farlo funzionare.

Queste sono le caratteristiche più interessanti e le informazioni più rilevanti sul protocollo LDAP. Cercheremo di espandere le informazioni con esercitazioni che stiamo svolgendo su questo argomento.

Nel frattempo, potresti essere interessato a queste informazioni:

Speriamo che queste informazioni siano state utili. Per aggiungere qualcosa o dirci cosa ne pensi di LDAP scrivici nei commenti.