LDAP

Jiří Novotný, xnovotn5@fi.muni.cz

Obsah

Základní informace

Adresář

Adresářová služba

Pod pojem adresářová služba se často zahrnuje i adresář.

LDAP

Někdy se označuje pojmem LDAP i server nebo adresář, pracující s protokolem LDAP.

Příklady adresářových služeb

Vzniklo před X.500: DNS, NIS, Doména Windows (předchůdce Active Directory).

Založeno na X.500/LDAP: Red Hat Directory Server, IBM Tivoli Directory Server, eDirectory, Active Directory, OpenLDAP, ad.

Informační (datový) model

Adresářové služby, které jsou založené na X.500/LDAP, reprezentují data ve stromové struktuře, nazvané Directory information tree (DIT). Jedná se o zakořeněný strom, jehož uzly i listy jsou jednotlivé záznamy v adresáři.

Záznam

Atribut

Objektová třída

Schéma

Jmenný model

Jak je uvedeno výše, jednotlivé objekty (tj. záznamy) jsou reprezentovány stromovou strukturou DIT.

U každého záznamu některé jeho atributy (obvykle pouze jeden atribut) tvoří identifikátor: Relative Distinguished Name (RDN). Tento identifikátor musí být jedinečný mezi všemi svými sourozenci ve stromové struktuře.

Řada, skládající se z RDN záznamu a RDN všech jeho předků až ke kořenu, tvoří tzv. Distinguished Name (DN). To jednoznačně identifikuje konkrétní záznam i jeho polohu v DIT.

Příklad DN: cn=Jan Novák,ou=zamestnanci,dc=firma,dc=cz

Příklad RDN: cn=Jan Novák

Funkční model

Zahrnuje dotazování, úpravy a autentizaci (které požaduje klient a provádí server) pomocí LDAP nad DIT. Konkrétní operace jsou:

Prohledávání (search)

Srovnání (compare)

Smazání (delete)

Přejmenování (rename)

Úprava (modify)

Přidání (add)

Připojení/odpojení (bind/unbind)

Zrušení (abandon)

Bezpečnostní model

V podstatě hlavně autentizace/autorizace klienta, dále ještě zabezpečení komunikace přes SSL/TLS.

Autentizace je možná více způsoby:

Při přihlášení heslem se obvykle zadává jako jméno uživatele DN objektu, který by měl mít atribut typu userPassword nebo authPassword.

Autorizace není součástí LDAP standardu. Některé LDAP servery ale implementují tzv. Access Control List (ACL). Obecně vzato: ACL určuje, kteří autentizovaní uživatelé mohou provádět které operace (viz funkční model) nad kterými záznamy.

Literatura