LDAP: відмінності між версіями

LDAP (англ. Lightweight Directory Access Protocol — Полегшений протокол доступу до директорій / каталогів) — мережевий протокол прикладного рівня для надсилання запитів та модифікації даних служби каталогів через TCP/IP. LDAP є відкритим, комерційно-нейтральним, (англ. vendor-neutral), промисловим стандартним протоколом. LDAP розроблений IETF як полегшений варіант розробленого ITU-T протоколу DAP.

LDAP — відносно простий протокол, що використовує TCP/IP і дозволяє проводити операції авторизації (bind), пошуку (search) та порівняння (compare), а також операції додавання, зміни або видалення записів. Зазвичай LDAP-сервер приймає вхідні з'єднання на порт 389 по протоколах TCP або UDP. Для LDAP-сеансів, інкапсульованих в SSL, зазвичай використовується порт 636.

Будь-який запис у каталозі LDAP складається з одного або декількох атрибутів і володіє унікальним ім'ям (DN - англ. Distinguished Name). Унікальне ім'я може виглядати, наприклад, наступним чином: «cn = Іван Петренко, ou = Співробітники, dc = example, dc = com». Унікальне ім'я складається з одного або декількох відносних унікальних імен (RDN - англ. Relative Distinguished Name), розділених комою. Відносне унікальне ім'я має вигляд ІмяАтрибута = значення. На одному рівні каталогу не може існувати двох записів з однаковими відносними унікальними іменами. В силу цієї структури унікального імені записи в каталозі LDAP можна легко уявити у вигляді дерева.

Запис може складатися тільки з тих атрибутів, які визначені в описі класу запису (object class), які, у свою чергу, об'єднані в схеми (schema). У схемі визначено, які атрибути є для даного класу обов'язковими, а які — необов'язковими. Також схема визначає тип і правила порівняння атрибутів. Кожен атрибут запису може зберігати кілька значень.

Як правило, каталог LDAP реалізується згідно з моделлю X.500: він складається із дерева записів^[1], кожне з яких складається із множини іменованих атрибутів зі значеннями. Деякі зі служб підтримують складнішу модель «ліс», але більшість мають лише один початковий запис.

Залежно від обраної моделі, LDAP-каталог часто віддзеркалює різноманітні політичні, географічні, та (або) організаційні регіони. Встановлені LDAP-системи схиляються до використання доменних імен (DNS) для структурування найвищих рівнів ієрархії. На нижчих рівнях в каталозі можуть бути записи, які відповідають людям, організаційним підрозділам, принтерам, документам, групам людей, або будь чому іншому, що представляє даний запис, або множину записів в каталозі.

Остання версія протоколу — LDAPv3. Стандарт LDAPv3 визначено в низці документів IETF, як описано в RFC 4510.

Протокол надає інтерфейс з каталогами, які відповідають стандарту X.500 видання 1993 р.:

• Запис складається з набору атрибутів.
• Атрибут має ім'я, яке може бути типом атрибута (attribute type) або описом (фактично скороченою назвою) атрибута (attribute description), і одне або кілька значень. Атрибути визначені в схемі.

Про опис атрибута йдеться в розділі 3 RFC 4514:

Implementations MUST recognize AttributeType name strings
  (descriptors) listed in the following table, but MAY recognize other
  name strings.
String  X.500 AttributeType
     ------  --------------------------------------------
     CN      commonName (2.5.4.3)
     L       localityName (2.5.4.7)
     ST      stateOrProvinceName (2.5.4.8)
     O       organizationName (2.5.4.10)
     OU      organizationalUnitName (2.5.4.11)
     C       countryName (2.5.4.6)
     STREET  streetAddress (2.5.4.9)
     DC      domainComponent (0.9.2342.19200300.100.1.25)
     UID     userId (0.9.2342.19200300.100.1.1)

Телекомунікаційні компанії впровадили концепцію служби каталогів до інформаційних технологій та комп'ютерних мереж так як вони розуміли, на підставі свого 70-річного досвіду роботи з телефонними каталогами. Це вилилося у специфікації X.500 (набору протоколів розробленого ITU у 1980 роках). X.500 служби каталогів були доступні через X.500 протокол доступу до каталогів (англ. Directory Access Protocol — DAP), який використовував Open Systems Interconnection (OSI) стек протоколів. Розробка LDAP мала на меті полегшити доступ до X.500 служби каталогів через простіший стек протоколів TCP/IP.

Цей розділ у процесі редагування певний час. Будь ласка, не редагуйте його, бо Ваші зміни можуть бути втрачені. Ви можете працювати над іншими розділами. Якщо цей розділ не редагувався кілька днів, будь ласка, приберіть цей шаблон. Це повідомлення призначене для уникнення конфліктів редагування. Останнє редагування зробив користувач Володимир Ф (внесок, журнали) о 12:14 UTC (5184031 хвилину тому).

LDAP описується в серії Request for Comments документів:

• RFC 4510 - LDAP: Technical Specification Road Map (LDAP: Дорожня карта (путівник) технічних характеристик) (Obsoletes (замінює застарілі): RFC 2251, RFC 2252, RFC 2253, RFC 2254, RFC 2255, RFC 2256, RFC 2829, RFC 2830, RFC 3377, RFC 3771)

• RFC 4511 - LDAP: The Protocol (Obsoletes RFC 2251, RFC 2830 & RFC 3771)
• RFC 4512 - LDAP: Directory Information Models (Obsoletes RFC 2251, RFC 2252, RFC 2256 & RFC 3674)
• RFC 4513 - LDAP: Authentication Methods and Security Mechanisms (Obsoletes RFC 2251, RFC 2829 & RFC 2830)
• RFC 4514 - LDAP: String Representation of Distinguished Names (Obsoletes RFC 2253)
• RFC 4515 - LDAP: String Representation of Search Filters (Obsoletes RFC 2254)
• RFC 4516 - LDAP: Uniform Resource Locator (Obsoletes RFC 2255)
• RFC 4517 - LDAP: Syntaxes and Matching Rules (Obsoletes RFC 2252 & RFC 2256, Updates (оновлює) RFC 3698)
• RFC 4518 - LDAP: Internationalized String Preparation
• RFC 4519 - LDAP: Schema for User Applications (Obsoletes RFC 2256, Updates RFC 2247, RFC 2798 & RFC 2377)

The following RFCs detail LDAP-specific Best Current Practices:

• RFC 4520 (also BCP 64) - Internet Assigned Numbers Authority (IANA) Considerations for the Lightweight Directory Access Protocol (LDAP) (replaced RFC 3383)
• RFC 4521 (also BCP 118) - Considerations for Lightweight Directory Access Protocol (LDAP) Extensions

The following is a partial list of RFCs specifying LDAPv3 extensions:

• RFC 2247 - Use of DNS domains in distinguished names (Updated by RFC 4519 & RFC 4524)
• RFC 2307 - Using LDAP as a Network Information Service
• RFC 2589 - LDAPv3: Dynamic Directory Services Extensions
• RFC 2649 - LDAPv3 Operational Signatures
• RFC 2696 - LDAP Simple Paged Result Control
• RFC 2798 - inetOrgPerson LDAP Object Class (Updated by RFC 3698, RFC 4519 & RFC 4524)
• RFC 2830 - LDAPv3: Extension for Transport Layer Security
• RFC 2849 - The LDAP Data Interchange Format (LDIF)
• RFC 2891 - Server Side Sorting of Search Results
• RFC 3045 - Storing Vendor Information in the LDAP root DSE
• RFC 3062 - LDAP Password Modify Extended Operation
• RFC 3296 - Named Subordinate References in LDAP Directories
• RFC 3671 - Collective Attributes in LDAP
• RFC 3672 - Subentries in LDAP
• RFC 3673 - LDAPv3: All Operational Attributes
• RFC 3687 - LDAP Component Matching Rules
• RFC 3698 - LDAP: Additional Matching Rules
• RFC 3829 - LDAP Authorization Identity Controls
• RFC 3866 - Language Tags and Ranges in LDAP
• RFC 3909 - LDAP Cancel Operation
• RFC 3928 - LDAP Client Update Protocol
• RFC 4370 - LDAP Proxied Authorization Control
• RFC 4373 - LBURP
• RFC 4403 - LDAP Schema for UDDI
• RFC 4522 - LDAP: Binary Encoding Option
• RFC 4523 - LDAP: X.509 Certificate Schema
• RFC 4524 - LDAP: COSINE Schema (replaces RFC 1274)
• RFC 4525 - LDAP: Modify-Increment Extension
• RFC 4526 - LDAP: Absolute True and False Filters
• RFC 4527 - LDAP: Read Entry Controls
• RFC 4528 - LDAP: Assertion Control
• RFC 4529 - LDAP: Requesting Attributes by Object Class
• RFC 4530 - LDAP: entryUUID
• RFC 4531 - LDAP Turn Operation
• RFC 4532 - LDAP Who am I? Operation
• RFC 4533 - LDAP Content Sync Operation
• RFC 4876 - Configuration Profile Schema for LDAP-Based Agents
• RFC 5020 - LDAP entryDN Operational Attribute

LDAPv2 was specified in the following RFCs:

• RFC 1777 - Lightweight Directory Access Protocol (replaced RFC 1487)
• RFC 1778 - The String Representation of Standard Attribute Syntaxes (replaced RFC 1488)
• RFC 1779 - A String Representation of Distinguished Names (replaced RFC 1485)

LDAPv2 was moved to historic status by the following RFC:

• RFC 3494 - Lightweight Directory Access Protocol version 2 (LDAPv2) to Historic Status

Це незавершена стаття про інформаційні технології. Ви можете допомогти проєкту, виправивши або дописавши її.