LDAP は、階層ディレクトリへの情報の保存とクエリに使用される標準 TCP/IP スタック プロトコルです。これは、より多くのリソースを消費する X.500 ディレクトリ サービス プロトコルの代替品です。 LDAP は、SSO 認証と保存によく使用されます。標準では、LDAP は暗号化されていない通信には TCP ポート 389 を使用し、暗号化チャネルでは TLS ポート 636 を使用します。

LDAP はどのように機能しますか?

1. クライアントは専用の TCP ポートを介して LDAP セッションを開始します。
2. (オプション) セッション オプションの値を読み取り、変更します。
3. LDAP サーバーへの接続を確立するか、バインディング関数の 1 つを使用して特権認証されたクライアントを使用してサーバーに明示的にバインドします。
4. 電子メール サーバーにクエリを送信するか、プリンターへの接続を確立します。サーバーはクエリを受信し、対応する情報をユーザーに返します。
5. 完了したら、LDAP サーバーへの接続を閉じます。

LDAP は、ほとんどの最新の http ベースのプロトコルとは異なり、ディレクトリ サーバーとの通信時に数日間存続できる永続的な接続を使用します。

LDAP を使用する利点

1. これは進化し続ける成熟したプロトコルです。これはほとんどの大企業にとって重要なコンポーネントであるため、プロトコルの改訂を維持し、標準を更新する必要があります。
2. LDAP は X.500 プロトコルの軽量バージョンですが、他の最新のプロトコルと比較しても非常に軽量です。
3. LDAP は安全であり、ユーザー名、パスワード、その他の機密情報の保存によく使用されます。ただし、そのセキュリティはその実装に依存します。このプロトコルを採用する場合は、次のようなベスト プラクティスに従うことが重要です。
   • アクセス制御ポリシーを確立しています。
   • ディレクトリ データの複数のコピーを維持します。
   • パスワードなどの機密情報を暗号化します。

LDAPのコンポーネント

属性: LDAP システム内のデータは、属性と呼ばれるキーと値のペアに格納されます。コロンとスペースを使用して名前と値を区切ることにより、属性値を設定できます。例えば。

メール: [email protected]

属性とそのデータを設定せずに参照するには、等号を使用します。例えば。

[email protected]

最も一般的に使用される属性は次のとおりです:
- ou: 組織単位
- _ dn_: 識別名
- cn: 通称
- 説明
- dc: ドメインコンポーネント
- 名: 名
- メール: メールアドレス
- sn: 姓

エントリ: エントリは、何かに関連付けられているか、何かを説明する属性のコレクションです。エントリはシステム内のユーザーである可能性があります。これをリレーショナル データベースの行として考えてください。各エントリは次で構成されます:
- 識別名 (DIT 階層内の特定のエントリを一意に識別します
) - 属性のコレクション (エントリのデータを保持します)
- オブジェクト クラスのコレクション (デバイスや人物に関する情報など、エントリが表すオブジェクトの種類を示します)

dn: ou=Users,dc=example,dc=com,uid=jd001
objectClass: EntUsers
cn: Jane Doe
sn: Doe
mail: [email protected]
uid: jd001

検索フィルタ: 特定の種類の情報を含むエントリを識別するための基準を定義するために使用されます。
LDAP URL: この URL には、ディレクトリ サーバーまたは検索条件を参照できるさまざまな情報が含まれています。

LDAPの主な事業者

1. 追加: ディレクトリに新しいエントリを挿入します。
2. 変更: 既存のディレクトリ エントリを変更します。
3. バインド: LDAP クライアントを認証してサーバーに接続します。
4. 削除: ディレクトリ エントリを削除します。

LDAP は、Microsoft の Active Directory と、OpenLDAP や Red Hat Directory Server などの他のディレクトリ サーバーによって使用されます。企業内で LDAP をセットアップするには、ディレクトリ サーバー、さまざまな権限を持つユーザー、クエリ可能なディレクトリ データ、および LDAP クライアント アプリケーションが必要です。
-