LDAP — это стандартный протокол стека TCP/IP, который используется для хранения и запроса информации из иерархического каталога. Это альтернатива протоколу службы каталогов X.500, который является более ресурсоемким. LDAP часто используется для аутентификации и хранения SSO. По стандарту LDAP использует порт TCP 389 для незашифрованной связи и порт TLS 636 по зашифрованному каналу.

Как работает LDAP?

1. Клиент запускает сеанс LDAP через выделенный порт TCP.
2. (Необязательно) Прочитайте и измените значения параметров сеанса.
3. Установите соединение с сервером LDAP или явно привяжитесь к серверу с помощью привилегированного клиента, прошедшего проверку подлинности, с помощью одной из функций привязки.
4. Отправьте запрос на сервер электронной почты или установите соединение с принтером. Сервер получает запрос и возвращает пользователю соответствующую информацию.
5. После завершения закройте соединение с LDAP-сервером.

LDAP, в отличие от большинства современных протоколов на основе http, использует постоянные соединения, которые могут существовать в течение нескольких дней при обмене данными с сервером каталогов.

Преимущества использования LDAP

1. Это зрелый протокол, который продолжает развиваться. Это критически важный компонент для большинства крупных предприятий, поэтому необходимо поддерживать версии и обновлять стандарты протокола.
2. LDAP — это облегченная версия протокола X.500, но при этом она очень легкая по сравнению с другими современными протоколами.
3. LDAP безопасен и часто используется для хранения имен пользователей, паролей и другой конфиденциальной информации. Но его безопасность зависит от его реализации. При принятии этого протокола важно следовать передовому опыту, например:
   • установление политики контроля доступа.
   • поддержание нескольких копий данных каталога.
   • шифрование конфиденциальной информации, например паролей.

Компоненты LDAP

Атрибут: данные в системе LDAP хранятся в парах ключ-значение, известных как атрибуты. Вы можете установить значение атрибута, разделив имя и значение двоеточием и пробелом. например.

почта: [email protected]

Используйте знак равенства для ссылки на атрибут и его данные, не устанавливая его. например.

[email protected]

К наиболее часто используемым атрибутам относятся:
- ou: Организационное подразделение
- _ dn_: отличительное имя
- cn: общее имя
- описание
- dc: компонент домена
- givenName: имя
- почта: адрес электронной почты
- sn: фамилия

Записи: запись представляет собой набор атрибутов, которые связаны с чем-либо или описывают что-либо. Запись может быть пользователем в вашей системе. Думайте об этом как о строке в реляционной базе данных. Каждая запись состоит из:
- отличительное имя (уникально идентифицирует конкретную запись в иерархии DIT
— набор атрибутов (они содержат данные для записи)
- набор классов объектов (они указывают, какой объект представляет запись, например, информация об устройстве или человеке)

dn: ou=Users,dc=example,dc=com,uid=jd001
objectClass: EntUsers
cn: Jane Doe
sn: Doe
mail: [email protected]
uid: jd001

Фильтры поиска: используются для определения критериев идентификации записей, содержащих определенные виды информации.
URL-адреса LDAP: этот URL-адрес содержит различную информацию, которая может ссылаться на сервер каталогов или критерии поиска.

Основные операторы LDAP

1. Добавить: вставить новую запись в каталог.
2. Изменить: изменить существующие записи каталога.
3. Привязка: аутентификация и подключение клиента LDAP к серверу.
4. Удалить: удалить записи каталога.

LDAP используется Microsoft Active Directory и другими серверами каталогов, такими как OpenLDAP и Red Hat Directory Server. Чтобы настроить LDAP на предприятии, вам понадобится сервер каталогов, пользователи с различными разрешениями, данные каталога, которые можно запрашивать, и клиентское приложение LDAP.
-