Från unika namn till användarautentisering

Det är vanligt att organisationer förlitar sig på LDAP (Lightweight Directory Access Protocol) för att utföra kritisk användarhantering, lagring och autentisering.

Det kan dock förvirra användare, vilket leder till att de blandas med Active Directory.

I den här artikeln ska vi titta på LDAP, dess syfte och hur det fungerar. Sedan kommer vi att granska dess nyckelfunktioner, katalogstruktur och dataorganisationsfunktioner. Slutligen kommer vi att täcka LDAP:s betydelse för att hantera katalogtjänster och användarautentisering.

Vad är LDAP?

LDAP står för Lightweight Directory Access Protocol. Det är ett öppet protokoll som styr säker användarautentisering för lokala kataloger. Dessutom är det ett leverantörsneutralt applikationsprotokoll, vilket gör det mångsidigt och allmänt förekommande, särskilt i de distribuerade kataloginformationstjänsterna över Internet.

LDAP är effektivt för att göra det möjligt för applikationer att fråga efter användarinformation. Det betyder att det kan fungera på olika sätt i IT-infrastrukturtjänster, inklusive e-posttjänster, auktorisering, licenshantering och användarhantering.

Det bör dock inte förväxlas med aktiva katalogtjänster – en uppsättning tjänster/databaser som företag använder för att organisera, komma åt och säkra IT-tillgångar. I grund och botten gör katalogtjänster det möjligt för organisationer att lagra data som är beskrivande, statisk och värdefull.

Tekniskt sett tillskrivs LDAP den fullständiga processen för datarepresentation inom en katalogtjänst. Det säkerställer att användare kan få data på ett fördefinierat sätt. Detta innebär att LDAP gör det möjligt för organisationer att skapa datainmatningar inom katalogtjänster genom sina verktyg.

Så inom en Active Directory säkerställer LDAP också hur poster är sammansatta baserat på olika primitiva element som beskrivs.

Kort sagt, LDAP är en:

  • Kommunikationsprotokoll
  • Det är ett öppet leverantörsneutralt applikationsprotokoll
  • Programvaruprotokollet lagrar och ordnar data så att de är lätta att söka.
  • Fungerar med lokala kataloger
  • Fungerar med Active Directory som innehåller data som är statisk, beskrivande och värdefull
  • Det är inte ett nytt protokoll och släpptes 2003

Vad är dess syfte?

LDAP:s syfte kretsar kring två saker:

  • Den lagrar data i en LDAP/Active Directory
  • Autentisera användarens åtkomst till nämnda katalog
  • Tillåt applikationer att använda korrekt kommunikationsspråk för att skicka och ta emot data från katalogtjänster.

Med andra ord fungerar det som ett kommunikationsprotokoll som inte bara kan autentisera och auktorisera utan också organiserar data på ett sökbart sätt. Med hjälp av LDAP kan organisationer lagra kritisk information om användare och IT-tillgångar, inklusive användaruppgifter. Dessutom kan det säkerställa säker åtkomst genom att göra det möjligt för administratörer att aktivt ställa in åtkomstregler.

Hur fungerar LDAP?

Kärnan i LDAP är klient-server-arkitektur som spelar roll.

Så när LDAP-autentisering äger rum följer den en klient-server-modell. Och under detta inkluderar nyckelspelarna följande:

  • Directory System Agent (DSA): En server som kör LDAP på ett specifikt nätverk.
  • Det distinguerade namnet (DN) innehåller sökvägen för att navigera i kataloginformationsträdet (DIT).
  • Directory User Agent (DUA): DUA används för att komma åt DSA:er som en klient.
  • Relative Distinguished Name (RDN): RDN specificerar varje komponent i DN:s sökväg.
  • Application Programming Interface (API): Vi har API:er som kommunicerar mellan tjänsterna och produkterna.

I LDAP-autentiseringsprocessen, när en användare startar ett LDAP-klientprogram, såsom ett e-postprogram, kan administratören konfigurera hur LDAP-klienten interagerar med katalogtjänsterna för autentisering. Till exempel kan den använda någon av de två tillgängliga användarautentiseringsmetoderna:

I inloggningsförsöket begärs DN-autentisering. När processen startar tilldelar LDAP klienten till Directory System Agent (DSA), som använder DN för att söka efter matchande poster i databasen.

RDN (Relative Distinguished Name) inom DN är en kritisk del av LDAP-sökningen eftersom den används i varje steg i sökprocessen genom Directory Information Tree (DIT).

Om sökningen lyckas, matchas matchande UID och användarlösenord för att validera användaren. Om inte, returnerar det ogiltiga resultat.

Slutligen kopplar klienten bort från LDAP-servern. När det är gjort kan den autentiserade användaren sedan kommunicera med tjänsterna via API:erna. Detta innebär att han kan gå igenom all lagrad information – den enda begränsningen är beviljade behörigheter.

Om du vill läsa mer om hur LDAP fungerar, kolla in dess papper som publicerades 2003 av Greg Vaneder och Mark Wahl. Och om du vill läsa mer om hur LDAP-sökning fungerar, kolla in The LDAP Search Operation.

Nyckelfunktioner hos LDAP

LDAP-nyckelfunktionerna kan sammanfattas nedan:

  • Autentisera användarsessioner: Den kan användas för att autentisera användarsessioner till en databastjänst som Active Directory.
  • Olika operationstyper: Den kan också göra operationer till en katalogserverdatabas, inklusive
    • bindande sessioner
    • ta bort LDAP-poster
    • Ändra befintliga poster
    • Sök och jämför poster.
    • Överge förfrågningar
    • Avbinda operationer
  • Lättvikt: LDAP är lätt, vilket säkerställer en liten overhead till nätverket och systemresurserna.
  • Leverantörs- och protokolloberoende: LDAP är också leverantörs- och protokolloberoende. Detta betyder att det fungerar med alla leverantörer/lösningar/protokoll. Du kan till exempel använda LDAP över TCP/IP eller X.25. Den senaste LDAP-versionen, LDAPv3, använder dock TCP/IP.
  • Katalogstruktur: LDAP använder en katalogträdstruktur för att lagra och komma åt tillgångar i en katalogdatabas. Förälder-barn-relationen innebär snabbare sökning och hämtning.
  • Standardisering: LDAP är standardiserat av IETF (Internet Engineering Task Force). Standardiseringen säkerställer att LDAP fungerar över olika leverantörer.
  • Säkerhet: LDAP är säkert. Den uppnår säkerhet genom att använda säker TLS över TCP/IP-lagret. Den kan också använda Secure Socket (SSL) för att kryptera, dekryptera och överföra information på distans med fullständig integritet och konfidentialitet.
  • Replikering: LDAP stöder också replikering över flera servrar. Det säkerställer dataredundans och ger datatillgänglighet vid eventuella fel. Den använder Syncrepl – en Sync-replikeringsmotor.

LDAP-katalogstruktur

LDAP-katalogen har en ren, definierad struktur. Detta möjliggör enkel åtkomst till data och ökar sökbarheten för LDAP-kataloginnehållet.

Eftersom LDAP följer en trädliknande struktur är den hierarkisk. Och det är därför det främst föredras som Directory Information Tree (DIT).

De olika nivåerna av LDAP-katalogstruktur inkluderar:

  • Rotkatalog
  • Organisation

Som du kan se finns det en trädstruktur i LDAP-katalogen. ”Root”-katalogen är en post på toppnivå som inkluderar alla andra poster på katalognivån. Under den får du Land (länder) som sedan förgrenar sig till Organisation(er). Därefter förgrenas den till organisationsenheter (OU) och slutligen individer och grupper.

För att förstå LDAP-katalogstrukturen, låt oss ta en titt på ett exempel nedan.

 - Root (Top-level entry)
   |
   +-- Country: "dc=com" (e.g., dc=example,dc=com)
         |
         +-- Organization: "dc=example" (e.g., dc=example)
               |
               +-- Organizational Unit (OU): "ou=Users"
               |      |
               |      +-- User: "cn=Nitish Singh"
               |      |
               |      +-- User: "cn= Oliver Green"
               |
               +-- Organizational Unit (OU): "ou=Groups"
                      |
                      +-- Group: "cn=Admins"
                      |
                      +-- Group: "cn=Users"
		|
		+-- Group: “cn=Superusers”

Rotentiteten identifieras med DC, som står för Domain Component-attribut. Så om ”dc=com” identifieras rotposten som ”com”-domänen.

Under root kan du ha flera organisationer eller domäner. Det representeras av ”dc=organisation.” under domänen ”com”.

På samma sätt kan varje organisation ha en eller flera organisationsenheter (OU). Administratören kan organisera dem logiskt i underavdelningar. Du kan till exempel ställa in OE till ”användare”, ”grupper” eller ”superanvändare”.

Slutligen, under varje OU kan du lista olika poster, inklusive grupper, enheter, användare, etc. I vårt exempel inkluderar två värden för OU-användare ”Nitish Singh” och ”Oliver Green.” På samma sätt har vi under OU-grupper ”Admins”, ”Användare” och ”Superanvändare”.

LDA-katalogstrukturen beror starkt på Distinguished Name (DN) eftersom den används för att identifiera varje post. Det beror på att det innehåller ett unikt namn och används för att hämta RDN (Relative Distinguished Name).

LDAP gemensamma element

För att förstå LDAP-dataorganisationen måste vi förstå LDAP:s gemensamma element, som leder till LDAP-systemets inmatningskonstruktion.

De grundläggande LDAP-datakomponenterna inkluderar:

  • Attribut:
  • Inlägg:
  • Datainformationsträd

Attribut

Attribut i LDAP är nyckel-värdepar. Dessa lagrar data i LDAP-systemet. Till exempel måste attributet mail användas för att lagra post i LDAP-systemet.

post: [email protected]

Inlägg

Posterna inom LDAP-systemet förknippar sig med att tillskriva för att ge mening. Du kan tänka på poster som en samling relaterade attribut.

Till exempel kommer data i formatet LDIF (LDAP Data Interchange Format) att se ut som nedan:

dn: sn=Hogwarts, ou=wizards, dc=WizardingWorld, dc=fiction

objectclass: wizard

sn: Hogwarts

cn: Harry Potter

Datainformationsträd

Datainformationsträd, eller DIT, representerar och får åtkomst till data inom ett LDAP-system. Eftersom de flesta data är grenade är det vettigt att representera dem genom träd. Det är analogt med ett filsystem med en föräldra-barn-förening.

LDAP-dataorganisation

Nu med grundidén om entiteter kan vi utforska dataorganisation inom LDAP-systemet.

Här använder LDAP DIT för att organisera och strukturera data. Men hur uppnår man det? Låt oss diskutera det nedan.

Att placera poster i en DIT som är relaterade till varandra hierarkiskt. Så när en ny post skapas läggs den till i den trädliknande strukturen som ett underordnat till en befintlig post.

Det hela börjar längst upp i hierarkiträdet i DIT. Eftersom det täcker alla underordnade poster är det huvudsakligen märkt som en organisation som ”dc=com eller exempel. Detta görs med hjälp av domänkomponenter för att säkerställa enkel hantering. På så sätt kan administratören ställa in platsen med hjälp av l=platsnamn eller organisationssegment, såsom ou=tech, marknadsföring, etc.

Posterna använder Organization Unit (OU) objectClass. Det beror på att poster kan använda attributetiketten ou=. De är enkla och erbjuder ett utmärkt sätt att kategorisera och hitta information inom DIT.

Därefter kommer ett annat viktigt koncept som kallas Relative Distinguished Name. Det är det relativa namnet på ett element beroende på dess DIT-hierarkinivå. Så för att komma åt en post måste du ange RDN-värdena för entiteten tillsammans med förälderns RDN-värde.

Detta skapar en kedja av RDN-värden, som går från botten till toppen, vilket skapar en väg till den posten. Och denna kedja av RDN-värden är känd som ”Distinguished Name eller DN.”

Med andra ord måste du nämna DN när du skapar en post så att LDAP vet exakt var du behöver placera den nya tillgången eller informationen. Så RDN fungerar som ett relativt värde, medan DN är mer av en absolut väg.

Vikten av LDAP

I det här avsnittet tar vi en titt på vikten av LDAP ur två perspektiv:

  • Hantera katalogtjänst: LDAP-protokollet har rätt sätt att lagra och komma åt LDAP-katalogdata. Vi har redan diskuterat dem i avsnitten ”Hur LDAP fungerar och datakomponenterna” och ”Organisation”. LDAP är ett sätt att hantera, lagra, komma åt och säkra data. Det säkerställer också effektiv informationssökning. Dessutom erbjuder den skalbarhet och replikering också.
  • Användarautentisering: Förutom att hantera katalogtjänster, utmärker LDAP sig på användarautentisering och auktorisering. När anslutningen har skapats kan användaren komma åt lagrade tillgångar baserat på åtkomstreglerna som ställts in av administratören.

LDAP vs Active Directory

Det är vanligt att människor blandar ihop LDAP och Active Directory. LDAP och Microsofts Active Directory arbetar nära för att ge organisationer ett sätt att säkert och säkert lagra och komma åt organisationsdata över avdelningar på ett säkert och säkert sätt.

Så LDAP är protokoll, medan Active Directory är en katalogtjänstprodukt som lagrar organisationsdata i en trädliknande struktur.

LDAP fungerar som ett kommunikationsprotokoll för att komma åt katalogservrarna som Active Directory.

Slutsats

LDAP är ett nyckelprotokoll för att arbeta med aktiva katalogtjänster. Det är ett lättviktigt protokoll som inte skapar några overhead på tjänsterna och servrarna det arbetar med. Dessutom innebär dess öppen källkod, leverantörsneutrala och standardiserade karaktär att den enkelt kan integreras i befintliga lösningar.

Du kan också utforska Multi-Factor Authentication (MFA).