Dzięki niej poznamy: funkcje protokołu, wpisy i klasy, atrybuty, uwierzytelnienie i autorzację.
Lightweight Directory Access Protocol (LDAP). Jest to "lekki" protokół przeznaczony do dostępu do usług katalogowych.
Bazuje na usługach katalogowych X.500. Wykorzystywany praktycznie w adresacji sieci Internet/Intranet w celu zapewnienia niezawodności, skalowalności i bezpieczeństwa danych. W odróżnieniu od X.500 nie potrzebuje ani szerokiego pasma ani dużej mocy obliczeniowej. LDAP pracuje w oparciu o protokół TCP/IP lub inne połączeniowe usługi transportu. Dane grupowane są w strukturze przypominającej drzewo katalogów. Każdy obiekt jest jednoznacznie identyfikowany poprzez swoje położenie w drzewie - tzw. distinguished name (DN).
Słowo "katalog" oznacza raczej kartotekę, niż znany "folder", dlatego myślenie o LDAP w kategoriach kartoteki znacznie ułatwia zrozumienie czym jest LDAP.
LDAP (Lightweight Directory Access Protocol) - jest to serwis katalogowy pozwalający na wymianę informacji ponad protokołem TCP/IP. LDAP w wielu sytuacjach uznawane jest za rozwiązanie lepsze od innych usług katalogowych, ponieważ korzystając z TCP/IP (które działa tylko w warstwie transportowej modelu OSI) daje niezwykle szybkie odpowiedzi na żądania zgłaszane przez klienta.
Spis treści
[ukryj]
1 Funkcje protokołu 1.1 bind / unbind 1.2 search 1.3 modify 1.4 add 1.5 delete 2 Wpisy i klasy 3 Atrybuty 4 Uwierzytelnianie i autoryzacja 5 LDAPS Funkcje protokołu [edytuj]
Klient LDAP ma możliwość wykonania następujących funkcji:
bind / unbind [edytuj]
Funkcją operacji bind jest uwierzytelnienie użytkownika - powiązanie jego tożsamości (i obiektu LDAP) z połączeniem sieciowym i sesją LDAP. Pozwala ona na uwierzytelnienie klienta wobec serwera. Operacja bind wymaga potwierdzenia odbioru od serwera, w którym znajduje status żądania klienta. W wersji 2 protokołu LDAP musiała być ona pierwszą operacją w ramach sesji, w wersji 3 zniesiono to ograniczenie. Operacja bind może też przestawić sesję w stan "anonimowy" jeśli podany zostanie pusty DN i hasło. W ramach sesji LDAP można wielokrotnie dokonywać operacji bind zmieniając w ten sposób kontekst uwierzytelniania tej sesji. Natomiast operacja unbind nie jest (wbrew popularnemu przekonaniu) odwrotnością operacji bind. Funkcją operacji unbind jest zakończenie sesji i połączenia sieciowego LDAP. Operacja unbind nie potrzebuje potwierdzenia - połączenie jest po prostu kończone.
search [edytuj]
Operacja search daje możliwość klientowi zgłoszenia żądania poszukiwanego zasobu, które będzie realizowane przez serwer. W ten sposób klient może pobierać oraz wyszukiwać informacje.
modify [edytuj]
Operacja modify zezwala klientowi na modyfikowanie, wprowadzanie nowych pozycji oraz ich usuwanie z bazy danych znajdującej się na serwerze.
add [edytuj
(…)
… atrybutów. Atrybuty mogą mieć więcej niż jedną wartość. Można tworzyć swoje klasy i atrybuty. Wpisy są identyfikowane jednoznacznie przez DN (Distinguished Name). Mogą być również identyfikowane względem nadrzędnego wpisu (kontekstu) poprzez RDN (Relational Distinguished Name). Dostęp do wpisu chroniony jest poprzez listy kontroli dostępu (ACL - Access Control List). Można tworzyć uprawnienia…
… na politycznej, geograficznej lub organizacyjnej strukturze (struktura hierarchiczna).
Atrybuty [edytuj]
Atrybuty występujące w pliku schematów core.schema:
UID (User Identifier) Identyfikator użytkownika , RID (Relative Identifier) czyli liczba reprezentująca względny identyfikator użytkownika , CN (Common Name) Nazwa, SN (Surname) Nazwisko, OU (Organizational Unit) Jednostka organizacyjna, O (Organization…
…, a następnie działa w imieniu zadanego użytkownika. Takie uwierzytelnienie stosuje serwis AD LDS (Active Directory Lightweight Directory Services). Autoryzacja wykonywana jest podczas wykonywania operacji, a nie po uwierzytelnieniu.
…
... zobacz całą notatkę
Komentarze użytkowników (0)