následuje příspěvek od Chima Mmeje. Je obsahovou stratégkou, která pomáhá SaaS a technologickým značkám budovat klastry témat a provádět jejich obsahovou strategii.
jak korporace rostou, potřeba organizovat uživatelská data a aktiva do hierarchické struktury se stává rozhodující pro zjednodušení přístupu k těmto aktivům. LDAP umožňuje organizacím ukládat, spravovat a zabezpečovat informace o organizaci, jejích uživatelích a aktivech.
v této příručce vysvětlíme, co je LDAP, jeho použití a jak to funguje. Budeme také diskutovat o úrovních adresáře LDAP a datových komponent-ilustrující, jak je to nezbytný nástroj pro správu dat o organizacích i uživatelích.
co je Lightweight Directory Access Protocol (LDAP)?
LDAP je odlehčená verze protokolu Directory Access Protocol (DAP). Jeho původním cílem bylo poskytnout přístup k adresáři x. 500 s nízkou režií, ale nástroj má nyní širší škálu použití, o kterých budeme diskutovat později.
primární funkce LDAP umožňuje uživatelům najít data o organizacích, osobách a dalších. Tento cíl dosahuje uložením dat v adresáři LDAP a ověřením uživatelů pro přístup k adresáři. Poskytuje také komunikační jazyk, který aplikace vyžadují k odesílání a přijímání informací z adresářových služeb.
Data a zdroje, které můžete najít pomocí LDAP, zahrnují soubory a informace o uživateli. Pracuje s tiskárnami, počítači a dalšími zařízeními připojenými přes internet nebo intranet společnosti.
LDAP pracuje s většinou adresářových služeb dodavatele, jako je Active Directory (AD). S LDAP se sdílení informací o uživatelích, službách, systémech, sítích a aplikacích z adresářové služby do jiných aplikací a služeb stává snadnější implementací.
co je ověřování LDAP?
uživatel nemá přístup k informacím uloženým v databázi nebo adresáři LDAP, aniž by nejprve ověřil (prokázal, že je tím, kým říká). Databáze obvykle obsahuje informace o uživatelích, skupinách a oprávněních a poskytuje požadované informace připojeným aplikacím.
ověřování LDAP zahrnuje ověření poskytnutých uživatelských jmen a hesel připojením k adresářové službě, která používá protokol LDAP. Některé adresářové servery, které používají LDAP tímto způsobem, jsou OpenLDAP, MS Active Directory a OpenDJ.
zde je podrobný rozpis procesu ověřování:
- klient (systém nebo aplikace připravená na LDAP) odešle požadavek na přístup k informacím uloženým v databázi LDAP.
- klient poskytuje své přihlašovací údaje uživatele serveru LDAP (uživatelské jméno a heslo).
- server LDAP porovnává přihlašovací údaje Uživatele s hlavními údaji o identitě uživatele uloženými v databázi LDAP.
- pokud se zadané přihlašovací údaje shodují s uloženou hlavní identitou uživatele, klient má přístup k požadovaným informacím.
- nesprávné pověření povede k odepření přístupu k databázi LDAP.
Všimněte si, že základní identita uživatele uložená v databázi LDAP nemusí být nutně jen uživatelská jména a hesla, ale také další atributy, jako jsou adresy, telefonní čísla a skupinová sdružení.
LDAP vs Active Directory
Active Directory (AD) byl vyvinut společností Microsoft pro sítě domén Windows. Je součástí sady služeb a procesů ve většině operačních systémů Windows a obsahuje informace o každém uživatelském účtu připojeném k síti.
LDAP je nástroj pro extrahování a editaci dat uložených ve službě Active Directory a dalších kompatibilních poskytovatelů adresářových služeb. Každý uživatelský účet v reklamě má několik atributů, například celé jméno uživatele a e-mailovou adresu. Extrahování těchto informací v použitelném formátu vyžaduje LDAP.
LDAP extrahuje informace z AD pomocí jednoduchého dotazu založeného na řetězci. LDAP může také sdílet extrahované informace (například uživatelská jména a hesla) s připojenými zařízeními nebo aplikacemi.
použití LDAP eliminuje potřebu uživatelů ručně zadat řetězec dotazů LDAP pro načtení informací z AD. Například Microsoft Outlook je program Windows s podporou LDAP, který zadává dotazy automaticky, aby vám získal požadované informace.
k čemu se LDAP používá?
protože LDAP je otevřený a multiplatformní protokol, pracuje s několika poskytovateli adresářových služeb a má různé aplikace. Nejběžnější případ použití LDAP slouží jako centrální umístění pro ukládání autentizačních informací, jako jsou uživatelská jména a hesla. K ověření uživatelů můžete použít uložené ověřovací informace v různých aplikacích.
populární aplikace, které podporují ověřování LDAP, jsou servery OpenVPN, Docker, Jenkins, Kubernetes a Linux Samba. Správci systému také používají funkci jednotného přihlášení LDAP (SSO) ke správě přístupu k databázi LDAP.
typy operací LDAP
zde jsou některé základní typy operací v LDAP:
přidat
Tato funkce umožňuje přidávat nové položky do databáze adresářového serveru. Pokud přidaný název již existuje, server tuto položku nepřijme. Místo toho doručí oznámení“ entryAlreadyExists“. Servery kompatibilní s LDAP budou ukládat přidaná jména a další atributy podle předepsaných standardů pojmenování, aby byla zajištěna jednotnost.
Bind (Authentication)
když vytvoříte relaci připojením k serveru LDAP, výchozí stav autentizace relace je anonymní. Funkce LDAP bind ověřuje stav autentizace a mění jej z anonymního. Bind může nastat buď pomocí metody simple nebo SASL (Simple Authentication and Security Layer) authentication.
Unbind
Unbind přeruší vynikající operace a ukončí jejich připojení. Totéž můžete dosáhnout uzavřením připojení, ale použití unbind je preferováno, protože uvolňuje prostředky, které mohou zůstat přiřazeny přerušené operaci.
upravit
LDAP klienti pomocí funkce Upravit upravují informace již uložené v databázi. Přípustné jsou pouze tři typy úprav:
- přidání nové hodnoty k datům
- nahrazení nebo přepsání existující hodnoty
- odstranění existující hodnoty
vyhledávání a porovnávání
operace umožňuje klientům vyhledávat a číst položky. Můžete vyhledávat položky na základě jejich názvu, velikosti, rozsahu, typu a dalších atributů. Funkce porovnání usnadňuje ověření, zda má pojmenovaná položka specifické atributy.
Smazat
klienti používají tuto funkci k odstranění položek z adresáře. Všimněte si, že k odstranění nedojde, pokud klient neposílá na server dokonale složený požadavek na odstranění. Některé z funkcí, které musí mít požadavek na odstranění, jsou:
- Název položky, kterou chcete vymazat
- připojené ovládací prvky požadavků
úrovně adresáře LDAP
typická konfigurace LDAP sleduje formát hierarchie „stromu“. Níže jsou uvedeny úrovně hierarchie od začátku do konce:
- výchozí místo-kořenový adresář
- země
- organizace nebo společnosti
- divize, oddělení a další organizační jednotky
- Lidé, soubory a sdílené zdroje (tiskárny, počítače atd.))
adresář LDAP můžete distribuovat na několika serverech. Dotazy od klientů jsou distribuovány na více serverech pomocí replikace. Každý server LDAP přijímá požadavky od uživatelů a přebírá odpovědnost za požadavky před jejich předáním jiným serverům. Servery budou mít replikovanou verzi adresáře a adresáře budou v pravidelných intervalech synchronizovat své záznamy.
LDAP datové komponenty
několik komponent pracuje společně pro LDAP, aby dokončily své nesčetné úkoly, zejména pokud jde o to, jak dotazuje a zobrazuje data uživatelům. Nejdůležitější z těchto komponent jsou:
atributy
skutečná data v systému LDAP jsou uložena jako atributy. Každý atribut je přidružen k typu atributu, který určuje, jak mají klienti a adresářový server komunikovat s tímto atributem. Hodnoty atributů také obsahují většinu dat, která uživatelé ukládají a přistupují k nim v systémech LDAP.
položky
atributy definují vlastnosti uživatele nebo položky, zatímco položka popisuje uživatele nebo položku uvedením všech jejich atributů pod jménem. Samotné atributy mají omezené funkce. Musíte přiřadit atribut se záznamem, než budete moci plně využít.
datový informační strom (DIT)
v systému LDAP představují data definovaná atributy pouze zlomek dostupných informací objektu. Zbývající informace lze získat z umístění položky v systému LDAP a vztahů, které naznačuje její umístění. Například pokud máte položku pro „inventorypoložky“ a další pro „Lidé“, data zadaná pod každým z nich poskytnou lepší představu o tom, co každá položka představuje.
každá položka v systému LDAP je nastavena jako větve na stromech datových informací (dit). Protože každá položka ve stromu LDAP může symbolizovat téměř cokoli, uživatelé většinou používají položky pro udržení organizace věcí.
schémata
schéma je konstrukt, kde související ObjectClasses a definice atributů spadají do stejné kategorie. Jeden DIT může mít několik nesouvisejících schémat pro generování záznamů a atributů, které potřebuje.
LDAP je snadno implementovatelný protokol pro konsolidaci informací ve vaší organizaci. Slouží také jako centrální rozbočovač pro autentizaci. Informace o uživateli můžete shromažďovat a ukládat pod jedním adresářem LDAP. Kdykoli aplikace s podporou LDAP potřebuje některou z uložených informací, automaticky se dotazuje na adresář, aby ji načetl.
další výhodou je, že LDAP je open source a kompatibilní s různými operačními systémy, včetně systémů Windows a Unix. Níže jsme zahrnuli některé zdroje a časté dotazy-včetně příspěvku na blogu o tom, jak ověřování LDAP funguje se Sensu Go.
FAQs
co je LDAP server?
LDAP server, nazývaný také agent adresářového systému (DSA), běží na OS Windows a Unix / Linux. Ukládá uživatelská jména, hesla a další základní identity uživatelů. Tato data používá k ověření uživatelů, když přijímá požadavky nebo dotazy, a sdílí požadavky s jinými DSA. Několik aplikací a služeb se může připojit k serveru najednou a ověřit uživatele.
jak LDAP funguje?
LDAP je multiplatformní protokol pro ověřování prostřednictvím adresářových služeb. Poskytuje také komunikační jazyk, který aplikace používají k připojení k jiným serverům adresářových služeb. Tyto adresářové služby obsahují uživatelská jména, hesla a počítačové účty a poskytují tyto informace uživatelům v síti na vyžádání.
obrázek LDAP jako obrovský virtuální telefonní seznam. Otevřením telefonního seznamu získáte přístup k velkému adresáři kontaktních informací pro různé lidi, včetně jejich uživatelských jmen a hesel. Pomocí LDAP můžete snadno ověřit pověření uživatelů, když se pokusí získat přístup k databázi vaší organizace.
co je LDAP účet?
LDAP účet je online aplikace pro správu různých typů účtů uložených v adresáři LDAP. Účet poskytuje uživatelům abstraktní pohled na adresář, což usnadňuje lidem, kteří nejsou technicky zdatní, spravovat data LDAP.
jaký je rozdíl mezi LDAP a Active Directory?
Active Directory (AD) je databáze adresářových služeb používaná k ukládání dat, ověřování a zásad organizace, zatímco LDAP je protokol pro komunikaci s AD.
stručně řečeno, AD pracuje s LDAP a kombinace obou aplikací zlepšuje správu přístupu.
je LDAP Bezpečný?
ověřování LDAP poskytuje standardní zabezpečení s vestavěnou vrstvou správy přístupu. Škodliví aktéři mohou během přenosu dat mezi službou Active Directory a klienty stále odposlouchávat. Optimalizujte zabezpečení přidáním šifrování SSL/TLS do procesu ověřování LDAP, díky čemuž jsou informace přenášené během procesu ověřování méně zranitelné šifrováním komunikace.
výchozí port LDAP používaný pro ověřování (Port 389) nemá vlastní zabezpečení. Vytvořte zabezpečené připojení přidáním rozšíření zabezpečení, jako je rozšíření LDAPv3 TLS nebo režim StartTLS.
jak se dotazujete v LDAP?
LDAP dotazy usnadňují vyhledávání počítačů, uživatelů, skupin a dalších objektů v rámci služby Active Directory. LDAP extrahuje informace z AD pomocí jednoduchého dotazu založeného na řetězci. K provádění dotazů můžete také použít nástroje, jako jsou skripty ldapsearch, PowerShell nebo VBS.
SAML vs LDAP
LDAP a SAML jsou autentizační protokoly, které pomáhají aplikacím přistupovat k prostředkům IT. SAML odesílá informace o uživateli vašemu poskytovateli identity a dalším online aplikacím, zatímco LDAP usnadňuje ověřování na prem a další procesy serveru.
většina organizací kombinuje použití protokolů SAML, LDAP a dalších autentizačních protokolů pro přístup k různým typům IT zdrojů a dosažení jejich obchodních cílů.
Kerberos vs LDAP
Kerberos je jednotný přihlašovací a autentizační protokol pro bezpečnou správu pověření. Umožňuje proces připojit k autentizačnímu serveru a poskytuje podepsané a šifrované vstupenky pro přístup k souborům, aplikacím a dalším zdrojům.
LDAP na druhé straně usnadňuje přístup k OpenLDAP, Active Directory a dalším adresářům. Ověřuje připojení křížovou kontrolou uživatelských jmen a hesel uložených v adresáři LDAP. Protože Kerberos je bezpečnější než LDAP a LDAP má více funkcí než Kerberos, většina organizací používá oba protokoly.