følgende er et bidrag fra Chima Mmeje. Hun er en indholdsstrateg, der hjælper SaaS og tech-mærker med at opbygge emneklynger og udføre deres indholdsstrategi.
efterhånden som virksomheder vokser, bliver behovet for at organisere brugerdata og aktiver i en hierarkisk struktur afgørende for at forenkle lagringsadgangen for disse aktiver. LDAP gør det muligt for organisationer at gemme, administrere og sikre oplysninger om organisationen, dens brugere og aktiver.
i denne vejledning forklarer vi, hvad LDAP er, dets anvendelser og hvordan det fungerer. Vi vil også diskutere niveauerne af LDAP-bibliotek og datakomponenter-illustrerer, hvordan det er et vigtigt værktøj til styring af data om organisationer og brugere.
Hvad er letvægts Directory Access Protocol (LDAP)?
LDAP er en letvægtsversion af Directory Access Protocol (DAP). 500-mappen, men værktøjet har nu en bredere vifte af anvendelser, som vi vil diskutere senere.
LDAP ‘ s primære funktion gør det muligt for brugere at finde data om Organisationer, Personer og meget mere. Det opnår dette mål ved at gemme data i LDAP-biblioteket og godkende brugere for at få adgang til biblioteket. Det giver også det kommunikationssprog, som applikationer kræver for at sende og modtage information fra katalogtjenester.
Data og ressourcer, som du kan finde med LDAP, omfatter filer og brugeroplysninger. Det fungerer med printere, computere og andre enheder, der er tilsluttet via internettet eller en virksomheds intranet.
LDAP fungerer sammen med de fleste leverandørmappetjenester, f.eks. Active Directory (AD). Med LDAP bliver det lettere at implementere deling af oplysninger om brugere, tjenester, systemer, netværk og applikationer fra en katalogtjeneste til andre applikationer og tjenester.
Hvad er LDAP-godkendelse?
en bruger kan ikke få adgang til oplysninger, der er gemt i en LDAP-database eller-mappe uden først at godkende (bevise, at de er, som de siger, de er). Databasen indeholder typisk bruger -, gruppe-og tilladelsesoplysninger og leverer de ønskede oplysninger til tilsluttede applikationer.
LDAP-godkendelse indebærer verifikation af angivne brugernavne og adgangskoder ved at oprette forbindelse til en katalogtjeneste, der bruger LDAP-protokollen. Nogle biblioteksservere, der bruger LDAP på denne måde, er openldap, MS Active Directory og opendj.
her er en trinvis opdeling af godkendelsesprocessen:
- klienten (et LDAP-klar system eller et program) sender en anmodning om at få adgang til oplysninger, der er gemt i en LDAP-database.
- klienten giver deres LDAP-serverbrugeroplysninger (brugernavn og adgangskode).
- LDAP-serveren krydskontroller brugerens indsendte legitimationsoplysninger mod de centrale brugeridentitetsdata, der er gemt i dens LDAP-database.
- hvis de angivne legitimationsoplysninger matcher den gemte kernebrugeridentitet, kan klienten få adgang til de ønskede oplysninger.
- forkerte legitimationsoplysninger vil føre til nægtet adgang til LDAP-databasen.
Bemærk, at den centrale brugeridentitet, der er gemt i LDAP-databasen, ikke nødvendigvis kun er brugernavne og adgangskoder, men også andre attributter som adresser, telefonnumre og gruppeorganisationer.
LDAP vs Active Directory
Active Directory (AD) blev udviklet af Microsoft. Det er inkluderet som et sæt af tjenester og processer i de fleste vinduer operativsystemer og indeholder oplysninger om hver brugerkonto forbundet til netværket.
LDAP er et værktøj til at udtrække og redigere data, der er gemt i Active Directory og andre kompatible katalogudbydere. Hver brugerkonto i en annonce har flere attributter, såsom brugerens fulde navn og e-mail-adresse. Udpakning af disse oplysninger i et brugbart format kræver LDAP.
LDAP udtrækker oplysninger fra AD med en simpel, strengbaseret forespørgsel. LDAP kan også dele de udpakkede oplysninger (såsom brugernavne og adgangskoder) med tilsluttede enheder eller applikationer.
brug af LDAP eliminerer behovet for, at brugerne manuelt indtaster en række LDAP-forespørgsler for at hente oplysninger fra AD. Microsoft Outlook er f.eks. et LDAP-aktiveret program, der automatisk indtaster forespørgsler for at få de ønskede oplysninger.
hvad anvendes LDAP til?
da LDAP er en åben og tværplatformsprotokol, fungerer den med flere katalogudbydere og har forskellige applikationer. Den mest almindelige LDAP-brugssag fungerer som en central placering til lagring af godkendelsesoplysninger, såsom brugernavne og adgangskoder. Du kan bruge de gemte godkendelsesoplysninger på forskellige applikationer til at validere brugere.
populære applikationer, der understøtter LDAP-godkendelse, er OpenVPN, Docker, Jenkins, Kubernetes og Samba-servere. Systemadministratorer bruger også LDAP ‘ s single sign on (SSO) – funktion til at administrere LDAP-databaseadgang.
LDAP-Operationstyper
her er nogle grundlæggende typer operationer i LDAP:
Tilføj
funktionen giver dig mulighed for at tilføje nye poster til biblioteksserverdatabasen. Hvis det tilføjede navn allerede findes, accepterer serveren ikke posten. I stedet vil det levere en” entryalreadyeksistes ” anmeldelse. LDAP-kompatible servere gemmer tilføjede navne og andre attributter i henhold til de foreskrevne navngivningsstandarder for at sikre ensartethed.
Bind (godkendelse)
når du opretter en session ved at oprette forbindelse til en LDAP-server, er sessionens standardgodkendelsestilstand anonym. LDAP bind-funktionen validerer godkendelsestilstanden og ændrer den fra anonym. Bind kan forekomme enten via den enkle eller SASL (Simple Authentication and Security Layer) godkendelsesmetode.
Unbind
Unbind Afbryder udestående operationer og afslutter deres forbindelser. Du kan opnå det samme ved at lukke forbindelsen, men brug af unbind foretrækkes, fordi det frigør ressourcer, der muligvis forbliver tildelt den aborterede operation.
Rediger
LDAP-klienter bruger funktionen Rediger til at redigere oplysninger, der allerede er gemt i en database. Kun tre typer ændringer er tilladt:
- tilføjelse af en ny værdi til dataene
- udskiftning eller overskrivning af en eksisterende værdi
- sletning af en eksisterende værdi
Søg og sammenlign
handlingen lader klienter søge efter og læse poster. Du kan søge efter poster baseret på deres navn, størrelse, omfang, type og andre attributter. Funktionen sammenlign gør det nemt at kontrollere, om en navngivet Post har specifikke attributter.
Slet
klienter bruger denne funktion til at slette poster fra biblioteket. Bemærk, at sletning ikke finder sted, medmindre klienten sender en perfekt sammensat sletningsanmodning til serveren. Nogle af de funktioner, som sletningsanmodningen skal have, er:
- navnet på den post, du vil slette
- vedhæftede anmodningskontroller
niveauer af LDAP-mappe
en typisk LDAP-konfiguration følger et “træ” hierarkiformat. Nedenfor er hierarkiniveauerne fra start til slut:
- startstedet-en rodmappe
- lande
- organisationer eller virksomheder
- divisioner, afdelinger og andre organisatoriske enheder
- mennesker, filer og delte ressourcer (printere, computere og så videre)
du kan distribuere en LDAP-mappe på tværs af flere servere. Forespørgsler fra klienterne distribueres på tværs af flere servere ved hjælp af replikering. Hver LDAP-server modtager anmodninger fra brugere og tager ansvar for anmodningerne, før de sendes til andre servere. Serverne vil have en replikeret version af mappen, og mapperne vil alle synkronisere deres poster med jævne mellemrum.
LDAP datakomponenter
flere komponenter arbejder sammen for LDAP at fuldføre sit utal af opgaver, især når det kommer til, hvordan det forespørgsler og viser data til brugerne. De mest væsentlige af disse komponenter er:
attributter
de faktiske data i et LDAP-system gemmes som attributter. Hver attribut er knyttet til en attributtype, der angiver, hvordan klienter og katalogserveren skal interagere med denne attribut. Attributværdier indeholder også de fleste af de data, som brugerne gemmer og får adgang til i LDAP-systemer.
poster
attributter definerer egenskaberne for en bruger eller et element, mens en post beskriver brugeren eller elementet ved at angive alle deres attributter under et navn. På egen hånd har attributter begrænsede funktioner. Du skal knytte en attribut til en post, før du fuldt ud kan udnytte den.
data Information Tree (DIT)
i et LDAP-system repræsenterer de data, der er defineret af attributter, kun en brøkdel af et objekts tilgængelige information. De resterende oplysninger kan fås fra postens placering i LDAP-systemet og de forhold, dets placering antyder. For eksempel, hvis du har en post for “inventoryItems” og en anden for “people”, vil de data, der indtastes under hver enkelt, give en bedre ide om, hvad hver post repræsenterer.
hver post i et LDAP-system er oprettet som grene på Datainformationstræer (DITs). Da hver post i et LDAP-træ kan symbolisere næsten alt, bruger brugerne for det meste poster til at holde tingene organiseret.
skemaer
skema er en konstruktion, hvor relaterede objektklasser og attributdefinitioner går under samme kategori. One DIT kan have flere ikke-relaterede skemaer til generering af de poster og attributter, den har brug for.
LDAP er en nem at implementere protokol til konsolidering af oplysninger i din organisation. Det fungerer også som et centralt knudepunkt til godkendelse. Du kan indsamle og gemme brugeroplysninger under et LDAP-bibliotek. Når et LDAP – aktiveret program har brug for nogen af de lagrede oplysninger, spørger det automatisk biblioteket for at hente det.
en anden fordel er, at LDAP er open source og kompatibel med forskellige operativsystemer. Nedenfor har vi inkluderet nogle ressourcer og ofte stillede spørgsmål — herunder et blogindlæg om, hvordan LDAP-godkendelse fungerer med Sensu Go.
Ofte Stillede Spørgsmål
Hvad er en LDAP-server?
en LDAP-server, også kaldet en Directory System Agent (Dsa), kører på
Hvordan virker LDAP?
LDAP er en platformsprotokol til godkendelse via katalogtjenester. Det giver også de kommunikationssprogsapplikationer, der bruges til at oprette forbindelse til andre katalogserverservere. Disse katalogtjenester huser brugernavne, adgangskoder, og computerkonti, og give disse oplysninger til brugere på netværket efter anmodning.
billede LDAP som en enorm virtuel telefonbog. Åbning af telefonbogen giver dig adgang til et stort bibliotek med kontaktoplysninger for forskellige mennesker, herunder deres brugernavne og adgangskoder. Med LDAP kan du nemt bekræfte brugernes legitimationsoplysninger, når de forsøger at få adgang til din organisations database.
Hvad er en LDAP-konto?
LDAP-konto er en online applikation til styring af forskellige typer konti, der er gemt i en LDAP-mappe. Kontoen giver brugerne et abstrakt billede af en mappe, hvilket gør det nemt for folk, der ikke er teknisk kyndige at administrere LDAP-data.
hvad er forskellen mellem LDAP og Active Directory?
Active Directory (AD) er den katalogtjenestedatabase, der bruges til at gemme data, godkendelse og politik for en organisation, mens LDAP er protokollen til kommunikation med annoncen.
sammenfattende fungerer AD med LDAP, og ved at kombinere de to applikationer forbedres adgangsstyringen.
er LDAP sikker?
LDAP-godkendelse giver standard sikkerhed med et indbygget lag af adgangsstyring. Ondsindede aktører kan stadig aflytte under dataoverførsel mellem Active Directory og klienter. Optimer sikkerhed ved at tilføje SSL/TLS-kryptering til LDAP-godkendelsesprocessen, hvilket gør information, der transmitteres under godkendelsesprocessen, mindre sårbar ved at kryptere kommunikation.
standard LDAP-porten, der bruges til godkendelse (Port 389), har ikke sin egen sikkerhed. Opret en sikker forbindelse ved at tilføje sikkerhedsudvidelser, såsom LDAPv3 TLS-udvidelse eller StartTLS-tilstand.
Hvordan spørger du i LDAP?
LDAP-forespørgsler gør det lettere at søge efter computere, brugere, grupper og andre objekter i Active Directory. LDAP udtrækker oplysninger fra AD ved hjælp af en simpel, strengbaseret forespørgsel. Du kan også bruge hjælpeprogrammer, f.eks.
SAML vs LDAP
LDAP og SAML er begge godkendelsesprotokoller, der hjælper applikationer med at få adgang til IT-ressourcer. SAML sender brugeroplysninger til din identitetsudbyder og andre online applikationer, mens LDAP letter on-prem-godkendelse og andre serverprocesser.
de fleste organisationer kombinerer brugen af SAML, LDAP og andre godkendelsesprotokoller for at få adgang til forskellige typer IT-ressourcer og nå deres forretningsmål.
Kerberos vs LDAP
Kerberos er en enkelt logon-og godkendelsesprotokol til styring af legitimationsoplysninger sikkert. Det lader en proces oprette forbindelse til en autentificeringsserver og giver signerede og krypterede billetter til adgang til filer, applikationer og andre ressourcer.
LDAP letter på den anden side adgang til openldap, Active Directory og andre mapper. Det godkender forbindelser ved at krydstjekke brugernavne og adgangskoder, der er gemt i LDAP-biblioteket. Da Kerberos er mere sikker end LDAP, og LDAP har flere funktioner end Kerberos, bruger de fleste organisationer begge protokoller.