seuraava on Chima Mmejen kirjoittama postaus. Hän on sisältöstrategi, joka auttaa SaaS-ja teknologiabrändejä rakentamaan aiheklustereita ja toteuttamaan sisältöstrategiaansa.
yritysten kasvaessa tarve järjestää käyttäjätiedot ja varat hierarkkiseen rakenteeseen tulee kriittiseksi näiden varojen tallennusoikeuden yksinkertaistamiseksi. LDAP: n avulla organisaatiot voivat tallentaa, hallita ja suojata tietoja organisaatiosta, sen käyttäjistä ja varoista.
tässä oppaassa kerrotaan, mitä LDAP on, miten sitä käytetään ja miten se toimii. Keskustelemme myös LDAP – hakemiston ja datakomponenttien tasosta-havainnollistaen, miten se on olennainen työkalu sekä organisaatioiden että käyttäjien tietojen hallinnassa.
mikä on Lightweight Directory Access Protocol (LDAP)?
LDAP on kevyt versio Directory Access Protocol (DAP) – protokollasta. Sen alkuperäinen tavoite oli tarjota matala-overhead access X. 500-hakemistoon, mutta työkalulla on nyt laajempi valikoima käyttötarkoituksia, joista keskustelemme myöhemmin.
LDAP: n ensisijainen tehtävä on antaa käyttäjille mahdollisuus löytää tietoja organisaatioista, henkilöistä ja muista. Se saavuttaa tämän tavoitteen tallentamalla tietoja LDAP-hakemistoon ja todentamalla käyttäjät käyttämään hakemistoa. Se tarjoaa myös viestintäkielen, jota sovellukset tarvitsevat tietojen lähettämiseen ja vastaanottamiseen hakemistopalveluista.
LDAP: stä löytyvät tiedot ja resurssit sisältävät tiedostoja ja käyttäjätietoja. Se toimii tulostimien, tietokoneiden ja muiden laitteiden kanssa, jotka on kytketty Internetiin tai yrityksen intranetiin.
LDAP toimii useimmissa toimittajan hakemistopalveluissa, kuten Active Directoryssa (AD). LDAP: n avulla käyttäjien, palvelujen, järjestelmien, verkkojen ja sovellusten tietojen jakaminen hakemistopalvelusta muihin sovelluksiin ja palveluihin helpottuu.
mitä LDAP-todennus on?
käyttäjä ei voi käyttää LDAP-tietokantaan tai-hakemistoon tallennettuja tietoja vahvistamatta ensin henkilöllisyyttään (todistamatta olevansa se, joka väittää olevansa). Tietokanta sisältää tyypillisesti käyttäjä -, ryhmä-ja käyttöoikeustietoja ja toimittaa pyydetyt tiedot liitettyihin sovelluksiin.
LDAP-todennukseen kuuluu annettujen käyttäjätunnusten ja salasanojen varmentaminen liittymällä LDAP-protokollaa käyttävään hakemistopalveluun. Joitakin LDAP: tä tällä tavalla käyttäviä hakemistopalvelimia ovat OpenLDAP, MS Active Directory ja OpenDJ.
tässä autentikointiprosessin vaiheittainen erittely:
- asiakas (LDAP-ready-järjestelmä tai sovellus) lähettää pyynnön päästä käsiksi LDAP-tietokantaan tallennettuihin tietoihin.
- asiakas antaa LDAP-palvelimen käyttäjätunnukset (käyttäjätunnus ja salasana).
- LDAP-palvelin vertaa käyttäjän lähettämiä tunnistetietoja sen LDAP-tietokantaan tallennettuihin keskeisiin käyttäjätietoihin.
- jos annetut tunnistetiedot vastaavat tallennettua ydinkäyttäjän henkilöllisyyttä, asiakas voi käyttää pyydettyjä tietoja.
- Virheelliset tunnistetiedot johtavat LDAP-tietokannan pääsyn epäämiseen.
huomaa, että LDAP-tietokantaan tallennetut käyttäjätunnukset eivät välttämättä ole vain käyttäjätunnuksia ja salasanoja, vaan myös muita attribuutteja, kuten osoitteita, puhelinnumeroita ja ryhmäyhdistyksiä.
LDAP vs Active Directory
Active Directory (AD) on Microsoftin kehittämä Windows domain-verkkoja varten. Se sisältyy palvelukokonaisuutena ja prosesseina useimmissa Windows-käyttöjärjestelmissä ja sisältää tietoja jokaisesta verkkoon liitetystä käyttäjätilistä.
LDAP on työkalu Active Directoryyn ja muihin yhteensopiviin hakemistopalvelujen tarjoajiin tallennettujen tietojen purkamiseen ja muokkaamiseen. Jokaisella mainoksen käyttäjätilillä on useita attribuutteja, kuten käyttäjän koko nimi ja sähköpostiosoite. Tietojen kerääminen käyttökelpoisessa muodossa vaatii LDAP: n.
LDAP poimii tietoa AD: stä yksinkertaisella, merkkijonoihin perustuvalla kyselyllä. LDAP voi myös jakaa poimittuja tietoja (kuten käyttäjätunnuksia ja salasanoja) liitettyjen laitteiden tai sovellusten kanssa.
LDAP: n käyttäminen poistaa käyttäjien tarpeen syöttää manuaalisesti LDAP-kyselyjä tietojen hakemiseksi AD: stä. Esimerkiksi Microsoft Outlook on LDAP-yhteensopiva Windows-ohjelma, joka syöttää kyselyt automaattisesti saadaksesi haluamasi tiedot.
mihin LDAP-valmistetta käytetään?
koska LDAP on avoin ja monialustainen protokolla, se toimii useiden hakemistopalvelujen tarjoajien kanssa ja sillä on erilaisia sovelluksia. Yleisin LDAP – käyttötapaus toimii keskeisenä paikkana todennustietojen, kuten käyttäjätunnusten ja salasanojen tallentamiselle. Voit käyttää eri sovellusten tallennettuja todennustietoja käyttäjien vahvistamiseen.
suosittuja LDAP-todennusta tukevia sovelluksia ovat OpenVPN -, Docker -, Jenkins -, Kubernetes-ja Linux Samba-palvelimet. Järjestelmän ylläpitäjät käyttävät myös LDAP: n single sign on (SSO) – ominaisuutta LDAP-tietokannan käytön hallintaan.
LDAP-Operaatiotyypit
tässä muutamia LDAP-operaatioiden perustyyppejä:
lisää
ominaisuuden avulla voit lisätä uusia tietueita Hakemisto-palvelintietokantaan. Jos lisätty nimi on jo olemassa, palvelin ei hyväksy merkintää. Sen sijaan se toimittaa ”entryAlreadyExists” – ilmoituksen. LDAP-yhteensopivat palvelimet tallentavat lisättyjä nimiä ja muita attribuutteja määrättyjen nimeämisstandardien mukaisesti yhdenmukaisuuden varmistamiseksi.
Bind (Authentication)
kun luot istunnon yhdistämällä LDAP-palvelimeen, istunnon oletustodennus on anonyymi. LDAP bind-ominaisuus validoi todennuksen tilan ja muuttaa sen anonyymiksi. Bind voi tapahtua joko yksinkertaisella tai SASL (Simple Authentication and Security Layer) – todennusmenetelmällä.
Unbind
Unbind keskeyttää jäljellä olevat operaatiot ja lopettaa niiden yhteydet. Voit saavuttaa saman asian sulkemalla yhteyden, mutta unbindin käyttäminen on suositeltavaa, koska se vapauttaa resursseja, jotka voivat jäädä keskeytettyyn operaatioon.
muokkaa
LDAP-asiakkaat käyttävät muokkaa-ominaisuutta muokatakseen tietokantaan jo tallennettuja tietoja. Vain kolmenlaisia muutoksia sallitaan:
- uuden arvon lisääminen tietoihin
- olemassa olevan arvon korvaaminen tai korvaaminen
- olemassa olevan arvon poistaminen
Etsi ja vertaa
toiminnon avulla asiakkaat voivat etsiä ja lukea merkintöjä. Voit etsiä merkintöjä niiden nimen, koon, laajuuden, tyypin ja muiden attribuuttien perusteella. Vertaa-ominaisuuden avulla on helppo tarkistaa, onko nimetyllä merkinnällä tiettyjä attribuutteja.
Poista
asiakkaat käyttävät tätä ominaisuutta poistaakseen tietueita hakemistosta. Huomaa, että poistoa ei tapahdu, ellei asiakas lähetä täydellisesti koostettua poistopyyntöä palvelimelle. Joitakin ominaisuuksia delete request on oltava ovat:
- sen merkinnän nimi, jonka haluat poistaa
- liitetyt pyyntökontrollit
LDAP-hakemiston tasot
tyypillinen LDAP-konfiguraatio noudattaa ”puun” hierarkiaformaattia. Alla hierarkiatasot alusta loppuun:
- lähtöpaikka-juurihakemisto
- maat
- organisaatiot tai yritykset
- osastot, osastot ja muut organisaatioyksiköt
- ihmiset, tiedostot ja jaetut resurssit (tulostimet, tietokoneet jne.)
voit jakaa LDAP-hakemiston useille palvelimille. Asiakkaiden kyselyt jaetaan useille palvelimille replikaation avulla. Jokainen LDAP-palvelin vastaanottaa pyyntöjä käyttäjiltä ja ottaa vastuun pyynnöistä ennen niiden välittämistä muille palvelimille. Palvelimilla on monistettu versio hakemistosta, ja kaikki hakemistot synkronoivat tietonsa säännöllisin väliajoin.
LDAP-Tietokomponentit
useat osat toimivat yhdessä LDAP: n suorittaessa lukemattomia tehtäviä, erityisesti kun on kyse siitä, miten se tiedustelee ja näyttää tietoja käyttäjille. Oleellisimmat osatekijät ovat:
attribuutit
LDAP-järjestelmän todelliset tiedot tallennetaan attribuuteiksi. Jokaiseen attribuuttiin liittyy attribuuttityyppi, joka määrittää, miten asiakkaiden ja hakemistopalvelimen tulee olla vuorovaikutuksessa kyseisen attribuutin kanssa. Attribuuttiarvot sisältävät myös suurimman osan tiedoista, joita käyttäjät tallentavat ja käyttävät LDAP-järjestelmissä.
merkinnät
attribuutit määrittelevät käyttäjän tai kohteen ominaisuudet, kun taas merkintä kuvaa käyttäjää tai kohdetta luettelemalla kaikki attribuutit nimen alle. Omin päin attribuuteilla on rajalliset funktiot. Sinun täytyy liittää ominaisuus merkintä ennen kuin voit täysin hyödyntää sitä.
Data Information Tree (DIT)
LDAP-järjestelmässä attribuuttien määrittelemät tiedot edustavat vain murto-osaa kohteen saatavilla olevasta informaatiosta. Loput tiedot ovat saatavissa merkinnän sijoittumisesta LDAP-järjestelmään ja sen sijoittelusta johtuvista suhteista. Esimerkiksi, jos sinulla on merkintä ”inventoryItems ”ja toinen” people”, tiedot syötetään kunkin yksi antaa paremman käsityksen siitä, mitä kukin merkintä edustaa.
jokainen LDAP – järjestelmän tietue on perustettu Tietopuiden oksiksi. Koska jokainen LDAP-puun merkintä voi symboloida lähes mitä tahansa, käyttäjät käyttävät useimmiten merkintöjä asioiden järjestämiseen.
skeema
skeema on konstruktio, jossa siihen liittyvät Objektiluokat ja attribuuttimääritykset kuuluvat samaan kategoriaan. Yhdellä DIT: llä voi olla useita toisiinsa liittymättömiä skeemoja sen tarvitsemien merkintöjen ja attribuuttien tuottamiseksi.
LDAP on helposti toteutettava protokolla tietojen konsolidointiin organisaatiossasi. Se toimii myös tunnistautumisen keskuksena. Voit kerätä ja tallentaa käyttäjätietoja yhden LDAP-kansion alle. Kun LDAP-yhteensopiva sovellus tarvitsee tallennettuja tietoja,se hakee ne automaattisesti hakemistosta.
toinen etu on se, että LDAP on avointa lähdekoodia ja yhteensopiva eri käyttöjärjestelmien kanssa, mukaan lukien Windows-ja Unix-pohjaiset järjestelmät. Alla, olemme sisällyttäneet joitakin resursseja ja usein kysyttyjä kysymyksiä — mukaan lukien blogikirjoitus siitä, miten LDAP todennus toimii Sensu Go.
FAQ
mikä on LDAP-palvelin?
LDAP-palvelin, jota kutsutaan myös Directory System agentiksi (DSA), toimii Windows-käyttöjärjestelmässä ja Unix/Linuxissa. Se tallentaa käyttäjätunnukset, salasanat ja muut keskeiset käyttäjätunnukset. Se käyttää näitä tietoja todentaakseen käyttäjät, kun se vastaanottaa pyyntöjä tai kyselyjä ja jakaa pyynnöt muiden DSAs: ien kanssa. Useat sovellukset ja palvelut voivat muodostaa yhteyden palvelimeen kerralla käyttäjien validoimiseksi.
miten LDAP vaikuttaa?
LDAP on Monialustainen protokolla hakemistopalvelujen kautta tapahtuvaan todentamiseen. Se tarjoaa myös viestintäkielen sovellukset käyttävät yhteyden muihin hakemistopalvelun palvelimiin. Nämä hakemistopalvelut sisältävät käyttäjätunnuksia, salasanoja ja tietokonetilejä, ja tarjoavat nämä tiedot verkon käyttäjille pyynnöstä.
kuvaa LDAP valtavana virtuaalisena puhelinluettelona. Puhelinluettelon avaaminen antaa sinulle pääsyn laajaan hakemistoon eri ihmisten yhteystietoja, mukaan lukien heidän käyttäjätunnuksensa ja salasanansa. LDAP: n avulla voit helposti tarkistaa käyttäjien tunnistetiedot, kun he yrittävät käyttää organisaatiosi tietokantaa.
mikä on LDAP-tili?
LDAP-tili on online-sovellus erityyppisten LDAP-hakemistoon tallennettujen tilien hallintaan. Tili antaa käyttäjille Abstrakti näkymä hakemistoon, mikä helpottaa ihmisiä, jotka eivät ole tech-savvy hallita LDAP tietoja.
Mitä eroa on LDAP: llä ja Active Directorylla?
Active Directory (AD) on hakemistopalvelutietokanta, jota käytetään organisaation tietojen tallentamiseen, todennukseen ja käytäntöihin, kun taas LDAP on protokolla, jolla kommunikoidaan AD: n kanssa.
yhteenvetona voidaan todeta, että AD toimii LDAP: n kanssa, ja näiden kahden sovelluksen yhdistäminen parantaa käyttöoikeuksien hallintaa.
onko LDAP turvallinen?
LDAP-todennus tarjoaa vakioturvan sisäänrakennetulla pääsynhallintakerroksella. Haitalliset toimijat voivat edelleen salakuunnella tietoja Active Directoryn ja asiakkaiden välillä. Optimoi suojaus lisäämällä LDAP-todennusprosessiin SSL / TLS-salausta, mikä tekee todennusprosessin aikana lähetetyistä tiedoista vähemmän haavoittuvia salaamalla viestintä.
tunnistautumiseen käytetyllä LDAP-oletusportilla (portti 389) ei ole omaa suojausta. Luo turvallinen yhteys lisäämällä suojauslaajennuksia, kuten LDAPv3 TLS-laajennus tai StartTLS-tila.
miten kyselet LDAP: ssä?
LDAP-kyselyt helpottavat tietokoneiden, käyttäjien, ryhmien ja muiden objektien etsimistä Active Directorysta. LDAP poimii tietoja mainoksesta yksinkertaisen, merkkijonoihin perustuvan kyselyn avulla. Voit myös käyttää apuohjelmia, kuten ldapsearch -, PowerShell-tai VBS-skriptejä kyselyiden suorittamiseen.
SAML vs LDAP
LDAP ja SAML ovat molemmat todennusprotokollia, jotka auttavat sovelluksia käyttämään IT-resursseja. SAML lähettää käyttäjätietoja henkilöllisyyden tarjoajalle ja muille verkkosovelluksille, kun taas LDAP helpottaa on-prem-todennusta ja muita palvelinprosesseja.
useimmat organisaatiot yhdistävät SAML: n, LDAP: n ja muiden todennusprotokollien käytön erilaisten IT-resurssien käyttämiseen ja liiketoimintatavoitteiden saavuttamiseen.
Kerberos vs LDAP
Kerberos on yksi kirjautumis-ja todennusprotokolla valtakirjojen turvalliseen hallintaan. Sen avulla prosessi muodostaa yhteyden todennuspalvelimeen ja tarjoaa allekirjoitetut ja salatut liput tiedostojen, sovellusten ja muiden resurssien käyttämiseen.
LDAP puolestaan helpottaa openldapin, Active Directoryn ja muiden hakemistojen käyttöä. Se todentaa yhteydet ristiintarkistamalla LDAP-hakemistoon tallennettuja käyttäjätunnuksia ja salasanoja. Koska Kerberos on turvallisempi kuin LDAP ja LDAP: ssä on enemmän toimintoja kuin Kerberosissa, useimmat organisaatiot käyttävät molempia protokollia.