HVA ER LDAP og hvordan fungerer DET?

følgende er et bidratt innlegg Fra Chima Mmeje. Hun er en innholdsstrateg som hjelper saas og tech-merker å bygge emneklynger og utføre innholdsstrategien.

etter hvert som selskaper vokser, blir behovet for å organisere brukerdata og aktiva i en hierarkisk struktur kritisk for å forenkle lagringstilgang for disse aktivaene. LDAP gjør det mulig for organisasjoner å lagre, administrere og sikre informasjon om organisasjonen, brukerne og ressursene.

i denne veiledningen forklarer vi HVA LDAP er, bruken av DET og hvordan DET fungerer. Vi vil også diskutere NIVÅENE AV LDAP – katalog og datakomponenter-som illustrerer hvordan DET er et viktig verktøy for å administrere data om organisasjoner og brukere.

 LDAP 2

Hva Er LIGHTWEIGHT Directory Access Protocol (LDAP)?

LDAP ER en lettvektsversjon av Directory Access Protocol (Dap). Dens opprinnelige mål var å gi lav overhead tilgang Til En X. 500 Katalog, men verktøyet har nå et bredere utvalg av bruksområder,som vi vil diskutere senere.

LDAPS primære funksjon gjør det mulig for brukere å finne data om organisasjoner, personer og mer. Det oppnår dette målet ved å lagre data I LDAP-katalogen og godkjenne brukere for å få tilgang til katalogen. Det gir også kommunikasjonsspråket som applikasjoner krever for å sende og motta informasjon fra katalogtjenester.

Data Og ressurser som DU kan finne MED LDAP, inkluderer filer og brukerinformasjon. Det fungerer med skrivere, datamaskiner og andre enheter som er koblet via internett eller et selskaps intranett.

LDAP fungerer med de fleste leverandørkatalogtjenester, For Eksempel Active Directory (AD). MED LDAP blir det enklere å implementere deling av informasjon om brukere, tjenester, systemer, nettverk og programmer fra en katalogtjeneste til andre programmer og tjenester.

HVA ER LDAP-Godkjenning?

en bruker kan ikke få tilgang til informasjon lagret i EN LDAP-database eller katalog uten først å godkjenne (bevise at de er som de sier de er). Databasen inneholder vanligvis bruker -, gruppe-og tillatelsesinformasjon og leverer forespurt informasjon til tilkoblede programmer.

LDAP-godkjenning innebærer å verifisere angitte brukernavn og passord ved å koble til en katalogtjeneste som bruker LDAP-protokollen. Noen katalogservere som bruker LDAP på denne måten, Er OpenLDAP, MS Active Directory og OpenDJ.

her er en trinnvis oversikt over godkjenningsprosessen:

  • klienten (ET LDAP-klar system eller program) sender en forespørsel om å få tilgang til informasjon som er lagret i EN LDAP-database.
  • klienten oppgir BRUKERLEGITIMASJONEN FOR LDAP-serveren (brukernavn og passord).
  • LDAP-serveren kryssjekker brukerens innsendte legitimasjon mot kjernedataene for brukeridentitet som er lagret I LDAP-databasen.
  • hvis den angitte legitimasjonen samsvarer med den lagrede kjernebrukeridentiteten, kan klienten få tilgang til den forespurte informasjonen.
  • Feil legitimasjon vil føre til nektet tilgang TIL LDAP-databasen.

Merk at kjerneidentiteten som er lagret i LDAP-databasen, ikke nødvendigvis bare er brukernavn og passord, men også andre attributter som adresser, telefonnumre og gruppeforeninger.

LDAP vs Active Directory

Active Directory (AD) ble utviklet Av Microsoft for Windows-domenenettverk. Den er inkludert som et sett med tjenester og prosesser i De Fleste windows-operativsystemer og inneholder informasjon om hver brukerkonto som er koblet til nettverket.

LDAP ER et verktøy for å trekke ut og redigere data lagret I Active Directory og andre kompatible katalogtjenesteleverandører. Hver brukerkonto i EN ANNONSE har flere attributter, for eksempel brukerens fulle navn og e-postadresse. Utpakking av denne informasjonen i et brukbart format krever LDAP.

LDAP trekker ut informasjon FRA AD med en enkel, strengbasert spørring. LDAP kan også dele den utpakkede informasjonen (for eksempel brukernavn og passord) med tilkoblede enheter eller programmer.

BRUK AV LDAP eliminerer behovet for at brukere manuelt skriver inn EN REKKE LDAP-spørringer for å hente informasjon FRA AD. Microsoft Outlook Er For Eksempel ET LDAP-aktivert Windows-program som automatisk angir spørringer for å få deg den informasjonen du vil ha.

Hva BRUKES LDAP til?

SIDEN LDAP er en åpen og kryssplattformprotokoll, fungerer DEN med flere katalogleverandører og har ulike applikasjoner. DEN vanligste LDAP-brukssaken fungerer som et sentralt sted for lagring av autentiseringsinformasjon, for eksempel brukernavn og passord. Du kan bruke den lagrede godkjenningsinformasjonen på ulike programmer til å validere brukere.

Populære programmer som støtter LDAP-godkjenning Er OpenVPN, Docker, Jenkins, Kubernetes og Linux Samba servere. Systemadministratorer bruker OGSÅ LDAPS SINGLE sign on-funksjon (SSO) til å administrere LDAP-databasetilgang.

LDAP-Operasjonstyper

LDAP-Operasjonstyper

her er noen grunnleggende operasjonstyper I LDAP:

Legg Til

funksjonen lar deg legge til nye oppføringer i katalog-serverdatabasen. Hvis det nye navnet allerede finnes, godtar ikke serveren oppføringen. I stedet vil det levere en» entryAlreadyExists » varsling. LDAP-kompatible servere vil lagre ekstra navn og andre attributter i henhold til de foreskrevne navnestandardene for å sikre ensartethet.

Bind (Godkjenning)

når du oppretter en økt ved å koble TIL EN LDAP-server, er øktens standard godkjenningsstatus anonym. LDAP bind-funksjonen validerer godkjenningsstatusen og endrer den fra anonym. Bind kan skje Enten Gjennom Simple eller SASL (Simple Authentication and Security Layer) autentiseringsmetode.

Unbind

Unbind avbryter utestående operasjoner og avslutter tilkoblingene. Du kan oppnå det samme ved å lukke tilkoblingen, men bruk av unbind er foretrukket fordi det frigjør ressurser som kan forbli tilordnet den avbrutte operasjonen.

Endre

LDAP-klienter bruk funksjonen endre til å redigere informasjon som allerede er lagret i en database. Bare tre typer modifikasjoner er tillatt:

  • Legge til en ny verdi i dataene
  • Erstatte Eller overskrive en eksisterende verdi
  • Slette en eksisterende verdi

Søk Og Sammenlign

operasjonen lar klienter søke etter og lese oppføringer. Du kan søke etter oppføringer basert på navn, størrelse, omfang, type og andre attributter. Sammenlign-funksjonen gjør det enkelt å kontrollere om en navngitt oppføring har bestemte attributter.

Slett

Klienter bruker denne funksjonen til å slette oppføringer fra katalogen. Merk at sletting ikke vil skje med mindre klienten sender en perfekt sammensatt sletteforespørsel til serveren. Noen av funksjonene sletteforespørselen må ha er:

  • navnet på oppføringen du vil slette
  • Vedlagte forespørselskontroller

NIVÅER AV LDAP-Katalog

en typisk LDAP-konfigurasjon følger et » tre » – hierarkiformat. Nedenfor er hierarkinivåene fra start til slutt:

  • startstedet – en rotkatalog
  • Land
  • Organisasjoner eller selskaper
  • Divisjoner, avdelinger og andre organisasjonsenheter
  • Personer, filer og delte ressurser (skrivere, datamaskiner og så videre)

DU kan distribuere EN LDAP-katalog over flere servere. Spørringer fra klientene er fordelt over flere servere ved hjelp av replikering. HVER LDAP-server mottar forespørsler fra brukere og tar ansvar for forespørslene før de sendes til andre servere. Serverne vil ha en replikert versjon av katalogen, og katalogene vil alle synkronisere sine oppføringer med jevne mellomrom.

LDAP-Datakomponenter

FLERE komponenter jobber sammen FOR LDAP for å fullføre sine utallige oppgaver, spesielt når det gjelder hvordan DET spør og viser data til brukere. De viktigste av disse komponentene er:

Attributter

de faktiske dataene i ET LDAP-system lagres som attributter. Hvert attributt er knyttet til en attributtype som angir hvordan klienter og katalogserveren skal samhandle med dette attributtet. Attributtverdier inneholder også de fleste dataene som brukere lagrer og får tilgang til I LDAP-systemer.

Oppføringer

Attributter definerer egenskapene til en bruker eller et element, mens en oppføring beskriver brukeren eller elementet ved å oppgi alle attributtene under et navn. På egen hånd har attributter begrensede funksjoner. Du må knytte et attributt til en oppføring før du kan utnytte den fullt ut.

DATAINFORMASJONSTRE (DIT)

i ET LDAP-system representerer dataene definert av attributter bare en brøkdel av objektets tilgjengelige informasjon. Den gjenværende informasjonen er tilgjengelig fra oppføringens plassering i LDAP-systemet og relasjonene plasseringen antyder. Hvis du for eksempel har en oppføring for «inventoryItems» og en annen for «people», vil dataene som er oppgitt under hver, gi en bedre ide om hva hver oppføring representerer.

Hver oppføring I ET LDAP-system er satt opp som grener på Datainformasjonstrær (DITs). Siden hver oppføring I ET LDAP-tre kan symbolisere nesten alt, bruker brukerne mest oppføringer for å holde ting organisert.

Skjemaer

Skjema er en konstruksjon der relaterte ObjectClasses og attributtdefinisjoner går under samme kategori. EN DIT kan ha flere urelaterte skjemaer for å generere oppføringene og attributter den trenger.

LDAP ER EN protokoll som er enkel å implementere for å konsolidere informasjon i organisasjonen. Det fungerer også som et sentralt knutepunkt for godkjenning. Du kan samle inn og lagre brukerinformasjon under EN LDAP-katalog. Når ET LDAP-aktivert program trenger noe av den lagrede informasjonen, spør den automatisk katalogen for å hente den.

EN annen fordel ER AT LDAP er åpen kildekode og kompatibel med ulike operativsystemer, inkludert Windows og Unix-baserte systemer. Nedenfor har vi tatt med noen ressurser og Vanlige Spørsmål — inkludert et blogginnlegg om HVORDAN LDAP-godkjenning fungerer med Sensu Go.

 Les blogginnlegget VÅRT PÅ LDAP Med Sensu Go

Vanlige Spørsmål

Hva er EN LDAP-server?

EN LDAP-server, også kalt En Directory System Agent (Dsa), kjører På Windows OS Og Unix / Linux. Den lagrer brukernavn, passord og andre sentrale brukeridentiteter. Den bruker disse dataene til å godkjenne brukere når den mottar forespørsler eller spørringer og deler forespørslene med andre Dsa-Er. Flere programmer og tjenester kan koble til en server samtidig for å validere brukere.

hvordan FUNGERER LDAP?

LDAP ER EN protokoll på tvers av plattformer for godkjenning via katalogtjenester. Det gir også kommunikasjonsspråk programmer bruker til å koble til andre katalogtjenesteservere. Disse katalogtjenestene huser brukernavn, passord og datamaskinkontoer, og gir denne informasjonen til brukere på nettverket på forespørsel.

Bilde LDAP som en stor virtuell telefonbok. Åpne telefonboken gir deg tilgang til en stor katalog av kontaktinformasjon for ulike mennesker, inkludert deres brukernavn og passord. MED LDAP kan du enkelt bekrefte legitimasjonen til brukere når de prøver å få tilgang til organisasjonens database.

Hva er EN LDAP-Konto?

LDAP-Konto ER et nettbasert program for å administrere ulike typer kontoer som er lagret i EN LDAP-katalog. Kontoen gir brukerne en abstrakt visning av en katalog, noe som gjør det enkelt for folk som ikke er teknisk kunnskapsrike å administrere LDAP-data.

hva er forskjellen MELLOM LDAP og Active Directory?

Active Directory (AD) Er katalogtjenestedatabasen som brukes til å lagre data, autentisering og retningslinjer for en organisasjon, MENS LDAP er protokollen for å kommunisere MED ANNONSEN.

OPPSUMMERT FUNGERER AD med LDAP, og kombinasjonen av de to programmene forbedrer tilgangsadministrasjonen.

ER LDAP sikker?

LDAP-godkjenning gir standard sikkerhet med et innebygd lag med tilgangsadministrasjon. Ondsinnede aktører kan fortsatt tyvlytte under dataoverføring mellom Active Directory og klienter. Optimaliser sikkerheten ved å legge TIL SSL / TLS-kryptering I LDAP-godkjenningsprosessen, noe som gjør informasjon som overføres under godkjenningsprosessen mindre sårbar ved å kryptere kommunikasjon.

STANDARD LDAP-port som brukes til godkjenning (Port 389), har ikke egen sikkerhet. Opprett en sikker tilkobling ved å legge til sikkerhetsutvidelser, for Eksempel LDAPv3 TLS-utvidelsen eller StartTLS-modusen.

hvordan spørrer DU I LDAP?

LDAP-spørringer gjør det enklere å søke etter datamaskiner, brukere, grupper og andre objekter i Active Directory. LDAP trekker ut informasjon FRA AD ved hjelp av en enkel, strengbasert spørring. Du kan også bruke verktøy, for eksempel ldapsearch -, PowerShell-eller VBS-skript til å utføre spørringer.

SAML vs LDAP

LDAP og SAML er begge godkjenningsprotokoller som hjelper programmer med å få TILGANG TIL IT-ressurser. SAML sender brukerinformasjon til identitetsleverandøren din og andre nettbaserte programmer, MENS LDAP forenkler godkjenning på forhånd og andre serverprosesser.

de fleste organisasjoner kombinerer BRUK AV SAML, LDAP og andre godkjenningsprotokoller for å få tilgang til ULIKE TYPER IT-ressurser og oppnå sine forretningsmål.

Kerberos vs LDAP

Kerberos Er en enkel pålogging og godkjenningsprotokoll for sikker håndtering av legitimasjon. Den lar en prosess koble til en autentiseringsserver og gir signerte og krypterte billetter for tilgang til filer, programmer og andre ressurser.

LDAP, derimot, letter tilgang Til OpenLDAP, Active Directory og andre kataloger. Det godkjenner tilkoblinger ved kryssjekking brukernavn og passord som er lagret I LDAP katalogen. Siden Kerberos er sikrere ENN LDAP og LDAP har flere funksjoner Enn Kerberos, bruker de fleste organisasjoner begge protokollene.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.