LDAP Explained: From Distinguished Names to User Authentication

by

Het is gebruikelijk dat organisaties vertrouwen op LDAP (Light-weight Listing Entry Protocol) voor het uitvoeren van kritisch gebruikersbeheer, opslag en authenticatie.

Het kan gebruikers echter in verwarring brengen, waardoor ze het met Lively Listing gaan combineren.

In dit artikel bekijken we LDAP, het doel ervan en hoe het werkt. Vervolgens bekijken we de belangrijkste kenmerken, de mapstructuur en de mogelijkheden voor gegevensorganisatie. Ten slotte bespreken we het belang van LDAP bij het beheren van de directoryservice en gebruikersauthenticatie.

Wat is LDAP?

LDAP staat voor Light-weight Listing Entry Protocol. Het is een open protocol dat de veilige gebruikersauthenticatie voor lokale listing’s regelt. Bovendien is het een leveranciersneutraal applicatieprotocol, waardoor het veelzijdig en alomtegenwoordig is, vooral in de gedistribueerde directory-informatiediensten through web.

LDAP is efficiënt in het mogelijk maken van toepassingen om gebruikersinformatie op te vragen. Dit betekent dat het op verschillende manieren kan werken in IT-infrastructuurdiensten, waaronder e-maildiensten, autorisatie, licentiebeheer en gebruikersbeheer.

LDAP-1

Het moet echter niet worden verward met Lively Listing-services: een reeks providers/databases die bedrijven gebruiken om IT-middelen te organiseren, openen en beveiligen. Kortom, directoryservices stellen organisaties in staat gegevens op te slaan die beschrijvend, statisch en waardevol zijn.

Technisch gezien wordt LDAP toegeschreven aan het volledige proces van gegevensrepresentatie binnen een directoryservice. Het zorgt ervoor dat gebruikers gegevens op een vooraf gedefinieerde manier kunnen verkrijgen. Dit betekent dat LDAP organisaties in staat stelt through de instruments gegevensinvoer binnen directoryservices te creëren.

Binnen een Lively Listing zorgt LDAP er dus ook voor hoe vermeldingen worden samengesteld op foundation van verschillende geschetste primitieve elementen.

Kort gezegd is LDAP een:

  • Communicatieprotocol
  • Het is een open, leverancier-neutraal applicatieprotocol
  • Het softwareprotocol slaat gegevens op en rangschikt ze zodat ze gemakkelijk doorzoekbaar zijn.
  • Werkt met lokale mappen
  • Werkt met Lively Listing die gegevens bevat die statisch, beschrijvend en waardevol zijn
  • Het is geen nieuw protocol en werd in 2003 uitgebracht

Wat is de bedoeling?

Het doel van LDAP draait om twee dingen:

  • Het slaat gegevens op in een LDAP/Lively-directory
  • Authenticeer de toegang van de gebruiker tot die map
  • Zorg ervoor dat toepassingen de juiste communicatietaal gebruiken voor het verzenden en ontvangen van gegevens van directoryservices.

Met andere woorden, het fungeert als een communicatieprotocol dat niet alleen in staat is tot authenticatie en autorisatie, maar ook gegevens op een doorzoekbare manier organiseert. Met behulp van LDAP kunnen organisaties cruciale informatie over gebruikers en IT-middelen opslaan, inclusief gebruikersreferenties. Bovendien kan het veilige toegang garanderen doordat beheerders actief toegangsregels kunnen instellen.

Hoe werkt LDAP?

De kern van LDAP is de client-server-architectuur.

Wanneer LDAP-authenticatie plaatsvindt, volgt dit dus een client-server-model. En daarbij zijn onder meer de volgende hoofdrolspelers:

  • Directorysysteemagent (DSA): een server waarop LDAP wordt uitgevoerd op een specifiek netwerk.
  • De onderscheidende naam (DN) bevat het pad voor het navigeren door de directory-informatieboom (DIT).
  • Directorygebruikersagent (DUA): De DUA wordt gebruikt om als consumer toegang te krijgen tot DSA’s.
  • Relatieve Distinguished Identify (RDN): De RDN specificeert elke part in het pad van de DN.
  • Applicatieprogrammeringsinterface (API): We hebben API’s die communiceren tussen de diensten en producten.
Hoe-LDAP-werkt

Wanneer een gebruiker tijdens het LDAP-authenticatieproces een LDAP-clientprogramma begin, zoals een e-mailtoepassing, kan de beheerder configureren hoe de LDAP-client samenwerkt met de directoryservices voor authenticatie. Het kan bijvoorbeeld een van de twee beschikbare methoden voor gebruikersauthenticatie gebruiken:

  • SASL-authenticatie met Kerberos
  • Eenvoudige SSO-authenticatie met inloggegevens

Bij de inlogpoging wordt om DN-authenticatie gevraagd. Zodra het proces is gestart, wijst LDAP de consumer toe aan de Listing System Agent (DSA), die de DN gebruikt om naar overeenkomende data in de database te zoeken.

De Relative Distinguished Identify (RDN) binnen de DN is een cruciaal onderdeel van de LDAP-zoekopdracht, aangezien deze wordt gebruikt in elke stap van het zoekproces through de Listing Info Tree (DIT).

Als de zoekopdracht succesvol is, worden de overeenkomende UID en het gebruikerswachtwoord aan elkaar gekoppeld om de gebruiker te valideren. Als dit niet het geval is, worden ongeldige resultaten geretourneerd.

Ten slotte ontkoppelt de consumer de verbinding met de LDAP-server. Als dit klaar is, kan de geverifieerde gebruiker through de API’s met de providers communiceren. Dit betekent dat hij alle opgeslagen informatie kan doornemen; de enige beperking is het verlenen van machtigingen.

Als je meer wilt lezen over hoe LDAP werkt, bekijk dan het artikel dat in 2003 werd gepubliceerd door Greg Vaneder en Mark Wahl. En als u meer wilt lezen over de werking van LDAP-zoekopdrachten, bekijk dan De LDAP-zoekoperatie.

Belangrijkste kenmerken van LDAP

De belangrijkste kenmerken van LDAP kunnen hieronder worden samengevat:

  • Authenticeer gebruikerssessies: Het kan worden gebruikt om gebruikerssessies te authenticeren bij een databaseservice zoals Lively Listing.
  • Verschillende soorten operaties: Het kan ook bewerkingen uitvoeren op een directoryserverdatabase, inclusief
    • bindende sessies
    • LDAP-vermeldingen verwijderen
    • Wijzig bestaande vermeldingen
    • Zoek en vergelijk vermeldingen.
    • Laat verzoeken achterwege
    • Ontbind bewerkingen
  • Lichtgewicht: LDAP is lichtgewicht en zorgt voor een kleine overhead voor het netwerk en de systeembronnen.
  • Leverancier- en protocolonafhankelijk: LDAP is bovendien leverancier- en protocolonafhankelijk. Dit betekent dat het met elke leverancier/oplossing/protocol werkt. U kunt bijvoorbeeld LDAP through TCP/IP of X.25 gebruiken. De nieuwste LDAP-versie, LDAPv3, gebruikt echter TCP/IP.
  • Directorystructuur: LDAP gebruikt een directory-boomstructuur om belongings in een directorydatabase op te slaan en te openen. De ouder-kindrelatie betekent sneller zoeken en terugvinden.
  • Standaardisatie: LDAP is gestandaardiseerd door de IETF (Web Engineering Activity Power). De standaardisatie zorgt ervoor dat LDAP bij verschillende leveranciers werkt.
  • Beveiliging: LDAP is veilig. Het zorgt voor beveiliging door gebruik te maken van veilige TLS through de TCP/IP-laag. Het kan ook Safe Socket (SSL) gebruiken om informatie op afstand te coderen, decoderen en over te dragen met volledige integriteit en vertrouwelijkheid.
  • Replicatie: LDAP ondersteunt ook replicatie over meerdere servers. Het zorgt voor gegevensredundantie en biedt gegevensbeschikbaarheid in geval van eventuele fouten. Het maakt gebruik van Syncrepl – een Sync-replicatie-engine.
Belangrijkste kenmerken van LDAP

LDAP-directorystructuur

De LDAP-directory heeft een duidelijke, gedefinieerde structuur. Dit maakt eenvoudige toegang tot gegevens mogelijk en draagt ​​bij aan de doorzoekbaarheid van de inhoud van de LDAP-directory.

Omdat LDAP een boomstructuur volgt, is het hiërarchisch. En daarom heeft het vooral de voorkeur als Listing Info Tree (DIT).

De verschillende niveaus van de LDAP-directorystructuur omvatten:

  • Hoofdmap
    • Landen
  • Organisatie
    • Organisatorische eenheid
      • Individuen

Zoals u kunt zien, is er een boomstructuur in de LDAP-directory. De “wortelDe listing is een merchandise op het hoogste niveau dat alle andere objects op directoryniveau bevat. Daaronder krijg je Land (landen) waar zich vervolgens naar vertakt Organisatie(s).

Vervolgens vertakt het zich naar Organisatie-eenheden (OU) en ten slotte naar Individuen en Groepen.

Laten we een voorbeeld hieronder bekijken om de LDAP-directorystructuur te begrijpen.

 - Root (Prime-level entry)
   |
   +-- Nation: "dc=com" (e.g., dc=instance,dc=com)
         |
         +-- Group: "dc=instance" (e.g., dc=instance)
               |
               +-- Organizational Unit (OU): "ou=Customers"
               |      |
               |      +-- Person: "cn=Nitish Singh"
               |      |
               |      +-- Person: "cn= Oliver Inexperienced"
               |
               +-- Organizational Unit (OU): "ou=Teams"
                      |
                      +-- Group: "cn=Admins"
                      |
                      +-- Group: "cn=Customers"
		|
		+-- Group: “cn=Superusers”

De Root-entiteit wordt geïdentificeerd met gelijkstroomwat staat voor Domeincomponent attribuut. Dus als “dc=met”, wordt de rootvermelding geïdentificeerd als het “com” -domein.

Onder root kunt u meerdere organisaties of domeinen hebben. Het wordt vertegenwoordigd door “dc=organisatie.” onder het domein “com”.

Op dezelfde manier kan elke organisatie er één hebben meerdere organisatie-eenheden (OE). De beheerder kan ze logisch in onderverdelingen indelen. U kunt OE bijvoorbeeld instellen op “gebruikers”, “groepen” of “supergebruikers.”

Ten slotte kunt u onder elke OE verschillende vermeldingen vermelden, waaronder groepen, apparaten, gebruikers, enz. In ons voorbeeld zijn er twee waarden van OU-gebruikers zijn onder meer “Nitish Singh” en “Oliver Inexperienced.” Op dezelfde manier hebben we onder OU-groepen ‘Beheerders’, ‘Gebruikers’ en ‘Supergebruikers’.

De LDA-directorystructuur is sterk afhankelijk van Distinguished Identify (DN), aangezien deze wordt gebruikt om elk merchandise te identificeren. Dat komt omdat het een unieke naam bevat en wordt gebruikt om de Relative Distinguished Identify (RDN) op te halen.

Gemeenschappelijke LDAP-elementen

Om de LDAP-gegevensorganisatie te begrijpen, moeten we de gemeenschappelijke elementen van LDAP begrijpen, die leiden tot de constructie van de invoer in het LDAP-systeem.

De basiscomponenten van LDAP-gegevens omvatten:

  • Kenmerken:
  • Inzendingen:
  • Gegevensinformatiebomen

Kenmerken

Attributen in LDAP zijn sleutel-waardeparen. Deze slaan gegevens op binnen het LDAP-systeem. Bijvoorbeeld de attribuut mail moet worden gebruikt om op te slaan mail binnen het LDAP-systeem.

mail: [email protected]

Inzendingen

De vermeldingen binnen het LDAP-systeem associëren zich met het toekennen van betekenis. U kunt vermeldingen beschouwen als een verzameling gerelateerde kenmerken.

De gegevens in het LDIF-formaat (LDAP Knowledge Interchange Format) zien er bijvoorbeeld als volgt uit:

dn: sn=Hogwarts, ou=wizards, dc=WizardingWorld, dc=fiction

objectclass: wizard

sn: Hogwarts

cn: Harry Potter

Gegevensinformatiebomen

Gegevensinformatiebomen, of DIT’s, vertegenwoordigen en hebben toegang tot gegevens binnen een LDAP-systeem. Omdat de meeste gegevens vertakt zijn, is het logisch om ze in bomen weer te geven. Het is analoog aan een bestandssysteem met een ouder-kind-associatie.

LDAP-gegevensorganisatie

Met het basisidee van entiteiten kunnen we nu de gegevensorganisatie binnen het LDAP-systeem onderzoeken.

Hier gebruikt LDAP de DIT om de gegevens te organiseren en te structureren. Hoe wordt dit echter bereikt? Laten we het hieronder bespreken.

Om vermeldingen in een DIT te plaatsen die hiërarchisch aan elkaar gerelateerd zijn. Wanneer er dus een nieuw merchandise wordt aangemaakt, wordt het aan de boomachtige structuur toegevoegd als een onderliggend merchandise van een bestaand merchandise.

Het begint allemaal bovenaan de hiërarchieboom in de DIT. Omdat het alle onderliggende inzendingen omvat, wordt het voornamelijk gelabeld als een organisatie zoals “dc=com of voorbeeld. Dit gebeurt met behulp van domeincomponenten, zodat het beheer eenvoudig is.

Op deze manier kan de beheerder de locatie instellen met behulp van l=locatienaam of organisatiesegmenten, zoals ou=technologie, advertising and marketing, enz.

De vermeldingen gebruiken Group Unit (OU) objectClass. Dat komt omdat vermeldingen het attribuutlabel kunnen gebruiken jij=. Ze zijn eenvoudig en bieden een uitstekende manier om informatie binnen de DIT te categoriseren en te vinden.

Vervolgens komt een ander belangrijk idea bekend als Relatieve onderscheidende naam. Het is de relatieve naam van een component, afhankelijk van het DIT-hiërarchieniveau. Om toegang te krijgen tot een merchandise, moet u dus het RDN-waarden van de entiteit samen met de RDN-waarde van het bovenliggende merchandise.

Hierdoor ontstaat een keten van RDN-waarden, die van onder naar boven loopt, waardoor een pad naar dat merchandise ontstaat. En dit keten van RDN-waarden staat bekend als “Voorname naam of DN.

Met andere woorden: u moet de DN vermelden tijdens het maken van de vermelding, zodat LDAP precies weet waar u het nieuwe merchandise of de nieuwe informatie moet plaatsen. Dus, RDN fungeert als een relatieve waardeterwijl DN is meer een absoluut pad.

Belang van LDAP

In dit gedeelte bekijken we het belang van LDAP vanuit twee perspectieven:

  • Directoryservice beheren: Het LDAP-protocol beschikt over de juiste middelen om LDAP-directorygegevens op te slaan en te openen. LDAP is een middel om gegevens te beheren, op te slaan, te openen en te beveiligen. Het zorgt ook voor een efficiënte opvraging van informatie. Bovendien biedt het ook schaalbaarheid en replicatie.
  • Gebruikersverificatie: Naast het beheer van directoryservices blinkt LDAP uit in gebruikersauthenticatie en -autorisatie. Zodra de verbinding tot stand is gebracht, heeft de gebruiker toegang tot opgeslagen activa op foundation van de toegangsregels die zijn ingesteld door de beheerder.

LDAP versus Lively Listing

Het is gebruikelijk dat mensen LDAP en Lively Listing met elkaar verwarren. LDAP en Microsoft’s Lively Listing werken nauw samen om organisaties een manier te bieden om organisatiegegevens op verschillende afdelingen veilig op te slaan en te openen.

LDAP is dus een protocol, terwijl Lively Listing een directoryserviceproduct is dat de organisatiegegevens in een boomachtige structuur opslaat.

LDAP fungeert als een communicatieprotocol voor toegang tot directoryservers zoals Lively Listing.

Conclusie

LDAP is een sleutelprotocol voor het werken met Lively Listing-services. Het is een lichtgewicht protocol dat geen overhead veroorzaakt op de providers en servers waarmee het werkt. Bovendien betekent het open-source, leveranciersneutrale en gestandaardiseerde karakter ervan dat het gemakkelijk kan worden geïntegreerd in bestaande oplossingen.

U kunt ook Multi-Issue Authenticatie (MFA) verkennen.

Leave a Comment

porno izle altyazılı porno porno