Протокол LDAP
Lightweight Directory Access Protocol (LDAP) — это протокол для обращения к сервису директорий в режиме реального времени. Протокол LDAP был разработан Университетом шт. Мичиган в 1995 г. для обеспечения более легкого доступа к директориям Х.500. Протокол X.500 был слишком сложными и требовал слишком много ресурсов компьютера для многих потребителей, поэтому и был разработан упрощенный вариант. Протокол LDAP особо ориентирован на приложения управления и просмотра, которые обеспечивают интерактивный доступ к директориям в режиме чтение/запись.
При совместном использовании с директорией, поддерживающей протоколы Х.500, данный протокол предполагается применять в качестве дополнения к протоколу доступа к директории X.500 Directory Access Protocol (DAP). RFC 1777 — это версия 2 протокола LDAP. В настоящее время ведется работа над версией 3, которая будет являться базовой для сети Интернет. Протокол LDAP использует непосредственно протокол TCP и может быть использован для обращения как к автономному сервису директории LDAP, так и для обращения к сервису директории, которая заканчивается директорией Х.500.
Данный стандарт определяет:
- сетевой протокол для получения доступа к информации в директории;
- информационную модель, которая определяет форму и характер информации;
- пространство имен, которое устанавливает, как информация снабжена ссылками и организована;
- распределенную модель функционирования, которая устанавливает, как данные могут быть распределены и снабжены ссылками (в версии 3).
Общая модель, принятая в LDAP, — это один из клиентов, выполняющий протокольные операции с серверами. В этой модели клиент передает запрос протокола, описывающий серверу операцию, которую необходимо выполнить. Этот сервер становится ответственным за проведение необходимых операций в директории. По завершении операций сервер посылает ответ, содержащий какие-либо результаты или ошибки. Этот сценарий показан на рисунке 32.
В версиях 1 и 2 протокола LDAP не был предусмотрен возврат ссылок сервером клиенту. Если сервер LDAP не знает ответа на запрос, он скорее обратится к другому серверу за информацией, чем пошлет клиенту сообщение о необходимости перейти к данному другому серверу. Однако, для улучшения функционирования и распределения эта версия протокола позволяет серверам возвращать клиентам ссылки на другие серверы. Такая установка позволяет серверам отбросить работу по установлению контактов с другими серверами для ускорения выполняемых операций. Протокол LDAP оперирует на допущении того, что существуют один или более серверов, которые совместно обеспечивают доступ к информационному дереву директории DIT. Это дерево составлено из входов, которые имеют имена: одно или более атрибутивное значение входа формирует его соответствующее отличительное имя RDN, которое должно быть уникальным среди других таких же входов. Соединение имен RDN в последовательности входов от конкретного входа к непосредственному подуровню корня дерева формирует это отличительное имя, которое является уникальным в дереве. Некоторые серверы могут содержать кэш-память или теневые копии входов, которые могут быть использованы для ответа на поисковый запрос, сравнительные запросы, но будут возвращать ссылки или взаимодействовать с другими серверами, если поступил запрос на операции по модификации.
Протокол LDAP устанавливает следующие операции:
- Связывающая операция инициирует протокольный сеанс между клиентом и сервером и обеспечивает аутентификацию клиента для сервера. Связывающая операция должна быть первым оперативным запросом, полученным сервером от клиента в протокольном сеансе в версиях 1 и 2, однако данное ограничение было отменено в версии 3.
- Операция по прекращению связи завершает протокольный сеанс.
- Поисковая операция позволяет клиенту сделать запрос на выполнение сервером поиска от его имени.
- Операция по модификации позволяет клиенту сделать запрос на выполнение модификации информационной базы директории сервером от его имени.
- Операция по дополнению позволяет клиенту сделать запрос на введение дополнительного входа в директории.
- Операция по удалению позволяет клиенту запросить удаление какого-либо входа из директории.
- Операция по модификации имени RDN позволяет клиенту изменить последний компонент имени входа в директории.
- Операция по сравнению позволяет клиенту сравнивать утверждение, обеспечиваемое входом директории.
- Операция на завершение позволяет клиенту запросить сервер отставить невыполненную операцию.
- Расширенная операция является новой в версии 3, она введена для обеспечения определения дополнительных операций для тех видов сервиса, которые недоступны где-либо еще в протоколе; например, отмеченные цифровым способом операции и результаты.
Примечание. Связывающая операция протокола LDAP в версии 2 позволяет лишь простую аутентификацию, состоящую из пароля открытого (незашифрованного текста), и аутентификацию Kerberos версии 4. В версии 3 допущен любой механизм SASL уровня безопасности и простой аутентификации. SASL позволяет обращаться к сервису обеспечения целостности и секретности. Также допускается возврат аутентификационных данных сервером клиенту, если сервер изберет именно этот путь.
Источник: Решения компании Cisco Systems по обеспечению безопасности корпоративных сетей
Метки: Cisco, Cisco Security, LDAP.