▷ Ldap: de quoi s'agit-il et à quoi sert ce protocole

Le protocole LDAP est largement utilisé aujourd'hui par les entreprises qui misent sur les logiciels libres en utilisant les distributions Linux pour exercer les fonctions d'un répertoire actif dans lequel les informations d'identification et les autorisations des travailleurs et des postes de travail dans les réseaux LAN d'entreprise seront gérées dans connexions client / serveur.

Index du contenu

Dans cet article, nous verrons le plus complètement possible en quoi consiste ce protocole et l'outil correspondant, ainsi que la structure et les termes les plus utilisés.

Qu'est-ce que LDAP?

LDAP est l'abréviation de Lightweight Directory Access Protocol). Il s'agit d'un ensemble de protocoles de licence ouverts qui sont utilisés pour accéder aux informations stockées de manière centralisée dans un réseau. Ce protocole est utilisé au niveau de l'application pour accéder aux services d'annuaire distants.

Un répertoire distant est un ensemble d'objets organisés de manière hiérarchique, tels que des noms, des adresses, etc. Ces objets seront mis à disposition par une série de clients connectés via un réseau, généralement interne ou LAN, et fourniront les identités et les autorisations aux utilisateurs qui les utilisent.

LDAP est basé sur le protocole X.500 pour le partage d'annuaire, et il contient ces informations de manière hiérarchique et catégorisée pour nous fournir une structure intuitive du point de vue de la gestion par les administrateurs. C'est, pour ainsi dire, un annuaire téléphonique, mais avec plus d'attributs et d'informations d'identification. Dans ce cas, nous utilisons le terme répertoire pour faire référence à l'organisation de ces objets.

En général, ces répertoires sont essentiellement utilisés pour contenir des informations sur les utilisateurs virtuels, afin que les autres utilisateurs accèdent aux informations stockées ici et en aient des informations. Mais c'est bien plus que cela, car il est capable de communiquer à distance avec d'autres répertoires LDAP situés sur des serveurs qui peuvent être à l'autre bout du monde pour accéder aux informations disponibles. De cette façon, une base de données d'informations décentralisée et entièrement accessible est créée.

La version actuelle est appelée LDAPv3 et est définie dans une fiche de documentation RFC 4511 accessible au public.

Opération LDAP

LDAP est un protocole basé sur la connexion entre le client et le serveur. Les données liées à l'annuaire seront stockées sur le serveur LDAP, qui pourra utiliser une grande variété de bases de données pour ce stockage, devenant très volumineuses.

Les opérations d'accès et d'administration sont très similaires à Windows Active Directory. Lorsque le client LDAP se connecte au serveur, vous pouvez effectuer deux actions de base, soit interroger et obtenir des informations de répertoire, soit les modifier.

• Si un client consulte les informations, le serveur LDAP peut le connecter directement s'il a un annuaire hébergé dedans, ou rediriger la demande vers un autre serveur qui a réellement ces informations. Cela peut être local ou distant. Si un client souhaite modifier les informations de l'annuaire, le serveur vérifiera si l'utilisateur qui accède à cet annuaire a des autorisations d'administrateur ou non. Ensuite, l'information et la gestion d'un annuaire LDAP peuvent être effectuées à distance.

Le port de connexion pour le protocole LDAP est TCP 389, bien que , bien sûr, il puisse être modifié par l'utilisateur et le régler sur celui qu'il souhaite s'il l'indique au serveur.

Comment les informations sont stockées dans LDAP

Dans un annuaire LDAP, nous pouvons stocker essentiellement les mêmes informations que dans un annuaire Windows Active. Le système est basé sur la structure suivante:

• Entrées, appelées objets dans Active Directory. Ces entrées sont des collections d'attributs avec un nom distinctif (DN). Ce nom est utilisé pour donner un identifiant unique et non reproductible à une entrée de répertoire. Une entrée peut être le nom d'une organisation et des attributs y seront suspendus. Une personne peut également être une entrée. Attributs: qui ont un type d'identifiant et les valeurs correspondantes. Les types sont utilisés pour identifier les noms d'attributs, par exemple "mail", "nom", "jpegPhoto", etc. Certains des attributs qui appartiennent à une entrée doivent être obligatoires et d'autres facultatifs. LDIF: le format d'échange de données LDAP est la représentation textuelle ASCII des entrées LDAP. Il doit s'agir du format des fichiers utilisés pour importer des informations dans un annuaire LDAP. Lorsqu'une ligne vierge est écrite, cela signifie la fin d'une entrée.

dn: :::

Arbres: c'est l' organisation hiérarchique des entrées. Par exemple, dans une arborescence, nous pouvons trouver un pays en haut et comme principal, et à l'intérieur de celui-ci, nous aurons les différents états qui composent le pays. Dans chaque État, nous pourrons répertorier les districts, les citoyens et les adresses de leur lieu de résidence, etc.

Si nous appliquions cela à Internet et à l'informatique, nous pourrions organiser un annuaire LDAP au moyen d'un nom de domaine qui ferait les fonctions d'arborescence et y accrocherait les différents départements ou unités organisationnelles d'une entreprise, des employés, etc. Et c'est précisément de cette manière que les annuaires sont actuellement constitués, grâce à l'utilisation d'un service DNS, on peut associer une adresse IP à un annuaire LDAP pour pouvoir y accéder via le nom de domaine.

Comment accéder aux informations dans LDAP

Un exemple d'entrée pour un annuaire LDAP peut être:

dn: cn = Jose Castillo, dc = profesionalreview, dc = com cn: Jose Castillo givenName: Jose sn: Castillo telephoneNumber: +34 666 666 666 mail: [email protected] objectClass: inetOrgPerson objectClass: organizationPerson objectClass: person objectClass: top

• dn (nom de domaine): nom de l'entrée, mais ne faisant pas partie de l'entrée elle-même. dc: composant de domaine pour identifier les parties du domaine où l'annuaire LDAP est stocké. cn (nom commun): nom d'attribut pour identifier le nom d'utilisateur, par exemple sn (nom): nom de famille de l'utilisateur telephoneNombre, mail…: identifie le nom de l'attribut telephone et email. objectClass: différentes entrées pour définir les propriétés des attributs

Un serveur LDAP, en plus de stocker une arborescence, peut contenir des sous - arbres qui incluent des entrées spécifiques au domaine principal. En outre, vous pouvez stocker des références à d'autres serveurs d'annuaire pour diviser le contenu si nécessaire.

Structure d'une URL d'accès dans LDAP

Lors de l'établissement de connexions à distance à un serveur LDAP, nous aurons besoin d'utiliser des adresses URL pour en obtenir des informations. La structure de base

ldap: // serveur: port / DN? attributs? portée? filtres? extensions

• serveur ou hôte: c'est l'adresse IP ou le nom de domaine du port du serveur LDAP: le port de connexion au serveur, par défaut ce sera 389 DN: nom unique à utiliser dans la recherche Attributs: c'est une liste de champs à renvoyer séparés par des virgules Étendue ou étendue: est l'étendue des filtres de recherche: pour filtrer la recherche en fonction de l'identifiant de l'objet, par exemple. Extensions: seront les extensions de chaînes de caractères de l'URL dans LDAP.

Par exemple:

ldap: //ldap.profesionalreview.com/cn=Jose%20Castillo, dc=profesionalreview, cd=com

Nous recherchons tous les utilisateurs dans l'entrée de Jose Castillo sur profesionalreview.com.

En plus de cette notation, nous aurons également une version de LADP avec certificat de sécurité SSL, dont l'identifiant pour l'URL sera "ldaps:".

Les outils les plus importants qui utilisent le protocole LDAP

Il existe actuellement divers outils qui utilisent ce protocole pour la communication client-serveur d'un service d'annuaire. Plus important encore, même Windows Active Directory utilise ce protocole de communication.

• OpenLDAP: est la mise en œuvre gratuite du protocole LDAP. Il possède sa propre licence et est compatible avec d'autres serveurs qui utilisent le même protocole. Il est utilisé par différentes distributions Linux et BSD. Active Directory: c'est un magasin de données d'annuaire avec licence Microsoft et implémenté dans ses systèmes d'exploitation serveur depuis Windows 2000. En fait, sous la structure d'Active Directory est un schéma LDAPv3, il est donc également compatible avec d'autres systèmes qui implémentent ce protocole. dans leurs répertoires. Red Hat Directory Server: C'est un serveur qui est également basé sur LDAP similaire à Active Directory, mais en utilisant un outil open source. Dans ce répertoire, nous pouvons stocker des objets tels que des utilisateurs clés, des groupes, des politiques d'autorisation, etc. Apache Directory Server: une autre excellente implémentation utilisant LDAP est le répertoire sous licence Apache Software. De plus, il implémente d'autres protocoles tels que Kerberos et NTP et dispose d'une interface de vues typique des bases de données relationnelles. Services d'annuaire Novell - Il s'agit du propre serveur d'annuaire de Novell pour gérer l'accès à un magasin de ressources sur un ou plusieurs serveurs en réseau. Il est composé d'une structure de base de données hiérarchique orientée objet dans laquelle toutes les cibles d'annuaire typiques sont stockées. Open DS: Nous terminons cette liste avec le répertoire Java de SUN Microsystems, qui sera ensuite diffusé à tous les utilisateurs. Bien sûr, il est développé en JAVA, nous aurons besoin du package Java Runtime Environmet pour que cela fonctionne.

Ce sont les fonctionnalités les plus intéressantes et les informations les plus pertinentes sur le protocole LDAP. Bien sûr, nous essaierons d'élargir les informations avec des didacticiels que nous suivons sur ce sujet.

En attendant, ces informations pourraient vous intéresser:

Nous espérons que ces informations vous auront été utiles. Pour ajouter quelque chose ou nous dire ce que vous pensez de LDAP, écrivez-nous dans les commentaires.