▷ Ldap: o que é e para que esse protocolo é usado

O protocolo LDAP é hoje amplamente utilizado por empresas que apostam em software livre usando distribuições Linux para exercer as funções de um diretório ativo no qual as credenciais e permissões de trabalhadores e estações de trabalho em redes LAN corporativas serão gerenciadas em conexões de cliente / servidor.

Índice de conteúdo

Neste artigo, veremos o mais completamente possível em que consiste esse protocolo e a ferramenta correspondente, juntamente com a estrutura e os termos mais usados ​​nele.

O que é LDAP?

LDAP é a abreviação de Lightweight Directory Access Protocol). É um conjunto de protocolos de licença abertos que são usados ​​para acessar as informações armazenadas centralmente em uma rede. Este protocolo é usado no nível do aplicativo para acessar serviços de diretório remoto.

Um diretório remoto é um conjunto de objetos organizados hierarquicamente, como nomes, endereços etc. Esses objetos serão disponibilizados por uma série de clientes conectados através de uma rede, geralmente interna ou LAN, e fornecerão as identidades e permissões para os usuários que os usarem.

O LDAP é baseado no protocolo X.500 para compartilhamento de diretórios e contém essas informações de maneira hierárquica e categorizada para fornecer uma estrutura intuitiva do ponto de vista do gerenciamento por administradores. É, por assim dizer, uma lista telefônica, mas com mais atributos e credenciais. Nesse caso, usamos o termo diretório para nos referir à organização desses objetos.

Em geral, esses diretórios são basicamente usados ​​para conter informações de usuário virtual, para que outros usuários acessem e tenham informações sobre os contatos armazenados aqui. Mas é muito mais do que isso, pois é capaz de se comunicar remotamente com outros diretórios LDAP localizados em servidores que podem estar do outro lado do mundo para acessar as informações disponíveis. Dessa maneira, um banco de dados de informações descentralizado e totalmente acessível é criado.

A versão atual é chamada LDAPv3 e é definida em uma folha de documentação RFC 4511 acessível ao público.

Operação LDAP

LDAP é um protocolo baseado na conexão entre cliente e servidor. Os dados relacionados ao diretório serão armazenados no servidor LDAP, que poderá usar uma grande variedade de bancos de dados para esse armazenamento, tornando-se muito grandes.

A operação de acesso e administração é muito semelhante ao Windows Active Directory. Quando o cliente LDAP se conecta ao servidor, você pode executar duas ações básicas, consultar e obter informações de diretório ou modificá-las.

• Se um cliente consultar as informações, o servidor LDAP poderá conectá-las diretamente se houver um diretório hospedado ou redirecionar a solicitação para outro servidor que realmente tenha essas informações. Pode ser local ou remoto. Se um cliente quiser modificar as informações do diretório, o servidor verificará se o usuário que está acessando este diretório tem permissões de administrador ou não. Em seguida, as informações e o gerenciamento de um diretório LDAP podem ser feitos remotamente.

A porta de conexão para o protocolo LDAP é o TCP 389, embora, é claro, possa ser modificada pelo usuário e configurada para a que ele deseja, se o indicar para o servidor.

Como as informações são armazenadas no LDAP

Em um diretório LDAP, podemos armazenar basicamente as mesmas informações que em um Windows Active Directory. O sistema é baseado na seguinte estrutura:

• Entradas, chamadas objetos no Active Directory. Essas entradas são coleções de atributos com um DN (Nome Distinto). Esse nome é usado para fornecer um identificador exclusivo e irrepetível a uma entrada de diretório. Uma entrada pode ser o nome de uma organização e os atributos serão pendurados nela. Também uma pessoa pode ser uma entrada. Atributos: que possuem um tipo de identificador e os valores correspondentes. Os tipos são usados ​​para identificar os nomes dos atributos, por exemplo "correio", "nome", "jpegPhoto" etc. Alguns dos atributos que pertencem a uma entrada devem ser obrigatórios e outros opcionais. LDIF: O LDAP Data Interchange Format é a representação de texto ASCII das entradas LDAP. Esse deve ser o formato dos arquivos usados ​​para importar informações para um diretório LDAP. Quando uma linha em branco é gravada, significa o fim de uma entrada.

dn: :::

Árvores: é a organização hierárquica de entradas. Por exemplo, em uma estrutura de árvore, podemos encontrar um país no topo e como principal, e dentro disso teremos os diferentes estados que compõem o país. Dentro de cada estado, poderemos listar os distritos, cidadãos e endereços de onde eles moram, e assim por diante.

Se aplicássemos isso à Internet e à computação, poderíamos organizar um diretório LDAP por meio de um nome de domínio que executaria as funções da árvore e, a partir dele, penduraria os diferentes departamentos ou unidades organizacionais de uma empresa, funcionários etc. E é exatamente dessa maneira que os diretórios são formados atualmente, graças ao uso de um serviço DNS, podemos associar um endereço IP a um diretório LDAP para poder acessá-lo através do nome de domínio.

Como as informações são acessadas no LDAP

Uma entrada de exemplo para um diretório LDAP pode ser:

dn: cn = Jose Castillo, dc = revisão profissional, dc = com cn: Jose Castillo dadoNome: Jose sn: Castillo telephoneNumber: +34 666 666 666 correio: [email protected] objectClass: inetOrgPerson objectClass: organizacionalPerson objectClass: person objectClass: top

• dn (nome de domínio): nome da entrada, mas não faz parte da própria entrada. componente dc: domain para identificar as partes do domínio em que o diretório LDAP está armazenado. cn (nome comum): nome do atributo para identificar o nome do usuário, por exemplo sn (sobrenome): sobrenome do usuário telephoneNombre, mail…: identifica o nome do atributo telephone e email. objectClass: entradas diferentes para definir as propriedades dos atributos

Um servidor LDAP, além de armazenar uma árvore, pode conter subárvores que incluem entradas específicas para o domínio primário. Além disso, você pode armazenar referências a outros servidores de diretório para dividir o conteúdo, se necessário.

Estrutura de uma URL de acesso no LDAP

Ao fazer conexões remotas com um servidor LDAP, precisaremos do uso de endereços URL para obter informações dele. A estrutura básica

ldap: // servidor: porta / DN? atributos? escopo? filtros? extensões

• servidor ou host: é o endereço IP ou o nome de domínio da porta do servidor LDAP: a porta de conexão do servidor, por padrão, será 389 DN: nome distinto para uso na pesquisa Atributos: é uma lista de campos a serem retornados separados por vírgulas Escopo ou escopo: é o escopo da pesquisa Filtros: para filtrar a pesquisa de acordo com o identificador do objeto, por exemplo. Extensões: serão as extensões de cadeias de caracteres do URL no LDAP.

Por exemplo:

ldap: //ldap.profesionalreview.com/cn=Jose%20Castillo, dc=profesionalreview, cd=com

Estamos procurando todos os usuários na entrada de Jose Castillo em profesionalreview.com.

Além dessa notação, também teremos uma versão do LADP com certificado de segurança SSL, cujo identificador para a URL será "ldaps:".

Ferramentas mais importantes que usam o protocolo LDAP

Atualmente, existem várias ferramentas que usam esse protocolo para a comunicação cliente-servidor de um serviço de diretório. Mais importante ainda, o Windows Active Directory usa esse protocolo de comunicação.

• OpenLDAP: é a implementação gratuita do protocolo LDAP. Possui licença própria e é compatível com outros servidores que usam o mesmo protocolo. É usado por diferentes distribuições Linux e BSD. Active Directory: é um repositório de dados de diretório com licença da Microsoft e implementado em seus sistemas operacionais para servidores desde o Windows 2000. Na verdade, sob a estrutura do Active Directory, há um esquema LDAPv3, portanto, também é compatível com outros sistemas que implementam esse protocolo. em seus diretórios. Servidor de Diretório Red Hat: É um servidor também baseado em LDAP semelhante ao Active Directory, mas usando uma ferramenta de código aberto. Dentro deste diretório, podemos armazenar objetos como usuários principais, grupos, políticas de permissão etc. Servidor de diretório Apache: Outra ótima implementação usando LDAP é o diretório licenciado do Apache Software. Além disso, implementa outros protocolos como Kerberos e NTP e possui uma interface de visualizações típica de bancos de dados relacionais. Serviços de diretório da Novell - Este é o servidor de diretório da Novell para gerenciar o acesso a um armazenamento de recursos em um ou mais servidores em rede. É constituído por uma estrutura hierárquica de banco de dados orientada a objetos na qual todos os destinos de diretório típicos são armazenados. Open DS: encerramos esta lista com o diretório java da SUN Microsystems, que seria lançado posteriormente a todos os usuários. Obviamente, como é desenvolvido em JAVA, precisaremos do pacote Java Runtime Environmet para que ele funcione.

Esses são os recursos mais interessantes e informações mais relevantes sobre o protocolo LDAP. É claro que tentaremos expandir as informações com os tutoriais que estamos lançando sobre este tópico.

Enquanto isso, você pode estar interessado nessas informações:

Esperamos que esta informação tenha sido útil. Para adicionar algo ou dizer-nos o que você pensa sobre LDAP, escreva-nos nos comentários.