LDAP

LDAP (Lightweight Directory Access Protocol) to otwarty, standardowy protokół aplikacyjny służący do uzyskiwania dostępu i zarządzania informacjami w usługach katalogowych działających w sieciach opartych na protokole TCP/IP. Usługa katalogowa to specjalistyczna, hierarchiczna baza danych zoptymalizowana pod kątem szybkiego odczytu i wyszukiwania, która przechowuje informacje o obiektach, takich jak użytkownicy, komputery, grupy, drukarki i inne zasoby sieciowe.

Protokół LDAP sam w sobie nie definiuje, jak ma działać usługa katalogowa, a jedynie określa sposób komunikacji z nią – jak formułować zapytania, jak przesyłać dane i jak przeprowadzać operacje takie jak dodawanie, modyfikowanie czy usuwanie wpisów. Najbardziej znanym i rozpowszechnionym przykładem usługi katalogowej wykorzystującej LDAP jest Microsoft Active Directory. Inne popularne implementacje to OpenLDAP (otwartoźródłowa) czy Apache Directory Server.

Informacje w katalogu LDAP są zorganizowane w strukturę drzewiastą, podobną do systemu plików. Każdy wpis w drzewie, zwany obiektem, reprezentuje pojedynczy zasób (np. użytkownika Jana Kowalskiego). Obiekty są jednoznacznie identyfikowane przez swoją nazwę wyróżniającą (Distinguished Name, DN), która określa ich dokładną pozycję w hierarchii, np. cn=Jan Kowalski,ou=Kadry,dc=firma,dc=com. Każdy obiekt składa się z zestawu atrybutów, które opisują jego cechy (np. givenName: Jan, sn: Kowalski, mail: j.kowalski@firma.com). Struktura obiektów i dozwolone atrybuty są zdefiniowane w schemacie, który jest zbiorem reguł dla całego katalogu.

Główne operacje, które można wykonać za pomocą protokołu LDAP, to:

• Bind: Uwierzytelnienie klienta w usłudze katalogowej.
• Search: Wyszukiwanie obiektów spełniających określone kryteria.
• Compare: Porównanie wartości atrybutu obiektu z podaną wartością.
• Add, Delete, Modify: Dodawanie nowych obiektów, usuwanie istniejących oraz modyfikowanie ich atrybutów.

LDAP jest powszechnie wykorzystywany jako centralne źródło uwierzytelniania i autoryzacji w środowiskach korporacyjnych. Wiele aplikacji i systemów (serwery pocztowe, systemy VPN, serwery WWW, aplikacje biznesowe) może być skonfigurowanych tak, aby weryfikować tożsamość użytkowników w oparciu o dane z katalogu LDAP. Dzięki temu użytkownicy mogą używać jednego loginu i hasła do wielu różnych usług, co upraszcza zarządzanie tożsamością i zwiększa bezpieczeństwo.