Ldap grundlagen: Unterschied zwischen den Versionen
Thomas (Diskussion | Beiträge) |
Thomas (Diskussion | Beiträge) |
||
| Zeile 5: | Zeile 5: | ||
*Lightweight Directory Access Protocol | *Lightweight Directory Access Protocol | ||
*1995 an der University of Michigan als | *1995 an der University of Michigan als | ||
| − | *Alternative zu X. | + | *Alternative zu X.500 DAP entwickelt |
| − | *Ursprünglich nur Zugriffsprotokoll auf X.500 Server | + | *Ursprünglich nur Zugriffsprotokoll auf X.500 Server |
| − | |||
=Wie ist er umgesetzt= | =Wie ist er umgesetzt= | ||
Version vom 30. Juni 2017, 09:59 Uhr
Zu was dient ein Verzeichnisdienst
Ein Verzeichnisdienst dient der Verwaltung von Informationen zu Objekten wie Systeme,Netzkomponenten und Benutzer.
LDAP ein Verzeichnisdienst
- Lightweight Directory Access Protocol
- 1995 an der University of Michigan als
- Alternative zu X.500 DAP entwickelt
- Ursprünglich nur Zugriffsprotokoll auf X.500 Server
Wie ist er umgesetzt
Ein LDAP-Verzeichnis ist durch eine einfache Baum-Hierarchie realisiert und enthält folgende Ebenen:
- Das Wurzel-Verzeichnis (Root Directory) ist der Start oder der Ursprung des Baums. Dieser verzweigt sich in
- Domain Komponenten die sich verzweigen in
- Organisationen, von wo aus die Zweige zu
- Organisations-Einheiten wie Sparten, Abteilungen etc. und schließlich zu
- Individuen werden, wobei das nicht nur Personen, sondern auch Dateien und andere gemeinsam genutzte Ressourcen wie zum Beispiel Drucker sein können.
- Organisations-Einheiten wie Sparten, Abteilungen etc. und schließlich zu
- Organisationen, von wo aus die Zweige zu
- Domain Komponenten die sich verzweigen in
Struktur
- Containerobjekte
Enthält untergeordneten Objekten.
- Blattobjekte
Endpunkt
- Distinguished Names
Wenn auf Verzeichnisobjekte zugegriffen werden soll, dann muss dabei ein spezieller LDAP-Name für jedes Objekt verwendet werden - dies gilt sowohl für einzelne Objekte wie auch für ganze Container.
Aufbau
- Informationen werden als Einträge in einem Baum,dem Directory Information Tree (DIT) dargestellt.
- Jeder Eintrag besitzt einen eindeutigen Distinguished Name
- Jeder Eintrag gehört zu (mindestens) einer Objektklasse
- Objektklassen werden durch ihre Attributedefiniert
- Ein Attribut besitzt einen Typ und einen oder mehrere Werte.
Objektklassen
Eine Objektklasse stellt eine Kategorie von Objekten dar, wie z. B. Benutzer, Drucker oder Anwendungsprogramme, die gemeinsame Merkmale aufweisen. Die Definition für jede Objektklasse enthält eine Liste der Attribute, mit denen Instanzen der Klasse beschrieben werden können. Beispielsweise weist die Klasse Benutzer Attribute wie givenName, surname und streetAddress auf. Die Liste der Attribute für eine Klasse ist unterteilt in die Attribute, die ein Objekt der Klasse enthalten muss, und in weitere Attribute, die ein Objekt enthalten kann. Ferner sind in der Definition jeder Klasse die Klassen aufgelistet, deren Objekte übergeordnete Objekte der Objekte einer bestimmten Klasse sein können.
Attribute
Im Schema werden auch alle Attribute definiert. Die Definition jedes Attributs enthält eindeutige Bezeichner für das Attribut, die Syntax des Attributs, optionale Bereichsgrenzen für die Attributwerte, ob das Attribut nur einen oder mehrere Werte aufweisen kann sowie ob das Attribut indiziert ist. Jedes Attribut wird im Verzeichnisschema genau einmal definiert. Anschließend kann von mehreren Objektklassen auf jedes Attribut verwiesen werden. So ist beispielsweise das description-Attribut einmal definiert. Anschließend wird von mehreren Objektklassen darauf verwiesen.
Schema
Ein Schema definiert die folgenden Punkte:
- Attributstypen.
- Objektklassen.
- Filter- und Matching- Regeln bei Vergleichsoperationen.
- Rechte zum Anlegen oder Modifizieren von Datensätzen