Lightweight Directory Access Protocol: Różnice pomiędzy wersjami
[wersja przejrzana] | [wersja przejrzana] |
Usunięta treść Dodana treść
→Uwierzytelnianie i autoryzacja: popr link |
m drobne redakcyjne |
||
Linia 1:
{{Źródła|data=2011-02}}
'''LDAP''' ([[Język angielski|ang.]] '''''Lightweight Directory Access Protocol'''''
LDAP jest wykorzystywany praktycznie w adresacji sieci [[Internet]]/[[Intranet]] w celu zapewnienia niezawodności, skalowalności i bezpieczeństwa danych. W odróżnieniu od X.500 nie potrzebuje ani szerokiego pasma, ani dużej mocy obliczeniowej. Pracuje w oparciu o protokół [[Model TCP/IP|TCP/IP]] lub inne połączeniowe usługi transportu. Dane grupowane są w strukturze przypominającej drzewo katalogów. Każdy obiekt jest jednoznacznie identyfikowany poprzez swoje położenie w drzewie, tzw. ''Distinguished Name'' (''DN'').
Linia 9:
== Funkcje protokołu ==
Klient LDAP ma możliwość wykonania następujących operacji:
* ''bind''
* ''unbind''
* ''search''
* ''modify'' – umożliwia klientowi modyfikowanie, wprowadzanie nowych pozycji oraz ich usuwanie z bazy danych znajdującej się na serwerze
▲* ''search'' - zgłoszenie żądania poszukiwanego zasobu, które będzie realizowane przez serwer, co pozwala na pobieranie oraz wyszukiwanie informacji
* ''add''
* ''
▲* ''add'' - daje klientowi możliwość zgłoszenia żądania dodania wpisów do katalogu, zmiany istniejącego wpisu oraz zmiany nazwy wpisu.
== Wpisy i klasy ==
Informacje w katalogu są przechowywane w postaci wpisów (ang. ''Entries''). Każdy wpis jest obiektem jednej lub wielu klas. Klasy mogą być dziedziczone. Każda klasa składa się z jednego lub wielu atrybutów, które mogą być opcjonalne lub obowiązkowe.
Istnieje wiele podstawowych typów atrybutów. Atrybuty mogą mieć więcej niż jedną wartość. Można tworzyć własne klasy i atrybuty.
Wszystkie wpisy zorganizowane są w postaci struktury drzewa katalogowego, najczęściej bazującego na politycznej, geograficznej lub organizacyjnej strukturze (struktura hierarchiczna). Są identyfikowane jednoznacznie przez ''DN'' (ang. ''Distinguished Name''),
Dostęp do danego wpisu chroniony jest poprzez listy kontroli dostępu (''ACL'', ang. ''[[Access Control List]]''). Można tworzyć uprawnienia dla kontekstów, wpisów oraz poszczególnych atrybutów.
Dane zawarte w systemie LDAP mogą być eksportowane/importowane do/z plików tekstowych w specjalnym formacie [[LDAP Data Interchange Format|LDIF]] (ang. ''LDAP Data Interchange Format'').
Linia 34 ⟶ 30:
== Atrybuty ==
Atrybuty występujące w pliku schematów ''core.schema'':
* ''UID'' (ang. ''User Identifier'')
* ''RID'' (ang. ''Relative Identifier'')
* ''CN'' (ang. ''Common Name'')
* ''SN'' (ang. ''Surname'')
* ''OU'' (ang. ''Organizational Unit'')
* ''O'' (ang. ''Organization'')
* ''DC'' (ang. ''Domain Component'')
* ''C'' (ang. ''Country'')
== Uwierzytelnianie i autoryzacja ==
W LDAP istnieją następujące sposoby [[Uwierzytelnianie|uwierzytelnień]]:
* anonimowe – klient ma prawa
* na hasło – użytkownik loguje się poprzez podanie ''DN'' i hasła,
* z użyciem [[Transport Layer Security|SSL]] – następuje wymiana [[Certyfikat
* z użyciem [[Serwer pośredniczący|PROXY]] – wykorzystywane przez aplikację, która uwierzytelnia się na hasło użytkownika PROXY, a następnie działa w imieniu zadanego użytkownika. Takie uwierzytelnienie stosuje usługa [[Active Directory]] firmy [[Microsoft]], będąca jedną z komercyjnych implementacji LDAP.
Linia 53 ⟶ 49:
== LDAPS ==
Jest to niestandardowe rozszerzenie protokołu LDAP wykorzystujące [[Transport Layer Security|SSL]] do szyfrowania komunikacji między serwerem a klientem. Serwery udostępniają połączenie LDAPS na oddzielnym [[Port protokołu|porcie TCP]], domyślnie 636. W obecnej (trzeciej) wersji protokołu LDAP zdefiniowany jest, nie wymagający osobnego portu, standardowy tryb szyfrowania, oparty
{{Protokoły stosu TCP/IP}}
|