LDAP
Verzeichnisdienst Directory Services
Ein Directory- oder Verzeichnisdienst dient der Verwaltung von Informationen zu Objekten wie
Systeme, Netzkomponenten, Benutzer. Er wird häufig in Zusammenhang mit Mailadressen,
z.B. X.400-Adressen betrachtet und stellt Funktionen wie das Lesen von Informationen eines
spezifizierten Objektes bei bekanntem Namen oder das Suchen von Objekten mit vorgegebenen
Eigenschaften ("gelbe Seiten") bereit. Beispiele herstellerübergreifender Directory-Dienste
sind CDS (Cell Directory Service) und GDS (Global Directory Service) aus OSF/DCE, DNS
(Domain Name System), YP (Yellow Pages) und Implementierungen des internationalen Standards
X.500.
LDAP
LDAP (Lightweight Directory Access Protocol) ist ein TCP/IP-basiertes
Directory-Zugangsprotokoll, das sich im Internet und in Intranets als Standardlösung
etabliert hat. Es ist abgeleitet vom X.500 Directory Access Protokoll, DAP, und ermöglicht
den einfachen Zugang zu Directory-Systemen auf Basis von X.500 ebenso wie auf
Nicht-X.500-Directories. Das LDAP-Protokoll definiert keinen Directory-Inhalt und auch nicht,
wie der Directory Service erbracht werden soll. Es setzt direkt auf TCP/IP auf und arbeitet auf
Client-Server-Basis, wobei es serverseitig einen X.500-Server annimmt.
LDAP hat ein weltweit eindeutiges Format, in dem alle Namen darstellbar sind, es bietet
unterschiedliche Layouts und eine eindeutige Zuordnung zwischen Namen und ihrer internen
Repräsentation.
RFC
Es ist in den RFCs 1777, 1778, 1779 und 1781 spezifiziert. Das Protokoll wurde 1999 durch die
IETF standardisiert.
X.500 Directory Services
In grossen Netzinstallationen mit einer Vielzahl von Endsystemen Netzkomponenten,
Applikationsprozessen und Nutzern wird es immer die Notwendigkeit geben, ein Informationssystem
zur Verfügung zu stellen, das die Namen, Adressen und sonstigen relevanten Eigenschaften
aller an der Kommunikation beteiligten Personen und Objekte allgemein zur Verfügung stellt.
Ursprünglich kam der Anstoss zur Normierung eines solchen Directory-Systems von den
Anforderungen der Message-Handling-Systeme her; die entwickelten Konzepte sind aber so flexibel
und mächtig, dass ein X.500 Directory System beliebige Objekte mit ihren Eigenschaften
speichern und über sie Auskunft geben kann.
Ein Directory stellt sich dem Benutzer dar als eine Datenbank, die Informationen zu Objekten der
"realen Welt" speichert und auf Anforderung zur Verfügung stellt. Diese Datenbank wird als
Directory Information Base bezeichnet.
Jedes Objekt, das dem Directory-Dienst bekannt ist, wird durch einen Eintrag in der Directory
Information Base repräsentiert.
Diese Anforderungen werden im X.500-Standard dadurch gelöst, dass die hierarchischen
Abhängigkeiten durch die Einführung einer Baumstruktur, des Directory Information Tree,
auf die Einträge übertragen werden.
Durch diese Baumstruktur wird für jeden Eintrag eine eindeutige Zuordnung zu einem
übergeordneten Eintrag festgelegt. Das im X.500-Standard enthaltene Konzept für die
Datenverteilung sieht vor, dass die Information Base auf beliebig viele Systeme verteilt sein
kann. Auf jedem System steht ein Applikationsprozess, der Directory System Agent (DSA), bereit,
der die Zugriffe auf den von ihm verwalteten Teil der Directory Information Base durchführt.
Ein Benutzer des Directory wird - ähnlich wie in einem Electronic-Mail-System nach X.400 -
durch einen User Agent vertreten, den Directory User Agent (DUA).
Das Directory-Modell nach X.500 beinhaltet auch Möglichkeiten, die Identität eines
Benutzers zu überprüfen.
Es sind zwei Ebenen der Authentifizierung vorgesehen. Einfache Authentifizierung basiert auf
einfacher Passwortverifikation, starke Authentifizierung basiert auf einer Verschlüsselung
nach dem Public-Key-Verfahren.
Das allgemein unter der Bezeichnung Directory Services, DS, bekannte Verzeichnis-System
führt bei der ITU die Bezeichnung X.500 und ist bei der ISO unter dem Standard 9594
spezifiziert.
Einsatz
Directory basierende Systeme wie LDAP werden meist in folgen Situationen eingesetzt:
© kahlhans.de
Stand September 2002