Що таке LDAP?

Як би ви пояснили LDAP сисадміну, який чув про це і, можливо, взаємодіяв з ним, але ніколи насправді не зрозумів?

Аналогії є чудовими, але, будь ласка, включіть деякі важливі технічні деталі, щоб допомогти їх заземлити.

Запитаний у дусі Active Directory пояснив

Я написав цю статтю кілька років тому, де пояснюються основи LDAP

LDAP (Легкий протокол доступу до каталогу) - це протокол рівня додатків, який дозволяє клієнтам взаємодіяти з сумісними службами каталогів для маніпулювання сутностями каталогів або запитуванням каталогу в інформацію. Однією з головних його переваг є надання стандартизованого інтерфейсу для систем на різних платформах.

У більшості систем каталогів LDAP - не єдиний доступний інтерфейс для спілкування з сервером. Зазвичай існують інші вбудовані інтерфейси, які можуть забезпечити продуктивність та інші переваги.

Стандартна концепція сеансу LDAP така:

1. Підключіться до сервера, сумісного з LDAP
2. Прив’язати до каталогу на якомусь базовому рівні (називається BaseDN). Зазвичай це контейнерний об'єкт десь у структурі каталогу, наприклад, OU. Ви можете або не зможете пов'язувати анонімно залежно від того, налаштований чи ні каталог, щоб дозволити анонімний доступ
3. Виконайте свій запит чи заяву

Запити можна виконати наступним чином:

• у тому самому рівні в структурі, до якої ви зобов'язані (запит базової області)
• на тому самому рівні або на одному рівні нижче, де вас зобов’язують (запит на обсяг одного рівня)
• рекурсивно вниз по всій структурі, починаючи з того, де ви зв'язані (запит сценарного сценарію)

Оскільки каталоги можуть бути дуже розповсюдженими і містять непомірний обсяг інформації, адміністраторам каталогів зазвичай надається можливість обмеження LDAP-запитів певною кількістю результатів (1000 - це загальний макс для набору результатів).

Розглядайте це як базу даних, яка організована на дереві, тому, наприклад, ви можете мати типову структуру компанії, організовану природним чином. Компанія вищого рівня, яка має групи / відділи під керівництвом та співробітників, які можуть мати декілька властивостей (наприклад, ім'я, телефон, пошта, адреса тощо). Потім скажіть йому, що він також підходить для всіх інших даних, які організовані аналогічно, і що до нього можна отримати відкритий протокол з різних платформ / мов.

Також із вікіпедії: "Каталог - це сукупність об'єктів з атрибутами, організованими логічно та ієрархічно. Найпоширенішим прикладом є телефонний довідник, який складається з серії імен (або осіб, або організацій), організованих за алфавітом, з до кожного імені додається адреса та номер телефону. "

Це найбільш дружнє пояснення, яке я можу придумати, не вникаючи в технічні подробиці.

Це централізована система, яка має на меті забезпечити швидкий доступ до даних там, де фактичні дані структуровані у вигляді дерева. Мова, якою ви користуєтесь для спілкування з цією централізованою системою, називається LDAP, що є саме тим протоколом, як POP і IMAP - це протокол. Він має можливість оновлення та пошуку даних по дереву.

По-перше, LDAP самостійно - це лише протокол, він нічого не робить, якщо не існує сервера LDAP, з яким він може взаємодіяти.

Це дозволяє отримати доступ до каталогу на сервері LDAP; гарною аналогією був би паперовий телефонний довідник або каталог послуг (останній, мабуть, кращий). Якщо ви хочете десь знайти ремонт свого автомобіля, припускаючи, що ви не знайомі з місцевими гаражами, ви можете знайти паперовий каталог послуг з пошуку механіки у вашому районі.

Аналогічно LDAP дозволяє шукати інформацію в каталозі, сумісному з LDAP, який працює на сервері. Кожен запис у каталозі - це "об'єкт", який може мати різні властивості, а програма, яка взаємодіє з каталогом, очікує, що речі будуть відформатовані певним чином. За своєю конструкцією він є гнучким та розширюваним, тому ви не обмежуєтесь тим, що хто-небудь ще міг подумати.

Повертаючись до аналогії механіків, інформація може бути ім'ям, адресою, ціною на годину, чи він, як відомо, саботував ваш автомобіль, щоб він міг отримати додатковий бізнес від вас, розмір пивної кишки тощо. Автомеханіка може зберігатися в одному вузлі дерева каталогів, а ремонтники hi-fi можуть зберігатися в іншому. Кожному такому типу об’єктів не потрібно ділитися одними і тими ж властивостями, тому деяка інформація для автомеханіка не буде присутня у майстра-ремонтника, який у свою чергу матиме свій набір унікальної інформації, що стосується виключно його.

Він найчастіше використовується для зберігання інформації про користувачів в мережі, але теоретично ви можете вкласти що- небудь у неї. У мережевому сценарії ми говоримо про організаційну інформацію про людину, а також, можливо, інформацію про безпеку, інформацію про конфігурацію додатків тощо. Оскільки це все зберігається централізовано, ви можете легко та гнучко централізувати багато інформації в єдину базу даних, оптимізовану для надшвидких пошуків і доступну будь-якій сумісній програмі.