Was ist LDAP und wie funktioniert es?

LDAP steht für Lightweight Directory Access Protocol und erlaubt Applikationen schnell auf Benutzerinformationen zuzugreifen. In diesem Artikel finden Sie alle Informationen, wofür das Protokoll verwendet wird und wie es genau funktioniert.

Erklären Sie mir LDAP – Was genau ist es?

Was ist LDAP? LDAP wird “el dap” ausgesprochen und ist eine Sprache, die zur Verwaltung von Usern, Attributen und Authentifizierung verwendet wird. Es ist eine lightweight Version des X.500. Es wurde 1993 entwickelt, obwohl es damals LDBP hieß, wobei das B für “Browsing” steht.

LDAP ist eines der wesentlichen Protokolle, das verwendet wird, um User und ihre Zugriffsrechte zu verwalten. Heute ist es eines von vielen Protokollen, das für Directory Services verwendet wird, zum Beispiel um auf E-Mail-Adressen, Zugangsdaten und andere Daten zuzugreifen. Nach der Entscheidung für eine Directory Storage kann LDAP auch Einträge hinzufügen, löschen oder verändern und diese auch durchsuchen, damit User authentifiziert und autorisiert werden können, bestimmte Daten zu nutzen.

LDAP hat drei wesentliche Funktionen: Erstens, es kann Directory-Informationen hinzufügen, löschen oder verändern. Zweitens kann es Informationen im Directory suchen und vergleichen. Drittens kann es authentifizieren, Aktionen autorisieren oder diese verhindern, sodass der Server den Task nicht ausführen kann. Ein typischer LDAP-Query hat vier Teile: Verbindung, Anfrage, Antwort, Fertigstellung.

Mitarbeiter greifen meist über LDAP zu. Das geschieht zum Beispiel, wenn sie ein Passwort verifizieren oder sich mit einem Drucker oder einem anderen Gerät verbinden.

Grundlage von LDAP

Wenn Sie neu bei LDAP sind, müssen Sie einige Begriffe kennen.Es gibt viele neue Wörter in der Welt von LDAP! Hier sind die wichtigsten zusammengefasst! (Hier haben wir noch eine ausführlichere Liste auf Englisch)

#Information Tree: Ein Information Tree oder Directory Information Tree ist, wie LDAP die Daten strukturiert und wird verwendet, um alle Einträge im Directory Service zu zeigen. DIT ist die Abkürzung.

#Distinguished Name: Oder kurz DN, ist der eindeutige Identifier für jeden LDAP-Eintrag. Es ist auch die Methode, um Informationen im DIT zu unterscheiden.

#Relative Distinguished Name: Beschreibt, wie DNs miteinander im Bezug auf den Ort im DIT verbunden sind. Sehen Sie? Sie kennen sich schon bestens aus!

#Modification: Wenn LDAP-User Änderungsanfragen stellen, ist das eine Modification. Zum Beispiel könnten sie Daten hinzufügen, verändern oder löschen.

#Object Identifier: Auch als OID bekannt, ist eine Serie von Zahlen, die durch Punkte getrennt sind, die als eindeutiger Identifier eines Elements im LDAP-Protokoll dient. OID wird verwendet, um Anfragen und Antworten zu kontrollieren.

#Schema: Der Name für den Code von LDAP und spezifiziert die Informationen, die ein Directory Server benötigt. Dazu zählen Attribute, Regeln, Object Classes und mehr.

#LDAP URIs: Sie werden für Referenzen verwendet oder um spezielle Verbindungen aufzubauen. Ein URI (Uniform Resource Identifier) verbindet die verstreuten Teile einer Information.

Was ist der Unterschied zwischen LDAP und Active Directory?

Viele Menschen verwenden LDAP und AD synonym, aber das ist eine Fehlannahme! Tatsächlich sind zwar viele Microsoft AD-Basics aus LDAP entlehnt und nutzen LDAP, aber sie sind NICHT das Gleiche! AD verwendet häufig Kerberos für die Authentifizierung, ein vollkommen anderes Protokoll. AD braucht auch Domain Controller und ist nicht herstellerneutral. Es funktioniert am Besten mit Windows-Geräten und -Betriebssystemen, da es ein Microsoft-Tool ist.

Während LDAP und AD gut zusammenarbeiten, ist AD zuständig für die Verwaltung von Windows IT Assets, während LDAP mit anderen Systemen, wie Linux Systemen, verwendet werden kann.

LDAP in der Cloud

LDAP wurde für On Premise Systeme entwickelt, aber viele Unternehmen arbeiten in der Cloud. Hier kommt ein modernes LDAP in Form eines Directory-as-a-Service ins Spiel. Bei diesem Modell existieren Server mit Cloud LDAP bereits in der Cloud, sodass Unternehmen dieses Directory nicht länger selbst einrichten, verwalten oder integrieren müssen. Stattdessen müssen Sie nur die LDAP-Endpunkte anschließen und schon kann es losgehen!

Was sind die Vorteile von LDAP?

Wenn Sie sich fragen, ob LDAP zu Ihnen passt, haben wir hier einige Gründe für Sie:

Erstens ist es Open Source. Das heißt, es kostet nichts, und es gibt Support von einer großen Community, falls Sie es einrichten und verwalten möchten, egal ob in Ihrer eigenen Umgebung oder der Ihrer Kunden. Allerdings ist es – im Gegensatz zu vielen anderen OS tools – standardisiert, durch den Standard RFC 2251. Das heißt die Industrie wird das Protokoll weiter unterstützen.

Sie können LDAP für viele Einsatzzwecke verwenden, und es ist mit vielen Betriebssystemen und Geräten kompatibel. Das macht es äußerst flexibel!

Zu guter Letzt ist es sehr sicher, und die Kommunikation kann durch SSL oder TLS verschlüsselt werden.

Gibt es Nachteile bei LDAP?

Wie bei jeder IT-Entscheidung, gibt es auch hier einige negative Punkte. Zum einen gibt es neuere Protokolle, die eine bessere Wahl sein könnten, insbesondere für Cloud-Anwendungen. Zum anderen ist es kein Protokoll, das Anfängern einfach zugänglich ist. LDAP-Setup und Wartung benötigen Netzwerk-Expertise. Je größer die Organisation, desto mehr Probleme werden Sie haben, dieses Directory optimal aufzusetzen, um Ihre Umgebung bestmöglich zu gestalten.

Active Directory implementiert LDAP

Die bekannteste LDAP-Implementierung ist zweifellos das Microsoft Active Directory. LDAP ist eine der vier wichtigsten Komponenten des AD, neben CFIS, DNS und Kerberos. Das LDAP-Verzeichnis stellt dem AD Informationen über Computer, Nutzer und die Gruppen, denen sie angehören, bereit.

Zusätzlich werden Objekte wie Computerzertifikate in LDAP gespeichert.

So ist LDAP aufgebaut

Der Aufbau von LDAP ist einfach. Es besteht aus verschiedenen Objekten und folgt dem objektorientierten Programmieransatz. Das bedeutet, es besitzt Objekte, Klassen, Vererbung und Polymorphie.

Zum Beispiel besteht ein jeder Verzeichniseintrag aus einer Liste von Attributen sowie einem Objekt, der Bezeichnung dieses Objekts und dem DN (Distinguished Name).

Dieser ist vergleichbar mit einem Dateinamen, daher gilt hier auch eine Namenskonvention: Auf der gleichen Ebene ist es nicht möglich, ein Objekt mit demselben Namen zu haben.

Objekte mit einem “OU” im Namen sind Container, die weitere Objekte enthalten können. Diese OU-Objekte sind das Grundgerüst der gesamten Struktur. Nach dem Standard RFC 2253 gibt es (neben weiteren) die folgenden Attributtypen:

• C: countryName
• CN: commonName
• DC: domainComponent
• L: localityName
• O: organizationName
• OU: organizationalUnitName
• ST: stateOrProvinceName
• STREET: streetAddress
• UID: userid

Obwohl es zunächst etwas verwirrend und komplex erscheint, wird die Struktur mit einem Blick ins Active Directory rasch klarer. Der Grund für dieses scheinbar komplexe Konstrukt ist der universelle Ansatz von LDAP. Schauen wir uns das mit einem Beispiel an:

Angenommen, unser Active Directory heißt test.local. Wir erstellen einen User mit dem Namen Max Mustermann. Der Distinguished Name würde dann so aussehen:

CN=Max Mustermann, DC=test, DC=local

Das Objekt kommt nun in einen OU „Personen“ und der DN erweitert auf:

CN=Max Mustermann, OU=Personen, DC=test, DC=local

In der OU „Personen“ erstellen wir nun eine weitere OU für die bessere Orientierung. Dieser OU heißt „Mitarbeiter“. Der DN ist nun:

CN=Max Mustermann, OU=Mitarbeiter, OU=Personen, DC=test, DC=local

Der CN ist der Name des Objektes und steht links, während rechts die Domänenstruktur  abgebildet ist und anzeigt, wo das Objekt zu finden ist (startend von rechts: local, test, Personen, Mitarbeiter).

Es gibt viele Programme, die mit LDAP die Verzeichnisstruktur abfragen können, wie der LDAP Admin.

Optional können auch Skripte verwendet werden, wie ein PowerShell Skript:

$strFilter = “(&(objectCategory=User)(Department=Redaktion))”
$objDomain = New-Object System.DirectoryServices.DirectoryEntry
$objSearcher = New-Object System.DirectoryServices.DirectorySearcher
$objSearcher.SearchRoot = $objDomain
$objSearcher.PageSize = 1000
$objSearcher.Filter = $strFilter
$objSearcher.SearchScope = “Subtree”
$colProplist = “name”
foreach ($i in $colPropList){$objSearcher.PropertiesToLoad.Add($i)}
$colResults = $objSearcher.FindAll()
foreach ($objResult in $colResults)
{$objItem = $objResult.Properties; $objItem.name}

Das liefert Nutzernamen von Mitarbeitern einer Abteilung.  Je nach Gebrauchsfall können Sie das Script natürlich jederzeit an Ihre eigenen Bedürfnisse anpassen! Sie können es beliebig erweitern oder Teile weglassen, je nachdem, wie Ihr gewünschtes Ergebnis tatsächlich aussehen soll!

Fazit

LDAP, oder Lightweight Directory Access Protocol, ist ein zentrales Werkzeug zur Verwaltung und Abfrage von Benutzerinformationen in Verzeichnissystemen. Es bietet eine effiziente Methode zur Verwaltung von Benutzerattributen und Zugriffsrechten und ist in vielen IT-Umgebungen unverzichtbar. Obwohl LDAP ursprünglich für On-Premise-Systeme entwickelt wurde, ermöglicht das moderne Directory-as-a-Service-Modell auch die Nutzung von LDAP in der Cloud, wodurch Unternehmen flexibler und effizienter arbeiten können.

Die Vorteile von LDAP umfassen seine Open-Source-Natur, hohe Flexibilität und Sicherheit. Dennoch gibt es auch Herausforderungen, wie die Komplexität der Einrichtung und Wartung, insbesondere in großen Organisationen oder Cloud-Umgebungen. Active Directory ist eine weit verbreitete Implementierung von LDAP, bietet jedoch zusätzliche Funktionen und ist stark auf Windows-Systeme optimiert.

Insgesamt bleibt LDAP ein leistungsstarkes und vielseitiges Protokoll für die Verwaltung von Verzeichnisdiensten, das sowohl in traditionellen als auch in modernen IT-Umgebungen eine wichtige Rolle spielt.