Wer viele Benutzerkonten verwaltet, stößt wahrscheinlich früher oder später auf LDAP. Mit dem Lightweight Directory Access Protocol (LDAP) lassen sich Nutzerdaten strukturiert speichern und schnell abfragen. Es hat drei Hauptfunktionen: Die Datenspeicherung in Adress- und Benutzerverzeichnissen sowie die Authentifizierung und Autorisierung von Usern und Userinnen für den Zugriff auf diese Verzeichnisse. Außerdem können Anwendungen über die Kommunikationssprache von LDAP notwendige Informationen von Directory Services senden und empfangen. Erfahren Sie hier, wie LDAP funktioniert und welche Vorteile es bietet.
Definition: LDAP-Protokoll
LDAP steht für Lightweight Directory Access Protocol und ist ein Standardprotokoll, mit dem sich Daten in Verzeichnissen speichern lassen. Es funktioniert wie eine Art von Telefonbuch für Benutzerdaten oder Verbindungen zu Geräten. LDAP legt die genaue Arbeitsweise der Verzeichnisprogramme dabei nicht fest. Vielmehr liefert es die notwendige Sprache, mit denen User und Userinnen bestimmte Informationen schnell finden können.
LDAP ist offen und herstellerneutral und eignet sich auch für die Authentifizierung und Autorisierung von Benutzern und Benutzerinnen. Unternehmen verwenden das Protokoll häufig für ihre zentralen Authentifizierungsserver, die alle Benutzerdaten innerhalb eines Netzwerks enthalten. LDAP eignet sich aber auch für das Identity and Access Management (IAM): Anwendungen und Services können über den LDAP-Server auch Benutzer und Benutzerinnen authentifizieren und autorisieren. Außerdem dient LDAP als Basis für den Single Sign-on (SSO), bei dem nur ein Satz von Daten für die Anmeldung bei verschiedenen Anwendungen notwendig ist.
Wie funktioniert LDAP?
LDAP nutzt ein Client-Server-Modell. Um sich mit einem LDAP-Verzeichnis zu verbinden, braucht es einen LDAP-Client auf dem Endgerät. Dieser interagiert mit LDAP-Servern, um auf Verzeichnisinformationen zuzugreifen: Der Client fragt Informationen beim Server ab, dieser verarbeitet sie und sendet die Ergebnisse zurück.
Die hierarchische Struktur von LDAP-Verzeichnissen ähnelt im Aufbau einem Baum – der Directory Information Tree (DIT). Die Wurzel definiert das oberste Datenobjekt, unter das sich beispielsweise Organisationseinheiten (OUs) weiter verzweigen, über die sich wiederum weitere Untergruppen für Geräte, Benutzer oder Gruppen definieren lassen.
Aus welchen Komponenten besteht LDAP?
Suchen über LDAP lassen sich schnell durchführen. Unter anderem, weil es die Daten über den Dircetory Information Tree hierarchisch ordnet. Das ermöglicht eine schnelle Navigation durch die verschiedenen Ebenen des LDAP-Verzeichnisses und schnelle Antworten auf Anfragen.
Der DIT muss dabei keiner bestimmten Struktur folgen – ein LDAP-Server kann jede Art von Einträgen enthalten, so lange diese hierarchisch angeordnet sind. Trotzdem gibt es einige für LDAP-Verzeichnisse besonders typische Attribute für Einträge, auch Klassen genannt. Ein einzelner Eintrag wird dabei als LDAP-Objekt bezeichnet.
Distinguished Name (DN)
Der Distinguished Name (DN) beschreibt und identifiziert jedes LDAP-Objekt. Er besteht aus dem Namen des Eintrags selbst sowie den Namen der darüber liegenden Attribute im LDAP-Verzeichnis, die ihn näher beschreiben, beispielsweise cn=Tim Tester, o=nexus, cn=developers.
Organization Name (O)
Der Organization Name (O) ist eine der allgemeinsten Unterklassen, die der DN benennt. Bei einer Suche startet das LDAP üblicherweise an dieser Stelle und begibt sich damit auf einen leichten Pfad, der vom Organization Name zur Organizational Unit (OU) und über Gruppen (Common Name) bis zu einzelnen Benutzerkonten führt.
Organizational Unit (OU)
Bei der Organizational Unit (OU) ist der Name auch Programm: Sie umfasst Listen mit Organisationseinheiten wie Teams, Abteilungen oder Benutzer innerhalb der Hierarchie. Die Organizational Unit ist dementsprechend eine Unterklasse von O. Der DIT könnte an dieser Stelle also beispielsweise so aussehen:
o=Firma
ou=Gruppen
cn=Entwickler
ou=Benutzer
cn=Susan
Common Name (CN)
Der Common Name (CN) identifiziert weitere Untergruppen oder ein einzelnes Benutzerkonto. Wie im Beispiel eben also cn=Entwickler oder cn=Susan. Dabei können einzelne User und Userinnen auch einer Gruppe nach CN gehören, beispielsweise wenn Susan eine Entwicklerin ist.
Domain Access Component (DC)
Diese Klasse lokalisiert Domain-Namen über die DNS-Zuordnung und übersetzt sie in IP-Adressen. Häufig kennen Benutzer und Benutzerinnen aber weder den Domain-Namen noch die IP-Adresse der gesuchten Person. Dann bietet der Distinguished Name eine Alternative.
Attribute und Werte
Ein LDAP-Verzeichnis funktionieren deshalb so effizient, weil jede Unterklasse des Data Information Tree bestimmte Attribute und Werte oder ein Schema enthält. Mit deren Hilfe lässt sich die Suche eingrenzen. Beispielsweise könnte es innerhalb des Kontos von cn=Susan die Attribute Benutzer-ID und Passwort geben, die konkreten Anmeldedaten sind in diesem Beispiel die Werte.
Wie funktioniert die LDAP-Authentifizierung?
Die LDAP-Authentifizierung verifiziert und autorisiert User und Userinnen innerhalb eines LDAP-Verzeichnisses über den Benutzernamen und Kennwörter. Vereinfacht funktioniert die LDAP-Authentifizierung über eine Client-Anfrage an den LDAP-Server, wenn ein Benutzer oder eine Benutzerin auf eine Ressource zugreifen will. In der Regel ist der Client ein LDAP-fähiges System oder eine Anwendung, auf die ein Benutzer zugreift, und der Server ist die LDAP-Verzeichnisdatenbank.
Vorteile von LDAP
Die Nutzung von LDAP bietet Unternehmen verschiedene Vorteile:
- Open-Source-Lösung: LDAP ist kostenlos und hat eine große Community für den Support.
- Standardisierte Lösung: RFC 2251 beschreibt die Details des LDAP-Protokolls.
- Individuelle Benennung über den Directory Information Tree.
- Skalierbar dank flexibler Architektur.
- Sicher: LDAP ermöglicht SSL- oder TLS-verschlüsselte Kommunikation.
- Basis für Single Sign-on (SSO).
- Viele Einsatzzwecke und hohe Kompatibilität mit vielen Betriebssystemen, Geräten und Diensten.
Warum brauchen Sie LDAP?
Kurz gesagt, weil LDAP das Identity and Acccess Management stark vereinfacht und zentralisiert. Je größer das Unternehmen, desto mehr Benutzer gilt es zu verwalten. Für IT-Administratoren gehen die Zahlen dabei schnell in die Tausende. Sie alle müssen gleichzeitig und möglichst effizient verwaltet werden. Je leichter sich Benutzerkonten inklusive aller Rollen und Zugriffsberechtigungen anlegen, managen und löschen lassen, desto besser.
Wenn Sie darüber nachdenken, LDAP zu implementieren, achten Sie auf folgende Punkte:
- Kapazität: Prüfen Sie, wie viele Benutzerdaten gespeichert werden müssen und ob alle Produkte, für die Sie LDAP-Lösungen implementieren wollen, auch die nötige Kapazität haben, um alle notwendigen Daten speichern und verwalten zu können.
- Suchhäufigkeit: Wenn es Daten gibt, auf die viele Nutzer täglich zugreifen müssen – beispielsweise ein Firmenintranet oder eine E-Mail-Anwendung – kann LDAP eine gute Lösung sein.
- Struktur: Stellen Sie sicher, dass die einfache Struktur des DIT in LDAP für die Organisation Ihrer Daten ausreicht und Sie kein genaueres System benötigen.
In der Praxis kommt LDAP häufig in Active Directory (AD) zum Einsatz, dient wie bereits erwähnt aber auch zur Authentifizierung von Benutzern für andere Anwendungen und Client-Umgebungen.
Wie Nexus helfen kann
Ursprünglich wurde LDAP für On-Premise-Systeme entwickelt. Doch über das Directory-as-a-Service-Modell lässt sich LDAP auch über eine Cloud nutzen. Unternehmen können dadurch flexibler und effizienter arbeiten. Wenn Ihr Unternehmen bereits LDAP nutzt oder LDAP nutzen möchte, bietet das Smart ID Identitätsmanagement von Nexus eine praktische Komplettlösung für zuverlässige physische und digitale Identitäten.
Smart ID ist LDAP-kompatibel und eignet sich für Personen und Geräte gleichermaßen. Außerdem unterstützen wir Sie gerne bei der Einrichtung und Wartung – auch in großen Unternehmen. Informieren Sie sich über unsere Produkte für das Digital ID und Digital Access Management und erfahren Sie hier mehr darüber, wie Sie Cloud-Dienste sicher nutzen können.
Zusammenfassung
Das Lightweight Directory Access Protocol oder LDAP ist aus vielen IT-Umgebungen nicht mehr wegzudenken. Unternehmen und Organisationen können über LDAP ihre Benutzerinformationen zentral in Verzeichnissystemen verwalten, abfragen, authentifizieren und autorisieren. Außerdem eignet sich das effiziente Protokoll auch für das Management von Benutzerattributen und Zugriffsrechten.
Zu den großen Vorteilen von LDAP gehört, dass es sich um ein standardisiertes Open-Source-Protokoll handelt, das viel Flexibilität und Sicherheit bietet. Insgesamt ist und bleibt LDAP ein leistungsstarkes und vielseitiges Protokoll, mit dem sich Verzeichnisdienste in traditionellen und modernen IT-Umgebungen effizient verwalten lassen.
FAQ über LDAP
Was ist ein LDAP-Server?
Ein LDAP-Server dient innerhalb eines Unternehmensnetzwerks der Speicherung und Freigabe von Daten wie Benutzeridentitäten, Passwörtern und weiteren Authentifizierungsdaten. Er enthält den Directory Information Tree und wickelt Anfragen an das LDAP-System ab. Active Directory von Microsoft und Open Directory von Apple sind bekannte Beispiele für LDAP-Server.
Was ist der Unterschied zwischen LDAP und Active Directory?
Kurz gesagt ist Active Directory ein konkreter Verzeichnisdienst und LDAP ein Protokoll, das für die Kommunikation in verschiedenen Verzeichnisdiensten zum Einsatz kommt. Einer davon ist Active Directory. Das Microsoft-Produkt vereinfacht die Verwaltung von Benutzern und Computern, indem es Informationen in einem einzigen Verzeichnis speichert und unterstützt auch LDAP. Anwendungen, die mit LDAP arbeiten, funktionieren also auch in Active Directory.
Welche LDAP-Version sollte ich verwenden?
Sie sollten grundsätzlich LDAP3 verwenden. Die erste Fassung wurde bereits 1997 veröffentlicht und seit 2006 ist es in RFC 4510 bis RFC 4532 als Standard definiert. Im Vergleich zu LDAP2 bietet LDAP3 beispielsweise eine Reihe von Verbesserungen, die eine effizientere Implementierung des Zugriffsmodells für Internet-Verzeichnisbenutzeragenten ermöglichen. Grundsätzlich ist LDAP3 mit LDAP2 kompatibel und ein LDAP-2-Client kann sich mit einem LDAP-3-Server verbinden. Allerdings kann sich ein LDAP3-Server entscheiden, nicht mit einem LDAP2-Client zu kommunizieren, wenn LDAP3-Funktionen für seine Anwendung entscheidend sind.