Протокол LDAP


Для лучшего понимания роли протокола LDAP рассмотрим основные идеи спецификации Х.500. Данная спецификация была разработана Международным консультационным комитетом по телефонии и телеграфии (Consultative Committee for International Telephone and Telegraph, CCITT) совместно с Международной организацией по стандартизации (International Standardization Organization, ISO). В рамках спецификации Х.500 определяется ряд понятий:

  •  системный агент каталога (Directory System Agent, DSA) представляет собой базу данных, в которой хранится информация каталога. База данных имеет иерархическую организацию и позволяет быстро и эффективно осуществлять поиск и извлечение необходимых данных;
  •  агент пользователя каталога (Directory User Agent, DUA) обеспечивает функциональность доступа к каталогу, которая может быть реализована в различных пользовательских приложениях;
  •  протокол доступа к каталогу (Directory Access Protocol, DAP) контролирует процесс взаимодействия между системным и пользовательским агентами каталога.

Протокол DAP является достаточно громоздким и сложным. Поэтому позднее специалисты предложили несколько его модификаций, обеспечивающих более простой и быстрый способ доступа к каталогу. Одной из таких модификаций является протокол Lightweight Directory Access Protocol (LDAP, Облегченный протокол доступа к каталогу), впервые описанный в рамках спецификации RFC 1487. На настоящий момент имеются три версии этого протокола. Версия 2 описана в рамках RFC 1777, а версия 3 в спецификации RFC 2251.
Протокол LDAP обеспечивает доступ к каталогу, разработанному в соответствии с рекомендациями стандарта Х.500. Протокол представляет собой стандартное средство реализации доступа и обновления информации в каталоге для приложений. Протокол LDAP является частью стека протоколов TCP/IP, что и послужило одной из причин его популярности.
Другая ключевая особенность протокола LDAP, обеспечившая ему широкое распространение, заключается в том, что протокол не требует от каталога полной совместимости со спецификацией Х.500. Основное требование — служба каталога должна поддерживать систему именования Х.500. Это очень важный факт, поскольку, вопреки широко распространенному заблуждению, служба каталога Active Directory не является Х.ЗОО-каталогом. Разработчики компании Microsoft взяли за основу информационную модель Х.500 и реализовали поддержку протокола LDAP. Это позволило обеспечить необходимый уровень совместимости с большинством существующего программного обеспечения, что в условиях гетерогенных сред является одним из важнейших факторов. Доступ к содержимому каталога Active Directory no протоколу LDAP может осуществляться с помощью любого LDAP-клиента. При этом использование протокола LDAP не является единственно возможным способом доступа к каталогу Active Directory.

Служба каталога Active Directory поддерживает протокол LDAP версий 2 и 3.

Спецификация протокола LDAP базируется на четырех моделях.

  •  Информационная модель (Information Model) описывает структуру каталога и содержащейся в ней информации.
  •  Модель именования (Naming Model) описывает схему организации информации в каталоге и используемые схемы именования и идентификации объектов каталога.
  •  Функциональная модель (Functional Model) определяет действия, которые могут быть осуществлены над информацией, размещенной в каталоге.
  •  Модель безопасности (Security Model) описывает механизмы защиты информации, размещенной в каталоге.

Понимание этих моделей необходимо как для эффективного использования служб Active Directory в целом, так и для работы со многими системными утилитами и программами. Понимание моделей, на которых базируется протокол LDAP, необходимо также и для написания многих административных сценариев.