|
|||||||
|
|
||||||||
|
||||||||
|
OM LDAP |
|
1.
Introduktion |
 |
LDAP, lightweight directory access protocol, är ett protokoll som används av en rad programvaror och lösningar. Det används för att över ett nätverk söka i en katalog. Katalogen kan innehålla många olika uppgifter:
LDAP är ett protokoll som är fastställt av Internets standardorgan IETF, bland annat i RFC1779. LDAP utvecklades från början för att kunna söka i X.500-kataloger som en Internetanpassning av OSI-protokollet DAP. Idag säger standarden uttryckligen att man inte behöver använda LDAP för att söka i en X.500-databas, LDAP-servern kan mycket väl ha en annan organisering av data, så länge som den använder protokollet LDAP.
LDAP finns i flera versioner. Man rekommenderar nu användning av LDAP v3, som innehåller en bättre funktionalitet för bl.a. nationella tecken och hänvisningar mellan olika servrar. LDAP v3 är baserat på ISO 10646, dvs Unicode. En internationell teckenkod med stöd för all världens tecken, samma som är basen i XML, the Extensible Markup Language. LDAP använder som standard port 389.
I motsats till många andra TCP-baserade protokoll, som HTTP, FTP och TELNET, så är LDAP inget protokoll som sänder kommandon i klartext över nätet. LDAP använder en kodning av transaktionerna som heter BER, Binary Encoding Rules. Det är inte samma sak som en kryptering, som är avsedd att dölja innehållet.
LDAP version 3 är en vidareutveckling som möjliggör en stor dynamik i katalogtjänsten. Man har infört funktioner för uppdatering och registrering av kataloguppgifter via LDAP-protokollet, något som kräver en hög säkerhet. I LDAP v3 lagras mallarna som uppgifter i katalogen och kan ändras och sökas med hjälp av LDAP. Det skapar givetvis en stor dynamik och öppnar möjligheter för nya applikationer.
Katalogtjänsten gjord för snabb uppslagning och sökning av statiska uppgifter, något som allvarligt påverkat designen av dagens LDAP-servrar. Det är alltså inte meningen att man ska bygga databasapplikationer med LDAP i stället för SQL. Uppdateringarna är inte gjorda för att vara snabba, utan för att göra det enklare att utföra de få förändringar man behöver göra.
Många programvaror har nu kopplingar till LDAP. Många Internet-servrar har LDAP som basfunktion för användarregister och mycket mer. E-post program kommer med LDAP-stöd för att söka e-postadresser och det förenklar ju givetvis. LDAP är en viktig del av Windows 2000 Active Directory och Netware NDS, Netware Directory Services.
Alla webbläsare i aktuella versioner har stöd för LDAP. Det gäller både e-postdelen och den allmänna webbdelen, som kan hantera en LDAP-URL. Det är en pekare till en LDAP-server och en sökning på en viss uppgift. Användaren kan klicka på en länk och utföra en sökning eller uppslagning.
LDAP används också i nätverk för hantering av Quality of Services och prioriteringstjänster. Directory Enabled Networking, DEN, är ett system som använder LDAP för att hålla reda på olika attribut och trafikklasser.
LDAP är inte det enda protokollet för katalogsökning. Whois++ har utvecklats på Internet i en av IETFs arbetsgrupper. Whois++ innehåller både sökning i en katalogserver och metoder för att hitta rätt katalogserver på ett globalt nätverk. Idag kan man konstatera att Whois++ inte blev någon framgång, utan att LDAP är det som gäller.
En PKI, Public Key Infrastructure, är en lösning för att hantera säkerhet och öppna nycklar. Nästan alla PKI-system använder LDAP-servrar för att verifiera, söka och revokera certifikat. IETF arbetar på en Internet-standard för PKI ansluten till Internet, så att man kan uppnå interoperabilitet vad gäller certifikat och hantering av dessa i en PKI. Projektet heter PKIX och det berör katalogen i högsta grad. Ett säkerhetscertifikat skrivs i formatet X509v3, som använder samma attributnamn som mallarna i LDAP.
Ett av problemen med LDAP i säkerhetssammanhang är att man inte utvecklat säker identifikation i LDAP-protokollen. Det kan lösas genom inkapsling av LDAP i SSL eller TLS, där identifikation kan hanteras.
XML, the Extensible Markup Language, är ett märkordsspråk för att bygga egna märkordsapplikationer och på ett enkelt sätt kunna byta data mellan applikationer. XML används för e-affärer och situationer där applikationer av olika slag behöver kunna utbyta data. Även i XML-världen arbetar man med mallar, schemas, och dessa standardiseras. Klart är att data behöver utbytas även mellan XML-kompatibla applikationer och katalogtjänsten. Därför har ett antal leverantörer bildat ett konsortium för att utveckla en standard för integration av XML och LDAP-katalogen, en standard för hur LDAP-data kan publiceras i XML-formatet. Standarden heter DSML, Directory Services Markup Language.
Det här banar vägen för en enklare integration mellan applikationer och katalogtjänsten. Man kan utveckla en enkel http-ldap-gateway som ett program kan använda för att göra en sökning eller uppslagning i katalogen och få resultatet kodat i XML med DSML-vokabulären.
Novell Netware Directory Services, NDS, är en katalogtjänst för nätverk. Den kan nås via LDAP-sökningar. NDS omfattar många olika objektmallar, för allt från användare till filer, kataloger och nätutrustningar. Samma sak gäller Microsoft Active Directory, där man skapat sina egna mallar. Det gör att det saknas interoperabilitet mellan dessa olika katalogtjänster, något som skapar problem för användarna och administratörerna. NDS finns idag på många olika plattformar, från Netware och NT till Linux och många UNIX-dialekter.
|
|
|||||
Fortsättning:
