Kali ini saya akan berbagi tentang apa itu LDAP
A. Pengertian
LDAP (Lightweight Directory Access Protocol) adalah protokol perangkat lunak untuk memungkinkan semua orang mencari resource organisasi, perorangan dan lainnya, seperti file atau printer di dalam jaringan baik di internet atau intranet. Protokol LDAP membentuk sebuah direktori yang berisi hierarki pohon yang memiliki cabang, mulai dari negara (countries), organisasi, departemen sampai dengan perorangan. Dengan menggunakan LDAP, seseorang dapat mencari informasi mengenai orang lain tanpa mengetahui lokasi orang yang akan dicari itu.
LDAP sering digunakan di system cloud. LDAP dapat digunakan sebagai sumber authentikasi aplikasi jaringan seperti authentikasi mail server, vpn server, file server, dan layanan server lainnya yang mendukung LDAP. Untuk membuat server LDAP bisa menggunakan software open source seperti OpenLDAP atau dari Microsoft yaitu Active Directory di Windows Server Comunity.
Penggunaan umum dari LDAP adalah untuk menyediakan tempat untuk menyimpan username dan password. Hal ini memungkinkan banyak aplikasi dan layanan yang berbeda untuk menghubungkan ke server LDAP untuk memvalidasi pengguna.
B. Protocol Overview
Seorang klien mulai sesi LDAP dengan menghubungkan ke server LDAP, disebut Direktori Sistem Agen (DSA), secara default pada TCP dan UDP Port 389, atau pada port 636 untuk LDAPS. Di Global tersedia secara default pada port 3268, dan 3269 untuk LDAPS. Klien kemudian mengirimkan permintaan operasi untuk server, dan server akan mengirimkan respon imbalan. Dengan beberapa pengecualian, klien tidak perlu menunggu respon sebelum mengirim permintaan berikutnya, dan server dapat mengirimkan tanggapan dalam urutan apapun. Semua informasi yang dikirim menggunakan Basic Encoding Rules (BER).
Klien dapat meminta operasi berikut:
- STARTTLS - menggunakan LDAPv3 Transport Layer Security (TLS) ekstensi untuk koneksi aman
- Mengikat - mengotentikasi dan menentukan LDAP versi protokol
- Pencarian - mencari dan / atau mengambil entri direktori
- Bandingkan - test jika entri bernama berisi nilai atribut tertentu
- Menambahkan entri baru
- Menghapus entri
- Memodifikasi entri
- Memodifikasi Nama Distinguished (DN) - memindahkan atau mengganti nama entri
- Meninggalkan - membatalkan permintaan sebelumnya
- Diperpanjang Operasi - operasi generik yang digunakan untuk mendefinisikan operasi lainnya
- Memperlonggar - menutup koneksi (bukan kebalikan dari Bind)
- Selain server dapat mengirimkan "tidak diminta Pemberitahuan" yang tidak respon terhadap permintaan, misalnya sebelum sambungan timed out.
Sebuah metode alternatif umum mengamankan komunikasi LDAP menggunakan SSL tunnel . Port default untuk LDAP atas SSL adalah 636. Penggunaan LDAP atas SSL umum di LDAP Versi 2 (LDAPv2) tapi itu tidak pernah standar dalam spesifikasi formal. Penggunaan ini telah usang bersama dengan LDAPv2, yang secara resmi pensiun pada tahun 2003.
C. Struktur Direktori
Protokol ini menyediakan antarmuka dengan direktori yang mengikuti edisi 1993 dari X.500 Model:
- Entri terdiri dari satu set atribut.
- Atribut memiliki nama (jenis atribut atau atribut deskripsi) dan satu atau lebih nilai. Atribut didefinisikan dalam skema (lihat di bawah).
- Setiap entri memiliki pengenal yang unik: Nama Distinguished nya (DN). Ini terdiri dari Nama-nya relatif Distinguished (RDN), dibangun dari beberapa atribut (s) dalam entri, diikuti oleh DN induk entri. Pikirkan DN sebagai path file penuh dan RDN sebagai nama file relatifnya dalam folder induknya (misalnya jika /foo/bar/myfile.txt adalah DN, maka myfile.txt akan menjadi RDN).
Sebuah DN dapat berubah selama masa pakai entri, misalnya, ketika entri dipindahkan dalam pohon. Untuk andal dan jelas mengidentifikasi entri, sebuah UUID mungkin diberikan pada set atribut operasional entri.
LDAP jarang mendefinisikan pemesanan setiap: Server dapat kembali nilai-nilai atribut, atribut dalam sebuah entri, dan entri ditemukan oleh operasi pencarian dalam urutan apapun. Ini mengikuti dari definisi formal - entri didefinisikan sebagai seperangkat atribut, dan atribut adalah seperangkat nilai-nilai, dan set tidak perlu memerintahkan.
D. Skema URI
LDAP uniform resource identifier (URI) skema ada, yang mendukung klien dalam berbagai derajat, dan server kembali dalam arahan dan referensi kelanjutan :
ldap://host:port/DN?attributes?scope?filter?extensions
Sebagian besar komponen yang dijelaskan di bawah adalah opsional.
- Host adalah FQDN atau IP address dari server LDAP untuk mencari.
- Port adalah port jaringan (port default 389) dari server LDAP.
- DN adalah nama dibedakan untuk digunakan sebagai dasar pencarian.
- Attributes adalah daftar dipisahkan koma atribut untuk mengambil.
- Scope menentukan ruang lingkup pencarian dan dapat "dasar" (default), "satu" atau "sub".
- Filter adalah filter pencarian. Sebagai contoh,
(objectClass=*)sebagaimana didefinisikan dalam RFC 4515 - ekstensi ekstensi untuk format URL LDAP.
Misalnya, "
ldap://ldap.example.com/cn=John%20Doe,dc=example,dc=com " mengacu pada semua atribut pengguna dalam entri John Doe dildap.example.com , sementara " ldap:///dc=example,dc=com??sub?(givenName=John) "pencarian untuk entri di server default (perhatikan garis miring tiga, menghilangkan tuan rumah, dan tanda tanya ganda, menghilangkan atribut). Seperti di URL lain, karakter khusus harus persen-dikodekan .
Ada non-standar yang sama
ldaps skema URI untuk LDAP melalui SSL. Ini tidak harus bingung dengan LDAP dengan TLS, yang dicapai dengan menggunakan operasi STARTTLS menggunakan standar ldap skema.
E. Variasi
Banyak operasi server diserahkan kepada pelaksana atau administrator untuk memutuskan. Dengan demikian, server dapat dibentuk untuk mendukung berbagai skenario.
Sebagai contoh, penyimpanan data di server tidak ditentukan - server dapat menggunakan flat file, database, atau hanya menjadi pintu gerbang ke beberapa server lain. kontrol akses yang tidak standar, meskipun telah ada pekerjaan di atasnya dan ada model yang umum digunakan. password pengguna dapat disimpan dalam entri mereka atau di tempat lain. Server dapat menolak untuk melakukan operasi ketika keinginan, dan memaksakan berbagai batas.
Sebagian besar LDAP adalah extensible. Contoh: Satu dapat menentukan operasi baru. Kontrol dapat memodifikasi permintaan dan tanggapan, misalnya untuk meminta hasil pencarian diurutkan. lingkup pencarian baru dan metode Bind dapat didefinisikan. Atribut dapat memiliki pilihan yang dapat mengubah semantik mereka.
F. Penggunaan
Server LDAP dapat kembali arahan ke server lain untuk permintaan yang tidak dapat memenuhi sendiri. Hal ini memerlukan struktur penamaan untuk entri LDAP sehingga seseorang dapat menemukan server memegang nama yang diberikan dibedakan (DN), sebuah konsep didefinisikan dalam direktori X.500 dan juga digunakan dalam LDAP. Cara lain untuk menemukan server LDAP bagi suatu organisasi adalah DNS record Server (SRV).
Sebuah organisasi dengan domain example.org dapat menggunakan tingkat atas LDAP DN
dc=example,dc=org (di mana dc berarti komponen domain). Jika server LDAP juga bernama ldap.example.org, atas URL tingkat LDAP organisasi menjadi ldap://ldap.example.org/dc=example,dc=org .
Itulah tadi sekilas tentang LDAP, semoga bermanfaat
Referensi
0 comments