Από διακεκριμένα ονόματα στον έλεγχο ταυτότητας χρήστη

Είναι σύνηθες για τους οργανισμούς να βασίζονται στο LDAP (Lightweight Directory Access Protocol) για τη διαχείριση, αποθήκευση και έλεγχο ταυτότητας κρίσιμων χρηστών.

Ωστόσο, μπορεί να προκαλέσει σύγχυση στους χρήστες, οδηγώντας τους να το συνδυάσουν με την υπηρεσία καταλόγου Active Directory.

Σε αυτό το άρθρο, θα εξετάσουμε το LDAP, τον σκοπό του και τον τρόπο λειτουργίας του. Στη συνέχεια, θα εξετάσουμε τα βασικά χαρακτηριστικά του, τη δομή καταλόγου και τις δυνατότητες οργάνωσης δεδομένων. Τέλος, θα καλύψουμε τη σημασία του LDAP στη διαχείριση της υπηρεσίας καταλόγου και του ελέγχου ταυτότητας χρήστη.

Τι είναι το LDAP;

Το LDAP σημαίνει Lightweight Directory Access Protocol. Είναι ένα ανοιχτό πρωτόκολλο που διέπει τον ασφαλή έλεγχο ταυτότητας χρήστη για καταλόγους εσωτερικής εγκατάστασης. Επιπλέον, είναι ένα πρωτόκολλο εφαρμογής ουδέτερο ως προς τον προμηθευτή, καθιστώντας το ευέλικτο και πανταχού παρόν, ειδικά στις υπηρεσίες πληροφοριών κατανεμημένων καταλόγων μέσω του Διαδικτύου.

Το LDAP είναι αποτελεσματικό στο να επιτρέπει στις εφαρμογές να αναζητούν πληροφορίες χρήστη. Αυτό σημαίνει ότι μπορεί να λειτουργήσει με διάφορους τρόπους σε υπηρεσίες υποδομής πληροφορικής, συμπεριλαμβανομένων υπηρεσιών email, εξουσιοδότησης, διαχείρισης αδειών και διαχείρισης χρηστών.

Ωστόσο, δεν πρέπει να συγχέεται με τις υπηρεσίες ενεργού καταλόγου – ένα σύνολο υπηρεσιών/βάσεων δεδομένων που χρησιμοποιούν οι επιχειρήσεις για να οργανώσουν, να αποκτήσουν πρόσβαση και να ασφαλίσουν στοιχεία πληροφορικής. Βασικά, οι υπηρεσίες καταλόγου επιτρέπουν στους οργανισμούς να αποθηκεύουν δεδομένα που είναι περιγραφικά, στατικά και πολύτιμα.

Τεχνικά, το LDAP αποδίδεται στην πλήρη διαδικασία αναπαράστασης δεδομένων σε μια υπηρεσία καταλόγου. Εξασφαλίζει ότι οι χρήστες μπορούν να λαμβάνουν δεδομένα με προκαθορισμένο τρόπο. Αυτό σημαίνει ότι το LDAP δίνει τη δυνατότητα στους οργανισμούς να δημιουργούν καταχωρήσεις δεδομένων σε υπηρεσίες καταλόγου μέσω των εργαλείων του.

Έτσι, μέσα σε μια υπηρεσία καταλόγου Active Directory, το LDAP διασφαλίζει επίσης τον τρόπο σύνθεσης των εγγραφών με βάση τα διαφορετικά πρωτόγονα στοιχεία που περιγράφονται.

Εν ολίγοις, το LDAP είναι ένα:

 • Πρωτόκολλο επικοινωνιών
 • Είναι ένα ανοιχτό πρωτόκολλο εφαρμογής ουδέτερο από τον προμηθευτή
 • Το πρωτόκολλο λογισμικού αποθηκεύει και τακτοποιεί τα δεδομένα ώστε να είναι εύκολα αναζητήσιμα.
 • Λειτουργεί με καταλόγους εσωτερικής εγκατάστασης
 • Λειτουργεί με την υπηρεσία καταλόγου Active Directory που περιέχει δεδομένα που είναι στατικά, περιγραφικά και πολύτιμα
 • Δεν είναι νέο πρωτόκολλο και κυκλοφόρησε το 2003

Ποιος είναι ο σκοπός του;

Ο σκοπός του LDAP περιστρέφεται γύρω από δύο πράγματα:

 • Αποθηκεύει δεδομένα σε έναν κατάλογο LDAP/Active
 • Επαληθεύστε την πρόσβαση του χρήστη στον εν λόγω κατάλογο
 • Ενεργοποιήστε τις εφαρμογές να χρησιμοποιούν τη σωστή γλώσσα επικοινωνίας για την αποστολή και λήψη δεδομένων από υπηρεσίες καταλόγου.

Με άλλα λόγια, λειτουργεί ως πρωτόκολλο επικοινωνίας που δεν είναι μόνο ικανό για έλεγχο ταυτότητας και εξουσιοδότηση, αλλά οργανώνει τα δεδομένα με τρόπο αναζήτησης. Χρησιμοποιώντας το LDAP, οι οργανισμοί μπορούν να αποθηκεύουν κρίσιμες πληροφορίες χρηστών και στοιχείων πληροφορικής, συμπεριλαμβανομένων των διαπιστευτηρίων χρήστη. Επιπλέον, μπορεί να εξασφαλίσει ασφαλή πρόσβαση επιτρέποντας στους διαχειριστές να ορίζουν ενεργά κανόνες πρόσβασης.

Πώς λειτουργεί το LDAP;

Στον πυρήνα του LDAP, παίζει ρόλο η αρχιτεκτονική πελάτη-διακομιστή.

Έτσι, όταν πραγματοποιείται έλεγχος ταυτότητας LDAP, ακολουθεί ένα μοντέλο πελάτη-διακομιστή. Και κατά τη διάρκεια αυτής, οι βασικοί παίκτες περιλαμβάνουν τους εξής:

 • Directory System Agent (DSA): Ένας διακομιστής που εκτελεί LDAP σε ένα συγκεκριμένο δίκτυο.
 • Το διακεκριμένο όνομα (DN) περιέχει τη διαδρομή για την πλοήγηση στο δέντρο πληροφοριών καταλόγου (DIT).
 • Directory User Agent (DUA): Το DUA χρησιμοποιείται για πρόσβαση σε DSA ως πελάτης.
 • Relative Distinguished Name (RDN): Το RDN καθορίζει κάθε στοιχείο στη διαδρομή του DN.
 • Διασύνδεση προγραμματισμού εφαρμογών (API): Διαθέτουμε API που επικοινωνούν μεταξύ των υπηρεσιών και των προϊόντων.
  8 Το καλύτερο λογισμικό UEM για να βελτιστοποιήσετε τη διαχείριση πληροφορικής σας

Στη διαδικασία ελέγχου ταυτότητας LDAP, όταν ένας χρήστης ξεκινά ένα πρόγραμμα-πελάτη LDAP, όπως μια εφαρμογή email, ο Διαχειριστής μπορεί να ρυθμίσει τον τρόπο με τον οποίο ο πελάτης LDAP αλληλεπιδρά με τις υπηρεσίες καταλόγου για έλεγχο ταυτότητας. Για παράδειγμα, μπορεί να χρησιμοποιήσει οποιαδήποτε από τις δύο διαθέσιμες μεθόδους ελέγχου ταυτότητας χρήστη:

Στην προσπάθεια σύνδεσης, ζητείται έλεγχος ταυτότητας DN. Μόλις ξεκινήσει η διαδικασία, το LDAP εκχωρεί τον πελάτη στον παράγοντα συστήματος καταλόγου (DSA), ο οποίος χρησιμοποιεί το DN για να αναζητήσει αντίστοιχες εγγραφές στη βάση δεδομένων.

Το Σχετικό Διακεκριμένο Όνομα (RDN) εντός του DN είναι ένα κρίσιμο μέρος της αναζήτησης LDAP καθώς χρησιμοποιείται σε κάθε βήμα της διαδικασίας αναζήτησης μέσω της Δενδρικής Πληροφορίας Καταλόγου (DIT).

Εάν η αναζήτηση είναι επιτυχής, το αντίστοιχο UID και ο κωδικός χρήστη αντιστοιχίζονται για την επικύρωση του χρήστη. Εάν όχι, επιστρέφει μη έγκυρα αποτελέσματα.

Τέλος, ο πελάτης αποσυνδέεται από τον διακομιστή LDAP. Αφού ολοκληρωθεί, ο πιστοποιημένος χρήστης μπορεί στη συνέχεια να επικοινωνήσει με τις υπηρεσίες μέσω των API. Αυτό σημαίνει ότι μπορεί να διαβάσει όλες τις αποθηκευμένες πληροφορίες — ο μόνος περιορισμός είναι τα δικαιώματα.

Εάν θέλετε να διαβάσετε περισσότερα για το πώς λειτουργεί το LDAP, ρίξτε μια ματιά στην εργασία του που δημοσιεύτηκε το 2003 από τους Greg Vaneder και Mark Wahl. Και, αν θέλετε να διαβάσετε περισσότερα σχετικά με τον τρόπο λειτουργίας αναζήτησης LDAP, ρίξτε μια ματιά στη λειτουργία αναζήτησης LDAP.

Βασικά χαρακτηριστικά του LDAP

Τα βασικά χαρακτηριστικά του LDAP μπορούν να συνοψιστούν παρακάτω:

 • Έλεγχος περιόδων σύνδεσης χρήστη: Μπορεί να χρησιμοποιηθεί για τον έλεγχο ταυτότητας περιόδων σύνδεσης χρήστη σε μια υπηρεσία βάσης δεδομένων όπως η υπηρεσία καταλόγου Active Directory.
 • Διαφορετικοί τύποι λειτουργίας: Μπορεί επίσης να κάνει λειτουργίες σε μια βάση δεδομένων διακομιστή καταλόγου, συμπεριλαμβανομένων
  • δεσμευτικές συνεδρίες
  • διαγραφή καταχωρήσεων LDAP
  • Τροποποίηση υπαρχουσών καταχωρήσεων
  • Αναζήτηση και σύγκριση καταχωρήσεων.
  • Εγκατάλειψη αιτημάτων
  • Λειτουργίες αποδέσμευσης
 • Ελαφρύ: Το LDAP είναι ελαφρύ, εξασφαλίζοντας μια μικρή επιβάρυνση για το δίκτυο και τους πόρους του συστήματος.
 • Ανεξάρτητο από προμηθευτή και πρωτόκολλο: Το LDAP είναι επίσης ανεξάρτητο από προμηθευτή και πρωτόκολλο. Αυτό σημαίνει ότι λειτουργεί με οποιονδήποτε προμηθευτή/λύση/πρωτόκολλο. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε το LDAP μέσω TCP/IP ή X.25. Ωστόσο, η τελευταία έκδοση LDAP, LDAPv3, χρησιμοποιεί TCP/IP.
 • Δομή καταλόγου: Το LDAP χρησιμοποιεί μια δομή δέντρου καταλόγου για την αποθήκευση και πρόσβαση σε στοιχεία μέσα σε μια βάση δεδομένων καταλόγου. Η σχέση γονέα-παιδιού σημαίνει ταχύτερη αναζήτηση και ανάκτηση.
 • Τυποποίηση: Το LDAP τυποποιείται από την IETF (Internet Engineering Task Force). Η τυποποίηση διασφαλίζει ότι το LDAP λειτουργεί σε διαφορετικούς προμηθευτές.
 • Ασφάλεια: Το LDAP είναι ασφαλές. Επιτυγχάνει ασφάλεια χρησιμοποιώντας ασφαλές TLS πάνω από το επίπεδο TCP/IP. Μπορεί επίσης να χρησιμοποιήσει το Secure Socket (SSL) για κρυπτογράφηση, αποκρυπτογράφηση και μεταφορά πληροφοριών εξ αποστάσεως με πλήρη ακεραιότητα και εμπιστευτικότητα.
 • Αναπαραγωγή: Το LDAP υποστηρίζει επίσης την αναπαραγωγή σε πολλούς διακομιστές. Εξασφαλίζει πλεονασμό δεδομένων και παρέχει διαθεσιμότητα δεδομένων σε περίπτωση σφαλμάτων. Χρησιμοποιεί Syncrepl – μια μηχανή αναπαραγωγής Sync.
  Πώς να δημιουργήσετε οριζόντια μόνο μία σελίδα στο Word

Δομή καταλόγου LDAP

Ο Κατάλογος LDAP έχει μια καθαρή, καθορισμένη δομή σε αυτόν. Αυτό επιτρέπει την εύκολη πρόσβαση σε δεδομένα και προσθέτει στη δυνατότητα αναζήτησης του περιεχομένου του καταλόγου LDAP.

Καθώς το LDAP ακολουθεί μια δομή που μοιάζει με δέντρο, είναι ιεραρχική. Και γι’ αυτό προτιμάται κυρίως ως Δέντρο Πληροφοριών Καταλόγου (DIT).

Τα διαφορετικά επίπεδα δομής καταλόγου LDAP περιλαμβάνουν:

 • Κατάλογος ρίζας
 • Οργάνωση

Όπως μπορείτε να δείτε ότι υπάρχει μια δομή δέντρου στον κατάλογο LDAP. Ο κατάλογος “root” είναι μια καταχώρηση ανώτατου επιπέδου που περιλαμβάνει όλες τις άλλες εγγραφές στο επίπεδο καταλόγου. Κάτω από αυτό, παίρνετε Χώρα (χώρες) η οποία στη συνέχεια διακλαδίζεται στον Οργανισμό (ες). Στη συνέχεια, διακλαδίζεται σε Οργανωτικές Μονάδες (ΟΠ) και, τέλος, σε Άτομα και Ομάδες.

Για να κατανοήσουμε τη δομή του καταλόγου LDAP, ας ρίξουμε μια ματιά σε ένα παράδειγμα παρακάτω.

 - Root (Top-level entry)
  |
  +-- Country: "dc=com" (e.g., dc=example,dc=com)
     |
     +-- Organization: "dc=example" (e.g., dc=example)
        |
        +-- Organizational Unit (OU): "ou=Users"
        |   |
        |   +-- User: "cn=Nitish Singh"
        |   |
        |   +-- User: "cn= Oliver Green"
        |
        +-- Organizational Unit (OU): "ou=Groups"
           |
           +-- Group: "cn=Admins"
           |
           +-- Group: "cn=Users"
		|
		+-- Group: “cn=Superusers”

Η οντότητα Root προσδιορίζεται με το DC, το οποίο σημαίνει χαρακτηριστικό στοιχείο τομέα. Έτσι, εάν “dc=com”, η καταχώρηση ρίζας προσδιορίζεται ως ο τομέας “com”.

Στο root, μπορείτε να έχετε πολλούς οργανισμούς ή τομείς. Αντιπροσωπεύεται από το “dc=organization”. στον τομέα “com”.

Ομοίως, κάθε οργανισμός μπορεί να έχει μία ή περισσότερες Οργανωτικές Μονάδες (OU). Ο διαχειριστής μπορεί να τα οργανώσει λογικά σε υποδιαιρέσεις. Για παράδειγμα, μπορείτε να ορίσετε το OU σε “χρήστες”, “ομάδες” ή “υπερχρήστες”.

Τέλος, κάτω από κάθε OU, μπορείτε να παραθέσετε διαφορετικές καταχωρήσεις, συμπεριλαμβανομένων ομάδων, συσκευών, χρηστών κ.λπ. Στο παράδειγμά μας, δύο τιμές των χρηστών OU περιλαμβάνουν το “Nitish Singh” και το “Oliver Green”. Ομοίως, στις Ομάδες OU, έχουμε “Διαχειριστές”, “Χρήστες” και “Υπερχρήστες”.

Η δομή του καταλόγου LDA εξαρτάται σε μεγάλο βαθμό από το Distinguished Name (DN) καθώς χρησιμοποιείται για την αναγνώριση κάθε καταχώρησης. Αυτό συμβαίνει επειδή περιέχει ένα μοναδικό όνομα και χρησιμοποιείται για την ανάκτηση του σχετικού διακεκριμένου ονόματος (RDN).

LDAP Κοινά Στοιχεία

Για να κατανοήσουμε την οργάνωση δεδομένων LDAP, θα χρειαστεί να κατανοήσουμε τα κοινά στοιχεία του LDAP, τα οποία οδηγούν στην κατασκευή των καταχωρήσεων του συστήματος LDAP.

Τα βασικά στοιχεία δεδομένων LDAP περιλαμβάνουν:

 • Γνωρίσματα:
 • Συμμετοχές:
 • Δέντρα πληροφοριών δεδομένων

Γνωρίσματα

Τα χαρακτηριστικά στο LDAP είναι ζεύγη κλειδιού-τιμής. Αυτά αποθηκεύουν δεδομένα στο σύστημα LDAP. Για παράδειγμα, το χαρακτηριστικό mail πρέπει να χρησιμοποιείται για την αποθήκευση αλληλογραφίας εντός του συστήματος LDAP.

ταχυδρομείο: [email protected]

Συμμετοχές

Οι εγγραφές στο σύστημα LDAP συσχετίζονται με την απόδοση στην παροχή νοήματος. Μπορείτε να σκεφτείτε τις εγγραφές ως μια συλλογή σχετικών χαρακτηριστικών.

Για παράδειγμα, τα δεδομένα στη μορφή LDIF (LDAP Data Interchange Format) θα έχουν την παρακάτω μορφή:

dn: sn=Hogwarts, ou=wizards, dc=WizardingWorld, dc=fiction

objectclass: wizard

sn: Hogwarts

cn: Harry Potter

Δέντρα πληροφοριών δεδομένων

Τα δέντρα πληροφοριών δεδομένων, ή τα DIT, αντιπροσωπεύουν και έχουν πρόσβαση σε δεδομένα μέσα σε ένα σύστημα LDAP. Καθώς τα περισσότερα δεδομένα είναι διακλαδισμένα, είναι λογικό να τα αναπαριστάνουμε μέσω δέντρων. Είναι ανάλογο με ένα σύστημα αρχείων με συσχέτιση γονέων-παιδιών.

  14 καλύτερα εργαλεία ασφάλειας δικτύου για ασφαλέστερα περιβάλλοντα το 2020

Οργάνωση Δεδομένων LDAP

Τώρα με τη βασική ιδέα των οντοτήτων, μπορούμε να εξερευνήσουμε την οργάνωση δεδομένων μέσα στο σύστημα LDAP.

Εδώ, το LDAP χρησιμοποιεί το DIT για να οργανώσει και να δομήσει τα δεδομένα. Ωστόσο, πώς το πετυχαίνει; Ας το συζητήσουμε παρακάτω.

Για να τοποθετήσετε εγγραφές σε ένα DIT που σχετίζονται μεταξύ τους ιεραρχικά. Έτσι, όταν δημιουργείται μια νέα καταχώρηση, προστίθεται στη δομή που μοιάζει με δέντρο ως παιδί μιας υπάρχουσας καταχώρησης.

Όλα ξεκινούν στην κορυφή του δέντρου ιεραρχίας στο DIT. Καθώς καλύπτει όλες τις θυγατρικές καταχωρήσεις, χαρακτηρίζεται κυρίως ως οργανισμός όπως «dc=com ή παράδειγμα». Αυτό γίνεται χρησιμοποιώντας στοιχεία τομέα για να εξασφαλιστεί η εύκολη διαχείριση. Με αυτόν τον τρόπο, ο διαχειριστής μπορεί να ορίσει την τοποθεσία χρησιμοποιώντας l=location_name ή τμήματα οργανισμού, όπως ou=tech, marketing κ.λπ.

Οι καταχωρήσεις χρησιμοποιούν Organisation Unit (OU) objectClass. Αυτό συμβαίνει επειδή οι καταχωρήσεις μπορούν να χρησιμοποιούν την ετικέτα χαρακτηριστικού ou=. Είναι απλά και προσφέρουν έναν εξαιρετικό τρόπο κατηγοριοποίησης και εύρεσης πληροφοριών στο DIT.

Ακολουθεί μια άλλη σημαντική έννοια που είναι γνωστή ως Relative Distinguished Name. Είναι το σχετικό όνομα ενός στοιχείου ανάλογα με το επίπεδο ιεραρχίας DIT του. Έτσι, για να αποκτήσετε πρόσβαση σε μια καταχώρηση, πρέπει να εισαγάγετε τις τιμές RDN της οντότητας μαζί με την τιμή RDN του γονέα.

Αυτό δημιουργεί μια αλυσίδα τιμών RDN, η οποία πηγαίνει από κάτω προς τα πάνω, δημιουργώντας μια διαδρομή προς αυτήν την καταχώρηση. Και αυτή η αλυσίδα τιμών RDN είναι γνωστή ως “Distinguished Name or DN”.

Με άλλα λόγια, πρέπει να αναφέρετε το DN κατά τη δημιουργία καταχώρισης, ώστε το LDAP να γνωρίζει ακριβώς πού πρέπει να τοποθετήσετε το νέο στοιχείο ή πληροφορίες. Έτσι, το RDN λειτουργεί ως σχετική τιμή, ενώ το DN είναι περισσότερο απόλυτο μονοπάτι.

Σημασία του LDAP

Σε αυτή την ενότητα, θα ρίξουμε μια ματιά στη σημασία του LDAP από δύο οπτικές γωνίες:

 • Υπηρεσία διαχείρισης καταλόγου: Το πρωτόκολλο LDAP διαθέτει τα κατάλληλα μέσα αποθήκευσης και πρόσβασης σε δεδομένα καταλόγου LDAP. Τα έχουμε ήδη συζητήσει στις ενότητες «Πώς λειτουργεί το LDAP και τα στοιχεία δεδομένων» και «Οργάνωση». Το LDAP είναι ένα μέσο διαχείρισης, αποθήκευσης, πρόσβασης και ασφάλειας δεδομένων. Εξασφαλίζει επίσης αποτελεσματική ανάκτηση πληροφοριών. Επιπλέον, προσφέρει επεκτασιμότητα και αναπαραγωγή.
 • Έλεγχος ταυτότητας χρήστη: Εκτός από τη διαχείριση υπηρεσιών καταλόγου, το LDAP υπερέχει στον έλεγχο ταυτότητας και στην εξουσιοδότηση χρήστη. Μόλις δημιουργηθεί η σύνδεση, ο χρήστης μπορεί να έχει πρόσβαση σε αποθηκευμένα στοιχεία βάσει των κανόνων πρόσβασης που έχει ορίσει ο διαχειριστής.

LDAP έναντι Active Directory

Είναι σύνηθες οι άνθρωποι να συγχέουν το LDAP και την υπηρεσία καταλόγου Active Directory. Το LDAP και η υπηρεσία καταλόγου Active Directory της Microsoft συνεργάζονται στενά για να παρέχουν στους οργανισμούς ένα μέσο για την ασφαλή και ασφαλή αποθήκευση και πρόσβαση σε δεδομένα οργανισμού σε όλα τα τμήματα με ασφάλεια και ασφάλεια.

Έτσι, το LDAP είναι πρωτόκολλο, ενώ το Active Directory είναι ένα προϊόν υπηρεσίας καταλόγου που αποθηκεύει τα οργανωτικά δεδομένα σε μια δομή που μοιάζει με δέντρο.

Το LDAP λειτουργεί ως πρωτόκολλο επικοινωνίας για πρόσβαση στους διακομιστές καταλόγου όπως το Active Directory.

συμπέρασμα

Το LDAP είναι ένα βασικό πρωτόκολλο για εργασία με ενεργές υπηρεσίες καταλόγου. Είναι ένα ελαφρύ πρωτόκολλο που δεν δημιουργεί επιβάρυνση στις υπηρεσίες και τους διακομιστές με τους οποίους λειτουργεί. Επιπλέον, ο ανοιχτός κώδικας, ο ουδέτερος από τον προμηθευτή και η τυποποιημένη φύση του σημαίνει ότι μπορεί εύκολα να ενσωματωθεί σε υπάρχουσες λύσεις.

Μπορείτε επίσης να εξερευνήσετε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).