Lightweight Directory Access Protocol

(הופנה מהדף LDAP)

Lightweight Directory Access Protocolראשי תיבות: LDAP) הוא פרוטוקול תקשורת פתוח בשכבת היישום, המאפשר גישה וניהול של Directory service מעל רשתות IP.‏[1] שירותים אלו חיוניים בבנייה וניהול של רשתות פנימיות ואינטרנטיות, והם מאפשרים שיתוף מידע לגבי משתמשים, מערכות, רשתות ושירותים ברשת. המידע נשמר לעיתים קרובות בצורה היררכית, המאפשרת ניהול פשוט, גמישות, והתאמה למבנה הארגוני.[2]

LDAP מוגדר בסדרה של מסמכים הנקראים Request for Comments‏ (RFCs), אשר נכתבו על ידי ארגון ה-Internet Engineering Task Force, שהוא הגוף הממליץ על תקנים לרשת האינטרנט. המסמך העדכני פורסם בגרסה 3 כ-RFC 4511.

שימוש נפוץ ב-LDAP הוא ליצירת התחברות אחידה בין מספר שירותים (SSO), לדוגמה, בהתחברות לדפי אינטרנט מוגנים בסיסמה או למחשבים בארגון. LDAP מבוסס על פרוטוקול אשר כלול בסטנדרט X.500, אך הוא פשוט יותר. לכן, לעיתים הוא נקרא בשם "X.500-Lite".[3]

היסטוריה

עריכה

חברות התקשורת יסדו את הרעיון של Directory service לאחר שנים של ניהול ספריות טלפוניה, והם תרמו במידה ניכרת להתפתחות טכנולוגיית המידע. צורך זה בא לידי מימוש בתקן ה-X.500, שהיווה איגוד של פרוטוקולים שנכתבו על ידי איגוד הטלקומוניקציה הבינלאומי בשנות ה-80.

אל ספריות X.500 ניגשו בעזרת פרוטוקול Directory Access Protocol‏ (DAP), מעל Open Systems Interconnection‏ (OSI). ‏ LDAP נועד במקור להיות גרסה חלופית וקלה יותר של הפרוטוקול לטובת גישה אל ספריות X.500 מעל TCP/IP, הנפוץ והפשוט יותר. שירותי Directory החלו לתמוך גם ב-LDAP, והוא הפך נפוץ מאוד בסביבות ארגוניות, כיוון שהוריד את הצורך ברשת OSI. כיום גם DAP יכול לעבוד ישירות מעל TCP/IP.

הפרוטוקול נוצר לראשונה[4] על ידי טים הוז, סטיב קייל, קולין רובינס, וונגיק יונג בשנת 1993. בשנת 1996 החלו לעבוד על הגרסה החדשה של הפרוטוקול, LDAPv3, תחת חסות ארגון Internet Engineering Task Force, המוביל את התקינה ברשת האינטרנט. LDAPv3 יצא בשנת 1997 הוסיף תמיכה בSimple Authentication and Security Layer‏ (SASL), ויישר קו עם הגרסה החדשה יותר של X.500. המשך הפיתוח ותכונות נוספות ב-LDAPv3 נוספו על ידי ה-IETF.

מבנה הפרוטוקול

עריכה

הלקוח פותח חיבור LDAP על ידי התחברות לשרת (נקרא DSA; ר"ת Directory System Agent), בברירת המחדל בפורט 389, ב-TCP או UDP.[5] הלקוח לאחר מכן יכול לשלוח בקשות פעולה לשרת, ביניהן הפעלת חיבור מאובטח (TLS), ביצוע אימות משתמש, חיפוש, השוואה, והוספה, שינוי, או מחיקת רשומה.

Active Directory

עריכה

מערכת ה-Active Directory מבוססת על מספר שירותים, ביניהם שירות LDAP והיא (נכון ל-2021) כנראה היישום הפופולרי ביותר של שרת LDAP. המערכת המאפשרת לכל משתמש ב-Domain לקבל תמונה מלאה של העץ הארגוני ופועל יישום תקין של Active Directory מחייב גישה של מערכות הפעלה בדומיין להיות מסוגלות ליצור קשר בפרוטורול LDAP עם שרתי ה-Domain Controller (DC) הן בפורט 389 (תקשורת רגילה) והן בפורט 636 (תקשורת חתומה ומוצפנת).

בישום המיקרוסופטי של שרת LDAP מוגדרת הגבלה של מתן 1000 רשומות בלבד כתשובה לשאילתה, כלומר במידה ולא יצוין מספר הרשומות הנדרש יתקבל מספר הרשומות בענף, עד 1000 רשומות. ניתן לעקוף מגבלה זו בצד הלקוח על ידי רישום מספר הרשומות הנדרשות.

ראו גם

עריכה

הערות שוליים

עריכה