LDAP - Lightweight Directory Access Protocol

Als Protokoll unterstützt ein LDAP einen Verzeichnisdienst. Es ähnelt in der Funktionsweise einer Datenbank, ist jedoch stärker auf das reine Suchen, als auf das Schreiben von Daten ausgelegt.
Mitarbeiter*innen einer Agentur sitzen an einem Laptop und verschaffen sich mit dem LDAP Protokoll den Zugriff auf den Verzeichnisdienst Microsoft Active Directory.
© ""

Was ist LDAP?

LDAP ist ein Software-Protokoll, welches ursprünglich für den Zugriff auf X.500 entwickelt wurde. X.500 ist ein Standard zur Erstellung eines elektronischen Verzeichnisses für Unternehmen. Als Teil von X.500 fungiert das Lightweight Directory Access Protocol als leichtere Version des DAP (Directory Access Protocol).

An der University of Michigan wurde LDAP erstmals Anfang der 90er Jahre implementiert. Seitdem wird es weltweit in der Software- bzw. Datenbankentwicklung eingesetzt und unterstützt Entwickler bei der Programmierung.

Das Protokoll ermöglicht den Zugriff auf Verzeichnisdienste, wie z.B. Active Directory (Microsoft Windows Server), Directory Service (Novell) und OpenLDAP, welches frei verfügbar und kostenlos ist.

LDAP ist ein Protokoll zur Kommunikation zwischen dem Verzeichnisdienstserver und einem Programm. Es ermöglicht das Halten und Abfragen von Daten. Die Struktur ist offen und in mehreren RFC definiert. RFC steht für Request for Comments und bezeichnet eine Sammlung an Dokumenten, in welcher Protokolle, Konzepte und Programme des Internets definiert und beschrieben werden.

Ein LDAP Server wird als Directory System Agent (DAS) bezeichnet. Dieser übernimmt die Verantwortlichkeit für antreffende Anfragen. Unter Umständen leitet der DAS die Anfrage weiter und stellt dabei sicher, dass der Nutzer nur eine einzige Antwort erhält.

LDAP-Verzeichnis

Ein LDAP-Verzeichnis ist eine Art von Datenbank, die darauf optimiert ist, besonders schnell les- und durchsuchbar zu sein. Sie ähnelt in der Funktionsweise einer Datenbank, relationale Datenbanken sind jedoch verstärkt auf das Schreiben ausgelegt. In herkömmlichen Datenbanken ist es das Ziel, ein möglichst großes Datenvolumen in kürzester Zeit aufzunehmen. Bei einem LDAP-Verzeichnis müssen allerdings zahlreiche, gleichzeitige Lesezugriffe möglich sein, weshalb die Schreibzugriffe auf wenige Aktualisierungen des Administrators begrenzt sind. Beispielsweise wird ein Telefonbuch oder eine Passwort-Datenbank stets abgefragt, aber nur selten geändert. Im Gegensatz zu Unternehmensdatenbanken, in denen sich die Daten mehrmals täglich ändern.

Anwendungen sind daher neben Adressbüchern auch die Benutzerverwaltung, Authentifizierung und vereinfachte Login-Prozesse, da der Nutzer sich nur ein zentrales Passwort merken muss. Ein Beispiel ist die Zusammenführung eines von vielen Mitarbeitern dezentral gepflegten Adressbuches.

Viele Anwendungen besitzen außerdem eine integrierte LDAP-Schnittstelle zur Authentifizierung.

Ein LDAP Verzeichnis besteht generell aus einem Netzwerkprotokoll und einem objektorientierten Datenbankmodell. Das objektorientierte Konzept drückt sich in Schemen aus. Die Definition dieser ist grundlegend für das LDAP.

LDAP-Verzeichnisdienst

Ein LDAP-Verzeichnisdienst ist ein Dienst, um bestimmte Informationen, beispielsweise innerhalb einer Firma, zentral zu verwalten und Benutzer zu authentifizieren. Diese zentrale Speicherung ermöglicht es, dass kein ganzes Netzwerk nach Daten durchsucht werden muss.

LDAP-Verzeichnisbaum

Ein LDAP-Verzeichnis ist in einer Baumstruktur organisiert. Dies bedeutet, dass alle Einträge und Objekte des Verzeichnisses eine bestimmte Position innerhalb der Hierarchie haben. Die Elemente des Directory Information Tree (DIT) sind folgendermaßen zu unterscheiden:

  • root – Wurzelelement
  • c - Country, Länder
  • o - Organisation, Organisationen
  • ou - Organisational Unit, Organisationseinheiten
  • dc – Domain Component, Individuen (Personen, Dokumente, Gegenstände)

An der Spitze der Hierarchie steht das Wurzelelement root. Diesem können in nächster Ebene die Objekte c, o, ou, oder dc untergeordnet werden.

Dabei gibt es zwei Typen, denen Objekte zugeordnet werden können:

  • Container - können andere Objekte enthalten; root, o, ou, dc
  • Blatt – Ende eines Astes, welchem keine anderen Objekte untergeordnet sind; person, groupofnames

Ein Pfad zum Eintrag wird als Distinguished Name (DN) bezeichnet. Unter Relative Distinguished Name (RDN) versteht man die Knoten auf den Pfaden.

Der Verzeichnisbaum ist vergleichbar mit den einzelnen Ordnern, oder auch Verzeichnissen, in einem Dateisystem.

Digitalagentur TenMedia in Berlin

Als Softwareagentur hat sich TenMedia auf die Datenbankentwicklung spezialisiert. Mit Individualsoftware unterstützen wir Unternehmen auf ihrem Weg Richtung Digitalisierung und New Work. Ein LDAP-Verzeichnis ermöglicht dabei die Erstellung übersichtlicher Verzeichnisse zur Erleichterung von unternehmensinternen Abläufen.

LDAP findet außerdem Anwendung bei Relaunches von bspw. einer webbasierten Datenbank. Anstatt, dass Daten manuell übertragen werden müssen, kann dieser Prozess verlustfrei mithilfe von LDAP durchgeführt.

Neben der Datenbankentwicklung gehören auch Webdesign und die Entwicklung von Appanwendungen zu unserem Portfolio. Erfahrene Entwickler, Webdesigner, Texter und Projektmanager arbeiten in unserem Berliner Office engagiert zusammen und stehen selbstverständlich bei weiteren Fragen telefonisch, per E-Mail oder in einem persönlichen Gespräch zur Verfügung.