LDAP - Lightweight Directory Access Protocol

Als Protokoll unterstĂŒtzt ein LDAP einen Verzeichnisdienst. Es Ă€hnelt in der Funktionsweise einer Datenbank, ist jedoch stĂ€rker auf das reine Suchen, als auf das Schreiben von Daten ausgelegt.
Mitarbeiter*innen einer Agentur sitzen an einem Laptop und verschaffen sich mit dem LDAP Protokoll den Zugriff auf den Verzeichnisdienst Microsoft Active Directory.
© ""

Was ist LDAP?

LDAP ist ein Software-Protokoll, welches ursprĂŒnglich fĂŒr den Zugriff auf X.500 entwickelt wurde. X.500 ist ein Standard zur Erstellung eines elektronischen Verzeichnisses fĂŒr Unternehmen. Als Teil von X.500 fungiert das Lightweight Directory Access Protocol als leichtere Version des DAP (Directory Access Protocol).

An der University of Michigan wurde LDAP erstmals Anfang der 90er Jahre implementiert. Seitdem wird es weltweit in der Software- bzw. Datenbankentwicklung eingesetzt und unterstĂŒtzt Entwickler bei der Programmierung.

Das Protokoll ermöglicht den Zugriff auf Verzeichnisdienste, wie z.B. Active Directory (Microsoft Windows Server), Directory Service (Novell) und OpenLDAP, welches frei verfĂŒgbar und kostenlos ist.

LDAP ist ein Protokoll zur Kommunikation zwischen dem Verzeichnisdienstserver und einem Programm. Es ermöglicht das Halten und Abfragen von Daten. Die Struktur ist offen und in mehreren RFC definiert. RFC steht fĂŒr Request for Comments und bezeichnet eine Sammlung an Dokumenten, in welcher Protokolle, Konzepte und Programme des Internets definiert und beschrieben werden.

Ein LDAP Server wird als Directory System Agent (DAS) bezeichnet. Dieser ĂŒbernimmt die Verantwortlichkeit fĂŒr antreffende Anfragen. Unter UmstĂ€nden leitet der DAS die Anfrage weiter und stellt dabei sicher, dass der Nutzer nur eine einzige Antwort erhĂ€lt.

LDAP-Verzeichnis

Ein LDAP-Verzeichnis ist eine Art von Datenbank, die darauf optimiert ist, besonders schnell les- und durchsuchbar zu sein. Sie Ă€hnelt in der Funktionsweise einer Datenbank, relationale Datenbanken sind jedoch verstĂ€rkt auf das Schreiben ausgelegt. In herkömmlichen Datenbanken ist es das Ziel, ein möglichst großes Datenvolumen in kĂŒrzester Zeit aufzunehmen. Bei einem LDAP-Verzeichnis mĂŒssen allerdings zahlreiche, gleichzeitige Lesezugriffe möglich sein, weshalb die Schreibzugriffe auf wenige Aktualisierungen des Administrators begrenzt sind. Beispielsweise wird ein Telefonbuch oder eine Passwort-Datenbank stets abgefragt, aber nur selten geĂ€ndert. Im Gegensatz zu Unternehmensdatenbanken, in denen sich die Daten mehrmals tĂ€glich Ă€ndern.

Anwendungen sind daher neben AdressbĂŒchern auch die Benutzerverwaltung, Authentifizierung und vereinfachte Login-Prozesse, da der Nutzer sich nur ein zentrales Passwort merken muss. Ein Beispiel ist die ZusammenfĂŒhrung eines von vielen Mitarbeitern dezentral gepflegten Adressbuches.

Viele Anwendungen besitzen außerdem eine integrierte LDAP-Schnittstelle zur Authentifizierung.

Ein LDAP Verzeichnis besteht generell aus einem Netzwerkprotokoll und einem objektorientierten Datenbankmodell. Das objektorientierte Konzept drĂŒckt sich in Schemen aus. Die Definition dieser ist grundlegend fĂŒr das LDAP.

LDAP-Verzeichnisdienst

Ein LDAP-Verzeichnisdienst ist ein Dienst, um bestimmte Informationen, beispielsweise innerhalb einer Firma, zentral zu verwalten und Benutzer zu authentifizieren. Diese zentrale Speicherung ermöglicht es, dass kein ganzes Netzwerk nach Daten durchsucht werden muss.

LDAP-Verzeichnisbaum

Ein LDAP-Verzeichnis ist in einer Baumstruktur organisiert. Dies bedeutet, dass alle EintrĂ€ge und Objekte des Verzeichnisses eine bestimmte Position innerhalb der Hierarchie haben. Die Elemente des Directory Information Tree (DIT) sind folgendermaßen zu unterscheiden:

  • root – Wurzelelement
  • c - Country, LĂ€nder
  • o - Organisation, Organisationen
  • ou - Organisational Unit, Organisationseinheiten
  • dc – Domain Component, Individuen (Personen, Dokumente, GegenstĂ€nde)

An der Spitze der Hierarchie steht das Wurzelelement root. Diesem können in nÀchster Ebene die Objekte c, o, ou, oder dc untergeordnet werden.

Dabei gibt es zwei Typen, denen Objekte zugeordnet werden können:

  • Container - können andere Objekte enthalten; root, o, ou, dc
  • Blatt – Ende eines Astes, welchem keine anderen Objekte untergeordnet sind; person, groupofnames

Ein Pfad zum Eintrag wird als Distinguished Name (DN) bezeichnet. Unter Relative Distinguished Name (RDN) versteht man die Knoten auf den Pfaden.

Der Verzeichnisbaum ist vergleichbar mit den einzelnen Ordnern, oder auch Verzeichnissen, in einem Dateisystem.

Digitalagentur TenMedia in Berlin

Als Softwareagentur hat sich TenMedia auf die Datenbankentwicklung spezialisiert. Mit Individualsoftware unterstĂŒtzen wir Unternehmen auf ihrem Weg Richtung Digitalisierung und New Work. Ein LDAP-Verzeichnis ermöglicht dabei die Erstellung ĂŒbersichtlicher Verzeichnisse zur Erleichterung von unternehmensinternen AblĂ€ufen.

LDAP findet außerdem Anwendung bei Relaunches von bspw. einer webbasierten Datenbank. Anstatt, dass Daten manuell ĂŒbertragen werden mĂŒssen, kann dieser Prozess verlustfrei mithilfe von LDAP durchgefĂŒhrt.

Neben der Datenbankentwicklung gehören auch Webdesign und die Entwicklung von Appanwendungen zu unserem Portfolio. Erfahrene Entwickler, Webdesigner, Texter und Projektmanager arbeiten in unserem Berliner Office engagiert zusammen und stehen selbstverstĂ€ndlich bei weiteren Fragen telefonisch, per E-Mail oder in einem persönlichen GesprĂ€ch zur VerfĂŒgung.