O que é LDAP?

Como você explicaria o LDAP a um administrador de sistema que ouviu falar dele e talvez tenha interagido com ele, mas nunca realmente o compreendeu?

As analogias são boas, mas por favor inclua alguns detalhes técnicos importantes para ajudar a fundamentá-las.

Perguntado no espírito do Active Directory, explicou

Escrevi este artigo há alguns anos, o que explica os conceitos básicos do LDAP

O LDAP (Lightweight Directory Access Protocol) é um protocolo em nível de aplicativo que permite aos clientes interagir com serviços de diretório compatíveis com o objetivo de manipular entidades de diretório ou consultar informações no diretório. Um de seus principais benefícios é fornecer uma interface padronizada para sistemas em várias plataformas.

Na maioria dos sistemas de diretório, o LDAP não é a única interface disponível para comunicação com o servidor. Geralmente, existem outras interfaces nativas que podem fornecer desempenho e outros benefícios.

O conceito padrão por trás de uma sessão LDAP é o seguinte:

1. Conecte-se ao servidor compatível com LDAP
2. Associe-se ao diretório em algum nível básico (chamado BaseDN). Geralmente, é um objeto de contêiner em algum lugar da estrutura do diretório, como uma OU. Você pode ou não conseguir vincular anonimamente, dependendo de o diretório estar ou não configurado para permitir acesso anônimo
3. Execute sua consulta ou instrução

As consultas podem ser executadas da seguinte maneira:

• dentro do mesmo nível na estrutura à qual você está vinculado (uma consulta de escopo Base)
• dentro do mesmo nível ou um nível abaixo de onde você está vinculado (uma consulta de escopo de um nível)
• recursivamente por toda a estrutura, começando onde você está vinculado (uma consulta de subárvore sceop)

Como os diretórios podem ser muito distribuídos e conter uma quantidade excessiva de informações, geralmente os administradores de diretório têm a opção de limitar as consultas LDAP a um determinado número de resultados (1000 é um máximo comum para um conjunto de resultados).

Pense nele como um banco de dados organizado em uma árvore; portanto, por exemplo, você pode ter uma estrutura típica de uma empresa organizada de maneira natural. Uma empresa de nível superior, com grupos / departamentos e funcionários no final, os quais podem ter várias propriedades (como nome, telefone, correio, endereço etc.). Diga a ele que também é adequado para todos os outros dados organizados de maneira semelhante e que é acessado por um protocolo aberto de várias plataformas / idiomas.

Além disso, da wikipedia: "Um diretório é um conjunto de objetos com atributos organizados de maneira lógica e hierárquica. O exemplo mais comum é a lista telefônica, que consiste em uma série de nomes (de pessoas ou organizações) organizados em ordem alfabética, com cada nome com um endereço e número de telefone anexados ".

Essa é a explicação mais amigável para iniciantes que consigo pensar, sem entrar em detalhes técnicos.

É um sistema centralizado destinado a fornecer acesso rápido aos dados, onde os dados reais estão estruturados em uma árvore como formação. O idioma que você usa para se comunicar com esse sistema centralizado é chamado LDAP, ou seja, um protocolo, assim como POP e IMAP, é um protocolo. Ele tem a capacidade de atualizar e pesquisar dados na árvore.

Primeiro, o LDAP por si só é apenas um protocolo, não faz nada, a menos que haja um servidor LDAP para ele interagir.

Permite acessar um diretório no servidor LDAP; uma boa analogia seria uma lista telefônica em papel ou uma lista de serviços (a última provavelmente é melhor). Se você quiser encontrar um lugar para consertar seu carro, supondo que você não esteja familiarizado com as garagens locais, procure um diretório em papel de serviços para encontrar mecânicos em sua área.

Da mesma forma, o LDAP permite procurar informações em um diretório compatível com LDAP em execução em um servidor. Cada entrada no diretório é um "objeto" que pode ter várias propriedades, e um aplicativo que interage com o diretório espera que as coisas sejam formatadas de uma certa maneira. Por design, é flexível e extensível, para que você não se limite ao que alguém possa ter pensado.

Voltando à analogia mecânica, as informações podem ser nome, endereço, custo por hora, se ele sabe sabotar seu carro para obter negócios extras com você, tamanho de cerveja e assim por diante. A mecânica do carro pode ser armazenada em um nó da árvore de diretórios, os reparadores de alta fidelidade podem ser armazenados em outro. Não é necessário que cada tipo de objeto compartilhe as mesmas propriedades; portanto, algumas das informações de um mecânico de automóveis não estarão presentes em um reparador de alta fidelidade, que, por sua vez, terá seu próprio conjunto de informações exclusivas relacionadas exclusivamente a ele.

É mais comumente usado para armazenar informações sobre usuários em uma rede, mas, em teoria, você pode colocar alguma coisa nela. Em um cenário de rede, estamos falando de informações organizacionais sobre a pessoa, bem como talvez informações de segurança, informações de configuração para aplicativos e assim por diante. Como tudo é armazenado centralmente, você pode centralizar de maneira fácil e flexível muitas informações em um único banco de dados otimizado para pesquisas ultrarrápidas e acessível por qualquer aplicativo compatível.