Kioskea
Pesquisar

O protocolo LDAP

Março 2015

Introdução ao LDAP


O LDAP (Lightweight Directory Access Protocol, traduzir como Protocolo de acesso aos diretórios ligeiro e pronunciar "èl-dap") é um protocolo standard que permite gerenciar diretórios, quer dizer, acessar a bases de informações sobre os usuários de uma rede através de protocolos TCP/IP.

As bases de informações são geralmente relativas a usuários, mas às vezes são utilizadas para outros fins como gerenciar material numa empresa.

O protocolo LDAP, desenvolvido em 1993 pela Universidade do Michigan, tinha por objetivo suplantar o protocolo DAP (que serve para acessar ao serviço de diretório X.500 do OSI). A partir de 1995, o LDAP tornou-se um diretório nativo (standalone LDAP), para não servir unicamente para acessar diretórios de tipo X500. O LDAP é assim uma versão aligeirada do protocolo DAP, daí o seu nome Lightweight Directory Acess Protocol.

Apresentação do LDAP


O protocolo LDAP define o método de acesso aos dados no servidor ao nível do cliente, e não a maneira como as informações são armazenadas.

O protocolo LDAP está actualmente na versão 3 e foi normalizado pelo IETF (Internet Engineering Task Force). Assim, existe um RFC para cada versão de LDAP, constituindo um documento de referência :


</uL>
Assim, o LDAP fornece ao utilizador métodos que lhe permitem:
  • conectar-se
  • desligar-se
  • procurar informações
  • comparar informações
  • inserir entradas
  • alterar entradas
  • suprimir entradas


Por outro lado, o protocolo LDAP (na sua versão 3) propõe mecanismos de codificação (SSL,...) e de autenticação (SASL) que permitem proteger o acesso às informações armazenadas na base.

A arborescência de informações (DIT)


O LDAP apresenta as informações sob a forma de uma arborescência de informações hierárquica chamada DIT (Directory Information Tree), na qual as informações, chamadas entradas (ou ainda DSE, Directory Service Entry), são representadas sob a forma de ramos.
Um ramo situado na raiz de uma ramificação chama-se raiz ou sufixo (em inglês root entry).

Cada entrada do diretório LDAP corresponde a um objeto abstrato ou real (por exemplo uma pessoa, um objeto material, parâmetros,...).
Cada entrada é constituída por um conjunto de pares chave/valor chamados atributos.

Directory Information Tree de LDAP

Os atributos das entradas


Cada entrada é constituída por um conjunto de atributos (pares chave/valor) que permitem caracterizar o objeto que a entrada define. Existem dois tipos de atributos:

  • Os atributos normais : estes são os atributos habituais (apelido, nome,...) caracterizando o objeto
  • Os atributos operacionais : estes são atributos aos quais só o servidor pode acessar a fim de manipular os dados do diretório (datas de modificação,...)



Uma entrada é indexada por um nome distinto (DN, distinguished name) que permite identificar de maneira única um elemento da arborescência.

Um DN constrói-se tomando o nome do elemento, chamado Relative Distinguished Name (RDN, isto é, o caminho da entrada em relação a um dos seus parentes), e acrescentando-lhe o conjunto do nome das entradas parentescos.
Trata-se de utilizar uma série de pares chave/valor que permite localizar uma entrada de maneira única. Eis uma série de chaves geralmente utilizadas:

  • uid (userid), trata-se de um identificador único obrigatório
  • cn (common name), trata-se do apelido da pessoa
  • givenname, trata-se do nome
  • Sn (surname), trata-se do apelido da pessoa
  • o (organization), trata-se da empresa da pessoa
  • u (organizational unit), trata-se do serviço da empresa na qual a pessoa trabalha
  • mail, trata-se do endereço de correio electrónico da pessoa (obviamente)
  • ...

Assim, um Distinguished Name terá a forma:
uid=jeapil,cn=pillou,givenname=jean-francois

O Relative Distinguished Name aqui é "uid=jeapil".

Assim, chama-se esquema ao conjunto das definições de objetos e de atributos que um servidor LDAP pode gerenciar. Isto permite por exemplo, definir se um atributo poder possuir um ou vários valores. Por outro lado, um atributo chamado objectclass permite definir os atributos obrigatórios ou facultativos...

Consultar os dados


O LDAP fornece um conjunto de funções (procedimentos) para efetuar pedidos sobre os dados, a fim de procurar, alterar, apagar entradas nos diretórios.


Eis a lista das principais operações que o LDAP pode efetuar :


OperaçãoDescrição
AbandonAbandona a operação previamente enviada ao servidor
AddAcrescenta uma entrada ao diretório
BindInicia uma nova sessão no servidor LDAP
Compare Compara as entradas de um diretório de acordo com critérios
DeleteSuprime uma entrada de um diretório
ExtendedEfectua operações vastas
Rename Altera o nome de uma entrada
SearchProcura entradas num diretório
UnbindTerminauma sessão no servidor LDAP

O formato de troca de dados LDIF


O LDAP fornece um formato de troca (LDIF, Lightweight Data Interchange Format) que permite importar e exportar os dados de um diretório com um simples ficheiro texto. A maioria dos servidores LDAP suporta este formato, que permite uma grande interoperabilidade entre eles.

A sintaxe deste formato é a seguinte:

[<id>]   
dn: <distinguished name>   
<attribut> : <valeur>   
<attribut> : <valeur>   
...

Neste ficheiro, id é facultativo, trata-se de um número inteiro positivo que permite identificar a entrada na base de dados.


<sample>

  • cada nova entrada deve ser separada da definição da entrada precedente com a ajuda de um salto de linha (linha vazia)
  • É possível definir um atributo para várias linhas, começando as linhas seguintes por um espaço ou uma tabulação
  • É possível definir vários valores que um atributo, repetindo a cadeia nome: valor em linhas separadas
  • quando o valor contém um carácter especial (não imprimível, um espaço ou : ), o atributo deve ser seguido de :: e depois do valor codificado em base64
Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
O-protocolo-ldap.pdf

A ver igualmente


LDAP protocol
LDAP protocol
Protocolo LDAP
Protocolo LDAP
Das Protokoll LDAP
Das Protokoll LDAP
Le protocole LDAP
Le protocole LDAP
Il protocollo LDAP
Il protocollo LDAP
Este documento, intitulado « O protocolo LDAP »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.