 |
LDAP - Le protocole LDAP
 |
 |
 |  |
Introduction à LDAP
LDAP (Lightweight Directory Access Protocol, traduisez Protocole d'accès aux annuaires léger et prononcez "èl-dap") est un protocole standard permettant de gérer des annuaires, c'est-à-dire d'accéder à des bases d'informations sur les utilisateurs d'un réseau par l'intermédiaire de protocoles TCP/IP.
Les bases d'informations sont généralement relatives à des utilisateurs, mais elles sont parfois utilisées à d'autres fins comme pour gérer du matériel dans une entreprise.
Le protocole LDAP, développé en 1993 par l'université du Michigan, avait pour but de supplanter le protocole DAP (servant à accéder au service d'annuaire X.500 de l'OSI), en l'intégrant à la suite TCP/IP.
Le service d'annuaire X.500 était un standard conçu en 1988 par les opérateurs télécoms prévu pour interconnecter tout type d'annuaire dans un but de normalisation. Celui-ci définit :
- des règles de nommages pour les éléments qu'il contient
- des protocoles d'accès à l'annuaire (dont DAP)
- des moyens d'authentification de l'utilisateur
Toutefois, la norme X500 était basée sur les protocoles ISO et impliquait donc une mise en place très lourde. Ainsi, en 1993 l'université du Michigan a adapté le protocole DAP de la norme X.500 au protocole TCP/IP et mis au point LDAP.
A partir de 1995, LDAP est devenu un annuaire natif (standalone LDAP), afin de ne plus servir uniquement à accéder à des annuaires de type X500, c'est-à-dire en gérant sa propre base de données. LDAP est ainsi une version allégée du protocole DAP, d'où son nom de Lightweight Directory Access Protocol prévu pour fonctionner avec les protocoles TCP/IP.
Présentation de LDAP
Le protocole LDAP définit la méthode d'accès aux données sur le serveur au niveau du client, et non la manière de laquelle les informations sont stockées.
Le protocole LDAP en est actuellement à la version 3 et a été normalisé par l'IETF (Internet Engineering Task Force). Ainsi, il existe une RFC pour chaque version de LDAP, constituant un document de référence :
- RFC 1487 pour LDAP v.1 standard
- RFC 1777 pour LDAP v.2 standard (1994)
- RFC 2251 pour LDAP v.3 standard (1997)
Le protocole LDAP
Le protocole LDAP est uniquement prévu pour gérer l'interfaçage avec les annuaires. Plus exactement il s'agit d'une norme définissant la façon suivant laquelle les informations sont échangées entre le client et le serveur LDAP ainsi que la manière de laquelle les données sont représentées. Ainsi ce protocole se conforme à quatre modèles de base :
- un modèle d'information : définissant le type d'information stocké dans l'annuaire
- un modèle de nommage (parfois appelé modèle de désignation) : définissant la façon de laquelle les informations sont organisées dans l'annuaire et leur désignation
- un modèle fonctionnel (parfois appelé modèle de services) : définissant la manière d'accéder aux informations et éventuellement de les modifier, c'est-à-dire les services offerts par l'annuaire.
- un modèle de sécurité : définissant les mécanismes d'authentification et de droits d'accès des utilisateurs à l'annuaire.
- Le client et le serveur, c'est-à-dire les commandes de connexion et de déconnexion au serveur, de recherche ou de modification des entrées
- Les serveurs eux-mêmes, pour définir d'une part le service de réplication (replication service), c'est-à-dire un échange de contenu entre serveurs et synchronisation, d'autre part pour créer des liens entre les annuaires (on parle de referral service).
D'autre part, LDAP fournit un format d'échange (LDIF, Lightweight Data Interchange Format) permettant d'importer et d'exporter les données d'un annuaire avec un simple fichier texte
Enfin il existe un certain nombre d'API (Application Programming Interface, c'est-à-dire des interfaces de programmation) permettant de développer des applications clientes permettant de se connecter à des serveurs LDAP avec différents langages Ainsi LDAP fournit à l'utilisateur des méthodes lui permettant de :
- se connecter
- se déconnecter
- rechercher des informations
- comparer des informations
- insérer des entrées
- modifier des entrées
- supprimer des entrées
De plus, contrairement à la plupart des protocoles, LDAP permet d'effectuer plusieurs requêtes sur le serveur d'annuaire à l'aide d'une seule connexion. en effet, le protocole HTTP ne permet d'effectuer qu'une et une seule requête à chaque connexion au serveur.
Extensibilité du protocole LDAP
Le protocole LDAP version 3 a été conçu de telle façon qu'il soit possible d'y ajouter des fonctionnalités sans avoir à s'écarter de la norme grâce à trois concepts :
- opérations étendues LDAP (LDAP extended operations) permettant de rajouter une opération aux neuf opérations originales
- contrôles LDAP (LDAP controls) permettant d'associer des paramètres supplémentaires à une opération pour en modifier le comportement
- SASL (Simple Authentification and Security Layer), une couche supplémentaire permettant d'utiliser des méthodes d'authentification externes de façon modulaire
Consulter les données
LDAP fournit un ensemble de fonctions (procédures) pour effectuer des requêtes sur les données afin de rechercher, modifier, effacer des entrées dans les répertoires.
Voici la liste des principales opérations que LDAP peut effectuer :
| Opération | Description |
|---|---|
| Abandon | Abandonne l'opération précédemment envoyées au serveur |
| Add | Ajoute une entrée au répertoire |
| Bind | Initie une nouvelle session sur le serveur LDAP |
| Compare | Compare les entrées d'un répertoire selon des critères |
| Delete | Supprime une entrée d'un répertoire |
| Extended | Effectue des opérations étendues |
| Rename | Modifie le nom d'une entrée |
| Search | Recherche des entrées d'un répertoire |
| Unbind | Termine une session sur le serveur LDAP |
Le format d'échange de données LDIF
LDAP fournit un format d'échange (LDIF, Lightweight Data Interchange Format) permettant d'importer et d'exporter les données d'un annuaire avec un simple fichier texte. La majorité des serveurs LDAP supportent ce format, ce qui permet une grande interopérabilité entre eux.
La syntaxe de ce format est la suivante :
[<id>] dn: <distinguished name> <attribut> : <valeur> <attribut> : <valeur> ...Dans ce fichier id est facultatif, il s'agit d'un entier positif permettant d'identifier l'entrée dans la base de données.
 |
|
Discussions pertinentes trouvées dans le forum
| 09/10 10h43 |  [LDAP] Probleme de connexion |
Linux/Unix | 04/01 22h05->cd | 24 |
| 07/06 12h10 | ldap |
Linux/Unix | 07/06 18h44->saga9 | 5 |
| 23/08 12h14 | [PHP/LDAP]LDAP-3.3 package |
Webmastering | 23/08 16h27->StreM | 4 |
| 02/06 11h26 | [annuaire LDAP, configuration] |
Linux/Unix | 02/06 11h50->saga9 | 3 |
| 26/07 15h06 | [Serveur web et LDAP] question urgente s'il v |
Webmastering | 26/07 17h10->kaouthar2005 | 3 |
| 02/12 15h43 | Information sur ldap en relation avec samba |
Linux/Unix | 02/12 17h15->thrprg | 1 |
| 09/06 08h55 | mot de passe et Ldap |
Développement | 21/06 14h37->socquetsarah | 1 |
| 05/10 12h39 | [LDAP] plus de log dans /var/log |
Linux/Unix | 05/10 12h43->darkukai | 1 |
| 27/11 16h54 | [LDAP] prob ldapadd ldapsearch |
Logiciels/Pilotes | 29/11 17h15->tip top | 1 |
| 07/06 17h27 |  header.php footer.php ??? ldap admin |
Webmastering | 09/06 22h11->Dreamer | 18 |
 Discussion fermée
Problème résolu |
 Plus de discussions sur « LDAP » | |||