Strumenti Utente

Strumenti Sito


infrastructure:ldap

LDAP

LDAP è un protocollo standard per accedere ai directory server. L'unità di base in un directory server è la entity è può essere una persona o un domain specific object, una stampante, un gruppo di persone, una azienda.

Un directory service che supporta il protocollo LDAP mantiene le informazioni di un certo numero di entity.

Pensare come LDAP

ogni cosa che vogliamo accedere tramite LDAP è una entity e ogni entity ha degli attributi.

Alcuni di questi attributi sono importanti per LDAP stesso altri sono tenuti per altri applicativi.

È possibile dire ad LDAP di adottare uno schema e diventare a tutti gli effetti un database in cui se un record non è valido non può essere inserito

Vedi anche - rfc4519 schema for user application

objectclass

objectClass vuole caratterizzare un insieme di entity, e.g. admin, rappresentanti, alumni

Le objectClass possono essere di 3 tipi mutualmente esclusivi, Abstract, Structural o Auxillary

Una objectClass Abstract non può avere entity “figlie” come spiegato in rfc2512.2.4.1

La objectClass top è la più comune di tipo Abstract

Una objectClass Structural definisce il percorso di una entity nell'albero, e.g. uid=test_user,o=People,dc=lilik,dc=it è un percorso valido nell'albero se la People è una classe strutturale. Vedi la definizione in rfc4512.2.4.2

Una entity non può appartenere a 2 o più Structural objectClass altrimenti si crea un ciclo e la struttura dati non è più un albero. Una Structural objectClass non può essere una sottoclasse di una Auxillary objectClass

Le Auxillary sono usate per estendere le Abstract ma non possono essere sottoclassi di Structural

Distinguished Names, DN

È un attributo unico per la entity e descrive dove trovarla nell'albero camminando a partire dalla radice

Attributes

Un attributo in generale è un record che contiene le informazioni legate ad una entity

Operazioni su LDAP

Le entity sono organizzate in un albero che le contiene e che espone un dominio di ricerca.

Su un albero è possibile effettuare operazioni come bind, l'autenticazione, search, la ricerca, add, creazione, modify, modifica, delete, rimozione, rename, rinomina.

bind

Per effettuare l'autenticazione di un utente si usa la procedura bind; usando una combinazione user/pass è possibile chiedere al server LDAP se l'utente esiste e quindi autenticarlo.

infrastructure/ldap.txt · Ultima modifica: 2017/05/31 13:14 da edoput