X.500 und LDAP

Stefan, Moritz & Oliver

Verzeichnissysteme

X.500

LDAP

Verzeichnisdienst

baumartige Aufteilung von Informationen und Objekten in einer bestimmten Reihenfolge (Ebenen)

Speicherung von Daten

Zugriff auf ein VD über ein Interface

Suchen, Ändern, Hinzufügen, Löschen

Beispiel (VD)

Benutzerverzeichnis: Name, Adresse, Telefonnummer, E-Mail-Adresse

Druckerverzeichnis: Informationen über Standort, Druckerart, druckbare Seiten pro Minute, Zugriffsrechte

X.500

Verzeichnisdienst

globale Zugriffe möglich

baumartige Struktur

Wurzelobjekt: root

jeder Verzeichnisbaum gehört einer Objekt-Klasse an

www.ee.fhm.edu

1984: Entwicklung von X.500 (basiert auf dem OSI Model (Ebene 7) u. dem Protokoll DAP (Directory Access Protocol)

1988: als Standard von ISO aufgenommen 1993: Weiterentwicklungen von X.500:

X.501 User Information Model (Benutzersicht auf die Directory)

X.509 Authentication Framework

X.518 Procedures for Distributed Operation

X.519 Protocol Specifications

X.520 Selected Attribute Types

X.521 Selected Object Classes

X.525 Replication

Struktur Der DIT (Directory Information Tree) definiert die Struktur der global

verfügbaren Einträge.

Die Gesamtheit aller gespeicherten Einträge bildet die Directory Information Base (DIB).

Diese Information verteilt sich auf einzelne Server-Instanzen, die Directory Service Agents (DSA)

Anwendungen benötigen zum Zugriff auf den Dienst einen lokalen Directory User Agent (DUA)

X.500 Protokolle

Definiert die administrative Kommunikation zwischen zwei Directory System Agents (DSA).

Directory Operational Binding Management Protocol (DOP)

Definiert die Replikation zwischen Master- und Slave-Server.

Directory Information Shadowing Protocol (DISP)

Definiert die Kommunikation zwischen den Directory System Agents (DSA).

Directory System Protocol (DAP)

Definiert die Kommunikation zwischen Directory User Agent (DUA) und Directory System Agent (DSA).

Directory Access Protocol (DAP)

BeschreibungProtokoll

www.ee.fhm.edu

Nachteile

riesiger Funktionsumfang (zahlreiche DSAs)

schwierig zu administrieren

es gibt keine geeigneten Clients für „kleinere“ Systeme

=> konnte sich kaum durchsetzen

LDAP

1. Was ist LDAP?2. Wie funktioniert LDAP?

2.1 Zugriff über ein LDAP-Gateway2.2 Direkter Zugriff

3. Vor- und Nachteile

● Protokoll um auf ein X.500 Verzeichnis zuzugreifen

● Wird fälschlicherweise oft als Verzeichnis-dienst bezeichnet

● Unterstützt TCP/IP, daher: findet Verwendung beim Zugriff über das

Internet

Was ist LDAP?

Wie funktioniert LDAP

● Zwei verschiedene Möglichkeiten des Zugriffs auf das Verzeichnis:

Zugriff über ein LDAP-Gateway

Direkter Zugriff (Stand-alone-LDAP-Server)

Zugriff über ein LDAP Gateway

● Der LDAP-Gateway sendet die Anfragen des LDAP-Client an den X.500-Server weiter

● Er ist gleichzeitig LDAP-Server und X.500-Client

Direkter Zugriff (Stand-alone-LDAP-Server)

● LDAP-Server greift direkt auf das Verzeichnis zu● In diesem Fall spricht man von einem LDAP-

Verzeichnisdienst● Der LDAP-Client unterscheidet nicht zwischen

direktem Zugriff, und Zugriff über ein Gateway

Vor- und Nachteile

Vorteile- Verzeichnis kann von

jedem jedem LDAP-fähigen Programm abgefragt werden

- leichte Implementierung (im Gegensatz zu X.500)

- Zahl der LDAP-Anwen-dungsprogramme und Gateways steigt

Nachteile- zur Zeit nur wenige

LDAP-fähige Programme für z.b. Linux im Umlauf

- weniger Sicherheitsmerkmale als X.500

Danke

für die Aufmerksamkeit

Quellen

http://www.elektronik-kompendium.de/sites/net/0905011.htm http://www.decus.de/slides/sy2005/05_04/1A08.pdf www.ee.fhm.edu