Was ist unter Windows in der Active Directory das Lightweight Directory Access Protocol (LDAP)?

Was versteht man unter dem LDAP Protokoll

Grundlegendes

Auch der Begriff LDAP gehört zu den Grundlagen, wenn es um das Thema Active Directory geht. Aber was ist das, wozu wird es benötigt? Dieser Artikel beschreibt kurz, was man darunter versteht. Zunächst handelt es sich ganz allgemein um ein Netzwerkprotokoll, das in RFCs 4510, 4511 und 4532 definiert wurde. Oft wird LDAP mit einem Verzeichnis verwechselt. Dem ist aber nicht so. LDAP ist ein Protokoll, was für die Änderungen und Abfragen in einem Verzeichnisdienst verwendet wird.

Für die Übertragung wird dabei der Port 389 bei einer unsicheren Verbindung verwendet und der Port 636 bei einer mit TLS gesicherten Verbindung. Diese ist nötig, damit eine reibungslose Zusammenarbeit mit LDAP funktioniert. Anwendungsfälle und Einsatzgebiete von LDAP gibt es natürlich sehr viele. Die bekannteste Implementierung ist die Microsoft Active Directory. Aber auch Novell verwendet LDAP.

Aufbau von LDAP

Nun ist es natürlich wichtig, dass dieses Verzeichnis eine sinnvolle geordnete Struktur hat und es sollte auch über unterschiedliche Server verteilt sein können. Aus diesem Grund wurde das Verzeichnis als Baumstruktur aufgebaut und folgt dem Prinzip der objektorientierten Programmierung. Diese besteht grundsätzlich aus Klassen, Objekten und Attributen. Hierzu entstanden die unterschiedlichen Namen mit folgendem Schema:

  • CN: commonName
  • L: localityName
  • ST: stateOrProvinceName
  • O: organizationName
  • OU: organizationalUnitName
  • C: countryName
  • STREET: streetAddress
  • DC: domainComponent
  • UID: userid

Auslesen von LDAP Informationen in der Active Directory

Grundsätzlich sind das sehr viele Elemente. Aber wie bereits aus der Windows Active Directory bekannt, sind dort weniger Elemente im Einsatz. Zum Auslesen sämtlicher Eigenschaften eines Objekts in der Active Directory eignet sich zum einen sehr gut der ADSI-Editor oder aber natürlich auch die Windows PowerShell.

Im ADSI Editor Alle Attribute Und Objekte Auslesen
Im ADSI Editor Alle Attribute Und Objekte Auslesen

Das Prinzip dahinter ist natürlich, dass Objekte leicht referenziert werden können, damit diese eindeutig zugeordnet werden können und natürlich auch eindeutig aufgefunden werden können.

Get-ADUser Tom

So liefert die obige PowerShell Angabe genau die Attribute des Benutzers Tom. Anhang des DistinguishedName kann genau eine Lokation des Benutzers vorgenommen werden.

CN = tom, OU = schueler, DC = it, DC = local

Die Attribute Eines ADBenutzers Auslesen Eindeutige Lokation Feststellen
Die Attribute eines AD Benutzers Auslesen eindeutige Lokation Feststellen

Das könnte sich auch interessieren: