2. Sommaire:
I. Definition
II. les modeles de LDAP:
un modèle d’information
un modèle de nommage
un modèle fonctionnel
un modèle de sécurité
un modèle de duplication
III. Communication et Réplication dans LDAP
IV. Transport et Sécurité des Données LDAP
V. Différence entre LDAP et AD
VI. Les avantages de LDAP
3. DEFINITION:
LDAP, acronyme de Lightweight Directory Access
Protocol (Protocole d'Accès Léger aux Répertoires), est
un protocole de communication standardisé largement
utilisé dans les systèmes informatiques pour accéder et
gérer des annuaires d'informations de manière distribuée
sur un réseau IP (Internet Protocol).
4. Lightweight Directory Access Protocol(LDAP)
◦ adaptation de X.500 au protocole TCP/IP
◦ va dans le sens de la simplification d’X.500
X.500
◦ Standard conçu en 1988 par l’UIT-T pour interconnecter leurs
annuaires téléphoniques
◦ Destiné à normaliser les services d’annuaires&
◦ Définit :
des règles de nommage pour les données de l’annuaire
des protocoles d’accès à l’annuaire (DAP)
un mécanisme d’authentification
5. Evolution de LDAP de 1993 à maintenant :
LDAPv1 RFC 1487 (1993)
LDAPv2 RFC 1777 (1995)
LDAPv3 RFC 2251 (1997)
Echec car inadapté aux communications
distantes
Ne profite pas de l’essor de TCP/IP
6. Les modèles de LDAP:
LDAP définit par:
un modèle d’information le type de données de l’annuaire
un modèle de nommage comment les données sont organisées
un modèle fonctionnel comment on accède aux données
un modèle de sécurité comment protéger l’accès aux données
un modèle de duplication comment répartir les données entre
serveurs
7. Le modèle d’information
◦ Définit le type de données pouvant être stocké dans l’annuaire
Entrée
est un élément de base de l’annuaire
contient les données
équivalent à une « classe d’objet» en POO
regroupe un ensemble d’attributs
Un attribut :
Une entrée de l’annuaire contient une suite de couples types d’attributs - valeurs
d’attributs. Les attributs sont caractérisés par :
• un nom
• un type
• une méthode de comparaison
• un « Object Identifier » (IOD)
• une valeur
8. attribut description
cn « common name » ou nom commum
o « organization name » ou nom de l’organisation
gn « given name » ou le surnom
l « locality name » ou nom de la localité
st « state name » ou nom de l’état
ou « organisational unit » ou unité d’organisation
dc « domain component » ou nom de domaine
Un attribut peut être possédé par plusieurs classes !
9. Le schéma
L'ensemble des définitions relatives aux objets que sait gérer un serveur LDAP s'appelle le
schéma. Le schéma décrit les classes d'objets, leurs types d’attributs et leur syntaxe.
Les classes d’objets
Les classes d'objets modélisent des objets réels ou abstraits en les caractérisant
par une liste d’attributs optionnels ou obligatoires. Une classe d’objet est définie
par:
• Un nom qui l’identifie
• Un OID qui l’identifie également
• Des attributs obligatoires
• Des attributs optionnels
• Un type (structurel, auxiliaire ou abstrait)
10. Un OID :
est une séquence de nombres entiers séparés par des points. Les OID
sont alloués de manière hiérarchique de telle manière que seule
l'autorité qui a délégation sur la hiérachie "1.2.3" peut définir la
signification de l'objet "1.2.3.4". Par exemple :
2.5 - fait référence au service X500
2.5.4 - est la définition des types d'attributs
2.5.6 - est la définition des classes d'objets
1.3.6.1 - the Internet OID
1.3.6.1.4.1 - IANA-assigned company OIDs, used for private MIBs
1.3.6.1.4.1.4203 - OpenLDAP
11. Le modèle de nommage
◦ Il définit comment sont organisées les entrées de l’annuaire et comment
elles sont référencées
◦ Cette organisation est représentée par le Directory Information Tree
• (DIT)
◦ Classification des entrées dans une arborescence hiérarchique
comparable au système de fichier LUNIX
12. Exemple de Directory Information Tree :
o Chaque nœud du DIT correspond à une entrée de l’annuaire
13. Distinguish Name (DN) référence de manière unique une
entrée du DIT
Equivalent du path d’un fichier LUNIX
Chaque composant du DN est appelé « Relative Distinguish
Name » (RDN)
DN constitué d’un ensemble d’attributsetde leurs valeurs
provenant de chacunes des entrées parentes mises bout à bout.A
14. Serveur LDAP
Une« Root Entry » correspond à l’espacede nommage géré par le
serveur
Un serveur LDAP peut gérer plusieurs arbres (donc plusieurs« Root
Entry »)
15. Le modèle de fonctionnement
Il décrit :
les moyens d’accès aux données
les opérations applicables aux données
Les opérations possibles sont :
opérations d’interrogation requête pour accéder aux données
opérations de comparaison renvoie vrai ou faux si égal
opérations de mise à jour add, delete, rename, modify
opérations d’authentification et de contrôle bind, unbind, abandon
16. Le modèle de sécurité
Il décrit le moyen de protéger les données de l’annuaire
La sécurité se fait à plusieurs niveaux
par l’authentification pour se connecter au service
par un modèle de contrôle d’accès au données
par le chiffrement des communications
17. Pour l’authentification, LDAPv3 propose plusieurs choix:
Anonymous authentification accès sans authentification
Root DN authentification accès administrateur
Mot de passe + SSL ou TLS accès chiffré
Certificats sur SSL échange clé publique/privée
Lecontrôle d’accès droit d’accès aux données (lecture, écriture, recherche,
comparaison)
Chiffrement utilisation de SSL ou TLS
18. Le modèle de duplication
Il définit comment dupliquer l’annuaire sur d’autres serveurs
Intérêt de dupliquer un serveur :
pallier une panne de l’un des serveurs, coupure de réseaux, …
répartir la charge du service
garantir une qualité de service (temps de réponse)
Pas encore standardisé préparation du protocole LDUP
• (Lightweight Directory Update Protocol)
19. Communication et Réplication dans LDAP
2 méthodes de communications, 2 fonctionnalités:
◦ Client/serveur: accès aux informations par les clients
normalisée par l’IETF : version actuelle LDAPv3
◦ Serveur/serveur: duplication des informations entre
serveurs
les serveurs LDAP se partagent les informations pour
se répliquer ou pour se synchroniser.
20. Exemple de communication client/serveur
LDAP
Possibilité de faire plusieurs recherches sur une seule connexion, illustrant
l'efficacité de la communication dans LDAP.
21. Transport et Sécurité des Données LDAP
Format ASCII:Format de transport des données similaire
à HTTP ou SMTP.
Mécanisme de sécurité pour le transport :
• authentification et chiffrement
• règles d’accès aux données
Interrogation Search, Compare
Mise à jour Add, Delete, Modify
Connexion Bind, Unbind, Abandon
Opérations de base LDAP
22. Différence entre LDAP et AD:
Active Directory (AD) est un annuaire nécessitant un protocole pour la maintenance,
l'interrogation et l'authentification de son accès.
LDAP (Lightweight Directory Access Protocol) est un protocole léger qui permet
d'accéder aux services d'annuaire.
LDAP agit comme un protocole pour Active Directory, mais ces deux éléments ne
sont pas identiques.
LDAP aide à créer des objets de requête dans l'AD et permet aux utilisateurs
d'accéder aux services d'annuaire de manière efficace et sécurisée.
LDAP peut lire AD, mais les entreprises peuvent également l'utiliser avec d'autres
programmes.
AD et LDAP coopèrent de manière transparente pour fournir un meilleur accès aux
bases de données et une meilleure sécurité aux utilisateurs.
23. Les avantages de LDAP:
1. Performances : ses structures de données s'adaptent efficacement aux requêtes
couramment utilisées dans les bases de données, ce qui améliore les performances.
2. Flexibilité : LDAP est compatible avec différents systèmes d'annuaire, centralisés ou
décentralisés, ainsi qu'avec des logiciels open-source, ce qui favorise des implémentations à
grande échelle.
3. Extensibilité : Il permet le stockage de données distribuées, offrant une grande
extensibilité aux entreprises.
4. Sécurité : LDAP garantit la sécurité des données sensibles via son processus
d'authentification. De plus, l'utilisation de SSL/TLS pour le cryptage renforce la sécurité en
protégeant les échanges d'informations contre la manipulation et le vol de données.