Capitolo 13. LDAP (Lightweight Directory Access Protocol)
Lightweight Directory Access Protocol (LDAP) � un insieme di protocolli open usati per accedere alle informazioni conservate centralmente attraverso una rete. � basato su standard X.500 per la condivisione della directory, ma � meno complesso e richiede meno risorse. Per questa ragione, LDAP viene indicato come "X.500 Lite." Lo standard LDAP viene talvolta indicato come ad una directory contenente informazioni sulla categoria e sulla gerarchia, tra le suddette informazioni si possono trovare i nomi, gli indirizzi ed i numero di telefono.
Come X.500, LDAP organizza le informazioni attraverso una scala gerarchica usando delle directory. Queste directory possono conservare una certa variet� di informazioni e possono anche essere usate in un modo simile al Network Information Service (NIS), abilitando chiunque ad accedere il proprio account da qualsiasi macchina presente sulla rete LDAP abilitata.
In molti casi LDAP viene usato come directory telefonica virtuale, permettendo agli utenti di accedere facilmente alle informazioni di contatto per altri utenti. LDAP � molto pi� flessibile della directory telefonica tradizionale, in quanto � capace di effettuare una richiesta ad altri server LDAP nel mondo, fornendo un deposito di informazioni globale ideale. Attualmente, tuttavia, LDAP � maggiormente usato all'interno di organizzazioni individuali, come universit�, uffici governativi, e di compagnie.
LDAP � un sistema client/server. Il server pu� usare una variet� di database per conservare una directory, ognuna delle quali � ottimizzata per operazioni di lettura veloci. Quando un'applicazione del client LDAP si collega ad un server LDAP, pu� sia interrogare la directory che cercare di modificarla. Nel caso in cui si verifica una interrogazione, il server pu� rispondere in modo locale, oppure pu� fare riferimento alla richiesta di un server LDAP il quale � in possesso di una risposta. Se l'applicazione di un client st� cercando di modificare le informazioni all'interno di una directory LDAP, il server verifica se l'utente possiede il permesso di effettuare il cambiamento, e successivamente aggiunge o aggiorna le informazioni.
Questo capitolo f� riferimento alla configurazione e all'uso di OpenLDAP 2.0, una implementazione della open source dei protocolli LDAPv2 e LDAPv3.
13.1. Perch� usare LDAP?
Il beneficio principale nell'uso di LDAP, � rappresentato dal fatto che le informazioni per una intera organizzazione possono essere consolidate in un deposito centrale. Per esempio, invece di gestire gli elenchi di un utente per ogni gruppo, all'interno di una organizzazione, LDAP pu� essere usato come una directory centrale accessibile da qualsiasi posizione della rete. Poich� LDAP supporta Secure Sockets Layer (SSL) e il Transport Layer Security (TLS), i dati sensibili possono essere protetti da utenti indiscreti.
LDAP supporta anche un numero di database del tipo back-end nei quali archiviare le directory. Ci� conferisce agli amministratori una certa flessibilit� nell'impiegare il database che meglio si addice al tipo di informazioni che il server diffonde. Poich� LDAP possiede anche un Application Programming Interface (API) ben definito del client, il numero delle applicazioni abilitate-LDAP sono numerose e in aumento sia in quantit� che in qualit�.
13.1.1. Contenuti di OpenLDAP
OpenLDAP 2.0 presenta un numero di contenuti molto importanti.
Supporto LDAPv3 — OpenLDAP 2.0 supporta il Simple Authentication and Security Layer (SASL), Transport Layer Security (TLS), ed il Secure Sockets Layer (SSL), insieme ad altri miglioramenti. Molti dei cambiamenti apportati al protocollo, dalla versione 2 di LDAP, sono stati effettuati per rendere LDAP pi� sicuro.
Supporto IPv6 Support — OpenLDAP supporta il protocollo Internet versione 6.
LDAP tramite IPC — OpenLDAP pu� comunicare all'interno di un sistema usando un interprocess communication (IPC). Questo permette di aumentare la sicurezza, eliminando il bisogno di comunicare attraverso la rete.
API C aggiornata — Migliora il modo in cui i programmatori possono collegarsi e usare i server della directory LDAP.
Supporto LDIFv1 — Interamente compatibile con la versione 1 di LDAP Data Interchange Format (LDIF).
Server LDAP stand-alone aggiornato — Comprende un sistema di controllo dell'accesso aggiornato, un raggruppamento dei thread, tool pi� efficaci e altro ancora.