LDAP là gì? Cách kiểm soát truy cập LDAP

19/02/2021
Banner hosting giá rẻ dành cho sinh viên

LDAP là gì? Nhờ LDAP mà hỗ trợ cho những người quản trị máy chủ hội nghị có thể dễ dàng quản lý các tài khoản điểm cầu. Cùng Vietnix tìm hiểu

LDAP là gì?

LDAP (Lightweight Directory Access Protocol) là  là một giao thức ứng dụng truy cập các cấu trúc thư mục. LDAP được phát triển trên tiêu chuẩn X500. Được thiết kế trên giao thức Internet TCP/IP và là chuẩn cho dịch vụ thư mục (Directory Service – DS) chạy trên nền tảng OSI.

LDAP sử dụng gói tin overhead thấp, được xác định chính xác trên lớp TCP của danh sách giao thức TCP/IP còn X500 là hạng nặng vì thuộc lớp giao thức ứng dụng, chứa nhiều header hơn (các header của các layer tầng thấp hơn).

LDAP chủ là một giao thức chứ không hỗ trợ xử lý như database. Nhưng nó cần một nơi để lưu trữ backend và xử lý dữ liệu. LDAP là một giao thức truy cập dạng client/server.

ldap là gì
LDAP là gì?

LDAP lưu trữ dữ liệu này bằng các bản ghi có chứa một tập các thuộc tính. Hãy nghĩ về các thuộc tính như các trường trong cơ sở dữ liệu. Bản thân bản ghi có một mã định danh duy nhất. Distinguished Name (Tên phân biệt) theo cách nói LDAP.

Thường được xem là ‘DN’, đây là bit duy nhất của mỗi mục. Giống như đường dẫn đến tệp trên hệ thống tệp của bạn. Hoặc có lẽ chính xác hơn tương tự như một địa chỉ đường phố. Vì các địa chỉ bưu chính bắt đầu bằng bit cụ thể nhất trước tiên (số nhà, v.v.), cũng như các DN. Mỗi thuộc tính khác trong bản ghi có một tên và một loại, cũng như một hoặc nhiều giá trị.

ldap
Banner Hosting Cao Cấp dành cho SEOer

Hoạt động của LDAP

Như đã nói ở trên, LDAP hoạt động theo mô hình client-server. Một hay nhiều LDAP server sẽ chứa các thông tin về cây thư muc (Directory Infomation Tree -DIT). LDAP client sẽ kết nối đến server và gửi request, server sẽ phản hồi lại bằng chính nó hoặc trỏ tới LDAP server khác để client lấy được thông tin. Thứ tự khi kết nối theo từng bước dưới đây:

  • Connect (Kết nối với LDAP): Client sẽ mở kết nối tới LDAP server.
  • Bind (kiểu kết nối – ẩn danh hoặc đăng nhập): Client gửi đii các thông tin xác thực.
  • Search (Tìm kiếm): Client gửi đi yêu cầu tìm kiếm.
  • Interpert search (xử lý tìm kiếm): Server thực hiện việc xử lý tìm kiếm.
  • Result (kết quả): Máy chủ phản hồi lại kết quả với Client.
  • Unbind: Client gửi đi yêu cầu đóng kết nối với server.
  • Close connection (đóng kết nối): Đóng kết nối từ server.

Database backend của LDAP

Slapd là một “LDAP Directory Server” có thể chạy trên nhiều platform khác nhau. Có thể sử dụng nó để cung cấp dịch vụ cho riêng mình. Những tính năng mà slapd cung cấp như:

  • LDAPv3: Slapd hỗ trợ LDAP cả cho địa chỉ IPv4 và IPv6, Unix IPC.
  • Simple Authentication and Security Layer: Slapd hỗ trợ mạnh mẽ chứng thực và bảo mật dữ liệu dịch vụ bằng SASL.
  • Transport Layer Security: Slapd có hỗ trợ TLSSSL.

Hiện tại, SLAPD sử dụng BDB và HDB để lưu trữ các dữ liệu. Với BDB sử dụng Oracle Berkeley DB để lưu trữ các dữ liệu. Nó được đề nghị sử dụng làm database backend chính cho các SLAPD thông thường. HDB cũng giống với BDB, tuy nhiên nó sử dụng database phân cấp nên sẽ hỗ trợ cơ sở dữ liệu dạng cây. Với hiện nay thì HDB được mặc định cấu hình trong SLAPD.

Banner Hosting Giá Rẻ dành cho cá nhân

Mô hình của LDAP

LDAP được chia làm 4 mô hình sau:

  • LDAP information: Xác định cấu trúc và đặc điểm của các thông tin trong thư mục.
  • LDAP Naming: Xác định cách các thông tin được tham chiều và tổ chức.
  • LDAP Functional: Định nghĩa cách mà các bạn truy cập và cập nhật thông tin trong thư mục của bạn.
  • LDAP Security: Định nghĩa ra cách thông tin trong thư mục của bạn được bảo vệ để tránh các truy cập không được cho phép.

Làm thế nào để xác thực, ủy quyền và kiểm soát truy cập LDAP hoạt động?

LDAP chia sẻ rất tốt cho những thứ như kiểm soát truy cập và ủy quyền. Những nhóm người dùng nội bộ? Chỉ người dùng trong nhóm được phép mới có quyền truy cập vào ứng dụng được cấp phép. Vì vậy khi ai đó cố gắng đăng nhập, hãy đảm bảo họ ở trong nhóm thích hợp trước khi cấp quyền truy cập, v.v.

xác thực ldap

Nhưng làm thế nào để một người có quyền truy cập vào tất cả các bản ghi đó? Quá trình này diễn ra khá đơn giản:

Một phiên bắt đầu với một máy khách liên kết với máy chủ LDAP (DSA, Directory System Agent – Tác nhân hệ thống thư mục), cổng mặc định 389

  1. Sau đó, khách hàng sẽ gửi một yêu cầu hoạt động (thường là một yêu cầu tìm kiếm hoặc so sánh) đến máy chủ, yêu cầu một tập hợp thông tin cụ thể.
  2. Sau đó, máy chủ xử lý truy vấn này và cung cấp phản hồi.
  3. Máy khách nhận được phản hồi và hủy liên kết, sau đó xử lý dữ liệu.
Hosting Cao Cấp dành cho Web Developer

Lời kết

Những thông tin trên chắc hẳn đã giúp bạn hiểu rõ LDAP là gì. Hãy vận dụng nó một cách hiệu quả vào công việc và bạn sẽ thấy sử dụng LDAP thực sự hữu ích cho công việc của bạn.

5/5 - (6 bình chọn)
Banner Hosting Giá Rẻ tại Vietnix
Mình là Bo - admin của Quản Trị Linux. Mình đã có 10 năm làm việc trong mảng System, Network, Security và đã trải nghiệm qua các chứng chỉ như CCNP, CISSP, CISA, đặc biệt là chống tấn công DDoS. Gần đây mình trải nghiệm thêm Digital Marketing và đã hòan thành chứng chỉ CDMP của PearsonVUE. Mình rất thích được chia sẻ và hỗ trợ cho mọi người, nhất là các bạn sinh viên. Hãy kết nối với mình nhé!
Theo dõi
Thông báo của
guest
0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận

Yêu cầu Vietnix gọi lại

Vui lòng nhập thông tin để chúng tôi liên hệ lại với bạn