LDAP là gì? Cách kiểm soát truy cập LDAP

Nếu bạn hoạt động trong lĩnh vực công nghệ sẽ không cảm thấy lạ lẫm về khái niệm LDAP. Nhờ LDAP mà hỗ trợ cho những người quản trị máy chủ hội nghị có thể dễ dàng quản lý các tài khoản điểm cầu. Cùng Vietnix tìm hiểu veef LDAP là gì trong bài viết dưới đây.

LDAP là gì?

LDAP (Lightweight Directory Access Protocol) là một giao thức ứng dụng truy cập các cấu trúc thư mục. LDAP được phát triển trên tiêu chuẩn X500. Được thiết kế trên giao thức Internet TCP/IP và là chuẩn cho dịch vụ thư mục (Directory Service – DS) chạy trên nền tảng OSI.

LDAP sử dụng gói tin overhead thấp, được xác định chính xác trên lớp TCP của danh sách giao thức TCP/IP còn X500 là hạng nặng vì thuộc lớp giao thức ứng dụng, chứa nhiều header hơn (các header của các layer tầng thấp hơn).

LDAP chủ là một giao thức chứ không hỗ trợ xử lý như database. Nhưng nó cần một nơi để lưu trữ backend và xử lý dữ liệu. LDAP là một giao thức truy cập dạng client/server.

LDAP lưu trữ dữ liệu này bằng các bản ghi có chứa một tập các thuộc tính. Hãy nghĩ về các thuộc tính như các trường trong cơ sở dữ liệu. Bản thân bản ghi có một mã định danh duy nhất. Distinguished Name (Tên phân biệt) theo cách nói LDAP.

Thường được xem là ‘DN’, đây là bit duy nhất của mỗi mục. Giống như đường dẫn đến tệp trên hệ thống tệp của bạn. Hoặc có lẽ chính xác hơn tương tự như một địa chỉ đường phố. Vì các địa chỉ bưu chính bắt đầu bằng bit cụ thể nhất trước tiên (số nhà, v.v.), cũng như các DN. Mỗi thuộc tính khác trong bản ghi có một tên và một loại, cũng như một hoặc nhiều giá trị.

Hoạt động của LDAP

Như đã nói ở trên, LDAP hoạt động theo mô hình client-server. Một hay nhiều LDAP server sẽ chứa các thông tin về cây thư mục (Directory Infomation Tree -DIT). LDAP client sẽ kết nối đến server và gửi request, server sẽ phản hồi lại bằng chính nó hoặc trỏ tới LDAP server khác để client lấy được thông tin. Thứ tự khi kết nối theo từng bước dưới đây:

• Connect (Kết nối với LDAP): Client sẽ mở kết nối tới LDAP server.
• Bind (kiểu kết nối – ẩn danh hoặc đăng nhập): Client gửi đii các thông tin xác thực.
• Search (Tìm kiếm): Client gửi đi yêu cầu tìm kiếm.
• Interpert search (xử lý tìm kiếm): Server thực hiện việc xử lý tìm kiếm.
• Result (kết quả): Máy chủ phản hồi lại kết quả với Client.
• Unbind: Client gửi đi yêu cầu đóng kết nối với server.
• Close connection (đóng kết nối): Đóng kết nối từ server.

Database backend của LDAP

Slapd là một “LDAP Directory Server” có thể chạy trên nhiều platform khác nhau. Có thể sử dụng nó để cung cấp dịch vụ cho riêng mình. Những tính năng mà slapd cung cấp như:

• LDAPv3: Slapd hỗ trợ LDAP cả cho địa chỉ IPv4 và IPv6, Unix IPC.
• Simple Authentication and Security Layer: Slapd hỗ trợ mạnh mẽ chứng thực và bảo mật dữ liệu dịch vụ bằng SASL.
• Transport Layer Security: Slapd có hỗ trợ TLS và SSL.

Hiện tại, SLAPD sử dụng BDB và HDB để lưu trữ các dữ liệu. Với BDB sử dụng Oracle Berkeley DB để lưu trữ các dữ liệu. Nó được đề nghị sử dụng làm database backend chính cho các SLAPD thông thường. HDB cũng giống với BDB, tuy nhiên nó sử dụng database phân cấp nên sẽ hỗ trợ cơ sở dữ liệu dạng cây. Với hiện nay thì HDB được mặc định cấu hình trong SLAPD.

Mô hình của LDAP

LDAP được chia làm 4 mô hình sau:

• LDAP information: Xác định cấu trúc và đặc điểm của các thông tin trong thư mục.
• LDAP Naming: Xác định cách các thông tin được tham chiều và tổ chức.
• LDAP Functional: Định nghĩa cách mà các bạn truy cập và cập nhật thông tin trong thư mục của bạn.
• LDAP Security: Định nghĩa ra cách thông tin trong thư mục của bạn được bảo vệ để tránh các truy cập không được cho phép.

Làm thế nào để xác thực, ủy quyền và kiểm soát truy cập LDAP hoạt động?

LDAP chia sẻ rất tốt cho những thứ như kiểm soát truy cập và ủy quyền. Những nhóm người dùng nội bộ? Chỉ người dùng trong nhóm được phép mới có quyền truy cập vào ứng dụng được cấp phép. Vì vậy khi ai đó cố gắng đăng nhập, hãy đảm bảo họ ở trong nhóm thích hợp trước khi cấp quyền truy cập,…

Nhưng làm thế nào để một người có quyền truy cập vào tất cả các bản ghi đó? Quá trình này diễn ra khá đơn giản:

Một phiên bắt đầu với một máy khách liên kết với máy chủ LDAP (DSA, Directory System Agent – Tác nhân hệ thống thư mục), cổng mặc định 389.

1. Sau đó, khách hàng sẽ gửi một yêu cầu hoạt động (thường là một yêu cầu tìm kiếm hoặc so sánh) đến máy chủ, yêu cầu một tập hợp thông tin cụ thể.
2. Sau đó, máy chủ xử lý truy vấn này và cung cấp phản hồi.
3. Máy khách nhận được phản hồi và hủy liên kết, sau đó xử lý dữ liệu.

LDAP và Active Directory

Lightweight Directory Access Protocol là giao thức Exchange Server sử dụng để giao tiếp với Active Directory. Để thực sự hiểu LDAP là gì và chức năng của nó, bạn cần phải hiểu khái niệm cơ bản đằng sau Active Directory vì nó liên quan đến Exchange.

Active Directory là một dịch vụ thư mục để quản lý miền, người dùng và tài nguyên phân tán như các đối tượng dành cho hệ điều hành Windows. Mục đích của một dịch vụ thư mục là nó quản lý các miền và đối tượng và cho phép người dùng nào có quyền truy cập vào từng tài nguyên.

Active Directory và nhiều dịch vụ khác có sẵn trên Windows Server 10. Chẳng hạn như: các dịch vụ Quản lý tên miền, Lightweight Directory, chứng chỉ, liên kết và quyền. Mỗi dịch vụ đều là một phần của Active Directory để mở rộng tính năng quản lý thư mục.

Active Directory có thông tin tài khoản của tất cả người dùng trên hệ thống mạng. Nó xem mỗi tài khoản người dùng như một đối tượng. Mỗi đối tượng người dùng cũng có nhiều thuộc tính. Thuộc tính này có thể là tên, họ hoặc địa chỉ e-mail của người dùng.

Tất cả thông tin này được nằm trong một cơ sở dữ liệu khổng lồ, phức tạp trên bộ điều khiển miền – Active Directory. Với nhiệm vụ là trích xuất thông tin ở định dạng có thể sử dụng được, đây cũng là là công việc chính của LDAP.

LDAP sử dụng một truy vấn dựa trên chuỗi tương đối đơn giản để trích xuất thông tin từ Active Directory. LDAP có thể lưu trữ và trích xuất các đối tượng như tên người dùng và mật khẩu trong Active Directory, đồng thời chia sẻ dữ liệu đối tượng đó trên toàn mạng.

Và hoạt động này được diễn ra hoàn toàn ở phía sau. Người dùng cuối thông thường sẽ không bao giờ phải thực hiện truy vấn LDAP theo cách thủ công, vì Outlook đã hỗ trợ LDAP và biết cách xử lý tất cả các truy vấn cần thiết.

Lời kết

Những thông tin trên chắc hẳn đã giúp bạn hiểu rõ LDAP là gì. Hãy vận dụng nó một cách hiệu quả vào công việc và bạn sẽ thấy sử dụng LDAP thực sự hữu ích cho công việc của bạn.