Hotline : 07 088 44444
Thích
Chia sẻ

LDAP là gì? Và cách kiểm soát truy cập

19/02/2021

LDAP là gì? Nhờ LDAP mà hỗ trợ cho những người quản trị máy chủ hội nghị có thể dễ dàng quản lý các tài khoản điểm cầu. Cùng Vietnix tìm hiểu

LDAP là gì?

LDAP (Lightweight Directory Access Protocol) là  là một giao thức ứng dụng truy cập các cấu trúc thư mục. LDAP được phát triển trên tiêu chuẩn X500. Được thiết kế trên giao thức Internet TCP/IP và là chuẩn cho dịch vụ thư mục (Directory Service – DS) chạy trên nền tảng OSI.

LDAP sử dụng gói tin overhead thấp, được xác định chính xác trên lớp TCP của danh sách giao thức TCP/IP còn X500 là hạng nặng vì thuộc lớp giao thức ứng dụng, chứa nhiều header hơn (các header của các layer tầng thấp hơn).

LDAP chủ là một giao thức chứ không hỗ trợ xử lý như database. Nhưng nó cần một nơi để lưu trữ backend và xử lý dữ liệu. LDAP là một giao thức truy cập dạng client/server.

ldap là gì
LDAP là gì?

LDAP lưu trữ dữ liệu này bằng các bản ghi có chứa một tập các thuộc tính. Hãy nghĩ về các thuộc tính như các trường trong cơ sở dữ liệu. Bản thân bản ghi có một mã định danh duy nhất. Distinguished Name (Tên phân biệt) theo cách nói LDAP.

Thường được xem là ‘DN’, đây là bit duy nhất của mỗi mục. Giống như đường dẫn đến tệp trên hệ thống tệp của bạn. Hoặc có lẽ chính xác hơn tương tự như một địa chỉ đường phố. Vì các địa chỉ bưu chính bắt đầu bằng bit cụ thể nhất trước tiên (số nhà, v.v.), cũng như các DN. Mỗi thuộc tính khác trong bản ghi có một tên và một loại, cũng như một hoặc nhiều giá trị.

ldap

Hoạt động của LDAP

Như đã nói ở trên, LDAP hoạt động theo mô hình client-server. Một hay nhiều LDAP server sẽ chứa các thông tin về cây thư muc (Directory Infomation Tree -DIT). LDAP client sẽ kết nối đến server và gửi request, server sẽ phản hồi lại bằng chính nó hoặc trỏ tới LDAP server khác để client lấy được thông tin. Thứ tự khi kết nối theo từng bước dưới đây:

  • Connect (Kết nối với LDAP): Client sẽ mở kết nối tới LDAP server.
  • Bind (kiểu kết nối – ẩn danh hoặc đăng nhập): Client gửi đii các thông tin xác thực.
  • Search (Tìm kiếm): Client gửi đi yêu cầu tìm kiếm.
  • Interpert search (xử lý tìm kiếm): Server thực hiện việc xử lý tìm kiếm.
  • Result (kết quả): Máy chủ phản hồi lại kết quả với Client.
  • Unbind: Client gửi đi yêu cầu đóng kết nối với server.
  • Close connection (đóng kết nối): Đóng kết nối từ server.

Database backend của LDAP

Slapd là một “LDAP Directory Server” có thể chạy trên nhiều platform khác nhau. Có thể sử dụng nó để cung cấp dịch vụ cho riêng mình. Những tính năng mà slapd cung cấp như:

  • LDAPv3: Slapd hỗ trợ LDAP cả cho địa chỉ IPv4 và IPv6, Unix IPC.
  • Simple Authentication and Security Layer: Slapd hỗ trợ mạnh mẽ chứng thực và bảo mật dữ liệu dịch vụ bằng SASL.
  • Transport Layer Security: Slapd có hỗ trợ TLSSSL.

Hiện tại, SLAPD sử dụng BDB và HDB để lưu trữ các dữ liệu. Với BDB sử dụng Oracle Berkeley DB để lưu trữ các dữ liệu. Nó được đề nghị sử dụng làm database backend chính cho các SLAPD thông thường. HDB cũng giống với BDB, tuy nhiên nó sử dụng database phân cấp nên sẽ hỗ trợ cơ sở dữ liệu dạng cây. Với hiện nay thì HDB được mặc định cấu hình trong SLAPD.

Mô hình của LDAP

LDAP được chia làm 4 mô hình sau:

  • LDAP information: Xác định cấu trúc và đặc điểm của các thông tin trong thư mục.
  • LDAP Naming: Xác định cách các thông tin được tham chiều và tổ chức.
  • LDAP Functional: Định nghĩa cách mà các bạn truy cập và cập nhật thông tin trong thư mục của bạn.
  • LDAP Security: Định nghĩa ra cách thông tin trong thư mục của bạn được bảo vệ để tránh các truy cập không được cho phép.

Làm thế nào để xác thực, ủy quyền và kiểm soát truy cập LDAP hoạt động?

LDAP chia sẻ rất tốt cho những thứ như kiểm soát truy cập và ủy quyền. Những nhóm người dùng nội bộ? Chỉ người dùng trong nhóm được phép mới có quyền truy cập vào ứng dụng được cấp phép. Vì vậy khi ai đó cố gắng đăng nhập, hãy đảm bảo họ ở trong nhóm thích hợp trước khi cấp quyền truy cập, v.v.

xác thực ldap

Nhưng làm thế nào để một người có quyền truy cập vào tất cả các bản ghi đó? Quá trình này diễn ra khá đơn giản:

Một phiên bắt đầu với một máy khách liên kết với máy chủ LDAP (DSA, Directory System Agent – Tác nhân hệ thống thư mục), cổng mặc định 389

  1. Sau đó, khách hàng sẽ gửi một yêu cầu hoạt động (thường là một yêu cầu tìm kiếm hoặc so sánh) đến máy chủ, yêu cầu một tập hợp thông tin cụ thể.
  2. Sau đó, máy chủ xử lý truy vấn này và cung cấp phản hồi.
  3. Máy khách nhận được phản hồi và hủy liên kết, sau đó xử lý dữ liệu.

Lời kết

Những thông tin trên chắc hẳn đã giúp bạn hiểu rõ LDAP là gì. Hãy vận dụng nó một cách hiệu quả vào công việc và bạn sẽ thấy sử dụng LDAP thực sự hữu ích cho công việc của bạn.

Nếu bạn có thắc mắc hay có vấn đề cần hỗ trợ, bạn có thể liên hệ trực tiếp với Vietnix thông qua các kênh sau:
  • Hotline: 1800 1093 - 07 088 44444
  • Email: support@vietnix.vn
  • Hoặc chat trực tiếp với Vietnix thông qua biểu tượng Livechat ở góc phải màn hình. Đội ngũ chuyên viên của chúng tôi luôn sẵn sàng tư vấn và hỗ trợ bạn 24/7.
Vietnix hiện đang có chương trình khuyến mãi lớn nhất trong năm, giảm giá TRỌN ĐỜI: Đăng ký dùng thử ngay và Vietnix sẽ hoàn tiền 100% nếu quý khách không hài lòng với chất lượng sản phẩm, dịch vụ!
Mình là Bo - admin của Quản Trị Linux. Mình đã có 10 năm làm việc trong mảng System, Network, Security và đã trải nghiệm qua các chứng chỉ như CCNP, CISSP, CISA, đặc biệt là chống tấn công DDoS. Gần đây mình trải nghiệm thêm Digital Marketing và đã hòan thành chứng chỉ CDMP của PersonVUE. Mình rất thích được chia sẻ và hỗ trợ cho mọi người, nhất là các bạn sinh viên. Hãy kết nối với mình nhé!
Bài viết liên quan
Không có bài viết liên quan
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments