Verloren im Labyrinth der IT-Begriffe? Hier finden Sie Definitionen und Basiswissen zu Rechenzentrums-IT und -Infrastruktur.

Protokoll für Verzeichnisdienste Was ist LDAP?

Von Martin Hensel

Das „Lightweight Directory Access Protocol“ (LDAP) ist ein standardisiertes Zugriffsprotokoll, das bei Abfragen und Änderungen in Verzeichnisdiensten zum Einsatz kommt. Es gilt als De-Facto-Industriestandard für Anwendungen, die mit Benutzerdaten umgehen müssen. Die bekannteste LDAP-Implementierung findet sich in Microsofts Active Directory.

Anbieter zum Thema

LDAP sorgt für die Kommunikation mit entsprechenden Verzeichnisdiensten.
LDAP sorgt für die Kommunikation mit entsprechenden Verzeichnisdiensten.
(Bild: Gerd Altmann / Pixabay )

Bei LDAP handelt es sich um ein quelloffenes Netzwerkprotokoll, das speziell für die Abwicklung von Anwendungen und Zugriffen auf Verzeichnisdienstanbieter entwickelt wurde. Es basiert auf dem Client-Server-Modell, einem altbekannten Standardmodell für die Verteilung von Aufgaben innerhalb eines Netzwerks.

Dementsprechend beschreibt das LDAP die Kommunikation zwischen einem LDAP-Client und einem Verzeichnis-Server, der oftmals auch LDAP-Server oder Directory System Agent genannt wird. LDAP ermöglicht schnelle Abfragen, ist übersichtlich aufgebaut und auch in großen Datenbeständen performant.

Die Entwicklung von LDAP geht auf die Universität von Michigan (USA) zurück, die das Protokoll erstmals 1993 im RFC 1487 („Request for Comments“) vorstellte. Da LDAP im Grunde eine entschlackte Variante des Directory Access Protocols (DAP) darstellt, wird es als „Lightweight“ bezeichnet. DAP ist nach dem X.500-Standard spezifiziert, der den Aufbau eines Verzeichnisdienstes beschreibt. Er ist extrem umfangreich und basiert auf einem ISO/OSI-Stack, was eine vollständige Implementierung äußerst schwierig gestaltet.

LDAP setzt dagegen auf dem gängigen TCP/IP-Stack auf und stellt nur eine Auswahl an DAP-Funktionen und -Datentypen bereit. Dadurch ließ sich LDAP auch auf gängigen Rechnern der 90er Jahre nutzen, was dem Protokoll zum Durchbruch verhalf.

Funktionsweise im Überblick

LDAP-Verzeichnisdienste organisieren Informationen und Attribute verschiedener Objekte in einer Baumstruktur namens Directory Information Tree (DIT). Dort werden sie strukturiert abgelegt und lassen sich einfach abfragen oder ändern. Die Baumstruktur ist genormt und hierarchisch aufgebaut. Sie verzweigt sich von einem Stammverzeichnis („Root“) durch verschiedene organisatorische Ebenen wie zum Beispiel Länder, Organisationen und Organisationsebenen bis hin zu Personen oder Hardware verzweigt.

LDAP ist objektorientiert und nutzt entsprechende Konzepte wie Klassen, Objekte, Vererbung und Polymorphie. Verzeichniseinträge sind durch ihre Objektbezeichnung („Distinguished Name“) eindeutig identifizierbar. Attribute können aber durchaus mehrere Werte enthalten.

LDAP dient in diesem Kontext als Kommunikationsmittel zwischen Client und Server, um Attribute zu suchen, zu ändern oder zu authentifizieren. Der zugehörige Datenverkehr wird über TCP- und UDP-Ports abgewickelt – als Standards gelten Port 389 für ungesicherte Übertragungen sowie Port 636 für TLS-verschlüsselte („Transport Layer Security“) Kommunikation. Für den Verzeichnisdienst zugangsberechtigte Anwender nutzen für ihre Anfragen in der Regel LDAP-fähige Anwendungen. Gängige Beispiele hierfür sind E-Mailprogramme wie Microsoft Outlook oder Apple Mail.

Überblick im Informationschaos

LDAP wird gerne in Umgebungen genutzt, die große Mengen an Daten und Informationen verwalten müssen. Dazu zählen beispielsweise Telekommunikationsunternehmen, IT-Dienstleister sowie Hard- und Software-Entwickler. Für sie ist die Bereitstellung großer Mengen an organisierten Daten wichtig.

Gängige Einsatzgebiete für LDAP sind unter anderem Benutzer- und Systemverwaltung, Authentifizierung von Sitzungen sowie Verwaltung von Einträgen und Vorgängen der Verzeichnisdatenbank und entsprechender Anfragen. Weitere gängige Anwendungsszenarien sind Network Information Services (NIS) und Boot-Informationen, DNS-Zonendatenverwaltung („Domain Name System“) sowie die Organisation von DHCP-Servern („Dynamic Host Configuration Protocol“) und E-Mail-Aliases. Endnutzer kommen mit LDAP selten direkt in Berührung, nutzen das Protokoll aber häufig unbewusst in Anwendungen wie zum Beispiel bei Kontakt- und Telefonverzeichnissen oder auch zur Dokumentenverwaltung.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48285683)