LDAP

LDAP - Lightweight Directory Access Protocol, протокол в ip-сетях уровня приложений, служит для предоставления доступа и поддержки сервисов распределенного деревоподобного каталога. Все это началось из телефонных каталогов, и эти принципы были пренесены на компьютерные сети, определив X.500 станадрт и его протокол DAP. Слово Lightweight было добавлено к этой абривиатуре, но это не означает эмолюцию протокола DAP, это означает совершенно другой протокол. Совеременные сервера каталогов поддерживают оба протокола.
Сервер каталогов( Directory System Agent (DSA) ) - это плоская база данных, в отличии от реляционных она лучше подходит в условиях, где нужно много и часто предоставлять данные для чтения, а редактирование и запись происходит наоборот редко.


DIT - Directory Information Tree в LDAP, это каталог представленный иерархическим деревом, состоящим из Distinguished Names(DNs-уникальных имен) элементов каталога. Дерево каталога одной организации состоит из двух частей: 1) верхний уровень структуры имени, представляющий саму организацию; 2) данные в рамках организации.
На заре зарождения каталогов предвидилось, что все каталоги будут обьдинены в одно пространство имен, и на самом верхнем уровне будут страны, потом регионы, организации, и т.д. до субьектов поиска. Но этого не случилось, каталоги не обьединены в одно простарнство имен, верхним уровнем явлются доменные имена. Организация например имеет домен example.com, значит ее коринь в дереве каталогов будет dn="dc=example, dc=com", и это значит что все последующие уровни будут в своем составе dn иметь этот суфикс.
Какие же данные представляются в каталоге организации? Это могут быть люди, роли, устройства и т.д. Единых правил построение дерева каталогов не существует, способ зависит от требований к дереву, которые определяются использованием дерева. Если раньше дерево строили отображая структуру предприятия "cn=Joe Bloggs, ou=Marketing, ou=Operations, o=Example Corporation, st=CA, c=US", то сейчас предпочитается использовать более плоcкое уникальное имя "uid=00003,ou=People, dc=example, dc=com". Это обосновано тем, что челек может менять фамилию, переходить из отдела в отдел и подобное, что приводит к перестроению каталога, а это трудозатратный процесс. В лучае всегда однозначного имени, мы можем его даже смело использовать как идентификатор в базах данных и подобное, ведь переходы по отделам и смена фамилий его не меняет.

DN - Distinguished Name, уникальное имя, однозначно идентифициреющее что-то. Пример: "dc=example, dc=com". Предыдущий пример это пример корня. Уникальное ися состоит из Relative Distinguished Name (RDN)  и локейшина, первая часть указываеть имя (чаще всего это то то хранится в атрибуте CN), а вторая указывает иерархичный путь к записи.

C - Country.

ST - State

O - Organization

OU - Organization Unit

CN - Common Name

Авторизаци&аунтефикация  - происходит путем подкючения к серверу по TLS и передачи ему проских имени учетной записи в виде DN и пароля.


LDIF - LDAP Data Interchange Format. Записи в лдап-директории храняться в бинарном виде. Этот же формат представляния записи в тектовом виде. Вот пример:

 dn: cn=John Doe,dc=example,dc=com
 cn: John Doe
 givenName: John
 sn: Doe
 telephoneNumber: +1 888 555 6789
 telephoneNumber: +1 888 555 1232
 mail: john@example.com
 manager: cn=Barbara Doe,dc=example,dc=com
 objectClass: inetOrgPerson
 objectClass: organizationalPerson
 objectClass: person
 objectClass: top