LDAP: de­fi­ni­zio­ne e spie­ga­zio­ne

LDAP è nato come pro­to­col­lo di ap­pli­ca­zio­ne e di accesso per i provider di servizi di directory. Il pro­to­col­lo LDAP può essere uti­liz­za­to per cercare, mo­di­fi­ca­re e au­ten­ti­ca­re dati, in­for­ma­zio­ni e oggetti su larga scala in servizi di directory di­stri­bui­ti e per gestire la co­mu­ni­ca­zio­ne con i database di directory.

LDAP, acronimo di “Light­weight Directory Access Protocol”, fa parte del gruppo dei pro­to­col­li di rete e viene uti­liz­za­to come pro­to­col­lo di accesso stan­dar­diz­za­to per le query e le modifiche secondo il modello client-server nei servizi di directory di­stri­bui­ti e centrali. In questo ambito si parla spesso di server LDAP quando i server di directory co­mu­ni­ca­no tramite il pro­to­col­lo LDAP. Il termine “Light­weight” deriva dal fatto che questo è ritenuto una variante leggera del pro­to­col­lo di accesso DAP (Directory Access Protocol) spe­ci­fi­ca­to secondo X.500. Dal momento che il pro­to­col­lo DAP è troppo complesso per un’im­ple­men­ta­zio­ne efficace in grandi aziende con un gran numero di dati utente, nella pratica si ricorre spesso a LDAP.

LDAP si basa su uno stack di pro­to­col­lo TCP/IP e può essere applicato in modo fles­si­bi­le a qualsiasi sistema di directory. Può servirsi delle porte TCP e UDP per tra­smet­te­re i dati. È par­ti­co­lar­men­te comune in settori e industrie che devono elaborare e gestire grandi quantità di dati e in­for­ma­zio­ni, ad esempio te­le­co­mu­ni­ca­zio­ni, aviazione, IT, sviluppo di hardware e software. Le porte standard sono la porta 389 per i tra­sfe­ri­men­ti di dati non protetti e la porta 636 per quelli di dati criptati TLS.

Le funzioni e gli usi im­por­tan­ti e comuni di LDAP sono i seguenti:

• Ar­chi­via­zio­ne centrale/au­ten­ti­ca­zio­ne/au­to­riz­za­zio­ne dei dati utente e delle password
• Aggiunta di voci e ope­ra­zio­ni al database della directory
• Au­ten­ti­ca­zio­ne e vincolo di sessioni
• Pos­si­bi­li­tà di mo­di­fi­ca­re, cercare, con­fron­ta­re, ampliare o eliminare voci della directory
• Con­sul­ta­zio­ne di schemi
• Invio di richieste
• Sblocco delle ope­ra­zio­ni

Nelle con­fi­gu­ra­zio­ni LDAP si usa una struttura ad albero ge­rar­chi­ca stan­dar­diz­za­ta (DIT) per le directory e la struttura dei dati, la quale può essere di­stri­bui­ta su molti server. La stan­dar­diz­za­zio­ne è rea­liz­za­ta tramite il ri­spet­ti­vo schema delle classi di oggetti e dei relativi attributi. La gerarchia ad albero, a sua volta, è divisa o ra­mi­fi­ca­ta in diversi livelli politici, geo­gra­fi­ci e or­ga­niz­za­ti­vi rap­pre­sen­ta­ti­vi come segue:

• Root
• Paesi
• Or­ga­niz­za­zio­ni
• Unità di or­ga­niz­za­zio­ne
• Persone
• Singole persone (individui, risorse)

La directory LDAP può essere presente sui server LDAP come una versione completa replicata che sin­cro­niz­za le modifiche apportate all’originale. Le in­ter­ro­ga­zio­ni nella directory passano at­tra­ver­so i server LDAP, de­no­mi­na­ti anche Directory System Agents (DSA), che possono di­stri­bui­re le in­ter­ro­ga­zio­ni a ulteriori server DSA, ma ga­ran­ti­sco­no agli utenti una risposta veloce ed ef­fi­cien­te.

LDAP ha un approccio di pro­gram­ma­zio­ne orientato agli oggetti che comprende oggetti, classi, ere­di­ta­rie­tà e po­li­mor­fi­smo associato. Ogni voce della directory LDAP in­di­pen­den­te (oggetto LDAP) è co­sti­tui­ta da attributi e dalla de­si­gna­zio­ne ob­bli­ga­to­ria dell’oggetto “Di­stin­gui­shed Name”. La struttura del nome distinto as­so­mi­glia alle con­ven­zio­ni di de­no­mi­na­zio­ne dei file e previene oggetti identici su un livello. Gli attributi che formano un oggetto pos­sie­do­no ciascuno un tipo specifico, il quale è iden­ti­fi­ca­to da ab­bre­via­zio­ni come cn (nome comune), st (stato) o sn (cognome). In più, gli attributi possono avere un valore singolo o multiplo a seconda del tipo. Sebbene esistano oggetti con­te­ni­to­re con­te­nen­ti a loro volta oggetti, le estremità di una gerarchia ad albero si ra­mi­fi­ca­no in singole foglie (oggetti).

Il pro­to­col­lo si serve di procedure di accesso spe­ci­fi­che con le quali si comunica al server LDAP chi sta accedendo alla directory tramite la direttiva bind e un nome distinto (DN). BaseDN può essere uti­liz­za­to per definire quali livelli di directory sono am­mis­si­bi­li per la ricerca, ad esempio at­tra­ver­so spe­ci­fi­che come base (questo oggetto), sub (questo e tutti gli oggetti sotto di esso) o one (il livello sotto BaseDN). Nor­mal­men­te le in­ter­ro­ga­zio­ni di ricerca non vengono ef­fet­tua­te ma­nual­men­te dagli utenti finali, ma per mezzo di programmi con capacità LDAP (ad esempio Outlook). Chi a sua volta è au­to­riz­za­to ad accedere è con­trol­la­to dal ri­spet­ti­vo servizio di directory.

Accanto a Kerberos, SMB e DNS, LDAP co­sti­tui­sce uno dei quattro pro­to­col­li standard centrali che ga­ran­ti­sco­no co­mu­ni­ca­zio­ni e tra­sfe­ri­men­ti di dati im­pec­ca­bi­li nell’Active Directory di Microsoft. Active Directory è stato svi­lup­pa­to come servizio di directory nei server Exchange con supporto LDAP per per­met­te­re in­ter­ro­ga­zio­ni uniformi alle directory di Active Directory e integrare i servizi basati su LDAP nell’ambiente AD.

È un potente servizio di directory ab­ba­stan­za scalabile che si rivolge a grandi aziende con diverse migliaia di di­pen­den­ti e si concentra su strutture Windows. Il pro­to­col­lo LDAP, invece, offre più fles­si­bi­li­tà ed espan­di­bi­li­tà per grandi im­ple­men­ta­zio­ni con una comunità di utenti ra­mi­fi­ca­ta grazie al suo ambiente Linux/Unix e alla com­pa­ti­bi­li­tà open source. Pertanto, LDAP e i relativi server sono impiegati anche in settori in­du­stria­li come la telefonia mobile e l’aviazione, dove vengono elaborate diversi milioni di richieste di au­ten­ti­ca­zio­ne da parte degli utenti.

I casi d’uso in cui vale la pena usare LDAP com­pren­do­no:

• Gestione di utenti e sistemi
• As­se­gna­zio­ne di pro­to­col­li e RFC
• In­for­ma­zio­ni NIS/boot
• Gestione di dati delle zone DNS e di mount­poin­ts
• Or­ga­niz­za­zio­ne di alias (e-mail) e server DHCP

LDAP si è par­ti­co­lar­men­te diffuso in settori che dipendono da in­ter­ro­ga­zio­ni complete di indirizzi e dall’au­ten­ti­ca­zio­ne degli utenti. Tra questi ci sono:

• Rubriche: soluzioni software di gestione per contatti digitali o rubriche come Mozilla Thun­der­bird, Microsoft Outlook e Apple Contatti
• Gestione di utenti: servizi di directory per la gestione degli utenti come Apple Open Directory, Microsoft Active Directory e NetlQ eDi­rec­to­ry
• Au­ten­ti­ca­zio­ne: in­ter­fac­ce di pro­gram­ma­zio­ne per l’au­ten­ti­ca­zio­ne di utenti come PAM
• Gestione dei dati degli utenti: or­ga­niz­za­zio­ne o gestione dei dati utente in server POP/IMAP/SMTP e in sistemi di database e server di posta come qmail, sendmail o exim
• Sistemi di gestione dei documenti: le­git­ti­ma­zio­ne degli utenti ri­chie­den­ti o ge­ne­ra­zio­ne di elenchi te­le­fo­ni­ci come in stampanti mul­ti­fun­zio­ne, soluzioni anti-spam, VoIP, WebProxy o NetScaler

LDAP rende possibile l’au­ten­ti­ca­zio­ne ot­ti­miz­za­ta, l’au­to­riz­za­zio­ne e la ricerca ef­fi­cien­te dei dati degli indirizzi e degli utenti. Grazie ai numerosi vantaggi che fornisce alle aziende, LDAP co­sti­tui­sce uno standard in­du­stria­le sup­por­ta­to dalla maggior parte dei prodotti software. I suoi vantaggi prin­ci­pa­li sono le query e le con­nes­sio­ni veloci, un lin­guag­gio di query snello e un pro­to­col­lo chia­ra­men­te strut­tu­ra­to. L’accesso ai dati e la loro lettura nei servizi di directory con capacità LDAP avvengono ra­pi­da­men­te a causa della me­mo­riz­za­zio­ne non nor­ma­liz­za­ta dei dati. Questo risulta par­ti­co­lar­men­te evidente nelle aree con un gran numero di voci di dati piccoli e non ben suddivisi.

Inoltre, LDAP permette di ri­spar­mia­re molto tempo e offre potenti strutture di dati per le query di database di grandi di­men­sio­ni e per l’ar­chi­via­zio­ne di­stri­bui­ta dei dati, ad esempio at­tra­ver­so servizi di directory di­stri­bui­ti a livello server, repliche di directory ac­cop­pia­te per la ri­con­ci­lia­zio­ne dei dati e un’ottima elevata di­spo­ni­bi­li­tà (High Avai­la­bi­li­ty). La variante LDAP protetta con SSL/TLS, LDAPS, ga­ran­ti­sce anche la crit­to­gra­fia dei dati del mittente e del de­sti­na­ta­rio e quindi l’au­ten­ti­ca­zio­ne sup­por­ta­ta dal cer­ti­fi­ca­to. La con­nes­sio­ne SSL/TLS fornisce una pro­te­zio­ne ulteriore da ma­ni­po­la­zio­ni e furti di dati durante lo scambio.