LDAP: definizione e spiegazione

LDAP è nato come protocollo di applicazione e di accesso per i provider di servizi di directory. Il protocollo LDAP può essere utilizzato per cercare, modificare e autenticare dati, informazioni e oggetti su larga scala in servizi di directory distribuiti e per gestire la comunicazione con i database di directory.

LDAP, acronimo di “Lightweight Directory Access Protocol”, fa parte del gruppo dei protocolli di rete e viene utilizzato come protocollo di accesso standardizzato per le query e le modifiche secondo il modello client-server nei servizi di directory distribuiti e centrali. In questo ambito si parla spesso di server LDAP quando i server di directory comunicano tramite il protocollo LDAP. Il termine “Lightweight” deriva dal fatto che questo è ritenuto una variante leggera del protocollo di accesso DAP (Directory Access Protocol) specificato secondo X.500. Dal momento che il protocollo DAP è troppo complesso per un’implementazione efficace in grandi aziende con un gran numero di dati utente, nella pratica si ricorre spesso a LDAP.

LDAP si basa su uno stack di protocollo TCP/IP e può essere applicato in modo flessibile a qualsiasi sistema di directory. Può servirsi delle porte TCP e UDP per trasmettere i dati. È particolarmente comune in settori e industrie che devono elaborare e gestire grandi quantità di dati e informazioni, ad esempio telecomunicazioni, aviazione, IT, sviluppo di hardware e software. Le porte standard sono la porta 389 per i trasferimenti di dati non protetti e la porta 636 per quelli di dati criptati TLS.

Le funzioni e gli usi importanti e comuni di LDAP sono i seguenti:

• Archiviazione centrale/autenticazione/autorizzazione dei dati utente e delle password
• Aggiunta di voci e operazioni al database della directory
• Autenticazione e vincolo di sessioni
• Possibilità di modificare, cercare, confrontare, ampliare o eliminare voci della directory
• Consultazione di schemi
• Invio di richieste
• Sblocco delle operazioni

Nelle configurazioni LDAP si usa una struttura ad albero gerarchica standardizzata (DIT) per le directory e la struttura dei dati, la quale può essere distribuita su molti server. La standardizzazione è realizzata tramite il rispettivo schema delle classi di oggetti e dei relativi attributi. La gerarchia ad albero, a sua volta, è divisa o ramificata in diversi livelli politici, geografici e organizzativi rappresentativi come segue:

• Root
• Paesi
• Organizzazioni
• Unità di organizzazione
• Persone
• Singole persone (individui, risorse)

La directory LDAP può essere presente sui server LDAP come una versione completa replicata che sincronizza le modifiche apportate all’originale. Le interrogazioni nella directory passano attraverso i server LDAP, denominati anche Directory System Agents (DSA), che possono distribuire le interrogazioni a ulteriori server DSA, ma garantiscono agli utenti una risposta veloce ed efficiente.

LDAP ha un approccio di programmazione orientato agli oggetti che comprende oggetti, classi, ereditarietà e polimorfismo associato. Ogni voce della directory LDAP indipendente (oggetto LDAP) è costituita da attributi e dalla designazione obbligatoria dell’oggetto “Distinguished Name”. La struttura del nome distinto assomiglia alle convenzioni di denominazione dei file e previene oggetti identici su un livello. Gli attributi che formano un oggetto possiedono ciascuno un tipo specifico, il quale è identificato da abbreviazioni come cn (nome comune), st (stato) o sn (cognome). In più, gli attributi possono avere un valore singolo o multiplo a seconda del tipo. Sebbene esistano oggetti contenitore contenenti a loro volta oggetti, le estremità di una gerarchia ad albero si ramificano in singole foglie (oggetti).

Il protocollo si serve di procedure di accesso specifiche con le quali si comunica al server LDAP chi sta accedendo alla directory tramite la direttiva bind e un nome distinto (DN). BaseDN può essere utilizzato per definire quali livelli di directory sono ammissibili per la ricerca, ad esempio attraverso specifiche come base (questo oggetto), sub (questo e tutti gli oggetti sotto di esso) o one (il livello sotto BaseDN). Normalmente le interrogazioni di ricerca non vengono effettuate manualmente dagli utenti finali, ma per mezzo di programmi con capacità LDAP (ad esempio Outlook). Chi a sua volta è autorizzato ad accedere è controllato dal rispettivo servizio di directory.

Accanto a Kerberos, SMB e DNS, LDAP costituisce uno dei quattro protocolli standard centrali che garantiscono comunicazioni e trasferimenti di dati impeccabili nell’Active Directory di Microsoft. Active Directory è stato sviluppato come servizio di directory nei server Exchange con supporto LDAP per permettere interrogazioni uniformi alle directory di Active Directory e integrare i servizi basati su LDAP nell’ambiente AD.

È un potente servizio di directory abbastanza scalabile che si rivolge a grandi aziende con diverse migliaia di dipendenti e si concentra su strutture Windows. Il protocollo LDAP, invece, offre più flessibilità ed espandibilità per grandi implementazioni con una comunità di utenti ramificata grazie al suo ambiente Linux/Unix e alla compatibilità open source. Pertanto, LDAP e i relativi server sono impiegati anche in settori industriali come la telefonia mobile e l’aviazione, dove vengono elaborate diversi milioni di richieste di autenticazione da parte degli utenti.

I casi d’uso in cui vale la pena usare LDAP comprendono:

• Gestione di utenti e sistemi
• Assegnazione di protocolli e RFC
• Informazioni NIS/boot
• Gestione di dati delle zone DNS e di mountpoints
• Organizzazione di alias (e-mail) e server DHCP

LDAP si è particolarmente diffuso in settori che dipendono da interrogazioni complete di indirizzi e dall’autenticazione degli utenti. Tra questi ci sono:

• Rubriche: soluzioni software di gestione per contatti digitali o rubriche come Mozilla Thunderbird, Microsoft Outlook e Apple Contatti
• Gestione di utenti: servizi di directory per la gestione degli utenti come Apple Open Directory, Microsoft Active Directory e NetlQ eDirectory
• Autenticazione: interfacce di programmazione per l’autenticazione di utenti come PAM
• Gestione dei dati degli utenti: organizzazione o gestione dei dati utente in server POP/IMAP/SMTP e in sistemi di database e server di posta come qmail, sendmail o exim
• Sistemi di gestione dei documenti: legittimazione degli utenti richiedenti o generazione di elenchi telefonici come in stampanti multifunzione, soluzioni anti-spam, VoIP, WebProxy o NetScaler

LDAP rende possibile l’autenticazione ottimizzata, l’autorizzazione e la ricerca efficiente dei dati degli indirizzi e degli utenti. Grazie ai numerosi vantaggi che fornisce alle aziende, LDAP costituisce uno standard industriale supportato dalla maggior parte dei prodotti software. I suoi vantaggi principali sono le query e le connessioni veloci, un linguaggio di query snello e un protocollo chiaramente strutturato. L’accesso ai dati e la loro lettura nei servizi di directory con capacità LDAP avvengono rapidamente a causa della memorizzazione non normalizzata dei dati. Questo risulta particolarmente evidente nelle aree con un gran numero di voci di dati piccoli e non ben suddivisi.

Inoltre, LDAP permette di risparmiare molto tempo e offre potenti strutture di dati per le query di database di grandi dimensioni e per l’archiviazione distribuita dei dati, ad esempio attraverso servizi di directory distribuiti a livello server, repliche di directory accoppiate per la riconciliazione dei dati e un’ottima elevata disponibilità (High Availability). La variante LDAP protetta con SSL/TLS, LDAPS, garantisce anche la crittografia dei dati del mittente e del destinatario e quindi l’autenticazione supportata dal certificato. La connessione SSL/TLS fornisce una protezione ulteriore da manipolazioni e furti di dati durante lo scambio.