Nelle configurazioni LDAP si usa una struttura ad albero gerarchica standardizzata (DIT) per le directory e la struttura dei dati, la quale può essere distribuita su molti server. La standardizzazione è realizzata tramite il rispettivo schema delle classi di oggetti e dei relativi attributi. La gerarchia ad albero, a sua volta, è divisa o ramificata in diversi livelli politici, geografici e organizzativi rappresentativi come segue:
- Root
- Paesi
- Organizzazioni
- Unità di organizzazione
- Persone
- Singole persone (individui, risorse)
La directory LDAP può essere presente sui server LDAP come una versione completa replicata che sincronizza le modifiche apportate all’originale. Le interrogazioni nella directory passano attraverso i server LDAP, denominati anche Directory System Agents (DSA), che possono distribuire le interrogazioni a ulteriori server DSA, ma garantiscono agli utenti una risposta veloce ed efficiente.
LDAP ha un approccio di programmazione orientato agli oggetti che comprende oggetti, classi, ereditarietà e polimorfismo associato. Ogni voce della directory LDAP indipendente (oggetto LDAP) è costituita da attributi e dalla designazione obbligatoria dell’oggetto “Distinguished Name”. La struttura del nome distinto assomiglia alle convenzioni di denominazione dei file e previene oggetti identici su un livello. Gli attributi che formano un oggetto possiedono ciascuno un tipo specifico, il quale è identificato da abbreviazioni come cn (nome comune), st (stato) o sn (cognome). In più, gli attributi possono avere un valore singolo o multiplo a seconda del tipo. Sebbene esistano oggetti contenitore contenenti a loro volta oggetti, le estremità di una gerarchia ad albero si ramificano in singole foglie (oggetti).
Il protocollo si serve di procedure di accesso specifiche con le quali si comunica al server LDAP chi sta accedendo alla directory tramite la direttiva bind e un nome distinto (DN). BaseDN può essere utilizzato per definire quali livelli di directory sono ammissibili per la ricerca, ad esempio attraverso specifiche come base (questo oggetto), sub (questo e tutti gli oggetti sotto di esso) o one (il livello sotto BaseDN). Normalmente le interrogazioni di ricerca non vengono effettuate manualmente dagli utenti finali, ma per mezzo di programmi con capacità LDAP (ad esempio Outlook). Chi a sua volta è autorizzato ad accedere è controllato dal rispettivo servizio di directory.