imported>Wassermaus: /* Anwendungen */ link

2025-09-28T07:05:57Z

Anwendungen: link

Neue Seite

{{Netzwerk-TCP-UDP-IP-Anwendungsprotokoll|LDAP}}

Das '''Lightweight Directory Access Protocol''' ('''LDAP'''), deutsch etwa ''Leichtgewichtiges Verzeichniszugriffsprotokoll'', ist ein [[Netzwerkprotokoll]] zur Abfrage und Änderung von Informationen verteilter [[Verzeichnisdienst]]e. Seine aktuelle und dritte Version ist in [[Request for Comments|RFC]] 4510 bis <nowiki>RFC 4532</nowiki> spezifiziert, das eigentliche Protokoll in <nowiki>RFC 4511</nowiki>.<ref>{{RFC-Internet |Autor=Jim Sermersheim |RFC=4511 |Titel=Lightweight Directory Access Protocol (LDAP): The Protocol |Datum=2006-06 |Obsoletes=3771 |Errata=1}}</ref>

LDAP ist der [[De-facto-Standard|De-facto-Industriestandard]] für [[Authentifizierung]], [[Autorisierung]] sowie Adress- und [[Benutzerverzeichnis]]se. Die meisten Softwareprodukte, die mit Benutzerdaten umgehen müssen und am Markt relevant sind, unterstützen LDAP.

Die [[Port (Netzwerkadresse)|Standardports]] sind:
* ''389'' für ungesicherte oder mit [[STARTTLS]] gesicherte Verbindungen<ref>{{RFC-Internet |RFC=4513 |Titel=Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms |Datum=}}</ref>
* ''636'' für mit [[Transport Layer Security|TLS]] gesicherte Verbindungen (LDAPS).<ref>{{Internetquelle |url=https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.txt |titel=Service Name and Transport Protocol Port Number Registry |hrsg=IANA |datum= |abruf=2023-06-16}}</ref>

Verbindungsloses LDAP via [[User Datagram Protocol|UDP]] erfuhr nie eine weite Verbreitung und befindet sich mittlerweile außerhalb der Standardisierung.<ref>{{RFC-Internet |RFC=3352 |Titel=Connection-less Lightweight Directory Access Protocol (CLDAP) to Historic Status |Datum=2003-03 |Autor=K. Zeilenga}}</ref>

== Überblick ==
LDAP basiert auf dem [[Client-Server-Modell]]<ref>{{Internetquelle |autor=Justin Parisi |url=https://whyistheinternetbroken.wordpress.com/2015/07/29/ldap-servers-clients/ |titel=LDAP::LDAP Servers and Clients – Part 5 |werk=Why Is The Internet Broken? |datum=2015-07-29 |sprache=en |abruf=2018-02-26}}</ref> und wird bei Verzeichnisdiensten ({{enS|directories}} oder ''directory services'') eingesetzt.<ref>{{Internetquelle |url=https://www.novell.com/documentation/suse92/pdfdoc/admin92-screen/admin92-screen.pdf |titel=Suse Linux Administration Guide 9.2 |titelerg=22.9 LDAP – A Directory Service |werk=novell.com |hrsg=Novell |datum=2004 |seiten=464 f |format=PDF; 6,7 MB |sprache=en |abruf=2018-02-26}}</ref> Es beschreibt die Kommunikation zwischen dem ''LDAP-Client'' und dem ''Verzeichnis-''(''Directory-'')Server. Aus einem solchen Verzeichnis können objektbezogene Daten, z. B. [[Personendaten]] oder [[Konfiguration (Computer)|Rechnerkonfigurationen]], ausgelesen werden.<ref>{{Internetquelle |autor=Frank-Michael Schlede, Thomas Bär / Andreas Donner |url=https://www.ip-insider.de/was-ist-ldap-lightweight-directory-access-protocol-a-581204/ |titel=Was ist LDAP (Lightweight Directory Access Protocol)? |werk=IP Insider |datum=2017-08-01 |abruf=2018-02-26}}</ref> Die Kommunikation erfolgt auf Basis von Abfragen.<ref>{{Internetquelle |autor=Holger Kattner |url=https://www.tecchannel.de/a/ldap-abfragen-erstellen,464680 |titel=LDAP-Abfragen erstellen |werk=Computerwoche - TEC Workshop |datum=2006-09-01 |abruf=2018-02-26}}</ref>

Ein „[[Verzeichnis]]“ in diesem Sinne wäre beispielsweise ein Telefon- oder Adressbuch und ''nicht'' gleichbedeutend mit einem „Dateiordner“.

Bei einem Adressbuch könnte sich also folgende Beispielsituation ergeben: In seinem [[E-Mail-Programm|E-Mail-Client]] stößt ein Nutzer die Aktion ''Suche die Mailadresse von Joe User'' an. Der E-Mail-Client formuliert eine LDAP-Abfrage an das Verzeichnis, das die Adressinformationen bereitstellt. Das Verzeichnis formuliert die Antwort und übermittelt sie an den Client: ''joe.user@example.org''.

LDAP bietet alle Funktionen, die für eine solche Kommunikation notwendig sind:
* Anmeldung am Server (''bind'')
* die Suchabfrage (''Suche mir bitte alle Informationen zum Benutzer mit dem Namen „Joe User“'')
* die Modifikation der Daten (''Ändere das Passwort des Benutzers Joe User'').

Mittlerweile hat sich im [[Systemadministrator|administrativen]] Sprachgebrauch eingebürgert, dass man von einem ''LDAP-Server'' spricht,<ref>{{Internetquelle |url=https://www.ldap.com/choosing-an-ldap-server |titel=Choosing an LDAP Server |werk=LDAP.com |hrsg=UnboundID |datum=2015 |sprache=en |offline=1 |archiv-url=https://web.archive.org/web/20180227040005/https://www.ldap.com/choosing-an-ldap-server |archiv-datum=2018-02-27 |abruf=2018-02-26}}</ref> wenn man einen Directory-Server meint, dessen Datenstruktur der LDAP-Spezifikation entspricht und der über das LDAPv3-Protokoll, das in <nowiki>RFC 2251</nowiki><ref name="RFC2251" /> festgelegt wurde, Daten austauschen kann.

Neuere [[Implementierung #Softwaretechnik|Implementierungen]], die über <nowiki>RFC 2251</nowiki><ref name="RFC2251" /> hinausgehen, indem sie zusätzlich die [[Replikation (Datenverarbeitung)|Replikation]] der Daten zwischen verschiedenen Verzeichnissen berücksichtigen, sind Gegenstand für eine mögliche Erweiterung des Protokolls.<ref>{{Internetquelle |url=https://openldap.org/doc/admin24/replication.html |titel=18. Replication |werk=OpenLDAP |hrsg=OpenLDAP Foundation |datum=2011 |sprache=en |abruf=2018-02-26}}</ref>

== Geschichte ==
LDAP wurde an der [[University of Michigan|Universität von Michigan]] (UMich) entwickelt und 1993 erstmals im <nowiki>RFC 1487</nowiki><ref>{{RFC-Internet |RFC=1487 |Titel=X.500 Lightweight Directory Access Protocol |Datum=1993-07}}</ref> vorgeschlagen.<ref>{{Internetquelle |url=https://idmdude.com/2012/04/13/the-most-complete-history-of-directory-services-you-will-ever-find/ |titel=The Most Complete History of Directory Services You Will Ever Find |datum=2012-04-13 |sprache=en |abruf=2018-02-26}}</ref> Gleichzeitig stellte die UMich die erste Serverimplementierung vor, die heute als „UMich-LDAP“ bekannt ist.

LDAP ist eine vereinfachte ("''lightweight''") Alternative zum Directory Access Protocol (DAP), das als Teil des [[X.500]]-Standard spezifiziert ist.<ref>{{Internetquelle |autor=Petra Haberer |url=http://www.mitlinx.de/ldap/index.html?http://www.mitlinx.de/ldap/ldap_geschichte.htm |titel=Geschichte und Versionen von LDAP – ‘Leightweight’-Zugang zu X.500 |werk=LDAP verstehen |hrsg=MitLinX Internetdienstleistungen |abruf=2018-02-26}}</ref> Der X.500-Standard ist sehr umfangreich und setzt auf einem vollständigen [[OSI-Modell|ISO/OSI-Stack]] auf, was die Implementierung schwierig und hardwareintensiv machte.

LDAP wurde mit dem Ziel entwickelt, Verzeichnisdienste einfacher und somit populärer zu machen. LDAP setzt auf einen [[TCP/IP-Referenzmodell|TCP/IP-Stack]] auf und implementiert nur eine Auswahl der DAP-Funktionen und -[[Datentyp]]en.<ref>{{Internetquelle |url=https://msdn.microsoft.com/en-us/library/aa367036(v=vs.85).aspx |titel=About Lightweight Directory Access Protocol – What is LDAP? |werk=Microsoft Developer Network (MSDN) |hrsg=Microsoft |sprache=en |abruf=2018-02-26}}</ref> Dadurch ließ sich LDAP auch auf [[Arbeitsplatzrechner]]n der frühen 1990er Jahre implementieren und gewann eine breite Anwendungsbasis.

== LDAP und X.500 ==
LDAP ist ein [[Speicherzugriff|Zugriffsmechanismus]] gemäß [[X.500]] und äußerlich auf dessen Dienst- und [[Datenmodell]]e festgelegt.<ref name="RFC4510">{{RFC-Internet |Autor=Kurt Zeilenga |RFC=4510 |Titel=Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map |Datum=2006-06 |Abschnitt=2 |Abschnittstitel=Relationship to X.500 |Obsoletes=3771}}</ref> Im Hintergrund jedoch lässt LDAP alles offen und jegliches Verzeichnissystem zu. Es gibt auch keine Festlegung vom LDAP auf einen bestimmten [[Front-End und Back-End|Unterbau]] wie [[Transmission Control Protocol|TCP]] oder [[Internet Protocol|IP]].

Wo X.500 in seinem Directory Access Protocol (DAP) mehrere aufeinander aufbauende Nachrichten erfordert, kann im LDAP eine einzige zusammengefasste Nachricht genügen.<ref name="RFC4511">{{RFC-Internet |Autor=Jim Sermersheim |RFC=4511 |Titel=Lightweight Directory Access Protocol (LDAP): The Protocol |Datum=2006-06 |Abschnitt=3 |Abschnittstitel=Protocol Model |Obsoletes=3771 |Errata=1}}</ref>

== Funktionsweise ==
[[Datei:Ldapentry.gif|mini|LDAP-Directory-Eintrag]]

Um eine Übersicht über die Funktionsweise einer LDAP-Architektur zu bekommen, ist es notwendig, dass man zwischen der Organisation des ''LDAP-Verzeichnisses'' und dem Protokoll ''LDAP'' unterscheidet.

=== LDAP-Verzeichnis ===
Die [[Datenstruktur]] eines LDAP-Verzeichnisses ist durch einen [[Baum (Graphentheorie)|hierarchischen Baum]] mit [[Wurzel (Graphentheorie)|Wurzeln]], Zweigen und [[Blätter und innere Knoten in der Graphentheorie|Blättern]] gegeben.<ref>{{Internetquelle |autor=Margaret Rouse |url=http://www.searchnetworking.de/definition/LDAP-Lightweight-Directory-Access-Protocol |titel=LDAP (Lightweight Directory Access Protocol) |werk=SearchNetworking.de |hrsg=TechTarget Germany |datum=2014-06 |archiv-url=https://web.archive.org/web/20150921191103/http://www.searchnetworking.de/definition/LDAP-Lightweight-Directory-Access-Protocol |archiv-datum=2015-09-21 |abruf=2018-02-26}}</ref> Dieser Baum wird auch ''Directory Information Tree'' (DIT) genannt.<ref>{{Internetquelle |url=https://docs.oracle.com/cd/E19455-01/806-5580/6jej518p7/index.html |titel=Directory Information Tree |werk=LDAP Setup and Configuration Guide |hrsg=Oracle Corporation |datum=2010 |sprache=en |abruf=2018-02-26}}</ref> Die Wurzel (''root'', ''suffix'') ist das oberste Daten[[Objekt (Programmierung)|objekt]], unter ihm verzweigen sich die höheren Strukturen.<ref>{{Internetquelle |url=https://www.ldap.com/the-directory-information-tree |titel=DIT and the LDAP Root DSE |werk=LDAP.com |hrsg=UnboundID |datum=2015 |sprache=en |offline=1 |archiv-url=https://web.archive.org/web/20180227035951/https://www.ldap.com/the-directory-information-tree |archiv-datum=2018-02-27 |abruf=2018-02-26}}</ref>

Beispiel: Wird ein LDAP-Verzeichnis in einem Unternehmen mit dem Namen ''[[ACME]]'' eingesetzt, so kann die ''Organisation'' als Wurzel definiert werden: ''o=acme''.

Personen können in Zweigen unterhalb dieser Wurzel hinterlegt werden: ''ou=Personen,o=acme''.

Gruppen können in anderen Zweigen unterhalb der Wurzel hinterlegt werden: ''ou=Gruppen,o=acme''.

Damit die Organisation der Daten nicht willkürlich geschieht, verwendet jedes LDAP-Verzeichnis eine bestimmte, genormte und gegebenenfalls erweiterte Struktur. Die Struktur wird durch das verwendete [[Schema (Informatik)|Schema]] definiert.<ref>{{Internetquelle |autor=Petra Haberer |url=http://www.mitlinx.de/ldap/index.html?http://mitlinx.de/ldap/ldap_schema.htm |titel=Schema, Objektklassen und Verzeichniseinträge |werk=LDAP Objektklassen und Schemas |hrsg=mitlinx.de |abruf=2018-02-28}}</ref> Ein LDAP-Schema definiert jeweils Objekt-[[Klasse (Objektorientierung)|Klassen]] mit ihren [[Attribut (Programmierung)|Attributen]], z. B. die Klasse ''person'' oder die Klasse ''organisation''.

Die Verzeichniseinträge heißen LDAP-''Objekte''.<ref>{{Internetquelle |autor=Philipp Föckeler |url=http://www.selfadsi.de/search.htm |titel=LDAP Objekte im Verzeichnis suchen (ADO) |werk=SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial |abruf=2018-03-01}}</ref> Jedes Objekt gehört zu mindestens einer, in der Regel aber zu mehreren Klassen.<ref>{{Internetquelle |autor=Thomas Bendler, Steffen Dettmer |url=http://www.selflinux.org/selflinux/html/ldap02.html |titel=2 Eine kleine Einführung in LDAP |werk=Das Lightweight Directory Access Protocol |archiv-url=https://web.archive.org/web/20220524045950/https://www.selflinux.org/selflinux/html/ldap02.html |archiv-datum=2022-05-24 |abruf=2018-03-01}}</ref> So sind für die Daten einer Person, ihrer E-Mail-Adresse und ihrer Passwörter nicht etwa drei Objekte notwendig, sondern dasselbe Objekt gehört zu drei Klassen. Diese könnten in diesem Beispiel person, inetOrgPerson und [[Portable Operating System Interface|POSIX]]-[[Benutzerkonto]] heißen.

Es gibt drei Arten von Objektklassen:
# Da ein Objekt zu mindestens einer ''strukturellen Klasse'' gehören muss, ist dies die Standardeinstellung.
# Daneben gibt es noch ''Hilfsklassen'', welche verschiedenartigen Objekten gleiche Attribute zuweisen.
# Zu guter Letzt existieren noch [[Abstrakte Klasse|abstrakte]] [[Basisklasse]]n, von denen keine Objekte, sondern nur untergeordnete Basisklassen erzeugt werden können.

Jedes Objekt ist eigenständig und aus Attributen zusammengesetzt.<ref>{{Internetquelle |autor=Philipp Föckeler |url=http://www.selfadsi.de/read.htm |titel=LDAP Objekt-Attribute lesen |werk=SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial |abruf=2018-03-01}}</ref> Ein einzelnes Objekt wird eindeutig durch den ''Distinguished Name'' (DN) identifiziert,<ref>{{Internetquelle |autor=Philipp Föckeler |url=http://www.selfadsi.de/ldap-path.htm |titel=LDAP Pfadnamen - Distinguished Names |werk=SelfADSI - SelfADSI ADSI Scripting / LDAP Scripting Tutorial |abruf=2018-03-01}}</ref> z. B. ''uid=juser,ou=People,ou=webdesign,c=de,o=acme''. Dieser setzt sich aus einzelnen ''Relative Distinguished Names'' (RDN) zusammen.<ref>{{Internetquelle |autor=Oracle |url=https://docs.oracle.com/cd/E19182-01/820-6573/ghusi/index.html |titel=Distinguished Names and Relative Distinguished Names |werk=Understanding the LDAP Binding Component |sprache=en |abruf=2018-03-02}}</ref>

Eine andere Schreibweise für den DN ist der ''[[Kanonischer Name|canonical name]]'', der keine Attribut-Tags wie ''ou'' oder ''c'' enthält und bei dem die Trennung zwischen den RDNs durch Schrägstriche erfolgt;<ref>{{Internetquelle |autor=Microsoft |url=https://msdn.microsoft.com/de-de/library/ms675436(v=vs.85).aspx |titel=Canonical-Name attribute |werk=Micorosoft Developer Network (MSDN) |sprache=en |abruf=2018-03-02}}</ref> außerdem beginnt die Reihenfolge, im Gegensatz zum DN, mit dem obersten Eintrag, also z. B. ''acme/de/webdesign/People/juser''.

Jedes Attribut eines Objekts hat einen bestimmten [[Datentyp|Typ]] und einen oder mehrere Werte. Die Typenbezeichnungen der Attribute sind meist einfach zu merkende Kürzel, z. B.:
* ''cn'' für ''common name''
* ''sn'' für ''surname'' (Nachname)
* ''ou'' für ''organizational unit''
* ''st'' für ''state'' (Bundesstaat / -land)
* ''c'' für ''country''
* ''mail'' für ''e-mail address''.
Die erlaubten Werte eines Attributs sind vom Typ abhängig. So könnte ein ''mail''-Attribut die Adresse ''hans.wurst@example.com'' enthalten, ein ''jpegPhoto''-Attribut dagegen würde ein Foto als [[Binärdatei|binäre]] Daten im [[JPEG File Interchange Format|JPEG-Format]] speichern. Die in der Objektklasse definierten Attribute können entweder obligatorisch (''mandatory'') oder optional sein.

Die Objekte werden in einer hierarchischen Struktur gespeichert, die politische, geographische oder organisatorische Grenzen widerspiegelt. Die größten Einheiten werden an die Wurzel des [[Verzeichnisbaum]]es gestellt, der sich nach unten immer weiter auffächert. Während Objekte, die selbst Objekte enthalten, als ''Containerobjekte'' bezeichnet werden, heißen die „Enden“ des Baumes ''Blattobjekte''.<ref>{{Internetquelle |autor=Patrick Schnabel |url=https://www.elektronik-kompendium.de/sites/net/0905011.htm |titel=Verzeichnisdienste (X.500) - Objekte (X.500) |werk=Elektronik Kompendium |abruf=2018-03-02}}</ref>

[[Datei:datenstruktur.png|mini|Baumstruktur der LDAP-Inhalte]]

Wenn einzelne LDAP-Server für einzelne Teile des Verzeichnisbaumes zuständig sind, spricht man von ''Partitionen''.<ref>{{Internetquelle |autor=The Apache Software Foundation |url=http://directory.apache.org/apacheds/basic-ug/1.4.3-adding-partition.html |titel=1.4.3 - Adding your own partition |werk=Apache Directory |datum=2018 |abruf=2018-03-02}}</ref> Stellt ein Client eine Anfrage, für die der Server nicht zuständig ist, so kann der Server den Client an einen anderen Server verweisen.

LDAP-Server lassen sich [[Redundanz (Technik)|redundant]] aufbauen. Hierzu wird oft eine [[Master-Slave]]-Konfiguration verwendet. Versucht ein Client, Daten auf einem Slave-Server zu ändern, so wird er an den Master verwiesen; die Änderungen auf dem Master-Server werden dann an alle Slave-Server weitergegeben.

Da viele verschiedene Schemata in verschiedenen Versionen in Benutzung sind, ist die Vorstellung eines „globalen“ alles umfassenden LDAP-Verzeichnisses nicht real. LDAP-Server werden als zentraler Verzeichnisdienst für verschiedene Zwecke in verschiedenen Größen eingesetzt, die Objekthierarchie bleibt aber in der Regel auf eine Organisation beschränkt.

=== Protokoll ===
LDAP ist ein Protokoll der Anwendungsschicht (''Applicationlayer'') nach dem für TCP verwendeten [[DoD-Schichtenmodell|DoD-Vier-Schichten-Modell]] und arbeitet mittels genau spezifizierter Zugriffs-Prozesse:

; bind
: Mit der ''bind''-Direktive vermittelt man dem Directory-Server über einen DN, wer den Zugriff durchführen möchte (entweder anonym, per Passwort-[[Authentifizierung]] oder anders)
; baseDN
: Die BaseDN definiert, wo im Verzeichnisbaum abwärts die Suche nach bestimmten Objekten gestartet werden soll. Die Suche kann festgelegt werden auf eine Suche über
:* genau dieses Objekt (''base'')
:* dieses Objekt und alles darunter (''sub'')
:* eine Ebene unterhalb des BaseDNs (''one'').

Ansonsten gelten die notwendigen Such-Spezifikationen wie Suchoperator (Beispiel ''(&(mail=joe*)(ou=people))''), Server-Benennung (z. B. ''ldap.acme.com'') oder Port-Benennung.

==== Beispiel ====
Beispiel für eine LDAP-Suchanfrage durch ein Kommandozeilenprogramm:

<code>ldapsearch -h ldap.acme.com -p 389 -s sub -D "cn=Directory Manager,o=acme" -W -b "ou=people,o=acme" "(&(mail=joe*)(c=de))" mail</code>

Erklärung: Das Kommandozeilenprogramm kontaktiert über LDAP
* den Directory-Server (d. h. den [[Hostrechner|Host]], deswegen das -h) <code>ldap.acme.com</code>
* auf [[Port (Netzwerkadresse)|Port]] <code>389</code>
* und meldet sich über das [[Benutzerkonto]] des <code>Directory Managers</code> an diesem System an;
* das Passwort wird [[interaktiv]] abgefragt (<code>-W</code>).
* Die Anfrage zielt auf alle Benutzereinträge (<code>-s sub</code>, d. h. unterhalb, des Zweiges (englisch ''branch'', daher das -b) <code>ou=people,o=acme</code>)
* und sucht nach Personen aus Deutschland, deren Mailadresse mit <code>joe</code> beginnt (<code>(&(mail=joe*)(c=de))</code>).
* Werden Personen gefunden, auf die dieser [[Filter (Software)|Filter]] passt, so wird deren Mailadresse zurückgegeben (<code>mail</code>).

== Anwendungen ==
LDAP wird heutzutage in vielen Bereichen eingesetzt, beispielsweise:
* in Adressbuch-Software wie [[Apple Adressbuch]], [[HCL Notes]], [[Microsoft Outlook]], [[Mozilla Thunderbird]], [[Novell Evolution]], der [[OpenOffice.org]]- und [[LibreOffice]]-[[Serienbrief]]<nowiki />erstellung und dem Mailprogramm [[The Bat]]
* in [[Benutzerverwaltung]]s-Software wie [[NetIQ eDirectory]], [[Apple Open Directory]], [[Portable Operating System Interface|POSIX]]-Benutzerkonten, Microsoft [[Active Directory Service]]
* in Authentifizierungs-Software wie [[Pluggable Authentication Modules|PAM]]
* zur Verwaltung von Benutzerdaten für [[SMTP]]-, [[Post Office Protocol|POP]]- und [[Internet Message Access Protocol|IMAP]]-Server sowie in folgenden [[Mailserver]]n: [[Postfix (Mail Transfer Agent)|postfix]], [[qmail]], [[exim]], [[Lotus Domino]], [[sendmail]], [[Cyrus (Server)|Cyrus]], [[Courier Mail Server|Courier]]; auch in den dazugehörigen [[Spam#Gegenmaßnahmen|Antispam]]-Aufsätzen [[SpamAssassin]] und [[Amavisd]].

=== LDAP und hierarchische Datenbanken ===
LDAP agiert als [[Front-End und Back-End|Frontend]] zu [[Hierarchisches Datenbankmodell|hierarchischen Datenbanken]]. LDAP an sich ist keine Datenbank, sondern lediglich das Protokoll zur Kommunikation.

=== Potentielle Probleme ===
==== Keine Normalformen ====
Hierarchische Datenbanken erzwingen keine [[Normalisierung (Datenbank)|Normalformen]], z. B. können ''multivalued attributes'' erlaubt sein.

==== Abfragesprache ====
LDAP unterstützt nicht alle [[Relationale Algebra|relationalen Operationen]]:
* [[Relationale Algebra #Projektion|Projektion]] (Spaltenauswahl): wird unterstützt, allerdings nur ohne Erzeugung errechneter Attribute
* [[Relationale Algebra #Selektion|Selektion]] (Zeilenauswahl): wird unterstützt
* [[Relationale Algebra #Kartesisches Produkt (Kreuzprodukt)|Kreuzprodukt]] ([[Relationale Algebra #Join|JOIN]]): wird nicht unterstützt
* Spaltenumbenennung (Rename, AS): wird nicht unterstützt (es gibt keinen „[[Dereferenzierung|Dereferenziere]] diesen DN“-Operator, damit existiert auch kein ''Selfjoin'')
* [[Aggregation (Informatik)#Datenbank|Aggregation]] (GROUP BY): muss mit [[Schleife (Programmierung)|Schleifen]] im Client auscodiert werden.

Anders als [[SQL]] ist die LDAP-[[Abfragesprache]] keine [[Algebra]], weil ihr die [[Abgeschlossenheit (algebraische Struktur)|Abgeschlossenheit]] fehlt: Abfrageergebnisse von LDAP-Anfragen sind keine LDAP-Bäume, sondern [[Knotenmenge]]n; daher ist die LDAP-Abfragesprache auch nicht auf LDAP-Ergebnisse anwendbar, um sie zu verfeinern.

=== Stärken ===
==== Autorisierung und Authentifizierung ====
Das Protokoll und LDAP-Server sind auf Authentifizierung (Passwortprüfung), Autorisierung (Rechteprüfung) und Adressbuch-Suchen optimiert. Der schnelle Verbindungsauf- und -abbau, das einfach strukturierte Protokoll und die knappe Abfragesprache sorgen für eine schnelle Verarbeitung.

==== Schneller Lesezugriff ====
Durch seine nicht normalisierte Datenspeicherung kann auf alle Daten eines LDAP-Datensatzes sehr schnell zugegriffen werden, weil alle Daten sofort mit einem einzigen [[Lesezugriff]] ausgelesen werden können.

==== Verteilte Datenhaltung ====
LDAP bietet [[Mehrrechner-Datenbanksystem|verteilte]] Datenhaltung, z. B. redundante lokale Datenspeicherung an verteilten Standorten, [[Lose Kopplung|lose gekoppelte]] [[Replikation (Datenverarbeitung)|Replikation]] zum [[Datenabgleich]] zwischen den Standorten und [[Hochverfügbarkeit|extrem hohe Verfügbarkeit]] ohne komplexe Konfiguration oder hohe Kosten.

==== Flexibles, voll objektorientiertes Datenmodell ====
LDAP erbt vom X.500-Standard das [[Objektorientierung|objektorientierte]] Datenmodell. Damit können LDAP-Verzeichnisse flexibel an volatile Anforderungen angepasst werden, ohne dass bereits im Verzeichnis implementierte Funktionalität verlorengeht.

== LDAP-Software ==
=== LDAP-Server ===
Viele Hersteller bieten LDAP-Server, beispielsweise:
* [[Apache Software Foundation]] ([[Free/Libre Open Source Software|FLOSS]]-Variante [[Apache Directory Server]])
* [[Apple]] (durch [[Apple Open Directory|Open Directory]])
* [[Atos SE|Atos]] (durch DirX Directory Server; übernommen von [[Siemens]] IT Solutions and Services)
* [[ForgeRock]] (Weiterentwicklung eines Sun-Forks seit der Übernahme von [[Sun Microsystems|Sun]] durch [[Oracle]] 2010)
* [[HCL Technologies]] (durch Tivoli Directory Server bzw. HCL Domino Server mit LDAP-Task)
* [[Microsoft]] (durch [[Active Directory]] beziehungsweise ADAM) (Service wird installiert, wenn Windows zum [[Domain Controller]] wird)
* [[Novell]] (durch [[Novell Directory Services|eDirectory]])
* [[OpenLDAP]] (FLOSS-Variante für eine Vielzahl unterschiedlicher [[Plattform (Computer)|Plattformen]])
* [[Oracle]] (durch ''Oracle Internet Directory'')
* [[Red Hat]] (FLOSS-Variante [[389 Directory Server]])
* [[Sun Microsystems|Sun]] (durch Sun Java System Directory Server; übernommen durch Oracle)
* [[Univention Corporate Server|Univention]] (durch Univention Corporate Server (UCS) mit [[OpenLDAP]])

=== LDAP-Clients ===
Client-Software erlaubt den Zugriff auf die Verzeichnisdaten, zum Beispiel:
* [[cURL]]: quelloffenes Kommandozeilenwerkzeug, das auch LDAP unterstützt.<ref>{{RFC-Internet |RFC=1959 |Titel=An LDAP URL Format |Datum=}}</ref>
* [https://technet.microsoft.com/en-us/sysinternals/bb963907.aspx Active Directory Explorer]: Ein kostenloser LDAP-Client von [[Sysinternals]] für [[Microsoft Windows|Windows]]
* [[JXplorer]]: quelloffener Client, der in Java entwickelt wurde.
* [http://www.ldapbrowser.com/download.htm LDAP Browser]: Ein kostenloser LDAP-Client für Windows
* [http://www.ldapadministrator.com/download.htm LDAP Administrator]: Ein erweitertes LDAP-Verwaltungstool, das zur Arbeit mit fast allen LDAP-Servern entwickelt wurde einschließlich Active Directory, Novell Directory Services, Netscape/iPlanet usw.
* [http://ldapadmin.sourceforge.net/ LDAP Admin]: LDAP-Client, der zur Arbeit unter Windows entwickelt wurde.
* [http://directory.apache.org/studio/ {{lang|en|Apache Directory Studio}}]: Ein plattformübergreifender Client, der in Java von Apache Software Foundation entwickelt wurde.
* [http://sourceforge.net/projects/gqclient/ GQ]: Client, der in GTK+/GTK2 unter GPL für [[GNU/Linux]] entwickelt wurde.
* [[LDAP Account Manager]]: Webfrontend für die Verwaltung diverser Kontotypen in einem LDAP-Verzeichnis. Es wurde in [[PHP]] geschrieben.
* [http://luma.sourceforge.net/ Luma]: QT4-basierter Client für Linux. Der Einsatz von Plugins ermöglicht eine einfache Verwaltung von Benutzerkonten, Adressbücher usw.
* [http://phpldapadmin.sourceforge.net/ phpLDAPadmin]: Ein plattformübergreifender webbasierter Client, der unter GPL in PHP zur einfachen Verwaltung von LDAP-Verzeichnissen entwickelt wurde.
* [http://www.fusiondirectory.org/ FusionDirectory]: GPL-lizenzierte Web-Anwendung, die in PHP zum einfachen Verwalten von LDAP-Verzeichnissen und allen dazugehörenden Diensten entwickelt wurde. Es hat sich zu einem [[Identitätsmanagement|IDM]] entwickelt.<ref>{{Internetquelle |url=https://www.fusiondirectory.org/quest-ce-que-fusiondirectory/ |titel=Qu’est-ce que FusionDirectory ? |werk=Fusiondirectory est une solution de gestion des identités |sprache=fr |archiv-url=https://web.archive.org/web/20200804075315/https://www.fusiondirectory.org/quest-ce-que-fusiondirectory/ |archiv-datum=2020-08-04 |abruf=2021-01-29}}</ref>
* [http://ldap-csvexport.sourceforge.net/ ldap-csvexport]: GPL-lizenziertes, Perl-Kommandozeilentool für den Export von LDAP-Daten als CSV mit vielen Features.
* [http://ldap-re-replace.sourceforge.net/ ldap-preg_replace]: GPL-lizenziertes, Perl-Kommandozeilentool für das massenhafte Ändern von Attributen mit [[Regexp|regulären Ausdrücken]].

== Siehe auch ==
* [[Kerberos (Protokoll)|Kerberos]]

== Literatur ==
* {{Literatur
|Autor=Dieter Klünter, Jochen Laser
|Titel=LDAP verstehen, OpenLDAP einsetzen
|TitelErg=Grundlagen und Praxiseinsatz
|Verlag=dpunkt.verlag
|Ort=Heidelberg
|Datum=2007
|ISBN=978-3-89864-263-7}}
* {{Literatur
|Autor=Gerald Carter
|Titel=LDAP System Administration
|Verlag=O’Reilly
|Datum=2003}}

== Weblinks ==
* [http://quark.humbug.org.au/publications/ldap/ldap_tut_v2.pdf Introduction to LDAP.] (PDF; 2,4 MB) quark.humbug.org.au
* [http://www.linux-magazin.de/heft_abo/ausgaben/2001/05/straffe_verwaltung Einführender Artikel zu OpenLDAP.] In: ''Linux Magazin''.

== Einzelnachweise ==
<references responsive>
<ref name="RFC2251">
{{RFC-Internet |RFC=2251 |Titel=Lightweight Directory Access Protocol (v3) |Datum=1997-12}}
</ref>
</references>

{{Normdaten|TYP=s|GND=4537748-0|LCCN=sh2001008354}}

[[Kategorie:Internet-Anwendungsprotokoll]]
[[Kategorie:Open Group]]

Lightweight Directory Access Protocol - Versionsgeschichte

imported>Wassermaus: /* Anwendungen */ link