¿Qué es LDAP?

¿Cómo le explicaría LDAP a un administrador de sistemas que lo escuchó y tal vez interactuó con él, pero nunca lo entendió?

Las analogías están bien, pero incluya algunos detalles técnicos sobresalientes para ayudar a ponerlas a tierra.

Preguntado en el espíritu de Active Directory explicado

Escribí este artículo hace unos años, que explica los conceptos básicos de LDAP

LDAP (Lightweight Directory Access Protocol) es un protocolo de nivel de aplicación que permite a los clientes interactuar con servicios de directorio compatibles con el fin de manipular entidades de directorio o consultar el directorio para obtener información. Uno de sus principales beneficios es proporcionar una interfaz estandarizada para sistemas en múltiples plataformas.

En la mayoría de los sistemas de directorio, LDAP no es la única interfaz disponible para comunicarse con el servidor. Por lo general, existen otras interfaces nativas que podrían proporcionar rendimiento y otros beneficios.

El concepto estándar detrás de una sesión LDAP es este:

1. Conéctese al servidor compatible con LDAP
2. Enlace al directorio en algún nivel base (llamado BaseDN). Este suele ser un objeto contenedor en algún lugar dentro de la estructura del directorio, como una OU. Puede o no puede vincularse de forma anónima dependiendo de si el directorio está configurado o no para permitir el acceso anónimo
3. Ejecute su consulta o declaración

Las consultas se pueden ejecutar de la siguiente manera:

• dentro del mismo nivel en la estructura a la que está vinculado (una consulta de alcance Base)
• dentro del mismo nivel o un nivel inferior al que está vinculado (una consulta de alcance de un nivel)
• recursivamente hacia abajo toda la estructura que comienza donde está vinculado (una consulta sceop Subtree)

Debido a que los directorios pueden estar muy distribuidos y contener una cantidad excesiva de información, los administradores de directorios generalmente tienen la opción de limitar las consultas LDAP a un cierto número de resultados (1000 es un máximo común para un conjunto de resultados).

Piense en ello como una base de datos organizada en un árbol, por lo que, por ejemplo, puede tener una estructura típica de una empresa organizada de forma natural. Una empresa de alto nivel, con grupos / departamentos y empleados al final, que pueden tener múltiples propiedades (como nombre, teléfono, correo, dirección, etc.). Luego dígale que también es adecuado para todos los demás datos que se organizan de manera similar y que se accede mediante un protocolo abierto desde varias plataformas / idiomas.

Además, de wikipedia: "Un directorio es un conjunto de objetos con atributos organizados de manera lógica y jerárquica. El ejemplo más común es el directorio telefónico, que consiste en una serie de nombres (ya sea de personas u organizaciones) organizados alfabéticamente, con cada nombre tiene una dirección y número de teléfono adjunto ".

Esa es la explicación más amigable para los novatos que se me ocurre, sin entrar en detalles técnicos.

Es un sistema centralizado destinado a proporcionar un acceso rápido a los datos en los que los datos reales se estructuran en forma de árbol. El lenguaje que usa para comunicarse con ese sistema centralizado se llama LDAP, que es solo eso, un protocolo, al igual que POP e IMAP es un protocolo. Tiene la capacidad de actualizar y buscar datos en todo el árbol.

En primer lugar, LDAP por sí solo es solo un protocolo, no hace nada a menos que haya un servidor LDAP para que interactúe.

Le permite acceder a un directorio en el servidor LDAP; Una buena analogía sería un directorio telefónico en papel o un directorio de servicios (este último es probablemente mejor). Si desea encontrar un lugar para reparar su automóvil, suponiendo que no esté familiarizado con los garajes locales, puede buscar un directorio de servicios en papel para encontrar mecánicos en su área.

Del mismo modo, LDAP le permite buscar información en un directorio compatible con LDAP que se ejecuta en un servidor. Cada entrada en el directorio es un "objeto" que puede tener varias propiedades, y una aplicación que interactúa con el directorio espera que las cosas estén formateadas de cierta manera. Por diseño, es flexible y extensible, por lo que no está limitado a lo que alguien más haya pensado.

Volviendo a la analogía mecánica, la información puede ser el nombre, la dirección, el costo por hora, si se sabe que saboteó su automóvil para poder obtener negocios adicionales de usted, el tamaño de la tripa de cerveza, etc. La mecánica del automóvil podría almacenarse en un nodo del árbol de directorios, los reparadores de alta fidelidad podrían almacenarse en otro. No se requiere que cada tipo de objeto comparta las mismas propiedades, por lo que parte de la información para un mecánico de automóviles no estará presente en un técnico de alta fidelidad, que a su vez tendrá su propio conjunto de información única que se relaciona únicamente con él.

Se usa más comúnmente para mantener información sobre los usuarios en una red, pero en teoría podría poner cualquier cosa en ella. En un escenario de red, estamos hablando de información organizacional sobre la persona, así como también información de seguridad, información de configuración para aplicaciones, etc. Debido a que todo se almacena de manera centralizada, puede centralizar de manera fácil y flexible MUCHA información en una sola base de datos que está optimizada para búsquedas ultrarrápidas y a la que puede acceder cualquier aplicación compatible.