April 21, 2015 hotro@hostingviet.vn 02466.567.555       Giới thiệuTuyển dụng    Liên hệ   Đăng nhập   Đăng ký

LDAP Là Gì? Tìm Hiểu Về Hệ Thống Và Giao Thức LDAP

LDAP được xây dựng và phát triển dựa trên chuẩn X500 – là một chuẩn dịch vụ thư mục (tên tiếng Anh là Directory Service – DS), vận hành trên nền tảng OSI.

LDAP server là một công cụ không thể thiếu của các quản trị viên máy chủ. Nó giúp cho thao tác quản lý các tài khoản điểm cầu trở nên dễ dàng, đơn giản hơn. Để hiểu rõ hơn về LDAP là gì, mời bạn cùng tìm hiểu trong bài tổng hợp sau nhé. 

LDAP server là gì?

LDAP là từ viết tắt của cụm từ Lightweight Directory Access Protocol. Nó được xây dựng và phát triển dựa trên chuẩn X500 – là một chuẩn dịch vụ thư mục (tên tiếng Anh là Directory Service – DS), vận hành trên nền tảng OSI.

Bên cạnh đó, LDAP còn được xem là lightweight do nó dùng gói tin trên không thấp, đồng thời xác định chính xác lớp TCP, còn X500 thuộc lớp giao thức ứng dụng, chứa nhiều header (bao gồm các header của những tầng layer thấp hơn). 

LDAP thực chất là một giao thức. Nó không thực hiện xử lý như Cơ sở dữ liệu (database) mà cần nơi để lưu trữ backend, rồi mới xử lý dữ liệu tại đây. 

Vì là một giao thức truy cập dạng máy khách và máy chủ nên LDAP hoạt động theo mô hình cây. 

ldap la gi

Phương thức hoạt động của hệ thống LDAP

Do hoạt động theo mô hình máy khách – máy chủ nên một hoặc nhiều máy chủ LDAP chứa các thông tin cây thư mục. Lúc đó, máy khách sẽ gửi yêu cầu kết nối đến máy chủ. Ngay khi nhận được yêu cầu, máy chủ tự phản hồi lại, hoặc trỏ đến máy chủ LDAP khác để máy khách có thể lấy thông tin. 

Dưới đây là quy trình 7 bước khi kết nối đến LDAP server:

  • Bước 1 - Connect (kết nối): Máy khách thực hiện mở kết nối đến máy chủ LDAP.
  • Bước 2 - Bind (kiểu kết nối): Máy khách tiến hành gửi các thông tin xác thực. Có 2 kiểu xác thực là ẩn danh, và đăng nhập để xác thực.
  • Bước 3 - Search (tìm kiếm): Máy khách bắt đầu gửi yêu cầu tìm kiếm. 
  • Bước 4 - Interpret search (xử lý tìm kiếm): Sau khi nhận được yêu cầu, máy chủ tiến hành xử lý tìm kiếm.
  • Bước 5 - Result (kết quả): Ngay khi có kết quả tìm kiếm, máy chủ trả lại kết quả cho máy khách.
  • Bước 6 - Unbind: Máy khách thực hiện gửi yêu cầu đóng kết nối đến máy chủ. 
  • Bước 7 - Close connection (đóng kết nối): Kết nối đến máy chủ được đóng.

ldap la gi

Database backend của giao thức LDAP

SLAPD là một “LDAP directory server” có khả năng vận hành trên nhiều nền tảng khác nhau. Vì thế, bạn dễ dàng tận dụng nó để cung cấp dịch vụ theo yêu cầu sử dụng. SLAPD cung cấp các tính năng sau:

  • LDAPv3: Hỗ trợ địa chỉ IPv4, IPv6 và Unix IPC cho LDAP.
  • Simple Authentication and Security Layer: Hỗ trợ chứng thực và bảo mật dữ liệu dịch vụ một cách mạnh mẽ.
  • Transport Layer Security: Hỗ trợ sử dụng TLS, SSL.

Hai cơ sở dữ liệu được SLAPD dùng để lưu trữ dữ liệu là BDB và HDB. Trong đó, BDB lưu trữ các dữ liệu bằng cách sử dụng Oracle Berkeley DB. Đồng thời, nó cũng là database backend chính cho những SLAPD thông thường.

Mô hình của LDAP

Mô hình của LDAP được chia thành 4 loại, bao gồm:

  • Mô hình LDAP information: Là mô hình xác định cấu trúc, đặc điểm các thông tin của thư mục. 
  • Mô hình LDAP Naming trong máy chủ LDAP là gì? Đây là mô hình xác định phương pháp mà các thông tin sẽ tham chiếu, tổ chức. 
  • Mô hình LDAP Functional: Là mô hình định nghĩa cách thức người dùng truy cập, cập nhật thông tin trong thư mục.  
  • Mô hình LDAP Security: Là mô hình định nghĩa cách thức bảo vệ các thông tin có trong thư mục tránh khỏi các truy cập trái phép. 

Cách thức xác thực người dùng trong tài khoản LDAP

  • Quá trình xác thực trong thư mục LDAP là hoạt động quan trọng, không thể thiếu. Thao tác này được sử dụng nhằm mục đích thiết lập quyền cho người dùng đối với mỗi lần truy cập của họ.
  • Toàn bộ hoạt động tìm kiếm, truy vấn… đều được các mức ủy quyền của người đã xác thực kiểm soát.
  • Để được xác thực, người dùng phải có tên đã xác định (user name), được xem là một DN cùng mật khẩu tương ứng.

ldap la gi

Xác thực người dùng không định danh trong kết nối LDAP 

Việc xác thực người dùng không định danh đòi hỏi phải xử lý bằng cách ràng buộc đăng nhập bằng tên đăng nhập và mật khẩu trống. Cách thức đăng nhập này phổ biến, và được sử dụng thường xuyến đối với ứng dụng phía máy khách.

Open LDAP - Xác thực nguời dùng cơ bản 

Với cách thức xác thực này, tên đăng nhập trong DN được gửi đi kèm với một mật khẩu ở định dạng text đến LDAP Server.

Sau khi nhận được thông tin, máy chủ sẽ tiến hành so sánh mật khẩu với giá trị của thuộc tính tên đăng nhập. Hoặc nó sẽ so sánh với các giá trị thuộc tính được định nghĩa trong entry cho DN. Trong trường hợp, mật khẩu được lưu ở định dạng mã hóa (hàm băm), máy chủ cũng dùng hàm băm tương ứng để biến đổi mật khẩu, rồi đem so sánh giá trị này với giá trị mật khẩu đã mã hóa trước đó.

Khi cả 2 mật khẩu trùng khớp, máy chủ sẽ phản hồi việc xác thực máy khách thành công.

Xác thực thông qua chứng chỉ SSL/TLS trong LDAP

Theo phương thức hoạt động, LDAP sẽ tiến hành mã hóa trước khi thực hiện kết nối. Vì vậy, toàn bộ thông tin liên quan đến người dùng đều được bảo mật. Do đó, người dùng hoàn toàn yên tâm khi sử dụng LDAP.