سوال در مورد LDAP

Question

*سلام  دوستان
کار LDAP در AD چیست*
با تشکر

علی مرادی · Accepted Answer

LDAP پروتكلی است كه امكان ارتباط با سرویس‌ دایركتوری و مدیریت اطلاعات و كاربران روی یك شبكه را فراهم می‌كند.
و همچنین روش استانداردی برای دسترسی و به روزرسانی فهرست های(دایرکتوری های) توزیع شده (Distributed) ارائه می دهد. متدهایی که در LDAP در اختیار دارید به شما این امکان را می‏دهد تا از اطلاعاتی که در درخت اطلاعات شاخه ها (Directory Information Tree - DIT) قرار دارد استفاده کنید. برای مثال در یک شبکه، این درخت شامل اطلاعاتی از اشیاء موجود در شبکه مانند کاربران، پرینترها، برنامه ها و ... است.
Lightweight Directory Access Protocol یك پروتكل مبتنی بر شبكه و X500 برای دسترسی به سرویس‌های دایركتوری روی شبكه است. به علت آن‌كه دایركتوری‌های موجود روی شبكه یكتا نیستند و هر یك ممكن است براساس یك سكوی سیستم‌عاملی و ساختار متفاوت باشند، پروتكل LDAP امكان برقراری ارتباط و مدیریت آن‌ها را فراهم می‌كند. در حقیقت LDAP ابزاری برای مدیریت اطلاعات شبكه، حساب‌های كاربری، ماشین‌های میزبان شبكه و منابع درون شبكه است. با استفاده از این استاندارد می‌توان یك مدیریت متمركز و واحد را به كل پیكره شبكه اعمال نمود و با دسترسی به تمام سرویس‌های درون شبكه (سخت‌افزاری و نرم‌افزاری) امكان همسان‌سازی و پیكربندی آسان آن‌ها را فراهم كرد. 
اطلاعاتي كه روي LDAP قرار مي‌گيرد، اطلاعاتي ايندكس‌دار و مدخل‌ مانند است. بدين معني كه اطلاعات به صورت مجموعه‌ای از ويژگي‌های توزيع شده قابل دسترسي هستند كه از يكديگر متمايزند و كاربران مي‌توانند از طريق ايندكس‌هاي موجود، به اطلاعات دسترسي پيدا کنند.
روي LDAP اطلاعات به صورت مدخل‌هاي دايركتوري و سلسله مراتبي قرار مي‌گيرند. اين ساختار سلسله‌ مراتبي انعكاسي از ساختار شبكه يا اينترنت و وضعيت جغرافيايي يا قرارگيري ماشين‌هاي كلاينت و سرويس‌دهنده است.
اين ساختار دسترسي به اطلاعات و كنترل مجوزها، همچنين مديريت آن‌ها را براي سرويس‌دهنده اختصاصي سازمان و ديگر سرويس‌دهنده‌ها كه امكان اتصال به دايركتوري را دارند، ساده مي‌نمايد.
استفاده کردن از یک کارگزار LDAP شامل 4 بخش اصلی است :
1. ایجاد و شروع یک Session : وقتی یک Session ایجاد می کنید، این Session ، مقادیر پیش فرض را، به خود می گیرد. اطلاعاتی که در این Session نگهداری می شود عبارتند از وضعیت کنونی Session، مدت اتصال، شماره نسخه ی در حال استفاده و برخی ملاحظات امنیتی. پس از ایجاد (Initialize) کردن session شما یک handle خواهید داشت که با استفاده از آن می توانید برخی مقادیر پیش فرض را تغییر دهید.
2. مقداردهی اولیه (اختیاری) : تغییر برخی مقادیر پیش فرض
3. اتصال به کارگزار (اختیاری)
4. Bind شدن به کارگزار. در این مرحله کارگزار، کاربر را اعتبارسنجی می کند. در صورت تأیید اعتبار کاربر، در حد اختیارات خود اجازه دسترسی به توابع کارگزار را دارا خواهد بود. اگر شما این کار را انجام ندهید به عنوان کاربر anounymous به کارگزار معرفی خواهید شد و در حد کاربر میهمان به امکانات کارگزار دسترسی خواهید داشت.
Active Directory به عنوان یکی از مهمترین بخش ها از ویندوز است که بر پایه LDAP پیاده سازی شده است. Active Directory به دغدغه های کاربران برای پیدا کردن منابع و سرویس ها پایان داد و بی تردید می توان آن را مهمترین خصوصیت افزوده شده به ویندوزهای سری 2000دانست.
از مزایای استفاده از پروتکل LDAP می توان به این مورد اشاره کرد که LDAP یک پادمان مبتنی بر پیام را، بین سرویس دهنده و سرویس گیرنده، برقرار می کند. پیام های متفاوتی بین سرویس دهنده و سرویس گیرنده ممکن است رد و بدل گردد. سرویس دهنده و سرویس گیرنده می توانند هر کدام با انتخاب روش های معمول، به شیوه دلخواه پیاده سازی شوند و سرویس دهنده و سرویس گیرنده هر کدام می تواند از دو تکنیک جداگانه استفاده کنند بدون اینکه مشکلی در ارتباط با یکدیگر داشته باشند.
CAS SERVER یا سیستم ورود یکپارچه، پر کاربردترین روش ورود یکپارچه (Single Sign On) در سازمان‌های بزرگ می‌باشد. توجه به این نکته لازم است که اکتیو دایرکتوری تنها نام کاربری و رمز عبور را در تمامی سیستم‌ها یکپارچه می‌کند، ولی همچنان لازم است کاربر در سیستم‌های مجزا نام کاربری و رمز عبور خود را وارد نماید، CAS Server این مشکل را مرتفع کرده و تنها با ورود کاربر به CAS، این سیستم به صورت خودکار کاربر را در تمامی سامانه ها وارد خواهد نمود.
<img src="https://tosinso.com/files/get/909550e2-307b-46aa-a952-9c410b414175" alt="LDAP پروتكلی است كه امكان ارتباط با سرویس‌ دایركتوری و مدیریت اطلاعات و كاربران روی یك شبكه را فراهم می‌كند.
و همچنین روش استانداردی برای دسترسی و به روزرسانی فهرست های(دایرکتوری های) توزیع شده (Distributed) ارائه می دهد. متدهایی که در LDAP در اختیار دارید به شما این امکان را می‏دهد تا از اطلاعاتی که در درخت اطلاعات شاخه ها (Directory Information Tree - DIT) قرار دارد استفاده کنید. برای مثال در یک شبکه، این درخت شامل اطلاعاتی از اشیاء موجود در شبکه مانند کاربران، پرینترها، برنامه ها و ... است.
Lightweight Directory Access Protocol یك پروتكل مبتنی بر شبكه و X500 برای دسترسی به سرویس‌های دایركتوری روی شبكه است. به علت آن‌كه دایركتوری‌های موجود روی شبكه یكتا نیستند و هر یك ممكن است براساس یك سكوی سیستم‌عاملی و ساختار متفاوت باشند، پروتكل LDAP امكان برقراری ارتباط و مدیریت آن‌ها را فراهم می‌كند. در حقیقت LDAP ابزاری برای مدیریت اطلاعات شبكه، حساب‌های كاربری، ماشین‌های میزبان شبكه و منابع درون شبكه است. با استفاده از این استاندارد می‌توان یك مدیریت متمركز و واحد را به كل پیكره شبكه اعمال نمود و با دسترسی به تمام سرویس‌های درون شبكه (سخت‌افزاری و نرم‌افزاری) امكان همسان‌سازی و پیكربندی آسان آن‌ها را فراهم كرد. 
اطلاعاتي كه روي LDAP قرار مي‌گيرد، اطلاعاتي ايندكس‌دار و مدخل‌ مانند است. بدين معني كه اطلاعات به صورت مجموعه‌ای از ويژگي‌های توزيع شده قابل دسترسي هستند كه از يكديگر متمايزند و كاربران مي‌توانند از طريق ايندكس‌هاي موجود، به اطلاعات دسترسي پيدا کنند.
روي LDAP اطلاعات به صورت مدخل‌هاي دايركتوري و سلسله مراتبي قرار مي‌گيرند. اين ساختار سلسله‌ مراتبي انعكاسي از ساختار شبكه يا اينترنت و وضعيت جغرافيايي يا قرارگيري ماشين‌هاي كلاينت و سرويس‌دهنده است.
اين ساختار دسترسي به اطلاعات و كنترل مجوزها، همچنين مديريت آن‌ها را براي سرويس‌دهنده اختصاصي سازمان و ديگر سرويس‌دهنده‌ها كه امكان اتصال به دايركتوري را دارند، ساده مي‌نمايد.

استفاده کردن از یک کارگزار LDAP شامل 4 بخش اصلی است :

1. ایجاد و شروع یک Session : وقتی یک Session ایجاد می کنید، این Session ، مقادیر پیش فرض را، به خود می گیرد. اطلاعاتی که در این Session نگهداری می شود عبارتند از وضعیت کنونی Session، مدت اتصال، شماره نسخه ی در حال استفاده و برخی ملاحظات امنیتی. پس از ایجاد (Initialize) کردن session شما یک handle خواهید داشت که با استفاده از آن می توانید برخی مقادیر پیش فرض را تغییر دهید.
2. مقداردهی اولیه (اختیاری) : تغییر برخی مقادیر پیش فرض
3. اتصال به کارگزار (اختیاری)
4. Bind شدن به کارگزار. در این مرحله کارگزار، کاربر را اعتبارسنجی می کند. در صورت تأیید اعتبار کاربر، در حد اختیارات خود اجازه دسترسی به توابع کارگزار را دارا خواهد بود. اگر شما این کار را انجام ندهید به عنوان کاربر anounymous به کارگزار معرفی خواهید شد و در حد کاربر میهمان به امکانات کارگزار دسترسی خواهید داشت.
Active Directory به عنوان یکی از مهمترین بخش ها از ویندوز است که بر پایه LDAP پیاده سازی شده است. Active Directory به دغدغه های کاربران برای پیدا کردن منابع و سرویس ها پایان داد و بی تردید می توان آن را مهمترین خصوصیت افزوده شده به ویندوزهای سری 2000دانست.
از مزایای استفاده از پروتکل LDAP می توان به این مورد اشاره کرد که LDAP یک پادمان مبتنی بر پیام را، بین سرویس دهنده و سرویس گیرنده، برقرار می کند. پیام های متفاوتی بین سرویس دهنده و سرویس گیرنده ممکن است رد و بدل گردد. سرویس دهنده و سرویس گیرنده می توانند هر کدام با انتخاب روش های معمول، به شیوه دلخواه پیاده سازی شوند و سرویس دهنده و سرویس گیرنده هر کدام می تواند از دو تکنیک جداگانه استفاده کنند بدون اینکه مشکلی در ارتباط با یکدیگر داشته باشند.
CAS SERVER یا سیستم ورود یکپارچه، پر کاربردترین روش ورود یکپارچه (Single Sign On) در سازمان‌های بزرگ می‌باشد. توجه به این نکته لازم است که اکتیو دایرکتوری تنها نام کاربری و رمز عبور را در تمامی سیستم‌ها یکپارچه می‌کند، ولی همچنان لازم است کاربر در سیستم‌های مجزا نام کاربری و رمز عبور خود را وارد نماید، CAS Server این مشکل را مرتفع کرده و تنها با ورود کاربر به CAS، این سیستم به صورت خودکار کاربر را در تمامی سامانه ها وارد خواهد نمود.

||http://network.tosinso.com/files/get/909550e2-307b-46aa-a952-9c410b414175||

سناریوی پیشنهادی سورن برای یکپارچه سازی به صورت زیر خواهد بود:
• در پایین‌ترین لایه، اکتیو دایرکتوری قرار خواهد داشت. همانطور که اشاره شد، اطلاعاتی مانند نام کاربری، رمز عبور، اطلاعات پرسنلی و ... ، همچنین اطلاعاتی مربوط به اینکه هر کاربری حق ورود به چه سیستم‌هایی را دارد همگی در LDAP قرار خواهد گرفت.
• سیستم‌های مختلف همگی به گونه‌ای تنظیم خواهند شد که این اطلاعات را از اکتیو دایرکتوری دریافت نمایند.
*- کاربر به هنگام ورود نام کاربری و رمز عبور خود را به CAS می‌دهد.
*- CAS این اطلاعات را با اکتیو دایرکتوری چک می‌نماید، چنانچه این اطلاعات معتبر باشند، CAS به صورت خودکار کاربر را در تمامی سیستم‌هایی که حق ورود دارد لاگین می‌نماید.
*- سپس CAS کاربر را به صفحه اصلی پرتال هدایت می‌کند. لینک سایر سیستم‌ها در پرتال وجود دارد، با کلیک کردن بر روی لینک‌ها، دیگر احتیاجی به نام کاربری و رمز عبور نخواهد بود و کاربر به صورت خودکار وارد سیستم‌ها خواهد شد.
*- اطلاعات حساب کاربری فقط از طریق پرتال قابل به روز رسانی خواهد بود، سایر سیستم‌ها فقط از اکتیو دایرکتوری اطلاعات را دریافت خواهند کرد." class="content-image">
سناریوی پیشنهادی سورن برای یکپارچه سازی به صورت زیر خواهد بود:
• در پایین‌ترین لایه، اکتیو دایرکتوری قرار خواهد داشت. همانطور که اشاره شد، اطلاعاتی مانند نام کاربری، رمز عبور، اطلاعات پرسنلی و ... ، همچنین اطلاعاتی مربوط به اینکه هر کاربری حق ورود به چه سیستم‌هایی را دارد همگی در LDAP قرار خواهد گرفت.
• سیستم‌های مختلف همگی به گونه‌ای تنظیم خواهند شد که این اطلاعات را از اکتیو دایرکتوری دریافت نمایند.
*- کاربر به هنگام ورود نام کاربری و رمز عبور خود را به CAS می‌دهد.
*- CAS این اطلاعات را با اکتیو دایرکتوری چک می‌نماید، چنانچه این اطلاعات معتبر باشند، CAS به صورت خودکار کاربر را در تمامی سیستم‌هایی که حق ورود دارد لاگین می‌نماید.
*- سپس CAS کاربر را به صفحه اصلی پرتال هدایت می‌کند. لینک سایر سیستم‌ها در پرتال وجود دارد، با کلیک کردن بر روی لینک‌ها، دیگر احتیاجی به نام کاربری و رمز عبور نخواهد بود و کاربر به صورت خودکار وارد سیستم‌ها خواهد شد.
*- اطلاعات حساب کاربری فقط از طریق پرتال قابل به روز رسانی خواهد بود، سایر سیستم‌ها فقط از اکتیو دایرکتوری اطلاعات را دریافت خواهند کرد.

سوال در مورد LDAP

2 پاسخ

پاسخ شما