LDAP - Primeiros Conceitos
Conceitos Básicos do LDAP
Para que podemos usar o LDAP?
O LDAP, em linhas gerais, desempenha tipicamente duas funções: a de armazenar em árvore e disponibilizar informações sobre algum objeto, normalmente pessoas e de realizar a autenticação de usuários para frontends e aplicativos de maneira unificada. Para tanto o LDAP faz uso do PAM com o módulo pam_ldap. Como objetos finais visados por uma árvore podemos ter outras coisas que não pessoas como, por exemplo, arquivos ou cds que uma loja queira manter organizados.
Que tipos de aplicativos podem utilizar LDAP?
Como o LDAP foi desenvolvido sobre TCP/IP, ele é um serviço integralmente compatível com os usos da internet. Em tese, todos aplicativos podem acessar dados de um servidor LDAP e atualizá-los, se tiverem as devidas permissões. A maioria dos servidores de email tem suporte a LDAP, ainda que, por hora, vários deles somente leiam dados, mas não escrevem.
O LDAP pode autenticar usuários para um número enorme de procedimentos, desde logins Linux e até Windows (família NT), passando por Samba até serviços POP e IMAP.
O LDAP pode autenticar usuários para um número enorme de procedimentos, desde logins Linux e até Windows (família NT), passando por Samba até serviços POP e IMAP.
Como é o acesso ao LDAP?
O LDAP funciona segundo o modelo cliente/servidor, mas enquanto o cliente é sempre um, o servidor deste cliente pode se dividir em várias máquinas LDAP. A lógica é simples, o cliente faz um pedido ao servidor, que por sua vez ou retorna os dados ou repassa o pedido a uma outra máquina que faz serviço de diretórios LDAP.
Naturalmente, o(s) servidor(es) LDAP pode(m) estar tanto na própria máquina cliente, quanto em uma rede ou na internet, como acontece na maioria esmagadora dos casos. Em todos esses casos e especialmente no último, um único servidor LDAP, com uma única arvore de diretórios, pode autenticar o mesmo usuário para diversos serviços diferentes, ou seja, um usuário pode logar em um sistema, ler seus e-mails, logar em um portal e ser autenticado em serviços de rede com um só login e com uma só senha armazenados em um só servidor LDAP.
Naturalmente, o(s) servidor(es) LDAP pode(m) estar tanto na própria máquina cliente, quanto em uma rede ou na internet, como acontece na maioria esmagadora dos casos. Em todos esses casos e especialmente no último, um único servidor LDAP, com uma única arvore de diretórios, pode autenticar o mesmo usuário para diversos serviços diferentes, ou seja, um usuário pode logar em um sistema, ler seus e-mails, logar em um portal e ser autenticado em serviços de rede com um só login e com uma só senha armazenados em um só servidor LDAP.
Como é o uso do LDAP?
O LDAP, diferentemente de um banco de dados relacional, não é preparado para ser constantemente atualizado e ter seus dados remanejados e transitando. O LDAP é principamente um serviço de consulta, o que, obviamente, requer que dados sejam escritos de vez em quando. Portanto, o LDAP suporta escrita e leitura de dados, mas com uma finalidade diferente daquela de um banco de dados relacional. O LDAP suporta uma quantidade absurda de acessos para leitura ao mesmo tempo, mas não se adequa a usos que requeiram armazenamento de dados que devam ser freqüentemente atualizados, o que explica o uso típico de armazenamento de informações pessoais, pois se modificam pouco.
Como são os dados do LDAP?
Cada objeto visado pelo LDAP, que a partir de então chamaremos de item, possui um único registro que lista os campos com seus atributos. Cada item, por sua vez, é uma instância de alguma classe de ítens (objetos) escolhida que define que informações têm que estar e que informações podem estar listadas no registro de suas instâncias.
Cada item é único e pode ser encontrado sem ambigüidades por conta da estrutura arbórea padrão dos diretórios LDAP. Todos servidores LDAP, portanto, são estruturados segundo um mesmo princípio de continentes e conteúdos, que será esclarecido mais tarde, que torna seus dados intercambiáveis.
Haver vários frontends que suportam LDAP e que são capazes de descrever um caminho completo a um item requer um padrão de estrutura de diretórios.
Podemos, enfim, referenciar um item específico e pedir o retorno de seus dados ou parte destes passando ao servidor o caminho completo através da árvore até o item visado. Podemos também, como vamos ver, fazer referência não a um item, mas a um ramo inteiro de dados da árvore, cobrindo todos ítens nele contidos.
Uma árvore de diretórios LDAP é também chamada de DIT, Directory Information Tree. Um mesmo servidor LDAP pode, inclusive, suportar mais de uma árvore.
Cada item é único e pode ser encontrado sem ambigüidades por conta da estrutura arbórea padrão dos diretórios LDAP. Todos servidores LDAP, portanto, são estruturados segundo um mesmo princípio de continentes e conteúdos, que será esclarecido mais tarde, que torna seus dados intercambiáveis.
Haver vários frontends que suportam LDAP e que são capazes de descrever um caminho completo a um item requer um padrão de estrutura de diretórios.
Podemos, enfim, referenciar um item específico e pedir o retorno de seus dados ou parte destes passando ao servidor o caminho completo através da árvore até o item visado. Podemos também, como vamos ver, fazer referência não a um item, mas a um ramo inteiro de dados da árvore, cobrindo todos ítens nele contidos.
Uma árvore de diretórios LDAP é também chamada de DIT, Directory Information Tree. Um mesmo servidor LDAP pode, inclusive, suportar mais de uma árvore.
Quem tem acesso aos dados?
A organização de diretórios do LDAP permite que sejam setadas permissões personalizadas de acesso tanto para leitura quanto para escrita a ramos inteiros de uma árvore de dados ou a diretórios específicos, restringindo o acesso de quaisquer usuários ou grupos destes. O LDAP, pois, em certo sentido também autentica a si mesmo o acesso de usuários.
Conceitos e convenções
Antes de aprendermos algumas das palavras-chave do LDAP e entender sua estrutura de dados, vamos expor algumas noções importantes a um sistema LDAP e ao mesmo tempo estipular os nomes que daremos a elas. O importante é que fiquemos familiarizados com a nomenclatura em geral e que tenhamos uma visão panorâmica de tudo aquilo sobre o que vamos falar daqui em diante. Não é preciso que se domine todos os conceitos agora, pois vamos estudar aqueles ainda não apresentados um a um posteriormente.
- Árvore LDAP ou de dados é a estrutura hierárquica de dados do LDAP;
- A raiz ou tronco é o primeiro e maior diretório de uma árvore de dados;
- Um diretório é um ramo da árvore que contém outros diretórios ou ítens;
- Um item é aquilo que é visado pela árvore, aquilo que os diretórios tentam organizar;
- Categorias do LDAP são os tipos de diretórios e de ítens, nomeados pelas palavras especiais;
- Registro é o conjunto de atributos de um item;
- Atributos são as propriedades (nome e valor(es)) associadas a um determinado item;
- Os atributos (necessários e possíveis) de um item são designados por esquemas;
- Esquemas constituem classes ou tipos de ítens, que são suas instâncias.
Conceitos e convenções
Antes de aprendermos algumas das palavras-chave do LDAP e entender sua estrutura de dados, vamos expor algumas noções importantes a um sistema LDAP e ao mesmo tempo estipular os nomes que daremos a elas. O importante é que fiquemos familiarizados com a nomenclatura em geral e que tenhamos uma visão panorâmica de tudo aquilo sobre o que vamos falar daqui em diante. Não é preciso que se domine todos os conceitos agora, pois vamos estudar aqueles ainda não apresentados um a um posteriormente.
- Árvore LDAP ou de dados é a estrutura hierárquica de dados do LDAP;
- A raiz ou tronco é o primeiro e maior diretório de uma árvore de dados;
- Um diretório é um ramo da árvore que contém outros diretórios ou ítens;
- Um item é aquilo que é visado pela árvore, aquilo que os diretórios tentam organizar;
- Categorias do LDAP são os tipos de diretórios e de ítens, nomeados pelas palavras especiais;
- Registro é o conjunto de atributos de um item;
- Atributos são as propriedades (nome e valor(es)) associadas a um determinado item;
- Os atributos (necessários e possíveis) de um item são designados por esquemas;
- Esquemas constituem classes ou tipos de ítens, que são suas instâncias.
Fonte: cdtc.org.br
Comentários
Postar um comentário