DAP - conceitos

A melhor forma de começar a explicar sobre LDAP é examinando como ele adquiriu esse nome. Comecemos do começo.

A última versão do LDAP (Versão 3) é definida em uma 'lista' de nove documentos dentro da RFC 3377. Essa lista inclui:

• RFC 2251−2256 - O núcleo original das RFCs do LDAPv3
• RFC 2829 - "Métodos de Autenticação para LDAP"
• RFC 2830 - "Lightweight Directory Access Protocol (v3): Extensão para Segurança do Transporte em Camadas"
• RFC 3377 - "Lightweight Directory Access Protocol (v3): Especificação Técnica"

Lightweight (Leve)

Mas, por quê o LDAP é considerado Lightweight (Leve)? Leve comparado com o quê? (como nos olhamos o LDAP mais detalhadamente, você certamente deve estar se perguntando como alguma coisa tão complexa pode ser considerada "leve".) Para responder essa perguntas, é necessário procurar nas origens do LDAP.

Os administradores do LDAP são estritamente fechados ao serviço de diretórios X.500. O LDAP foi originalmente projetado como um protocolo desktop leve usado para passar as requisições para os servidores X.500. O X.500 é atualmente um jogo de padrões; qualquer coisa acima disso está fora dos objetivos desse projeto.

O X.500 ganhou o título "heavyweight" (pesado). Ele requeria que tanto o cliente quanto o servidor se comunicassem usando o OSI - Open Systems Interface (pilha de protocolos). Esta pilha de sete camadas foi um bom exercício acadêmico para projetar uma suíte de protocolos de rede, mas quando comparado à suíte de protocolos TCP/IP, é como viajar no sistema ferroviário Europeu com quatro vagões totalmente lotados.

O LDAP é leve em comparação por que usa low overhead messages que são mapeadas diretamente na camada TCP (a porta 389 é a padrão) da pilha de protocolos TCP/IP. Devido ao X.500 ter sido um protocolo de camada de aplicação (nos padrões OSI), carregou por mais tempo, mais bagagem.

LDAP também é considerado leve porque omite muitas operações do X.500 que são raramente usadas. O LDAPv3 tem apenas nove operações e provê um simples modelo para programadores e administradores. Provendo um pequeno e simples jogo de operações, ajuda desenvolvedores a focar na semântica de seus programas sem ter que entender as raramente usadas características do protocolo. Dessa forma, os desenvolvedores do LDAP esperaram aumentar a 'adoção' deles fornecendo o desenvolvimento mais fácil da aplicação.

Diretório

Os serviços de diretório de rede não são nada novo; Todos nós estamos familiarizados com a ascensão do DNS. Entretanto, o fato de um diretório prestar serviços de manutenção é confundido freqüentemente com uma base de dados. É fácil compreender por quê. Parte dos serviços e das bases de dados do diretório, um número de características importantes, tais como buscas rápidas e um schema telescópico. Diferem no fato de um diretório ser projetado para ser lido muito mais do que se escrito; no contraste, uma base de dados supõe ler e escrever operações com aproximadamente a mesma freqüência. A suposição que um diretório seja lido freqüentemente mas escrito raramente significa que determinadas características que são essenciais a uma base de dados, tal como a sustentação para transações e escrever fechamentos, não ser essencial para um serviço de diretório como o LDAP.

Modelos LDAP

Os modelos de LDAP representam os serviços fornecidos por um usuário, como visto por um cliente. São modelos abstratos isso de descrever os vários facetes de um diretório LDAP. O RFC 2251 divide um diretório de LDAP em dois componentes: o modelo do protocolo e o modelo de dados. Entretanto, em Compreender e Desdobrar Serviços do Diretório de LDAP, por Timothy A. Howes, Mark C. Smith e por Gordon S. Good (MacMillan), quatro modelos são definidos:

Modelo de Informação: define o tipo de informação que pode ser armazenada em um diretório LDAP;

Modelo de Nomes: define como a informação no diretório LDAP pode ser organizada e referenciada;

Modelo Funcional: define o que pode ser feito com a informação no diretório LDAP e como ela pode ser acessada e alterada;

Modelo de Segurança: define como a informação no diretório LDAP pode ser protegida de acessos ou modificações não autorizadas.

O SASL foi implementado na versão 3 do LDAP e é um framework que permite diferentes métodos de autenticação dos clientes, como Kerberos e SSL.

As três formas de obter acesso a um servidor LDAP são: sem autenticação, autenticação básica e SASL. Os clientes LDAP utilizam as funções SASL da API para fazer uma chamada ao driver SASL no servidor, que conecta ao sistema de autenticação identificado pelo parâmetro mechanism para autenticar o usuário. É comum a utilização do SSL ou o seu sucessor o TLS.

Apesar de conceitualmente aceitar múltiplos mecanismos de autenticação, alguns fornecedores não disponibilizam todos, preferindo disponibilizar apenas os mecanismos mais utilizados, como SSL/TLS e Kerberos.

O Kerberos costuma ser executado em um servidor independente para prover as funções de autenticação e utiliza um padrão amplamente aceito para criptografia dos dados, o DES.

Fontes:

• http://ns2.fjaunet.com.br/files/Seguranca_LDAP.pdf

Texto traduzido do Livro "LDAP System Administration" de Gerald Carter - Editora: O'Reilly. Março,2003.
Traduzido por Gabriel Gomes de Almeida. Agosto,2007.