O protocolo LDAP

Junho 2014

Introduo ao LDAP
O LDAP (Lightweight Directory Access Protocol, traduzir como Protocolo de acesso aos
diretrios ligeiro e pronunciar "l-dap") um protocolo standard que permite gerenciar diretrios,
quer dizer, acessar a bases de informaes sobre os usurios de uma rede atravs de
protocolos TCP/IP.
As bases de informaes so geralmente relativas a usurios, mas s vezes so utilizadas para
outros fins como gerenciar material numa empresa.
O protocolo LDAP, desenvolvido em 1993 pela Universidade do Michigan, tinha por objetivo
suplantar o protocolo DAP (que serve para acessar ao servio de diretrio X.500 do OSI). A
partir de 1995, o LDAP tornou-se um diretrio nativo (standalone LDAP), para no servir
unicamente para acessar diretrios de tipo X500. O LDAP assim uma verso aligeirada do
protocolo DAP, da o seu nome Lightweight Directory Acess Protocol.

Apresentao do LDAP
O protocolo LDAP define o mtodo de acesso aos dados no servidor ao nvel do cliente, e no a
maneira como as informaes so armazenadas.
O protocolo LDAP est actualmente na verso 3 e foi normalizado pelo IETF (Internet
Engineering Task Force). Assim, existe um RFC para cada verso de LDAP, constituindo um
documento de referncia :
RFC 1777 para LDAP v.2 standard
RFC 2251 para LDAP v.3 standard
</uL> Assim, o LDAP fornece ao utilizador mtodos que lhe permitem:
conectar-se
desligar-se
procurar informaes
comparar informaes
inserir entradas
alterar entradas
suprimir entradas

Por outro lado, o protocolo LDAP (na sua verso 3) prope mecanismos de codificao (SSL,...)
e de autenticao (SASL) que permitem proteger o acesso s informaes armazenadas na
base.

A arborescncia de informaes (DIT)

O LDAP apresenta as informaes sob a forma de uma arborescncia de informaes
hierrquica chamada DIT (Directory Information Tree), na qual as informaes, chamadas
entradas (ou ainda DSE, Directory Service Entry), so representadas sob a forma de ramos.
Um ramo situado na raiz de uma ramificao chama-se raiz ou sufixo (em ingls root entry).
Cada entrada do diretrio LDAP corresponde a um objeto abstrato ou real (por exemplo uma
pessoa, um objeto material, parmetros,...).
Cada entrada constituda por um conjunto de pares chave/valor chamados atributos.

Os atributos das entradas

Cada entrada constituda por um conjunto de atributos (pares chave/valor) que permitem
caracterizar o objeto que a entrada define. Existem dois tipos de atributos:
Os atributos normais : estes so os atributos habituais (apelido, nome,...) caracterizando
o objeto
Os atributos operacionais : estes so atributos aos quais s o servidor pode acessar a
fim de manipular os dados do diretrio (datas de modificao,...)
Uma entrada indexada por um nome distinto (DN, distinguished name) que permite identificar
de maneira nica um elemento da arborescncia.
Um DN constri-se tomando o nome do elemento, chamado Relative Distinguished Name
(RDN, isto , o caminho da entrada em relao a um dos seus parentes), e acrescentando-lhe o
conjunto do nome das entradas parentescos.
Trata-se de utilizar uma srie de pares chave/valor que permite localizar uma entrada de
maneira nica. Eis uma srie de chaves geralmente utilizadas:

uid (userid), trata-se de um identificador nico obrigatrio

cn (common name), trata-se do apelido da pessoa
givenname, trata-se do nome
Sn (surname), trata-se do apelido da pessoa
o (organization), trata-se da empresa da pessoa
u (organizational unit), trata-se do servio da empresa na qual a pessoa trabalha
mail, trata-se do endereo de correio electrnico da pessoa (obviamente)
...
Assim, um Distinguished Name ter a forma:
uid=jeapil,cn=pillou,givenname=jean-francois
O Relative Distinguished Name aqui "uid=jeapil".
Assim, chama-se esquema ao conjunto das definies de objetos e de atributos que um
servidor LDAP pode gerenciar. Isto permite por exemplo, definir se um atributo poder possuir um
ou vrios valores. Por outro lado, um atributo chamado objectclass permite definir os atributos
obrigatrios ou facultativos...

Consultar os dados
O LDAP fornece um conjunto de funes (procedimentos) para efetuar pedidos sobre os dados,
a fim de procurar, alterar, apagar entradas nos diretrios.
Eis a lista das principais operaes que o LDAP pode efetuar :

Operao

Descrio

Abandon

Abandona a operao previamente enviada ao servidor

Add

Acrescenta uma entrada ao diretrio

Bind

Inicia uma nova sesso no servidor LDAP

Compare

Compara as entradas de um diretrio de acordo com critrios

Delete

Suprime uma entrada de um diretrio

Extended

Efectua operaes vastas

Rename

Altera o nome de uma entrada

Search

Procura entradas num diretrio

Unbind

Terminauma sesso no servidor LDAP

O formato de troca de dados LDIF

O LDAP fornece um formato de troca (LDIF, Lightweight Data Interchange Format) que permite
importar e exportar os dados de um diretrio com um simples ficheiro texto. A maioria dos
servidores LDAP suporta este formato, que permite uma grande interoperabilidade entre eles.
A sintaxe deste formato a seguinte:
[<id>]
dn: <distinguished name>
<attribut> : <valeur>
<attribut> : <valeur>
...
Neste ficheiro, id facultativo, trata-se de um nmero inteiro positivo que permite identificar a
entrada na base de dados.
<sample>
cada nova entrada deve ser separada da definio da entrada precedente com a ajuda de
um salto de linha (linha vazia)
possvel definir um atributo para vrias linhas, comeando as linhas seguintes por um
espao ou uma tabulao
possvel definir vrios valores que um atributo, repetindo a cadeia nome: valor em linhas
separadas
quando o valor contm um carcter especial (no imprimvel, um espao ou : ), o atributo
deve ser seguido de :: e depois do valor codificado em base64
LDAP protocol Protocolo LDAP Das Protokoll LDAP Le protocole LDAP Il protocollo LDAP
Este documento, intitulado O protocolo LDAP a partir de Kioskea (pt.kioskea.net) est disponibilizado sob a
licena Creative Commons. Voc pode copiar, modificar cpias desta pgina, nas condies estipuladas pela
licena, como esta nota aparece claramente.