LDAP Là Gì? Làm Thế Nào để Xác Thực Và Kiểm Soát Truy Cập ...

Tiêu đề nội dung

Toggle
  • LDAP là gì?
    • Làm thế nào để xác thực, ủy quyền và kiểm soát truy cập LDAP hoạt động?
    • Directory Information service là gì?
  • Phương thức hoạt động của LDAP là gì?
    • Database backend
    • Mô hình của LDAP là gì?
  • Phương thức xác thực người dùng trong LDAP
    • Xác thực người dùng không định danh (Anonymous Authentication)
    • Xác thực nguời dùng cơ bản (Simple Authtication)
    • Xác thực đơn giản qua SSL/TLS
  • LDAP và Active Directory

LDAP server là gì mà nhờ sự hỗ trợ của LDAP, người quản trị máy chủ hội nghị truyền hình có thể dễ dàng quản lý các tài khoản điểm cầu. Vậy bạn đã biết LDAP là gì và phương thức hoạt động của LDAP thế nào chưa?  Hãy tham khảo bài viết của chúng tôi ngay sau đây nhé!

LDAP là gì?

Ldap là gì? The Lightweight Directory Access Protocol (LDAP) là một giao thức ứng dụng trung lập với nhà cung cấp. Được sử dụng để duy trì thông tin thư mục phân tán theo cách có tổ chức, dễ truy vấn. Điều đó có nghĩa là nó cho phép bạn giữ một thư mục các mục và thông tin về chúng.

LDAP lưu trữ dữ liệu này bằng các bản ghi có chứa một tập các thuộc tính. Hãy nghĩ về các thuộc tính như các trường trong cơ sở dữ liệu. Bản thân bản ghi có một mã định danh duy nhất. Distinguished Name (Tên phân biệt) theo cách nói LDAP. Thường được xem là ‘DN’, đây là bit duy nhất của mỗi mục. Giống như đường dẫn đến tệp trên hệ thống tệp của bạn. Hoặc có lẽ chính xác hơn tương tự như một địa chỉ đường phố.

Vì các địa chỉ bưu chính bắt đầu bằng bit cụ thể nhất trước tiên (số nhà, v.v.), cũng như các DN. Mỗi thuộc tính khác trong bản ghi có một tên và một loại, cũng như một hoặc nhiều giá trị.

ldap
ldap

Làm thế nào để xác thực, ủy quyền và kiểm soát truy cập LDAP hoạt động?

Ldap là gì? LDAP chia sẻ rất tốt cho những thứ như kiểm soát truy cập và ủy quyền. Những nhóm người dùng nội bộ? Chỉ người dùng trong nhóm được phép mới có quyền truy cập vào ứng dụng được cấp phép. Vì vậy khi ai đó cố gắng đăng nhập, hãy đảm bảo họ ở trong nhóm thích hợp trước khi cấp quyền truy cập, v.v.

Nhưng làm thế nào để một người có quyền truy cập vào tất cả các bản ghi đó? Quá trình này diễn ra khá đơn giản:

Một phiên bắt đầu với một máy khách liên kết với máy chủ LDAP (DSA, Directory System Agent – Tác nhân hệ thống thư mục), cổng mặc định 389

  • Sau đó, khách hàng sẽ gửi một yêu cầu hoạt động (thường là một yêu cầu tìm kiếm hoặc so sánh) đến máy chủ, yêu cầu một tập hợp thông tin cụ thể.
  • Sau đó, máy chủ xử lý truy vấn này và cung cấp phản hồi.
  • Máy khách nhận được phản hồi và hủy liên kết, sau đó xử lý dữ liệu.

Directory Information service là gì?

Directory, hoặc Directory information service, là cơ sở dữ liệu mạng lưu trữ thông tin trong cây dữ liệu. Mỗi mục trong cây bao gồm (trong số các thành phần khác, ít quan trọng hơn) một tên phân biệt, một tập hợp các thuộc tính và một tập hợp các lớp đối tượng.

Ví dụ: Active Directory là nhà cung cấp dịch vụ thư mục độc quyền cho hệ điều hành Windows. LDAP là một giao thức đáp ứng yêu cầu cho phép bạn dễ dàng tương tác với các máy chủ thư mục như Active Directory bằng cách sử dụng các thành phần nhập cụ thể để tìm, xem hoặc chỉnh sửa thông tin.

Những thông tin trên chắc hẳn đã giúp bạn hiểu rõ LDAP là gì. Hãy vận dụng nó một cách hiệu quả vào công việc và bạn sẽ thấy sử dụng  thực sự hữu ích cho công việc của bạn.

ldap
ldap

Phương thức hoạt động của LDAP là gì?

LDAP hoạt động theo mô hình là client-server. Một hay nhiều LDAP server chứa các thông tin về cây thư mục (Directory Information Tree – DIT). Client kết nối đến server và gửi đi yêu cầu. Server phản hồi lại bằng chính nó hoặc trỏ tới LDAP server khác để client lấy được thông tin. Trình tự khi có kết nối với LDAP là:

  • Connect (kết nối với LDAP): client sẽ mở kết nối tới LDAP server
  • Bind (kiểu kết nối: ẩn danh hoặc đăng nhập xác thực): client gửi đi các thông tin xác thực
  • Search (tìm kiếm): client gửi đi yêu cầu tìm kiếm
  • Interpret search (xử lý tìm kiếm): server thực hiện việc xử lý tìm kiếm
  • Result (kết quả): máy chủ trả lại kết quả cho client
  • Unbind: client gửi đi yêu cầu đóng kết nối tới server
  • Close connection (đóng kết nối): đóng đi kết nối từ server

Database backend

Ldap là gì? Slapd là một “LDAP directory server” có thể chạy trên khá nhiều platform khác nhau. Các bạn có thể sử dụng nó để cung cấp các dịch vụ của riêng bản mình. Những tính năng mà slapd cung cấp là:

  • LDAPv3: slapd hỗ trợ LDAP cả cho địa chỉ IPv4, IPv6 và Unix IPC.
  • Simple Authentication and Security Layer: slapd hỗ trợ mạnh mẽ chứng thực và bảo mật dữ liệu dịch vụ bằng SASL
  • Transport Layer Security: slapd có hỗ trợ sử dụng TLS hay SSL.

Hai database mà SLAPD sử dụng để lưu trữ các dữ liệu hiện tại là bdb và hdb. BDB sử dụng Oracle Berkeley DB để lưu trữ các dữ liệu. Nó được đề nghị sử dụng làm database backend chính cho các SLAPD thông thường.

HDB là cũng tương tự như BDB nhưng mà nó sử dụng database phân cấp nên sẽ hỗ trợ cơ sỡ dữ liệu dạng cây. HDB thường được mặc định cấu hình có trong SLAPD hiện nay.

Mô hình của LDAP là gì?

LDAP được chia ra làm 4 mô hình:

  • Mô hình information – xác định cấu trúc và đặc điểm của các thông tin trong thư mục.
  • Mô hình Naming – xác định cách các thông tin được tham chiếu và tổ chức.
  • Mô hình Functional – định nghĩa cách mà các bạn truy cập và cập nhật thông tin trong thư mục của các bạn.
  • Mô hình Security – định nghĩa ra cách thông tin trong thư mục của các bạn được bảo vệ tránh các truy cập không được cho phép.
ldap
ldap

Phương thức xác thực người dùng trong LDAP

Việc mà xác thực trong một thư mục là một điều rất cần thiết và không thể thiếu. Quá trình xác thực này được sử dụng để thiết lập các quyền của khách hàng cho mỗi lần sử dụng.

Tất cả các công việc như tìm kiếm, truy vấn, vv… được có sự kiểm soát bởi các mức uỷ quyền của người được xác thực.

Khi xác nhận một người dùng cần có tên người dùng được xác định như là một DN và password tương ứng với DN đó.

Xác thực người dùng không định danh (Anonymous Authentication)

Xác thực người dùng không định danh là một xử lý ràng buộc đăng nhập vào thư mục với một tên đăng nhập và password là trống. Cách đăng nhập này rất thông dụng và thường xuyên được sử dụng đối với ứng dụng client.

Xác thực nguời dùng cơ bản (Simple Authtication)

Ldap là gì? Đối với xác thực nguời dùng cơ bản, tên đăng nhập trong DN sẽ được gửi kèm cùng với một password dưới dạng clear text tới máy chủ LDAP.

Máy chủ sẽ so sánh password với giá trị thuộc tính userPassword hoặc với những giá trị thuộc tính mà đã được định nghĩa trước trong entry cho DN đó.

Nếu password được lưu dưới dạng hàm băm (mã hoá), máy chủ sẽ sử dụng hàm băm tương ứng để có thể biến đối mật khẩu đưa vào và so sánh giá trị đó so với giá trị mật khẩu đã được mã hoá từ trước.

Nếu cả hai password mà trùng nhau, việc xác thực client sẽ thành công.

Xác thực đơn giản qua SSL/TLS

LDAP sẽ mã hóa trước khi thực hiện bất cứ hành động kết nối nào. Do đó, tất cả thông tin người dùng sẽ được đảm bảo (ít nhất là trong session đó)

Khi tích hợp giải pháp của chúng tôi vào hệ thống hạ tầng lớn, người quản trị mạng không cần phải tạo tài khoản cho mỗi điểm cầu bằng tay cũng như việc hỗ trợ các điểm cầu trên hệ thống mà các điểm cầu có thể tự làm, đó là những công dụng của LDAP mang đến cho các bạn.

ldap
ldap

LDAP và Active Directory

Lightweight Directory Access Protocol là giao thức Exchange Server sử dụng để giao tiếp với Active Directory. Để thực sự hiểu LDAP là gì và chức năng của nó, bạn cần phải hiểu khái niệm cơ bản đằng sau Active Directory vì nó liên quan đến Exchange.

Active Directory là một dịch vụ thư mục để quản lý miền, người dùng và tài nguyên phân tán như các đối tượng dành cho hệ điều hành Windows. Mục đích của một dịch vụ thư mục là nó quản lý các miền và đối tượng và cho phép người dùng nào có quyền truy cập vào từng tài nguyên.

Active Directory và nhiều dịch vụ khác có sẵn trên Windows Server 10. Chẳng hạn như: các dịch vụ Quản lý tên miền, Lightweight Directory, chứng chỉ, liên kết và quyền. Mỗi dịch vụ đều là một phần của Active Directory để mở rộng tính năng quản lý thư mục.

Active Directory có thông tin tài khoản của tất cả người dùng trên hệ thống mạng. Nó xem mỗi tài khoản người dùng như một đối tượng. Mỗi đối tượng người dùng cũng có nhiều thuộc tính. Thuộc tính này có thể là tên, họ hoặc địa chỉ e-mail của người dùng.

Tất cả thông tin này được nằm trong một cơ sở dữ liệu khổng lồ, phức tạp trên bộ điều khiển miền – Active Directory. Với nhiệm vụ là trích xuất thông tin ở định dạng có thể sử dụng được, đây cũng là là công việc chính của LDAP.

LDAP sử dụng một truy vấn dựa trên chuỗi tương đối đơn giản để trích xuất thông tin từ Active Directory. LDAP có thể lưu trữ và trích xuất các đối tượng như tên người dùng và mật khẩu trong Active Directory, đồng thời chia sẻ dữ liệu đối tượng đó trên toàn mạng.

Và hoạt động này được diễn ra hoàn toàn ở phía sau. Người dùng cuối thông thường sẽ không bao giờ phải thực hiện truy vấn LDAP theo cách thủ công, vì Outlook đã hỗ trợ LDAP và biết cách xử lý tất cả các truy vấn cần thiết.

Liên hệ với SEMTEK để tháo nút thắt cho website của bạn bằng giải pháp về Marketing!

SEMTEK Co,.LTD

🏡 Địa chỉ: 2N Cư Xá Phú Lâm D, Phường 10, Quận 6, TP.HCM 📧 Email: info@semtek.com.vn ☎️ Hotline: (+84)098.300.9285

Từ khóa:

  • Radius là gì
  • Openldap là gì
  • Cấu hình LDAP trên Windows Server 2012
  • Active Directory là gì
  • Ldap AD là gì

Nội dung liên quan:

  • Tổng hợp mẫu thư ngỏ chào hàng hay nhất theo từng ngành hàng
  • Core là gì? Sự khác biệt giữa intel core i3, i5, i7 và i9
  • Hướng dẫn sử dụng WordPress cơ bản cho người mới bắt đầu

Từ khóa » Tìm Hiểu Về Ldap