Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Was ist LDAP? | Ping Identity
Basiswissen über Identität
Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Passwortlose Authentifizierung
FIDO (Fast Identity Online)
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Tokenbasierte Authentifizierung
Single Sign-on (SSO)
Föderiertes Identitätsmanagement
CHAP-Authentifizierung
Was ist die kontinuierliche Authentifizierung?
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
Expand All | Collapse All

Was ist LDAP?


Das Lightweight Directory Access Protocol (LDAP) ist eine offene und plattformübergreifende Sprache für die Kommunikation eines Clients mit einem Server über eine permanente Verbindung. Es definiert die Kodierung der Anfragen auf Client-Seite und der Antworten auf Server-Seite.

 

Das LDAP ist eine sichere Methode der Authentifizierung, da seine strengen Kodierungsregeln es den Nutzern nicht erlauben, schwache Passwörter zu erstellen.

 

Das Protokoll wurde zwar entwickelt, um den Unternehmen ein sicheres Instrument für die Authentifizierung bereitzustellen, es bietet aber noch weitere Funktionen. Es kann im aktiven Verzeichnis eines Netzwerks verwendet werden, wo es Benutzer- und Geräteinformationen (und andere Daten) kodiert, speichert, abruft und verwaltet. Bei den gespeicherten Daten handelt es sich um Benutzernamen und Passwörter, E-Mail-Adressen und andere sensible Informationen.

 

Zu den speziellen Funktionen gehören:

 

  • Speichern einer systematischen Zusammenstellung von Datensätzen und Daten in einer hierarchischen Struktur

  • Suchen und Abrufen von Daten innerhalb dieser Struktur anhand einer vorgegebenen Reihe von Kriterien

  • Authentifizierung und Autorisierung von Benutzern und Geräten

  • Organisieren von Gruppen

  • Erstellen von Richtlinien

 

Diese Funktion übernimmt LDAP bei der Authentifizierung

Für eine Authentifizierungssitzung mit LDAP muss ein Client eine Verbindung mit dem Server herstellen. Sobald die Verbindung steht, können Client und Server Datenpakete austauschen. Wenn eine Benutzeranfrage auf dem Server eingeht, werden die Anmeldedaten mit den Daten abgeglichen, die zuvor von den Administratoren eingegeben wurden. Stimmen die Daten überein, dann darf der Benutzer zugreifen. Andernfalls wird der Zugriff verweigert.

 

BEISPIEL

  • Patricia gibt ihren Namen und ihr Passwort bei einer Webanwendung ein.

  • Ihre Zugriffsanfrage wird an einen Dienst gesendet, der ihre Anmeldedaten anhand von LDAP-kodierten Daten mit den bereits in seiner Datenbank vorhandenen Anmeldedaten abgleicht.

  • Wenn der von Patricia eingegebene Benutzername oder das Passwort nicht mit den Anmeldeinformationen übereinstimmen, die in der Datenbank hinterlegt sind, gibt das LDAP eine Fehlermeldung aus.

  • Bei Übereinstimmung der Daten mit jenen in der LDAP-basierten Datenbank wird sie authentifiziert und erhält Zugriff.

 

 

So funktioniert das LDAP, wenn es nicht um Authentifizierung geht

Das LDAP-Verzeichnis auf dem Server hat eine baumartige bzw. hierarchische Struktur Wenn ein Nutzer Informationen anfordert, braucht die Datenbank den Ort dieser Daten nicht zu kennen. Sie nutzt das LDAP, um mit einem Top-down-Ansatz nach bestimmten Daten, Unternehmen, Personen oder Ressourcen (wie Dateien oder Geräte) zu suchen. Es arbeitet sich von oben nach unten durch den Baum, bis es die gewünschte Information gefunden hat. Eine höhere Granularität wird erreicht, wenn zusätzlich jede Gruppe im Baum selbst hierarchisch gegliedert wird.

 

Eine Grafik veranschaulicht die Hierarchie des LDAPVerzeichnisses Oben sehen Sie eine Website Examplecom die zu vier Knotenpunkten fhrt 1 Gruppen die zum Support Jane Doe und John Doe den Vertrieb und die Buchhaltung fhren 2 Drucker 3 Computer 4 und Benutzerkonten die zum Hauptgeschftssitz an John Doe und zum Auendienst an Jane Doe fhren

 

Warum brauchen wir LDAP?

LDAP vereinfacht das Identifizieren eines bestimmten Mitarbeiters von Tausenden. Für jeden Mitarbeiters liegen in der Sprache des LDAP gespeicherte Daten mitsamt seinen Berechtigungen vor. Auf manche Anwendungen, Dienste und Systeme haben sie Zugriff, auf andere Bereiche hingegen nicht. Das LDAP behält den Überblick – und befreit Ihre Administratoren von dieser Pflicht. Die Sicherheitsrichtlinie kann sich auf dem Domänen-Controller befinden, damit Sie bestimmen können, wer auf was zugreifen darf (z. B. auf eine Datei, ein Gerät oder die Erlaubnis, den Desktop-Hintergrund zu ändern oder eine Datei herunterzuladen).

 

BEISPIEL

Gordon möchte eine Datei an einige, aber nicht an alle Mitarbeiter weiterleiten. Zu diesem Zweck könnte Gordon eine spezielle Gruppe in der Hierarchie erstellen . Basierend auf den Inhalten, die er mitteilen möchte, erstellt er schließlich eine Gruppe für die Mitarbeiter der Buchhaltung. Er kann nun für diese Gruppe die Sicherheitsrichtlinie ergänzen, dass ausschließlich die Mitarbeiter in der Buchhaltung auf diese Art von Excel-Datei zugreifen dürfen.

 

Zur weiteren Spezifikation könnte Gordon eine Hierarchie innerhalb der Buchhaltungs-Gruppe einrichten. Durch das Erstellen von zwei Untergruppen kann er diese Berechtigungen noch weiter einschränken: Gruppe A und Gruppe B. Da Gordon die Buchhaltungs-Gruppe leitet, kann er auch Berechtigungen für von ihm erstellte Untergruppen vergeben. Er kann einer, wenigen oder vielen Personen Zugriffsrechte für bestimmte Dateien, Geräte usw. erteilen. 

 

Mit der Option, Gruppen und Untergruppen in einer hierarchischen LDAP-Struktur zu erstellen, wird das Erteilen von Genehmigungen vereinfacht, da sich die Mitarbeiter der Buchhaltung direkt an Gordon wenden können, um eine Zugriffserlaubnis für Dateien und Geräte zu beantragen, anstatt zum Administrator des Hauptnetzwerks zu laufen.

 

Fazit

LDAP ist eine Möglichkeit der Kommunikation mit einem aktiven Verzeichnis. Es bietet eine standardisierte Methode zum Speichern, Identifizieren und Definieren von Daten in einer hierarchischen Ordnung. Wenn der Nutzer die LDAP-Datenbank nach einem bestimmten Objekt abfragt, wird der Verzeichnisbaum von oben nach unten durchforstet, um das Objekt zu finden. Da alle Berechtigungen in den verschiedenen Domänen enthalten sind, kann der Zugriff schnell gewährt oder verweigert werden. Es gibt noch viele weitere Möglichkeiten, wie man mit LDAP das Speichern, den Zugriff und das Abrufen von Daten optimieren kann, daher entscheiden sich viele Unternehmen gerne für diese Option.

Verwandte Ressourcen

Web

Lightweight Directory Access Protocol

  

Funktionalität

Ping Directory

  

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.