Bộ Thông tin và Truyền thông

Tổng quan về LDAP

Tiêu chuẩn Lightweight Directory Access Protocol (LDAP) – Giao thức truy cập thư mục đơn giản là một tiêu chuẩn do Nhóm chuyên trách kỹ thuật Internet - Internet Engineering Task Force (IETF) phát hành dưới dạng RFC, thường được sử dụng để truy cập và duy trì dịch vụ thông tin thư mục có cấu trúc trong mạng TCP/IP. Thư mục là một tập hợp các hệ thống mở kết hợp để cung cấp dịch vụ thư mục. Người sử dụng thư mục có thể là một người dùng hoặc một đối tượng/thực thể khác, truy cập vào thư mục thông qua một máy khách. Máy khách tương tác với một hay nhiều máy chủ sử dụng giao thức truy cập dịch vụ LDAP. Thông tin lưu trữ trong thư mục được tổng hợp như là một cơ sở thông tin thư mục và được biểu diễn dưới dạng cây thư mục, bao gồm hai loại thông tin:

+ Thông tin người dùng (thông tin cung cấp và quản lý bởi người dùng).

+ Thông tin thao tác và quản lý (thông tin được dùng để quản trị và/hoặc thao tác thư mục).

Phiên bản đầu tiên của LDAP được IETF công bố vào tháng 07/1993 (RFC 1487) do nhóm nghiên cứu gồm Tim Howes (Đại học Michigan, Hoa Kỳ), Steve Kille (Công ty Isode Limited) và Wengyik Yeong (Công ty Performance Systems International) xây dựng. Phiên bản tiếp theo của LDAP, cập nhật cho RFC 1487 công bố vào tháng 03/1995 (RFC 1777). LDAP tiếp tục được phát triển và LDAP phiên bản 3 được IETF công bố vào tháng 12/1997 (RFC 2251). Phiên bản LDAP (phiên bản 3 đã được cập nhật) hiện tại được sử dụng phổ biến, được công bố tại RFC 4511– Giao thức LDAPRFC 4513 - Phương pháp xác thực và cơ chế bảo mật (ban hành tháng 06/2006), RFC 4512  – Mô hình thông tin thư mục (ban hành tháng 06/2006), RFC 4510 – Lộ trình đặc tả kỹ thuật (ban hành tháng 06/2006).

Đặc điểm của LDAP

Một máy khách khởi tạo một phiên LDAP kết nối với máy chủ LDAP (thường được gọi là một Directory System Agent (DSA)) trên cổng TCP 389. Sau đó, máy khách gửi một yêu cầu triển khai dịch vụ tới máy chủ và máy chủ gửi các phản hồi tới máy khách. Máy khách có thể yêu cầu các triển khai sau:

- Khởi động với TLS (StartTLS) – Sử dụng giao thức LDAP phiên bản 3 kết hợp với giao thức TLS để đảm bảo khả năng bảo mật của phiên kết nối;

- Ràng buộc (Bind) – Xác thực và chỉ ra phiên bản của giao thức;

- Tìm kiếm (Search) – Tìm kiếm và khôi phục các entry trong thư mục;

- So sánh (Compare) – Kiểm tra nếu entry đã được gán tên có chứa một giá trị thuộc tính;

- Bổ sung một entry;

- Xóa một entry;

- Sửa đổi một entry;

- Sửa tên nhận dạng (Modify Distinguished Name) - Di chuyển hoặc sửa tên nhận dạng và tên nhận dạng quan hệ của một entry;

- Gỡ bỏ (Abandon)  – Gỡ bỏ một triển khai không hoàn thành;

- Triển khai mở rộng (Extended Operation) – Cho phép triển khai các dịch vụ mở rộng, không có sẵn trong giao thức như bổ sung cài đặt giao thức TLS;

- Gỡ bỏ ràng buộc (Unbind) – Kết thúc một phiên kết nối LDAP. 

Cấu trúc thư mục

Giao thức cung cấp một giao diện với các thư mục như sau:

- Một entry bao gồm một tập các thuộc tính;

- Một thuộc tính có một tên (một kiểu thuộc tính hoặc mô tả thuộc tính) và một hay nhiều giá trị đi kèm. Các thuộc tính được xác định bởi một lược đồ quan hệ;

- Mỗi entry có một định danh duy nhất là Tên nhận dạng (Distinguished Name – DN). DN bao gồm Tên nhận dạng liên quan (Relative Distinguished Name – RDN). Có thể hiểu DN là một đường dẫn đầy đủ của tệp tin (/thumuc/congviec/tenteptin.txt) và RDN là tên của tệp tin trong đường dẫn đó (tenteptin.txt).

Một số yêu cầu triển khai trong LDAP

- Bổ sung: Triển khai Bổ sung thêm một entry mới vào thư mục trong cơ sở dữ liệu. Nếu Tên nhận dạng – DN trong yêu cầu Bổ sung đã tồn tại trong thư mục thì máy chủ sẽ không bổ sung thêm entry nào nữa và thông báo entry này đã tồn tại. Máy chủ sẽ đảm bảo Tên nhận dạng và tất cả các thuộc tính tuân thủ theo các tiêu chuẩn đặt tên.

- Ràng buộc: Triển khai Ràng buộc được sử dụng để khởi tạo một phiên LDAP kết nối giữa máy khách máy chủ và cho phép xác thực giữa máy khách với máy chủ. Các tham số của Yêu cầu Ràng buộc bao gồm:

+ Phiên bản: Số phiên bản chỉ ra phiên bản của giao thức được sử dụng trong phiên làm việc này;

+ Tên: Tên của đối tượng thư mục mà máy khách mong muốn ràng buộc;

+ Xác thực: Gồm phương pháp xác thực đơn giản và phương pháp xác thực SASL.

- Tìm kiếm: Triển khai Tìm kiếm sử dụng để tìm kiếm các entry. Một số tham số cho việc tìm kiếm gồm:

+ Chủ đề cơ bản (baseObject): Các chủ đề liên quan đến tên của các entry phục vụ việc tìm kiếm;

+ Phạm vi tìm kiếm (SearchRequest.Scope): Chỉ ra phạm vi của Triển khai Tìm kiếm thực hiện;

+ Giới hạn kích thước (SearchRequest.sizeLimit): Chỉ ra số lượng tối đa các entry được trả lại trong việc tìm kiếm;

+ Giới hạn thời gian (SearchRequest.timeLimit): Chỉ ra thời gian tối đa (tính theo giây) cho phép một lần tìm kiếm;

+ Kiểu (SearchRequest.typesOnly): Chỉ ra liệu kết quả tìm kiếm có chứa giá trị và mô tả thuộc tính hay chỉ đưa ra mô tả thuộc tính;

+ Lọc (SearchRequest.filter): Xác định điều kiện cần thiết để tìm kiếm được một entry mong muốn.

- Sửa đổi: Triển khai Sửa đổi cho phép máy khách yêu cầu một sửa đổi entry được lưu trữ trên máy chủ. Triển khai Sửa đổi yêu cầu chỉ ra Tên nhận dạng của entry và một chuỗi các thay đổi. Mỗi thay đổi trong chuỗi này có thể là:

+ Bổ sung một giá trị mới;

+ Xóa một giá trị đã có;

+ Thay thế một giá đã có bằng một giá trị mới.

Ứng dụng

LDAP hoạt động ở tầng ứng dụng trong mô hình mạng TCP/IP cho phép xác thực, truy xuất thông tin của người dùng như tên, địa chỉ, số điện thoại, thư điện tử… OpenLDAP là phần mềm mã nguồn mở thực thi LDAP, hỗ trợ nhiều hệ điều hành như Solaris, Mac OS X, Microsoft Windows, HP-UX, Android… Trong Thông tư số 01/2011/TT-BTTTT ngày 04/01/2011 của Bộ trưởng Bộ Thông tin và Truyền thông Công bố Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước quy định Bắt buộc áp dụng tiêu chuẩn LDAP phiên bản 3 và được xếp vào nhóm Tiêu chuẩn về kết nối.

Viết tắt/Thuật ngữ