Каталоги LDAP (Lightweght Directory Access Protocol - Облегченный протокол службы каталогов) в наши дни далеко не редкость и используются на большинстве предприятий. Особенно широко LDAP-стандарты применяются в Unix-приложениях. По мере распространения таких каталогов растет и необходимость в синхронизации содержащейся в них информации со средой Exchange Server 2003. В состав версии MIIS 2003 Enterprise входят агенты управления, которые поддерживают синхронизацию с каталогами LDAP. Поэтому понимание основ LDAP становится чрезвычайно важным.
Исторические аспекты появления LDAP
Для лучшего понимания протокола LDAP будет полезно кратко ознакомиться с протоколами X.500 и DAP (Directory Access Protocol - Протокол доступа к каталогам), производным от которых он является. В контексте протокола X.500 агент системы каталогов DSA (Directory System Agent) - это база данных, в которой хранится информация каталога. Эта база данных имеет иерархическую структуру, что способствует быстрому и эффективному поиску и извлечению из нее информации. Агент пользователя каталогов DUA (Directory User Agent) предлагает функции, которые можно внедрить в любой пользовательский интерфейс посредством специальных DUA-клиентов, Web-шлюзов и приложений электронной почты. DAP - это протокол, используемый службами каталогов X.500 для управления взаимодействием между агентами DUA и DSA. Эти агенты представляют, соответственно, пользователя или программу и каталог.
Службы каталога X.500 отвечают за прикладные процессы. Их используют для обеспечения глобальной единой системы имен для всех элементов в сети, преобразования сетевых имен и адресов, предоставления описаний объектов и создания уникальных имен для всех объектов каталога. Эти объекты X.500 являются иерархическими, со своим отдельным уровнем для каждой категории информации, такой как страна, штат, город и организация. Это могут быть и файлы (как в листинге каталога файловой системы), и сетевые объекты (как в сетевой службе имен, подобной NDS), а также другие виды объектов.
Облегченные протоколы объединяют службы маршрутизации и транспортные службы по-новому, более совершенным способом, нежели это было в сетевых протоколах и протоколах транспортного уровня. Это позволяет эффективнее передавать информацию через высокоскоростные сети, такие как ATM (асинхронный режим передачи) и FDDI (распределенный интерфейс передачи данных по волоконно-оптическим каналам), и через среды наподобие волоконно-оптического кабеля.
Облегченные протоколы также используют различные показатели и уточнения, дабы упростить и ускорить передачу: применяются фиксированные размеры для транслирующихся заголовков и частей сообщения, тем самым сохраняются протокольные данные адресов назначения для каждого пакета.
LDAP - это подмножество протокола X.500. Таким образом, LDAP-клиенты получаются меньше, быстрее и проще в реализации, нежели клиенты X.500. LDAP - протокол независимый, и может работать с протоколом X.500, но вовсе не требует его обязательного присутствия. В отличие от X.500, LDAP поддерживает и протоколы TCP/IP, необходимые для любого типа Internet-соединений. Кроме того, это открытый протокол - программы не зависят от платформы сервера, на котором расположен каталог.
Active Directory - это не чистый каталог X.500. Напротив, в качестве протокола доступа служба AD применяет LDAP и поддерживает такую информационную модель X.500, которая не требует полной реализации всех аспектов этого протокола. В результате степень взаимодействия, столь необходимая для администрирования реальных, гетерогенных сетей, становится чрезвычайно высокой.
Каталог Active Directory поддерживает доступ через протокол LDAP для каждого клиента, на котором этот протокол установлен. LDAP-имена менее наглядны по сравнению с Internet-именами, но их сложность обычно кроется внутри самих приложений. Для присвоения имен протокол LDAP использует соглашения об именовании X.500, которые носят название Attributed Naming (присвоение характеристических имен, то есть имен с атрибутами).
URL-имена LDAP (Unified Resource Locator - Унифицированный указатель информационного ресурса) указывают сервер, содержащий Active Directory и Attributed Name ( имя с атрибутами) объекта, например:
LDAP://Server1.fastportfolio.com/CN=LSomi, ,OU=Users,0=fastportfolio,C=US
Объединяя лучшие стандарты присвоения имен X.500 и DNS, протокол LDAP, другие ключевые протоколы и богатый набор API-интерфейсов, служба каталогов Active Directory обеспечивает возможность администрирования с одного места всех ресурсов: файлов, периферийных устройств, связей с хостами, баз данных, Web-доступа, пользователей, а также других произвольных объектов, служб и сетевых ресурсов.