Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Les services AD LDS
  3. Présentation de la norme LDAP
Extrait - Les services AD LDS Mise en oeuvre d'un annuaire LDAP sur Windows Server 2019
Extraits du livre
Les services AD LDS Mise en oeuvre d'un annuaire LDAP sur Windows Server 2019 Revenir à la page d'achat du livre

Présentation de la norme LDAP

Introduction

La norme LDAP a pris aujourd’hui une place importante dans le domaine des annuaires d’entreprise. Au cours des vingt-cinq dernières années, des méthodes, fonctionnalités et services ont été développés autour du protocole LDAP, qui permettent de centraliser les données et de les rendre disponibles aux usagers.

C’est un protocole qui est devenu largement répandu, et il est maintenant désigné comme norme pour l’accès aux données des annuaires d’entreprise.

Le protocole LDAP s’appuie sur une théorie solide qui offre une certaine flexibilité aux systèmes d’annuaire. Il est aussi un standard ouvert, cela veut dire que les annuaires qui supportent ce protocole peuvent être installés sur tous les systèmes d’exploitation, Windows, Linux, MAC OS...

Par abus de langage, on parle souvent de LDAP pour désigner un service d’annuaire. En réalité, LDAP est un protocole qui permet d’interroger et de manipuler les données d’un annuaire de manière synchrone ou asynchrone. Il s’agit d’un protocole de niveau 7 du modèle de communication OSI qui fonctionne au-dessus de la pile réseau TCP/IP.

Avant de disserter longuement sur le concept LDAP, nous allons d’abord expliquer ce qu’est...

Concepts LDAP

LDAP est basé sur le traditionnel paradigme client-serveur. Il a été conçu initialement pour permettre d’accéder, en lecture et en écriture, aux annuaires qui prennent en charge les modèles d’information X.500. Il est la version allégée du protocole DAP, d’où son nom Lightweight Directory Access Protocol.

Le port standard du protocole LDAP est le port 389 (ou 363 pour le LDAPS) en TCP. Bien entendu, n’importe quel autre port TCP peut être utilisé par LDAP (50000, 50001).

LDAP utilise le format de codage BER (Basic Encoding Rule), contrairement à d’autres protocoles de la couche application, qui se basent sur le code ASCII pour échanger les données.

Comme tout protocole, LDAP détermine comment s’établit la communication entre un client et un serveur. Un client envoie une requête au serveur en respectant le protocole de communication LDAP. Le serveur reçoit cette requête pour exécution. Une fois le traitement terminé, le serveur renvoie une réponse contenant le résultat de la requête ou les erreurs éventuelles. Ces opérations peuvent être effectuées en mode synchrone ou en mode asynchrone. D’ailleurs, un serveur peut communiquer avec d’autres services d’annuaire si cela est nécessaire.

Le protocole...

Différence entre LDAPv2 et LDAPv3

Depuis son apparition, LDAP a été documenté dans plusieurs RFC de l’IETF (l’Internet Engineering Task Force). La version actuelle du protocole est la version 3 (RFC 2251), disponible depuis 1997. Elle représente une version actualisée et légèrement remaniée de la précédente, la version 2 (RFC 1777).

Les améliorations apportées au LDAPv3 comprennent :

  • l’utilisation de l’encodage de caractères UTF8 ;

  • l’ajout des classes auxiliaires et des attributs propres à un annuaire LDAP ;

  • la mise en place de la redirection, qui permet d’envoyer les requêtes d’un utilisateur vers un autre serveur LDAP (déléguer une partie de ses branches à un autre serveur LDAP) ;

  • la possibilité d’accéder au schéma d’annuaire pour permettre aux clients de découvrir les classes d’objets et les attributs présents sur le serveur LDAP ;

  • le contrôle des résultats de recherche par le serveur (tri, pagination…) ;

  • le renforcement des mécanismes d’authentification (SASL).

La mise en œuvre du protocole LDAPv2 est désormais rarement envisagée. En coulisses, la plupart des systèmes d’annuaire l’ont abandonné, ils utilisent désormais le protocole...

Modèles LDAP

Les modèles LDAP sont des modèles qui définissent le fonctionnement du protocole à différents niveaux. Il s’agit des modèles abstraits qui permettent de découvrir les facettes du protocole.

Avec la RFC 2251, un annuaire LDAP est défini selon deux modèles : le modèle de protocole et le modèle de données. Cependant, le protocole LDAP met en jeu cinq modèles, qui sont les suivants.

1. Le modèle d’information

Le modèle d’information définit le type de données qui peuvent être stockées dans l’annuaire LDAP. L’unité de base de l’information s’appelle une entrée. Celle-ci dispose d’un ensemble d’attributs qui stockent de nombreuses informations sur un objet particulier.

Tous les attributs d’un objet possèdent un type. Ce dernier définit la nature des valeurs qu’on peut affecter à un attribut.

Voici un exemple d’une entrée de type « Utilisateur » qui dispose de plusieurs attributs caractérisant un objet utilisateur :

Utilisateur

Attribut

Valeur d’attribut

cn

Laurent Giraud

Company

Éditions ENI

mail

Laurent.giraud@edition-eni.fr

description

Service RH

telephoneNumber

+33 6 61 xx 05 xx

La syntaxe d’un attribut définit les règles encodantes des valeurs d’entrées.

L’attribut telephoneNumber, présenté ci-dessus, possède une syntaxe qui précise :

  • l’ordre lexicographique ;

  • la casse des caractères, les espaces et les tirets sont ignorés ;

  • la valeur doit être du type « chaîne de caractères ».

Ainsi, les numéros de téléphone « +33 6 61 xx 05 xx », « +33661xx05xx » et « +336 661xx05xx » sont considérés comme identiques.

Le tableau suivant présente certaines des syntaxes qui ont été définies pour les attributs de l’annuaire LDAP :

Syntaxe

Description

Bin

Représente les données binaires.

Distinguished name

Définit la valeur du chemin absolu d’une entrée de l’annuaire.

Numeric String

Contient des chaînes composées...

Format d’échange LDIF

Un des aspects les plus importants du protocole LDAP est le format standardisé d’échange de données LDIF (LDAP Data Interchange Format). LDIF représente les données sous format texte de manière à ce qu’elles soient lisibles par l’être humain, et permet de décrire les différentes opérations (ajout, modification, suppression) qui peuvent être réalisées sur les données de l’annuaire.

La plupart des services d’annuaire supportent le format LDIF, ce qui permet une plus grande interopérabilité et une souplesse lors de l’import/export des données.

1. Syntaxe LDIF

Les règles LDIF sont décrites dans un fichier portant l’extension .ldif. Elles ont la syntaxe suivante :

dn : <distinguished name> 
<attrdesc>: <attrvalue> 
<attrdesc> : <attrvalue> 
 
dn : 
changetype : modify 
add: 
 
dn : 
changetype : modify 
delete : 
 
dn : 
changetype : modify 
replace :

Dans la syntaxe ci-dessus, on observe les règles suivantes :

  • Chaque nouvelle entrée doit être séparée par au moins une ligne vide.

  • Chaque entrée se compose de plusieurs champs (attributs).

  • Un attribut peut occuper plusieurs...

Conclusion

Dans ce chapitre, nous avons étudié les concepts essentiels du protocole LDAP qui sont implémentés dans les grands systèmes comme l’Active Directory, OpenLDAP, eDirectory, etc. LDAP fait aujourd’hui autorité dans le domaine des annuaires d’entreprise. Il a su progressivement intégrer des fonctions (procédures) de plus en plus riche et qui couvrent un spectre plus large.

En matière de sécurité, LDAP remplit les objectifs que l’on attend de lui : il est capable de gérer l’authentification des utilisateurs, contrôler les accès aux données enregistrées et protéger les échanges entre le client et le serveur.

En conclusion, nous avons présenté les vastes fonctionnalités offertes par le protocole LDAP, fonctionnalités qui seront étudiées plus en détail au niveau des services Active Directory et AD LDS, sujets d’autres chapitres de ce livre.