LDAP

Was ist LDAP?

Stell dir ein Unternehmen mit 500 Mitarbeitern vor. Jeder Mitarbeiter hat einen Namen, eine E-Mail-Adresse, eine Abteilung, eine Telefonnummer und Zugriffsrechte auf bestimmte Systeme. Wo werden all diese Informationen gespeichert? Und wie können verschiedene Systeme – der Mail-Server, das WLAN, die VPN-Lösung – auf dieselben Nutzerdaten zugreifen?

Die Antwort heißt LDAP – das Lightweight Directory Access Protocol. Es ist ein Protokoll das den Zugriff auf ein Verzeichnisdienst (Directory Service) ermöglicht. Ein Verzeichnisdienst ist eine spezialisierte Datenbank die optimiert ist für das Lesen von strukturierten Informationen – typischerweise Benutzer, Gruppen und Ressourcen.

Der bekannteste LDAP-basierte Verzeichnisdienst ist Microsoft Active Directory (AD). Aber auch OpenLDAP (Linux) und andere Systeme nutzen das LDAP-Protokoll.

Die Baumstruktur – wie LDAP Daten organisiert

LDAP organisiert Daten in einer hierarchischen Baumstruktur – dem DIT (Directory Information Tree). Stell dir einen Stammbaum vor: Es gibt eine Wurzel, Äste und Blätter.

LDAP-Baumstruktur Beispiel:

dc=fisipedia,dc=de              ← Root (Domain)
├── ou=Users                    ← Organizational Unit
│   ├── cn=Max Mustermann       ← User-Objekt
│   └── cn=Erika Muster         ← User-Objekt
├── ou=Groups                   ← Organizational Unit
│   ├── cn=Admins
│   └── cn=Entwickler
└── ou=Computers                ← Organizational Unit
    ├── cn=PC-001
    └── cn=PC-002

Jedes Element im Baum hat einen eindeutigen DN (Distinguished Name) – den vollständigen Pfad vom Objekt zur Wurzel:

DN: cn=Max Mustermann,ou=Users,dc=fisipedia,dc=de

Wichtige LDAP-Attribute

Attribut	Bedeutung	Beispiel
`dc`	Domain Component	dc=fisipedia, dc=de
`ou`	Organizational Unit	ou=Users
`cn`	Common Name	cn=Max Mustermann
`uid`	User ID (Benutzername)	uid=mmustermann
`mail`	E-Mail-Adresse	max@fisipedia.de
`sn`	Surname (Nachname)	Mustermann

LDAP-Operationen

Bind: Authentifizierung am LDAP-Server (Login)
Search: Suche nach Einträgen – die häufigste Operation
Add: Neuen Eintrag hinzufügen (z.B. neuer Mitarbeiter)
Modify: Eintrag ändern (z.B. neue Telefonnummer)
Delete: Eintrag löschen
Unbind: Verbindung trennen (Logout)

Ports und Sicherheit

Port 389: Standard-LDAP (unverschlüsselt)
Port 636: LDAPS – LDAP über TLS (verschlüsselt, empfohlen)
Port 3268/3269: Microsoft Global Catalog (AD-spezifisch)

Typische Einsatzszenarien

LDAP ist das Rückgrat vieler IT-Umgebungen. Typische Anwendungsfälle:

Single Sign-On (SSO): Einmal anmelden – überall Zugriff. Mail, VPN, WLAN, Intranet nutzen alle denselben LDAP-Nutzerdatensatz
WLAN-Authentifizierung: WPA2-Enterprise nutzt LDAP/RADIUS zur Nutzerprüfung
E-Mail-Adressbuch: Outlook und andere Mail-Clients können LDAP als Adressbuch nutzen
Linux-Authentifizierung: Linux-Systeme können sich gegen LDAP authentifizieren statt lokale Benutzer zu verwenden

Zusammenfassung

LDAP (Lightweight Directory Access Protocol) ist ein Protokoll zum Zugriff auf Verzeichnisdienste
Verzeichnisdienste speichern Benutzer, Gruppen und Ressourcen in einer hierarchischen Baumstruktur
Jedes Objekt hat einen eindeutigen DN (Distinguished Name) – den vollständigen Pfad im Baum
Wichtige Attribute: dc (Domain), ou (Abteilung), cn (Name), uid (Benutzername)
Der bekannteste LDAP-Verzeichnisdienst ist Microsoft Active Directory
Port 389 (unverschlüsselt), Port 636 (LDAPS – verschlüsselt)
Typischer Einsatz: SSO, WLAN-Authentifizierung, zentrales Benutzermanagement