LDAP, Lightweight Directory Access Protocol, protocole d’accès

Lightweight Directory Access Protocol ou LDAP est un protocole fonctionnant sur TCP/IP (ensemble de protocoles utilisés pour transférer des données via Internet). L’origine de ce protocole consistait à autoriser l’interrogation et la modification des services d’annuaires. Son évolution permet désormais de représenter une norme des systèmes d’annuaires.

Description du Lightweight Directory Access Protocol

Le LDAP est une norme incluant un modèle de données, de nommage, fonctionnement basé sur le protocole d’accès aux annuaires allégés. En tant que modèle de sécurité et de réplication, le LDAP s’établit sur une structure arborescente dont chacun des nœuds contient des attributs associés à leur valeur. Le protocole d’accès aux annuaires est qualifié d’allégé, car le LDAP est moins complexe que le système X.500 fourni par l’UIT-T.

La version finale du protocole est le LDAPv3. Il s’agit d’une version définie par l’Internet Ingeneering Task Force dans plusieurs Request for comments. Concrètement, l’annuaire LDAP s’inspire du modèle X.500, notamment son architecture multi-tenant. Ainsi, un annuaire est composé d’un arbre d’entrée. Une entrée comprend un ensemble d’attributs qui possèdent un nom, un type et une ou plusieurs valeurs. On définit des attributs comme des schémas. À la différence d’un système de gestion de bases de données, les attributs du LDAP peuvent être multi-valués.

Comment utiliser le LDAP ?

Le principal objectif du LDAP est de normaliser l’authentification des différents ordinateurs connectés au réseau. Ceux qui utilisent le langage possédant une API LDAP peuvent programmer facilement un module d’authentification. L’enregistrement d’un utilisateur se fait avec l’opération Bind. L’avantage avec cet outil est que plusieurs applications Web sont compatibles avec le module d’authentification qui prend en charge LDAP. Même les utilisateurs qui se sert du réseau fonctionnant avec un système GNU/Linux récent, sont de plus en plus nombreux à adopter une base de données compatibles LDAP au lieu des fichiers à plat passwd et shadow. Pour accéder aux données, on a besoin des modules PAM et NSS.

Les modèles de passe du protocole LDAP

Le LDAP gère l’interface avec les annuaires. La norme définit la façon dont les informations sont échangées et la manière dont les données sont représentées. Le protocole se conforme en 4 modèles à savoir : modèle d’information, de nommage, un modèle fonctionnel et de sécurité.

Le protocole définit la communication entre le client et le serveur ainsi que les serveurs eux-mêmes. Le format des données utilisées par LDAP est une version allégée du Basic Encoding Rules baptisé Lightweight Basic Encoding Rules (LBER).

En se servant de l’outil Active Directory, les utilisateurs disposent des programmes capables de gérer les accès et le provisioning en amont et en aval. L’avantage avec Active Directory est qu’il permet à des logiciels de provisioning de relier le système Ressource Humaine et les comptes utilisateurs dans le réseau.

L’Active Directory est un annuaire LDAP pour les systèmes d’exploitation Windows, le tout étant créé par Microsoft. Cet annuaire contient différents objets, de différents types (utilisateurs, ordinateurs, etc.), l’objectif étant de centraliser deux fonctionnalités essentielles : l’identification et l’authentification au sein d’un système d’information.

Ceux qui utilisent le système d’exploitation Windows Server 2003 et 2008 peuvent gérer et publier des informations dans leur environnement Active Directory avec Microsoft Management Console Utilisateur et ordinateur Active Directory. À partir de Windows Server 2008 R2, on peut toujours recourir au composant Utilisateur et ordinateur Active Directory.