Bewertung 1


Die Kandidaten sollten in der Lage sein, einen LDAP-Server zu konfigurieren. Dieses Lernziel beinhaltet die Konfiguration einer Verzeichnishierarchie und das Hinzufügen von Gruppen, Hosts, Diensten und anderer Daten zur Hierarchie. Ebenfalls enthalten ist das Importieren von Daten aus LDIF-Dateien und das Hinzufügen mittels eines Management-Tools, sowie das Hinzufügen von Benutzern zum Verzeichnis und das Ändern ihrer Paßwörter.

Schlüsseldateien, Begriffe und Hilfsmittel beinhalten:

  • slapd
  • slapd.conf

Was ist ein Verzeichnisdienst (Directory service)?

Hat nichts mit Verzeichnissen des Dateisystems zu tun. Ist im Prinzip eine Datenbank, aber ist weniger oft geschrieben als gelesen. Verzeichnisdienste können lokal auf einer Maschine implementiert sein (z.B. finger) oder global und über viele Rechner verteilt. Globale Dienste definieren einen einheitlichen Namensraum (namespace) der den Zugriff von überall her auf die selbe Art und Weise ermöglicht.

LDAP ist eine Implementierung eines Verzeichnisdienstes. Das LDAP Verzeichnisdienstmodell basiert auf Einträgen. Ein Eintrag ist eine Sammlung von Attributen der einen Namen hat, der sogenannte ausgezeichnete Name oder englisch distinguished name (DN). Der DN wird benutzt, um den Eintrag eindeutig zu referenzieren. Jedes Attribut eines Eintrags hat einen Typ (type) und einen oder mehrere Werte (values). Die Typen bestehen normalerweise aus abgekürzten Zeichenketten wie „cn“ für common name (gemeinsamer Name) oder „mail“ für eine E-Mail Adresse. Die jeweiligen Werte hängen davon ab, welchen Typ ein Attribut hat. So hat das mail Attribut beispielsweise den Wert „hans@mydomain.de“, während ein jpegPhoto Attribut ein binär kodiertes Photo im JPG-Format enthält.

Verzeichniseinträge werden hierarchisch in einer Baumstruktur organisiert. Einträge, die Länder repräsentieren liegen ganz oben, darunter liegen Einträge, die Staaten oder Organisationen bezeichnen. Darunter wiederum können Einträge liegen, die Menschen, Organisatorische Einheiten, Drucker, Dokumente oder irgend etwas anderes beschreiben.

Zusätzlich erlaubt LDAP die Kontrolle, welche Attribute eines Eintrags benötigt und erlaubt sind, indem ein spezielles Attribut benützt wird, die Objektklasse (objectclass). Die Werte des objectclass-Attributs bestimmen die Schemata-Regeln, an die sich ein Eintrag halten muss.

Die Referenzierung einer Information (eines Eintrags) wird durch seinen distinguished name (DN) realisiert. Der DN besteht aus dem Namen des Eintrags selbst (der sogenannte Relative Distinguished Name oder RDN), an den die Namen seiner Vorgänger im Baum angehängt werden. Zum Beispiel wäre der RDN des Eintrags von Hans Peter Huber aus dem Beispiel „cn=Hans Peter Huber“, sein DN hingegen bestünde aus „cn=Hans Peter Huber, o=firma1, c=DE“