Qu’est-ce que le protocole LDAP ? Dé­fi­ni­tion et ex­pli­ca­tion

LDAP a été développé pour proposer aux four­nis­seurs de services d’annuaires un protocole d’ap­pli­ca­tion et d’accès. Le protocole LDAP permet de re­cher­cher, de modifier ou d’au­then­ti­fier d’im­por­tants volumes de données, d’in­for­ma­tions et d’éléments dans des services d’annuaires dis­tri­bués, mais aussi de gérer la com­mu­ni­ca­tion avec les bases de données desdits annuaires.

LDAP est l’abré­via­tion de « Light­weight Directory Access Protocol ». Ce protocole ap­par­tient au groupe des pro­to­coles réseau et est utilisé comme un protocole d’accès stan­dar­disé pour les requêtes et les mo­di­fi­ca­tions pour les services d’annuaires dis­tri­bués et cen­tra­li­sés, selon le modèle client-serveur. Dans ce contexte, il est souvent question de serveur LDAP lorsque les serveurs d’annuaires com­mu­ni­quent en utilisant le protocole LDAP.

Le terme « Light­weight » (« léger ») fait référence au fait que le LDAP varie lé­gè­re­ment du protocole d’accès DAP (Directory Access Protocol) tel que spécifié par la norme X.500. Le DAP est trop complexe pour une mise en œuvre efficace dans les grandes en­tre­prises avec un grand nombre d’uti­li­sa­teurs ; en pratique, c’est donc plutôt le LDAP qui est utilisé.

LDAP repose sur une pile de pro­to­coles TCP/IP et s’utilise de manière flexible sur n’importe quel système d’annuaires. Il se sert de ports TCP et UDP pour trans­fé­rer des données. Il est tout par­ti­cu­liè­re­ment répandu dans les domaines et les in­dus­tries devant traiter et gérer d’im­por­tants volumes de données et d’in­for­ma­tions, comme les té­lé­com­mu­ni­ca­tions, l’aviation, l’in­for­ma­tique et le dé­ve­lop­pe­ment de matériel ou de logiciels. En ce qui concerne le partage de données, le port 389 est le port standard pour les trans­ferts non sécurisés, tandis que le port 636 est utilisé pour trans­fé­rer des données chiffrées selon le protocole TLS.

Vous trouverez ci-après une liste des prin­ci­pales tâches et uti­li­sa­tions les plus courantes du protocole LDAP :

• Stockage/au­then­ti­fi­ca­tion/au­to­ri­sa­tion cen­tra­lisé(e) des données uti­li­sa­teur et des mots de passe
• Ajout d’entrées et d’opé­ra­tions dans la base de données de l’annuaire
• Au­then­ti­fi­ca­tion ou liaison entre les sessions
• Mo­di­fi­ca­tion, recherche, com­pa­rai­son, extension ou sup­pres­sion des entrées de l’annuaire
• Recherche de schémas
• Envoi de demandes
• Éli­mi­na­tion des opé­ra­tions

Pour les annuaires et la struc­tu­ra­tion des données, les con­fi­gu­ra­tions LDAP utilisent une ar­bo­res­cence hié­rar­chique nor­ma­li­sée (DIT), pouvant être étendue à de nombreux serveurs. La nor­ma­li­sa­tion s’effectue grâce aux dif­fé­rents schémas composés à partir des classes d’objets et de leurs attributs. L’ar­bo­res­cence hié­rar­chique peut alors se diviser ou se ramifier comme suit, avec dif­fé­rents niveaux re­pré­sen­ta­tifs sur le plan politique, géo­gra­phique ou or­ga­ni­sa­tion­nel :

• Annuaire de base (racine/source)
• Pays
• Or­ga­ni­sa­tions
• Unités opé­ra­tion­nelles
• Personnes
• Entités in­di­vi­duelles (individus, res­sources)

Sur les serveurs LDAP, l’annuaire LDAP peut prendre la forme d’une version complète re­pro­duite, syn­chro­ni­sant les mo­di­fi­ca­tions ori­gi­nales. Dans l’annuaire, les requêtes tran­si­tent par les serveurs LDAP, ou « Directory System Agents » (DSA), capables de trans­mettre les requêtes à d’autres serveurs DSA tout en ga­ran­tis­sant aux uti­li­sa­teurs une réponse abstraite à la fois rapide et efficace.

Le protocole LDAP utilise une méthode de pro­gram­ma­tion axée sur les objets avec, en plus de ceux-ci, les classes et l’héritage, mais aussi le po­ly­mor­phisme qui en découle. Une entrée d’annuaire LDAP autonome (ou objet LDAP) est composée à partir des attributs et de la dé­sig­na­tion d’objet « Dis­tin­gui­shed Name », obli­ga­toire. La structure relative à « Dis­tin­gui­shed Name » est semblable aux con­ven­tions sur les noms de fichiers et empêche la présence d’objets iden­tiques au même niveau.

Les attributs composant un objet sont chacun d’un type spé­ci­fique. Ils sont iden­ti­fiés par des abré­via­tions telles que cn (« common name »), st (« state ») ou sn (« surname »). Selon leur type, ces attributs peuvent en outre être mo­no­va­lents ou po­ly­va­lents. Il existe des objets con­te­neurs qui, comme leur nom l’indique, con­tien­nent des objets, mais les ex­tré­mi­tés d’une ar­bo­res­cence hié­rar­chique se ramifient plutôt en objets in­di­vi­duels formant des « feuilles ».

Le protocole a recours à des pro­cé­dures d’accès spé­ci­fiques, les­quelles four­nis­sent des in­di­ca­tions au serveur LDAP par l’in­ter­mé­diaire de la directive bind et d’un « Dis­tin­gui­shed Name » (DN) avec un accès à l’annuaire. Le BaseDN (ou sommet de l’ar­bo­res­cence) permet de définir les dif­fé­rents niveaux de l’annuaire devant être pris en compte pour la recherche, en passant par exemple par des spé­ci­fi­ca­tions comme base (« cet objet »), sub (« cet objet et tous les objets qui le suivent ») ou one (« le niveau inférieur au BaseDN »).

En règle générale, les uti­li­sa­teurs finaux n’entrent pas ma­nuel­le­ment leurs requêtes de recherche ; ils passent plutôt par des pro­grammes com­pa­tibles avec le protocole LDAP (comme Outlook). Le contrôle des uti­li­sa­teurs autorisés à accéder aux données est alors assuré par le service relatif à l’annuaire cor­res­pon­dant.

Avec Kerberos, SMB et DNS, LDAP est l’un des quatre prin­ci­paux pro­to­coles standard ; ceux-ci assurent de manière trans­pa­rente la com­mu­ni­ca­tion et le transfert de données dans la structure Active Directory de Microsoft. Active Directory a été dé­ve­lop­pée pour être utilisée comme le service d’annuaire des serveurs Exchange prenant en charge LDAP, afin de permettre l’envoi de requêtes uniformes vers les annuaires Active Directory et l’in­té­gra­tion de services basés sur LDAP à l’en­vi­ron­ne­ment AD.

Active Directory est un service d’annuaire per­for­mant et re­la­ti­ve­ment évolutif, adapté aux grandes en­tre­prises de plusieurs milliers d’employés. Il se concentre sur les struc­tures Windows. Le protocole LDAP offre quant à lui davantage de flexi­bi­lité et d’ex­ten­si­bi­lité pour des im­plé­men­ta­tions de grande envergure avec une com­mu­nauté d’uti­li­sa­teurs ramifiée, et ce, grâce à son en­vi­ron­ne­ment Linux/Unix et à sa com­pa­ti­bi­lité open source. Le protocole LDAP et les serveurs LDAP sont donc également utilisés dans des secteurs in­dus­triels comme la té­lé­pho­nie mobile ou l’aviation, car ceux-ci doivent traiter les demandes d’au­then­ti­fi­ca­tion de plusieurs millions d’uti­li­sa­teurs.

L’uti­li­sa­tion du protocole LDAP peut notamment s’avérer in­té­res­sante dans les cas d’ap­pli­ca­tion suivants :

• Gestion des uti­li­sa­teurs et des systèmes
• At­tri­bu­tion de pro­to­coles et de RFC (« Requests for Comments »)
• In­for­ma­tions sur la directive NIS / le démarrage
• Gestion des données des zones DNS et des points de montage
• Or­ga­ni­sa­tion des alias (e-mails) et des serveurs DHCP

Le protocole LDAP est tout par­ti­cu­liè­re­ment utilisé dans les domaines dépendant de requêtes d’adresse et d’au­then­ti­fi­ca­tion complètes de la part des uti­li­sa­teurs. En voici quelques exemples :

• Carnets d’adresses : solutions de gestion lo­gi­cielle pour les listes de contacts / les carnets d’adresses nu­mé­riques (Mozilla Thun­der­bird, Microsoft Outlook, Apple Contacts, etc.)
• Gestion des uti­li­sa­teurs : services d’annuaires pour la gestion des uti­li­sa­teurs (Apple Open Directory, Microsoft Active Directory, NetlQ eDi­rec­tory, etc.)
• Au­then­ti­fi­ca­tion : in­ter­faces de pro­gram­ma­tion pour l’au­then­ti­fi­ca­tion des uti­li­sa­teurs (PAM, etc.)
• Gestion des données uti­li­sa­teur : or­ga­ni­sa­tion/gestion des données uti­li­sa­teur dans des serveurs POP / IMAP / SMTP ou des systèmes de base de données et des serveurs de mes­sa­ge­rie (qmail, sendmail, exim, etc.)
• Systèmes de gestion des documents : re­con­nais­sance des demandes des uti­li­sa­teurs ou gé­né­ra­tion d’annuaires té­lé­pho­niques (im­pri­mantes mul­ti­fonc­tions, solutions de lutte contre les messages in­dé­si­rables, VoIP, WebProxy, NetScaler, etc.)

Le protocole LDAP permet d’optimiser les opé­ra­tions d’au­then­ti­fi­ca­tion et d’au­to­ri­sa­tion et de re­cher­cher ef­fi­ca­ce­ment les données liées à des adresses ou des uti­li­sa­teurs. Comme il offre de nombreux avantages aux en­tre­prises, le protocole LDAP est considéré comme une norme in­dus­trielle ; à ce titre, il est pris en charge par la plupart des logiciels.

Parmi ses prin­ci­paux avantages, il propose des requêtes et des con­nexions rapides, avec un langage léger pour lesdites requêtes et un protocole structuré de manière claire. Grâce au stockage non normalisé des données, les uti­li­sa­teurs peuvent ra­pi­de­ment accéder à celles-ci et les consulter dans les services d’annuaires com­pa­tibles avec le protocole LDAP. Cet avantage est notamment pertinent dans les domaines com­por­tant de nom­breuses petites entrées de données n’étant pas fortement sub­di­vi­sées.

Le protocole LDAP permet aussi un gain de temps con­si­dé­rable et propose des struc­tures de données per­for­mantes adaptées aux requêtes ré­gu­lières dans d’im­por­tantes bases de données ou per­met­tant de stocker les données de manière dis­tri­buée, en utilisant notamment des services d’annuaires présents sur l’ensemble du serveur et des ré­pli­ca­tions couplées de ces annuaires pour la com­pa­rai­son de données, le tout avec une grande fiabilité et à haute dis­po­ni­bi­lité.

LDAPS cor­res­pond à une version du LDAP sécurisée par les pro­to­coles SSL/TLS ; elle garantit le chif­fre­ment des données de l’ex­pé­di­teur et du des­ti­na­taire, qui va de pair avec une au­then­ti­fi­ca­tion basée sur un cer­ti­fi­cat. L’éta­blis­se­ment d’une connexion SSL/TLS protège en outre ces échanges de données contre la ma­ni­pu­la­tion et le vol de données.