Qu’est-ce que le protocole LDAP ? Définition et explication

LDAP a été développé pour proposer aux fournisseurs de services d’annuaires un protocole d’application et d’accès. Le protocole LDAP permet de rechercher, de modifier ou d’authentifier d’importants volumes de données, d’informations et d’éléments dans des services d’annuaires distribués, mais aussi de gérer la communication avec les bases de données desdits annuaires.

LDAP est l’abréviation de « Lightweight Directory Access Protocol ». Ce protocole appartient au groupe des protocoles réseau et est utilisé comme un protocole d’accès standardisé pour les requêtes et les modifications pour les services d’annuaires distribués et centralisés, selon le modèle client-serveur. Dans ce contexte, il est souvent question de serveur LDAP lorsque les serveurs d’annuaires communiquent en utilisant le protocole LDAP.

Le terme « Lightweight » (« léger ») fait référence au fait que le LDAP varie légèrement du protocole d’accès DAP (Directory Access Protocol) tel que spécifié par la norme X.500. Le DAP est trop complexe pour une mise en œuvre efficace dans les grandes entreprises avec un grand nombre d’utilisateurs ; en pratique, c’est donc plutôt le LDAP qui est utilisé.

LDAP repose sur une pile de protocoles TCP/IP et s’utilise de manière flexible sur n’importe quel système d’annuaires. Il se sert de ports TCP et UDP pour transférer des données. Il est tout particulièrement répandu dans les domaines et les industries devant traiter et gérer d’importants volumes de données et d’informations, comme les télécommunications, l’aviation, l’informatique et le développement de matériel ou de logiciels. En ce qui concerne le partage de données, le port 389 est le port standard pour les transferts non sécurisés, tandis que le port 636 est utilisé pour transférer des données chiffrées selon le protocole TLS.

Vous trouverez ci-après une liste des principales tâches et utilisations les plus courantes du protocole LDAP :

• Stockage/authentification/autorisation centralisé(e) des données utilisateur et des mots de passe
• Ajout d’entrées et d’opérations dans la base de données de l’annuaire
• Authentification ou liaison entre les sessions
• Modification, recherche, comparaison, extension ou suppression des entrées de l’annuaire
• Recherche de schémas
• Envoi de demandes
• Élimination des opérations

Pour les annuaires et la structuration des données, les configurations LDAP utilisent une arborescence hiérarchique normalisée (DIT), pouvant être étendue à de nombreux serveurs. La normalisation s’effectue grâce aux différents schémas composés à partir des classes d’objets et de leurs attributs. L’arborescence hiérarchique peut alors se diviser ou se ramifier comme suit, avec différents niveaux représentatifs sur le plan politique, géographique ou organisationnel :

• Annuaire de base (racine/source)
• Pays
• Organisations
• Unités opérationnelles
• Personnes
• Entités individuelles (individus, ressources)

Sur les serveurs LDAP, l’annuaire LDAP peut prendre la forme d’une version complète reproduite, synchronisant les modifications originales. Dans l’annuaire, les requêtes transitent par les serveurs LDAP, ou « Directory System Agents » (DSA), capables de transmettre les requêtes à d’autres serveurs DSA tout en garantissant aux utilisateurs une réponse abstraite à la fois rapide et efficace.

Le protocole LDAP utilise une méthode de programmation axée sur les objets avec, en plus de ceux-ci, les classes et l’héritage, mais aussi le polymorphisme qui en découle. Une entrée d’annuaire LDAP autonome (ou objet LDAP) est composée à partir des attributs et de la désignation d’objet « Distinguished Name », obligatoire. La structure relative à « Distinguished Name » est semblable aux conventions sur les noms de fichiers et empêche la présence d’objets identiques au même niveau.

Les attributs composant un objet sont chacun d’un type spécifique. Ils sont identifiés par des abréviations telles que cn (« common name »), st (« state ») ou sn (« surname »). Selon leur type, ces attributs peuvent en outre être monovalents ou polyvalents. Il existe des objets conteneurs qui, comme leur nom l’indique, contiennent des objets, mais les extrémités d’une arborescence hiérarchique se ramifient plutôt en objets individuels formant des « feuilles ».

Le protocole a recours à des procédures d’accès spécifiques, lesquelles fournissent des indications au serveur LDAP par l’intermédiaire de la directive bind et d’un « Distinguished Name » (DN) avec un accès à l’annuaire. Le BaseDN (ou sommet de l’arborescence) permet de définir les différents niveaux de l’annuaire devant être pris en compte pour la recherche, en passant par exemple par des spécifications comme base (« cet objet »), sub (« cet objet et tous les objets qui le suivent ») ou one (« le niveau inférieur au BaseDN »).

En règle générale, les utilisateurs finaux n’entrent pas manuellement leurs requêtes de recherche ; ils passent plutôt par des programmes compatibles avec le protocole LDAP (comme Outlook). Le contrôle des utilisateurs autorisés à accéder aux données est alors assuré par le service relatif à l’annuaire correspondant.

Avec Kerberos, SMB et DNS, LDAP est l’un des quatre principaux protocoles standard ; ceux-ci assurent de manière transparente la communication et le transfert de données dans la structure Active Directory de Microsoft. Active Directory a été développée pour être utilisée comme le service d’annuaire des serveurs Exchange prenant en charge LDAP, afin de permettre l’envoi de requêtes uniformes vers les annuaires Active Directory et l’intégration de services basés sur LDAP à l’environnement AD.

Active Directory est un service d’annuaire performant et relativement évolutif, adapté aux grandes entreprises de plusieurs milliers d’employés. Il se concentre sur les structures Windows. Le protocole LDAP offre quant à lui davantage de flexibilité et d’extensibilité pour des implémentations de grande envergure avec une communauté d’utilisateurs ramifiée, et ce, grâce à son environnement Linux/Unix et à sa compatibilité open source. Le protocole LDAP et les serveurs LDAP sont donc également utilisés dans des secteurs industriels comme la téléphonie mobile ou l’aviation, car ceux-ci doivent traiter les demandes d’authentification de plusieurs millions d’utilisateurs.

L’utilisation du protocole LDAP peut notamment s’avérer intéressante dans les cas d’application suivants :

• Gestion des utilisateurs et des systèmes
• Attribution de protocoles et de RFC (« Requests for Comments »)
• Informations sur la directive NIS / le démarrage
• Gestion des données des zones DNS et des points de montage
• Organisation des alias (e-mails) et des serveurs DHCP

Le protocole LDAP est tout particulièrement utilisé dans les domaines dépendant de requêtes d’adresse et d’authentification complètes de la part des utilisateurs. En voici quelques exemples :

• Carnets d’adresses : solutions de gestion logicielle pour les listes de contacts / les carnets d’adresses numériques (Mozilla Thunderbird, Microsoft Outlook, Apple Contacts, etc.)
• Gestion des utilisateurs : services d’annuaires pour la gestion des utilisateurs (Apple Open Directory, Microsoft Active Directory, NetlQ eDirectory, etc.)
• Authentification : interfaces de programmation pour l’authentification des utilisateurs (PAM, etc.)
• Gestion des données utilisateur : organisation/gestion des données utilisateur dans des serveurs POP / IMAP / SMTP ou des systèmes de base de données et des serveurs de messagerie (qmail, sendmail, exim, etc.)
• Systèmes de gestion des documents : reconnaissance des demandes des utilisateurs ou génération d’annuaires téléphoniques (imprimantes multifonctions, solutions de lutte contre les messages indésirables, VoIP, WebProxy, NetScaler, etc.)

Le protocole LDAP permet d’optimiser les opérations d’authentification et d’autorisation et de rechercher efficacement les données liées à des adresses ou des utilisateurs. Comme il offre de nombreux avantages aux entreprises, le protocole LDAP est considéré comme une norme industrielle ; à ce titre, il est pris en charge par la plupart des logiciels.

Parmi ses principaux avantages, il propose des requêtes et des connexions rapides, avec un langage léger pour lesdites requêtes et un protocole structuré de manière claire. Grâce au stockage non normalisé des données, les utilisateurs peuvent rapidement accéder à celles-ci et les consulter dans les services d’annuaires compatibles avec le protocole LDAP. Cet avantage est notamment pertinent dans les domaines comportant de nombreuses petites entrées de données n’étant pas fortement subdivisées.

Le protocole LDAP permet aussi un gain de temps considérable et propose des structures de données performantes adaptées aux requêtes régulières dans d’importantes bases de données ou permettant de stocker les données de manière distribuée, en utilisant notamment des services d’annuaires présents sur l’ensemble du serveur et des réplications couplées de ces annuaires pour la comparaison de données, le tout avec une grande fiabilité et à haute disponibilité.

LDAPS correspond à une version du LDAP sécurisée par les protocoles SSL/TLS ; elle garantit le chiffrement des données de l’expéditeur et du destinataire, qui va de pair avec une authentification basée sur un certificat. L’établissement d’une connexion SSL/TLS protège en outre ces échanges de données contre la manipulation et le vol de données.