Pour les annuaires et la structuration des données, les configurations LDAP utilisent une arborescence hiérarchique normalisée (DIT), pouvant être étendue à de nombreux serveurs. La normalisation s’effectue grâce aux différents schémas composés à partir des classes d’objets et de leurs attributs. L’arborescence hiérarchique peut alors se diviser ou se ramifier comme suit, avec différents niveaux représentatifs sur le plan politique, géographique ou organisationnel :
- Annuaire de base (racine/source)
- Pays
- Organisations
- Unités opérationnelles
- Personnes
- Entités individuelles (individus, ressources)
Sur les serveurs LDAP, l’annuaire LDAP peut prendre la forme d’une version complète reproduite, synchronisant les modifications originales. Dans l’annuaire, les requêtes transitent par les serveurs LDAP, ou « Directory System Agents » (DSA), capables de transmettre les requêtes à d’autres serveurs DSA tout en garantissant aux utilisateurs une réponse abstraite à la fois rapide et efficace.
Le protocole LDAP utilise une méthode de programmation axée sur les objets avec, en plus de ceux-ci, les classes et l’héritage, mais aussi le polymorphisme qui en découle. Une entrée d’annuaire LDAP autonome (ou objet LDAP) est composée à partir des attributs et de la désignation d’objet « Distinguished Name », obligatoire. La structure relative à « Distinguished Name » est semblable aux conventions sur les noms de fichiers et empêche la présence d’objets identiques au même niveau.
Les attributs composant un objet sont chacun d’un type spécifique. Ils sont identifiés par des abréviations telles que cn (« common name »), st (« state ») ou sn (« surname »). Selon leur type, ces attributs peuvent en outre être monovalents ou polyvalents. Il existe des objets conteneurs qui, comme leur nom l’indique, contiennent des objets, mais les extrémités d’une arborescence hiérarchique se ramifient plutôt en objets individuels formant des « feuilles ».
Le protocole a recours à des procédures d’accès spécifiques, lesquelles fournissent des indications au serveur LDAP par l’intermédiaire de la directive bind et d’un « Distinguished Name » (DN) avec un accès à l’annuaire. Le BaseDN (ou sommet de l’arborescence) permet de définir les différents niveaux de l’annuaire devant être pris en compte pour la recherche, en passant par exemple par des spécifications comme base (« cet objet »), sub (« cet objet et tous les objets qui le suivent ») ou one (« le niveau inférieur au BaseDN »).
En règle générale, les utilisateurs finaux n’entrent pas manuellement leurs requêtes de recherche ; ils passent plutôt par des programmes compatibles avec le protocole LDAP (comme Outlook). Le contrôle des utilisateurs autorisés à accéder aux données est alors assuré par le service relatif à l’annuaire correspondant.