page 1

LDAPLightweigth Directory Access Protocol

Ahmed MehaouaAhmed MehaouaProfesseurProfesseur

Université Paris 5Université Paris 5

DU Sécurité DU Sécurité Année 2006Année 2006--20072007

page 2

Plan

page 3

Préface

Ce support a été réalisé en utilisant plusieurs sources documentCe support a été réalisé en utilisant plusieurs sources documentaires dont aires dont l’excellent tutorial sur LDAP de L. l’excellent tutorial sur LDAP de L. MirtainMirtain (INRIA).(INRIA).

page 4

page 5

page 6

Physique Cuivre, Fibre Optique, Ondes Radio, ...

Rappel : L’architecture TCP/IP Rappel : L’architecture TCP/IP

DNSDNSLDAPLDAP

page 7

com

renault

sncf

prod

Domaine complet

Domaine « fr »

Domaine « uvsq »

noeud « lune.prod.sncf.com »

Des noeuds peuvent avoir les mêmes noms dans des domaines différents: « lune.ens.paris5.fr » et « lune.prod.sncf.com »

fr uk

Annuaire électronique : Le Annuaire électronique : Le DomainDomain NameName SystemSystem

page 8

page 9page 9

page 10page 10

page 11page 11

page 12page 12

page 13page 13

page 14page 14

page 15page 15

page 16page 16

page 17page 17

ou /ou /etcetc//passwdpasswd

page 18page 18

page 19page 19

Directory System Agent

page 20page 20

page 21page 21

Juillet 93Juillet 93Mars 95Mars 95

Décembre 97Décembre 97

page 22page 22

Aura pour héritiers :1. OpenLDAP2. Serveur Netscape

page 23page 23

page 24page 24

page 25page 25

page 26page 26

LDAP utilise le port TCP serveur : LDAP utilise le port TCP serveur : 389 389 (voir RFC 1700)(voir RFC 1700)

SecureSecure LDAP (LDAP LDAP (LDAP overover SSL/TLS) utilise le port TCP serveur : SSL/TLS) utilise le port TCP serveur : 636636

page 27

Rappel : principe de Communication TCP/IPRappel : principe de Communication TCP/IP

DNS

ARP

www.yahoo.fr

128.45.3.234

C3:6D:43:80:FE:21

FragmentationContrôle d'erreursContrôle de fluxSéquencementMultiplexage

AdressageRoutage

Contrôle d'accèsDélimitation trame

ProcessusApplication

Ports

Adresse IP

AdresseEthernet

UDP TCP

page 28page 28

page 29page 29

page 30page 30

page 31page 31

page 32page 32

page 33page 33

page 34page 34

Le Le nommagenommage respecte une hiérarchie normalisée (par l’IETF) pour assurer un espace de nommage LDAP global :

page 35page 35

page 36page 36

page 37page 37

page 38page 38

page 39page 39

page 40page 40

page 41page 41

page 42page 42

page 43page 43

page 44page 44

page 45page 45

page 46page 46

page 47page 47

page 48page 48

page 49page 49

page 50page 50

page 51page 51

page 52page 52

page 53page 53

➔➔ RFC2251: RFC2251: «« Lightweight Directory Access Protocol (v3)Lightweight Directory Access Protocol (v3) »»➔➔ RFC2252 : RFC2252 : «« Lightweight Directory Access Protocol (v3): Attribute Syntax DeLightweight Directory Access Protocol (v3): Attribute Syntax Definitionsfinitions »»➔➔ RFC2253 : RFC2253 : «« Lightweight Directory Access Protocol (v3): UTFLightweight Directory Access Protocol (v3): UTF--8 String Representation of 8 String Representation of

Distinguished NamesDistinguished Names »»➔➔ RFC2254 : RFC2254 : «« The String Representation of LDAP Search FiltersThe String Representation of LDAP Search Filters »»➔➔ RFC2255 : RFC2255 : «« The LDAP URL FormatThe LDAP URL Format »»➔➔ RFC2256 : RFC2256 : «« A Summary of the X.500(96) User Schema for use with LDAPv3A Summary of the X.500(96) User Schema for use with LDAPv3 »»➔➔ RFC2829 : RFC2829 : «« Authentication Methods for LDAPAuthentication Methods for LDAP »»➔➔ RFC2830 : RFC2830 : «« Lightweight Directory Access Protocol (v3): Extension for TransLightweight Directory Access Protocol (v3): Extension for Transport Layer port Layer

SecuritySecurity »»➔➔ RFC3377 : RFC3377 : «« Lightweight Directory Access Protocol (v3): Technical SpecificatLightweight Directory Access Protocol (v3): Technical Specification.ion. »»

➔➔ RFC1617 : RFC1617 : «« Naming and Structuring Guidelines for X.500 Directory Pilots.Naming and Structuring Guidelines for X.500 Directory Pilots. »» (Status: (Status: INFORMATIONAL)INFORMATIONAL)

➔➔ RFC2247 : RFC2247 : «« Using Domains in LDAP/X.500 Distinguished Names.Using Domains in LDAP/X.500 Distinguished Names. »»➔➔ RFC2307 : RFC2307 : «« An Approach for Using LDAP as a Network Information Service.An Approach for Using LDAP as a Network Information Service. »»

➔➔ RFC2798 : RFC2798 : «« Definition of the inetOrgPerson LDAP Object Class.Definition of the inetOrgPerson LDAP Object Class. »» (Status: (Status: INFORMATIONAL)INFORMATIONAL)

➔➔ RFC2820 : RFC2820 : «« Access Control Requirements for LDAP.Access Control Requirements for LDAP. »» (Status: INFORMATIONAL)(Status: INFORMATIONAL)➔➔ RFC2891 : RFC2891 : «« LDAP Control Extension for Server Side Sorting of Search ResultsLDAP Control Extension for Server Side Sorting of Search Results.. »»➔➔ ......

page 54page 54

http://http://www.commentcamarche.netwww.commentcamarche.net//ldapldap/ldapinst.php3/ldapinst.php3 www.coagul.orgwww.coagul.org