Dans le monde de l’informatique, un annuaire est un syst\u00e8me de stockage de donn\u00e9es, d\u00e9riv\u00e9 des bases de donn\u00e9es hi\u00e9rarchis\u00e9es, permettant en particulier de conserver les donn\u00e9es p\u00e9rennes, c’est-\u00e0-dire les donn\u00e9es n’\u00e9tant que peu mises \u00e0 jour (historiquement, sur une base annuelle, d’o\u00f9 le nom), comme les coordonn\u00e9es des personnes, des partenaires, des clients et des fournisseurs d’une entreprise, les adresses email.<\/p>\n
La recherche peut se faire selon de multiples crit\u00e8res et les donn\u00e9es peuvent \u00eatre utilis\u00e9es par des logiciels clients comme des applications serveurs. En outre, certaines versions de service d’annuaires savent g\u00e9rer les droits sur les donn\u00e9es mais aussi les services propos\u00e9s sur les machines clientes par une authentification gr\u00e2ce \u00e0 un couple login \/ mot de passe. Aujourd’hui ces donn\u00e9es sont centralis\u00e9es sur une ou plusieurs machines et les donn\u00e9es transf\u00e8rent entre les machines via des protocoles r\u00e9seaux.<\/p>\n
<\/p>\n
Les annuaires v\u00e9rifient les caract\u00e9ristiques suivantes :<\/p>\n
Ainsi, un annuaire est g\u00e9n\u00e9ralement une application se basant sur une base de donn\u00e9es afin d’y stocker des enregistrements, mais surtout un ensemble de services permettant de retrouver facilement les enregistrements \u00e0 l’aide de requ\u00eates simples. Une base de donn\u00e9es par contre n’est pas forc\u00e9ment un annuaire\u2026.<\/p>\n
Avant de parler de LDAP il faut parler de son pr\u00e9curseur le protocole X500. Les normes X500 officielles sont d\u00e9finies par le CCITT (CCITT Recommandations of the X500 series : The Directory).<\/p>\n
X500 pr\u00e9sente les concepts de base concernant la s\u00e9curit\u00e9, les protocoles de r\u00e9plication de donn\u00e9es, la gestion du sch\u00e9ma d’un arbre, etc\u2026<\/p>\n
Directory Access Protocol (DAP) est un protocole standard \u00e0 l’initiative de ITU-T et de l’ISO\u00a0pour acc\u00e9der \u00e0 un service d’annuaire X.500.<\/p>\n
D\u00e9velopp\u00e9 en 1993 par l’universit\u00e9 du Michigan, LDAP a \u00e9t\u00e9 initialement con\u00e7u pour \u00eatre une alternative l\u00e9g\u00e8re (d’o\u00f9 son nom de Lightweight Directory Access Protocol) pour acc\u00e9der aux annuaires X.500<\/p>\n
Aujourd\u2019hui, les travaux sur LDAP sont men\u00e9s au sein d’IETF (Internet Engineering Task Force). LDAP en est d\u00e9j\u00e0 \u00e0 sa troisi\u00e8me version du protocole (LDAPv3).<\/p>\n
Il existe une RFC pour chaque version de LDAP, constituant un document de r\u00e9f\u00e9rence :<\/p>\n
LDAP est un protocole d’annuaire standard et extensible. Il fournit :<\/p>\n
Le protocole d\u00e9finit comment s’\u00e9tablit la communication client-serveur. Il fournit \u00e0 l’utilisateur des commandes pour se connecter ou se d\u00e9connecter, pour rechercher, comparer, cr\u00e9er, modifier ou effacer des entr\u00e9es. Des m\u00e9canismes de chiffrement (SSL\u00a0ou TLS) et d’authentification (SASL), coupl\u00e9s \u00e0 des m\u00e9canismes de r\u00e8gles d’acc\u00e8s (ACL) permettent de prot\u00e9ger les transactions et l’acc\u00e8s aux donn\u00e9es.<\/p>\n
Contrairement \u00e0 d’autres protocoles d’Internet, comme\u00a0HTTP,\u00a0SMTP\u00a0ou NNTP, le dialogue LDAP ne se fait pas en\u00a0ASCII\u00a0mais utilise le format de codage Basic Encoding Rule (BER).<\/p>\n
<\/p>\n
Les serveurs LDAP sont con\u00e7us pour stocker une grande quantit\u00e9 de donn\u00e9es mais de faible volume et pour acc\u00e9der en lecture tr\u00e8s rapidement \u00e0 celles-ci gr\u00e2ce au mod\u00e8le hi\u00e9rarchique.<\/p>\n
Les donn\u00e9es LDAP sont structur\u00e9es dans une arborescence hi\u00e9rarchique qu’on peut comparer au syst\u00e8me de fichier Unix. Cet arbre (qui correpond \u00e0 la d\u00e9finition math\u00e9matique du terme) est appel\u00e9\u00a0Directory Information Tree<\/em>\u00a0(DIT) et comporte une racine ou suffixe.<\/p>\n Chaque n\u0153ud de l’arbre correspond \u00e0 une entr\u00e9e de l’annuaire ou\u00a0directory service entry<\/em>\u00a0(DSE). Le sch\u00e9ma suivant donne un exemple d’arborescence :<\/p>\n dc=org Ce mod\u00e8le est en fait repris de X500, mais contrairement \u00e0 ce dernier, con\u00e7u pour rendre un service d’annuaire mondial (ce que le\u00a0DNS\u00a0fait par exemple pour les noms de machines de l’Internet), l’espace de nommage d’un annuaire LDAP n’est pas inscrit dans un contexte global.<\/p>\n Les entr\u00e9es correspondent \u00e0 des objets abstraits ou issus du monde r\u00e9el, comme une personne, une imprimante, ou des param\u00e8tres de configuration. Elles contiennent un certain nombre de champs appel\u00e9s attributs dans lesquelles sont stock\u00e9es des valeurs. Chaque serveur poss\u00e8de une entr\u00e9e sp\u00e9ciale, appel\u00e9e root directory specific entry (rootDSE) qui contient la description de l’arbre et de son contenu.<\/p>\n L’ensemble des d\u00e9finitions relatives aux objets que sait g\u00e9rer un serveur LDAP s’appelle le sch\u00e9ma. Le sch\u00e9ma d\u00e9crit les classes d’objets, leurs types d’attributs et leur syntaxe.<\/p>\n Il existe deux objets abstraits particuliers : les aliases et les referrals qui permettent \u00e0 une entr\u00e9e de l’annuaire de pointer vers une autre entr\u00e9e du m\u00eame ou d’un autre annuaire. L’attribut aliasObjectName de l’objet alias a pour valeur le DN de l’entr\u00e9e point\u00e9e. L’attribut ref de l’objet referral a pour valeur l’URL\u00a0LDAP de l’entr\u00e9e d\u00e9sign\u00e9e.<\/p>\n Une entr\u00e9e de l’annuaire contient une suite de couples types d’attributs – valeurs d’attributs. Les attributs sont caract\u00e9ris\u00e9s par :<\/p>\n Les attributs d\u00e9crivent g\u00e9n\u00e9ralement des caract\u00e9ristiques de l’objet, ce sont des attributs dits normaux qui sont accessibles aux utilisateurs. Mais d’autres attributs sont dits op\u00e9rationnels car ils ne servent qu’au serveur pour administrer les donn\u00e9es<\/em>.<\/p>\n La syntaxe indique le type de donn\u00e9es associ\u00e9es \u00e0 l’attribut et la mani\u00e8re dont l’annuaire doit comparer les valeurs lors d’une recherche.<\/p>\n Certains serveurs LDAP respectent les standards X500 de hi\u00e9rarchisation des attributs, qui permettent de d\u00e9crire un attribut comme \u00e9tant un sous-type d’un attribut super-type et d’h\u00e9riter ainsi de ses caract\u00e9ristiques. Ces attributs super-types peuvent \u00eatre utilis\u00e9s comme crit\u00e8re de recherche g\u00e9n\u00e9rique qui porte sur tous ses sous attributs.<\/p>\n (m\u00eame principe que dans SNMP)<\/p>\n
\n|
\ndc=example
\n\/\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \\
\nou=people\u00a0\u00a0\u00a0\u00a0 ou=groups
\n|\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 |
\nuid=john\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 cn=dev<\/p>\nLe sch\u00e9ma<\/h3>\n
Les attributs<\/h3>\n
\n
Les OIDs<\/h3>\n