LDAP 簡介

Posted on 2025-05-20

輕量級目錄存取協定 (Lightweight Directory Access Protocol, LDAP) 是一種用於存取和維護分散式目錄資訊服務的應用層協定。

簡單來說，LDAP 提供了一種標準化的方式來查詢和修改網路目錄中的資訊，例如使用者帳號、群組、組織單位、以及其他網路資源的設定。由於其高效和靈活性，LDAP 已成為企業和組織中進行身份驗證、授權和資訊搜尋的核心組件。

本文將簡要介紹 LDAP 的歷史演進、核心概念，以及其在登入驗證中的應用。

LDAP 的歷史演進

LDAP 的發展源於 X.500 標準，X.500 是由國際電信聯盟 (ITU) 和國際標準化組織 (ISO) 共同制定的一套複雜的目錄服務標準。X.500 設計目標宏大，旨在提供一個全球性的、分散式的目錄系統，但其協定 (Directory Access Protocol, DAP) 本身因過於龐大和資源密集，導致在當時的計算環境下難以普及和高效實作。為了提供一個更輕量級、更易於在 TCP/IP 網路上實現的替代方案。

因此，LDAP 孕育而生。

LDAP v1 (RFC 1487, 1993): 最初版本的 LDAP，旨在簡化 X.500 DAP 的核心功能，使其更容易在當時主流的網際網路環境中運行。它為客戶端提供了一種存取 X.500 目錄的簡化途徑。
LDAP v2 (RFC 1779): 對 v1 進行了重要的改進和標準化，增加了對字串表示法的明確定義，並成為了早期廣泛應用的版本。此版本奠定了 LDAP 作為實用目錄存取協定的基礎，但仍有一些功能和安全性上的限制。
LDAP v3 (RFC 4510-4521, 2006): 目前的標準版本，也是功能最完善、安全性最高的版本。相較於 v2，LDAP v3 引入了諸多關鍵增強，例如：更強的驗證機制 (如 SASL)、支援擴充操作、更好的國際化支援 (明確採用 UTF-8 字元編碼處理多語言資料)，以及對 DN (Distinguished Name) 的字串表示法進行了更精確的標準化 (最初由 RFC 2253 定義，後續由 RFC 4514 更新)。這些改進使得 LDAP v3 能夠更好地滿足現代複雜應用程式的需求。

核心概念

理解 LDAP 的運作方式，需要先了解以下幾個核心概念：

目錄 (Directory): 一個以階層式結構儲存資訊的特殊資料庫。所謂「分散式」，意味著目錄資訊可以分佈在多台伺服器上，但對使用者而言，它看起來像是一個統一的整體。您可以將其想像成一個極其詳盡且結構化的公司通訊錄，不僅包含員工聯絡方式，還可能包含部門結構、辦公室位置、電腦資產、存取權限等各種資訊。
條目 (Entry): 目錄中的一個基本單位，代表一個具體的物件。每個條目都是目錄樹中的一個節點。除了常見的使用者帳號，條目也可以代表群組、組織單位 (如部門)、印表機、伺服器、應用程式設定、網路策略等任何需要在目錄中管理的實體。
屬性 (Attribute): 用於描述條目的特定資訊片段，每個屬性都由類型 (Type) 和一個或多個值 (Value) 組成。例如，一個代表使用者的條目可能會有 cn (Common Name，通用名稱，如 王大明)、uid (User ID，使用者帳號，如 damien.wang)、mail (電子郵件地址)、telephoneNumber (電話號碼)、departmentNumber (部門編號) 等屬性。每個屬性類型都有其定義的語法，規定了該屬性可以儲存何種類型的值 (如字串、數字、布林值等)。
識別名稱 (Distinguished Name, DN): 每個條目在整個目錄樹中都有一個全域唯一的名稱，稱為 DN。DN 如同該條目在目錄中的完整路徑，從目錄樹的根節點開始，逐層向下，直到該條目本身。例如，一個 DN 可能表示為 uid=rusty,ou=PresidentOffice,o=ChangingTec,c=TW。這個 DN 清晰地指出了：
- c=TW：國家 (Country) 是台灣
- o=ChangingTec：組織 (Organization) 是 ChangingTec
- ou=PresidentOffice：組織單位 (Organizational Unit) 是總經理辦公室
- uid=rusty：使用者 ID (User ID) 是 rusty
相對識別名稱 (Relative Distinguished Name, RDN): DN 的組成部分，用於在特定層級內唯一識別一個條目。一個 RDN 通常由一個「屬性=值」(Attribute=Value) 的配對組成。在上述 DN 範例中，uid=rusty 就是一個 RDN，它在 ou=PresidentOffice,o=ChangingTec,c=TW 這個層級下是唯一的。
在某些情況下，僅靠單一屬性值對可能不足以在該層級中唯一識別一個條目。這時，就可以使用多值 RDN (Multi-Valued RDN)。一個多值 RDN 包含多個「屬性=值」配對，這些配對之間用 + 號連接。例如，一個條目的 RDN 可能是 cn=王大明+employeeNumber=1001。這意味著在這個 RDN 所屬的層級下，必須同時滿足「通用名稱 (cn) 是王大明」並且「員工編號 (employeeNumber) 是 1001」這兩個條件，才能唯一確定此條目。這在處理同名但具有其他可區分屬性的情況時特別有用。
RDNs 的序列（從最具体的 RDN 到最高層的 RDN）串接起來，就構成了完整的 DN，完美表現了目錄的階層結構。
物件識別碼 (Object Identifier, OID): 一個全域唯一的、由點分隔的數字序列，用於精確地識別屬性類型、物件類別 (Object Class，定義了條目可以擁有哪些屬性) 以及其他 LDAP 元素。例如，2.5.4.3 是 commonName (CN) 屬性的 OID。
OID 由不同的組織機構管理和分配，以確保其全球唯一性，這對於協定的擴充性和不同廠商實作之間的互通性至關重要。

LDAP 字串表示法

LDAP 中的 DN、搜尋過濾器以及其他協定元素，都有標準的字串表示方式。這些表示法在不同的 RFC (Request for Comments) 文件中進行了詳細定義，確保了不同 LDAP 客戶端和伺服器之間能夠正確地解析和交換資訊。

RFC 1485: 定義了早期 OSI-DS (X.500 目錄服務) 中 DN 的字串表示法，為後續的 LDAP 標準奠定了基礎。
RFC 1779: 針對 LDAP v2，明確規範了 DN 的字串表示法，包括特殊字元的處理方式。
RFC 2253: 為 LDAP v3 引入了基於 UTF-8 的 DN 字串表示法，更好地支援了國際化字元。
RFC 4514: 更新並取代了 RFC 2253，成為 LDAP v3 DN 字串表示法的現行權威標準。它進一步完善了特殊字元的轉義規則，確保了表示的明確性和一致性。

這些標準的遵循，對於實現跨平台的 LDAP 解決方案和避免資料解釋錯誤至關重要。例如，DN 中包含逗號、等號等特殊字元時，必須按照 RFC 規範進行轉義，否則可能導致 DN 解析失敗。

ASN.1 語法

LDAP 協定的許多核心資料結構，尤其是 DN 的內部表示以及協定資料單元 (PDU)，都是基於 ASN.1 (Abstract Syntax Notation One) 來定義的。ASN.1 是一種標準的、與平台無關的介面描述語言，用於精確定義資料結構的表示、編碼、傳輸和解碼。它允許開發者以抽象的方式描述資料，而不必關心底層的位元組表示。

例如，一個 DN 的基本結構可以抽象地表示為：

Name ::= CHOICE {  
    rdnSequence RDNSequence  
}

RDNSequence ::= SEQUENCE OF RDN

RDN ::= SET SIZE (1..MAX) OF AttributeTypeAndValue

AttributeTypeAndValue ::= SEQUENCE {  
    type  OBJECT IDENTIFIER,  
    value ANY DEFINED BY type  
}

這表示一個名稱 (Name) 由一個 RDN 序列 (RDNSequence) 組成，而每個 RDN 又由一組屬性類型和值 (AttributeTypeAndValue) 組成。為了在網路上實際傳輸這些 ASN.1 定義的資料結構，需要使用特定的編碼規則將其轉換為位元組序列。

BER (Basic Encoding Rules) 是 ASN.1 常用的編碼規則之一，LDAP 協定訊息的編碼就大量採用了 BER。

LDAP 如何進行登入驗證？

LDAP 最常見且關鍵的應用之一就是使用者登入驗證。以下是一個簡化的流程說明，闡述了其運作原理：

想像一下，您要去一個有門禁管制的俱樂部，門口有位警衛 (代表 LDAP 伺服器) 負責嚴格檢查會員身份。

您出示會員資訊 (輸入帳號密碼)：
當您在某個應用程式或網站 (例如公司內部系統、網路服務、VPN 入口) 的登入頁面輸入您的使用者名稱和密碼時，這就像是您向警衛報上您的會員編號 (使用者名稱) 和一個預先約定的「暗號」(密碼)。
應用程式詢問警衛 (應用程式連線 LDAP 伺服器)：
這個應用程式 (它扮演著 LDAP 客戶端的角色) 會拿著您提供的資訊，透過網路連線到 LDAP 伺服器這位「警衛」。為了保護傳輸過程中的敏感資訊 (如密碼)，這個連線通常會是加密的，例如使用 LDAPS (LDAP over SSL/TLS) 或 STARTTLS (在普通 LDAP 連線上協商加密)。
警衛核對名單和暗號 (LDAP 伺服器驗證)：
LDAP 伺服器內部維護著一份詳細的「會員名單」(即目錄資料庫)，上面記錄了所有合法使用者的資訊，包括他們的唯一識別名稱 (DN)、加密儲存的密碼 (通常是經過雜湊處理的) 以及其他相關屬性。
- 第一步：找到您的檔案 (搜尋使用者條目)。 應用程式通常會先使用您提供的使用者名稱作為搜尋條件，在目錄中搜尋對應的使用者條目，從而獲取該使用者的完整 DN。例如，應用程式可能會向 LDAP 伺服器發送一個搜尋請求，過濾條件可能是 (uid=您的帳號) 或 (sAMAccountName=您的帳號) (在 Active Directory 環境中)。
- 第二步：核對暗號 (執行綁定操作)。 一旦找到了使用者的 DN，應用程式就會正式向 LDAP 伺服器發起一個「綁定 (Bind)」操作。這個操作會同時提交該使用者的 DN 和您輸入的原始密碼。LDAP 伺服器接收到後，會將您提供的密碼使用與其資料庫中儲存的密碼相同的雜湊演算法進行處理，然後比對處理後的雜湊值是否與資料庫中該 DN 對應的雜湊值一致。重要的是，原始密碼本身通常不會在網路上明文傳輸 (如果使用了加密連線)，且伺服器也不會儲存明文密碼。
警衛回報結果 (LDAP 伺服器回應)：
LDAP 伺服器完成密碼比對後，會向應用程式回傳一個結果。
- 如果 DN 存在於目錄中，且提供的密碼經雜湊後與儲存的雜湊值相符，LDAP 伺服器就會回傳一個「成功」的狀態碼，相當於警衛說：「這個人是會員，暗號也對，可以讓他進來。」(驗證成功)
- 如果找不到對應的 DN，或者密碼不正確，LDAP 伺服器就會回傳一個「失敗」的狀態碼 (例如：無效的憑證)，相當於警衛說：「查無此人，或者暗號不對，不能進。」(驗證失敗)
應用程式決定是否放行 (應用程式授權)：
應用程式根據 LDAP 伺服器回報的驗證結果，決定是否允許您登入並存取其提供的服務或資源。
驗證成功通常是第一步，接下來應用程式可能還會執行授權檢查 (例如，查詢該使用者所屬的群組，以確定其擁有哪些操作權限)，這也可能涉及到進一步的 LDAP 查詢。

Active Directory 與 LDAP

Microsoft 的 Active Directory (AD) 是一個功能極其豐富且廣泛使用的目錄服務，它不僅僅是一個 LDAP 目錄，還整合了 Kerberos 驗證、組策略管理等多種服務。
然而，LDAP 協定是 AD 提供目錄存取服務的核心方式之一，這使得非 Windows 系統和各種應用程式能夠透過標準的 LDAP 協定與 AD 進行互動，查詢使用者資訊、進行身份驗證等。

AD 同時支援 LDAP v2 和 v3 版本，但建議始終使用 v3 以獲得更好的安全性與功能。不過，在使用 AD 作為 LDAP 伺服器時，需要注意其一些特定的實作細節：

字碼頁設定而非純 UTF-8： 雖然 LDAP v3 標準推薦使用 UTF-8，但 AD 在處理某些字串屬性時，可能依賴於其內部的字碼頁 (code page) 設定。這在與嚴格遵循 UTF-8 的 LDAP 客戶端或系統整合時，偶爾可能導致非 ASCII 字元的編碼和顯示問題。
對多值 RDN 的支援限制： 某些 LDAP 目錄允許一個 RDN 由多個屬性值對組成 (例如 cn=John Doe+uid=jdoe)。雖然 AD 支援 LDAP，但在其自身結構和某些工具中，對這類複雜多值 RDN 的支援可能不如其他純粹的 LDAP 伺服器那樣完整或直觀。
特定的屬性名稱和結構： AD 有其預定義的 schema (綱要)，包含許多 AD 特有的屬性 (如 sAMAccountName, userPrincipalName) 和物件類別。與 AD 進行 LDAP 互動時，需要了解這些 AD 特有的元素。

儘管存在這些差異，AD 對 LDAP 的良好支援使其能夠融入更廣泛的異構 IT 環境中。

參考資料

LDAP Wikipedia
LDAP RFC 1487
LDAP RFC 1779
LDAP RFC 2253
LDAP RFC 4510
LDAP RFC 4514

總結

LDAP 作為一種成熟且廣泛應用的目錄存取協定，在現代 IT 基礎架構中扮演著至關重要的角色。它不僅能夠集中管理使用者身份和資源資訊，簡化管理複雜度，還能透過標準化的方式提供可靠的身份驗證和授權服務，從而提升系統的整體安全性。其標準化的特性使其能夠在各種不同的作業系統、應用程式和網路服務之間實現良好的互操作性。無論是在傳統的企業內部網路，還是在現代的雲端運算環境中，LDAP 及其衍生技術 (如 Active Directory) 依然是身份與存取管理 (IAM) 領域不可或缺的基石。