Wie sag ich's meinem LDAP-Server?

von Peter Marksteiner (Ausgabe 06/3, Oktober 2006)

 

Das WorldWideWeb hat viele der Funktionen übernommen, für die Verzeichnisdienste wie X.500 und LDAP ursprünglich erfunden wurden: Die im Artikel Verzeichnisdienste: Von X.500 zu LDAP eingangs erwähnten Verzeichnisse (Telefonbücher, Gebäudepläne, Vorlesungsverzeichnisse, schwedische Möbelkataloge usw.) werden alle in Form von Webapplikationen angeboten, aber nur in den seltensten Fällen als LDAP-Verzeichnisse. Für manche Anwendungen - vor allem für Adressverzeichnisse, die maschinenlesbare, strukturierte Daten benötigen - ist das Lightweight Directory Access Protocol dennoch das Mittel der Wahl.

Damit steht man allerdings vor dem nächsten Problem: Wie man mit Webservern kommuniziert, ist bekannt - mittels Browser. Wie aber greift man auf LDAP-Verzeichnisse zu? Zwar gibt es eigene LDAP-Klientenprogramme, diese werden jedoch nicht oft verwendet. Viel häufiger sind LDAP-Funktionen und -Erweiterungen in allen möglichen Programmen, z.B. in Webserver- und Mailing-Software.

LDAP und Mailing

Wie bereits in der letzten Ausgabe des Comment berichtet, ist LDAP ein zentraler Bestandteil des neuen Mailsystems der Universität Wien. Welche Mailadressen an der Uni gültig sind und welche nicht, wohin eMail zugestellt oder weitergeleitet werden muss, erfahren die Mailserver durch LDAP-Anfragen. Dementsprechend groß ist die Zahl der Zugriffe, die auf die LDAP-Server der Uni Wien einprasseln, nämlich rund zwei Millionen pro Tag. Es ist eine der großen Stärken dieses Protokolls, dass die LDAP-Server einen solchen Ansturm vollkommen problemlos bewältigen können (in diesem Sinne ist das Protokoll wirklich "leichtgewichtig").

Auch mit Mailprogrammen kann man auf LDAP-Verzeichnisse zugreifen und diese als Adressbuch verwenden. Im Gegensatz zu einem webbasierten Verzeichnis wie dem Personalverzeichnis der Universität lässt sich das öffentliche LDAP-Verzeichnis der Uni Wien (LDAP.UNIVIE.AC.AT) in die meisten Mailklienten direkt integrieren, wie hier am Beispiel des Mozilla Thunderbird illustriert wird:

Um das Adressbuch einzurichten, wählen Sie im Mailprogramm Thunderbird den Menüpunkt Adressbuch - Datei - Neu - LDAP-Verzeichnis und füllen Sie die Felder so aus, wie in Abb. 1 dargestellt ist:

  • Name: Uni Wien
  • Hostname: ldap.univie.ac.at
  • Basis-DN: dc=univie,dc=ac,dc=at
  • Port-Nummer: 389
Abb. 1: Einrichten des LDAP-Verzeichnisses der Uni Wien

 

Anschließend müssen Sie noch unter Extras - Einstellungen - Verfassen auf der Registerkarte Adressieren im Bereich Adress-Autovervollständigung die Option LDAP-Verzeichnisserver aktivieren (der LDAP-Server Uni Wien sollte bereits in der Liste rechts daneben aufscheinen). Damit können Sie nun - vorausgesetzt, Sie sind online - das gesamte Verzeichnis der Uni Wien genau so nutzen wie Ihr persönliches Adressbuch: Beim Verfassen einer Nachricht an eine beliebige Universitäts-Adresse brauchen Sie als Empfänger nur dessen Namen oder einen Teil davon einzugeben, woraufhin die eMail-Adresse automatisch ergänzt bzw. ein Auswahlmenü mit Vorschlägen angezeigt wird.

LDAP und Authentifizierung

LDAP teilt das Schicksal vieler anderer Erfindungen: Es wird für ganz andere Zwecke eingesetzt als ursprünglich gedacht. Obwohl LDAP keineswegs als Authentifizierungs-Protokoll entwickelt wurde, ist Authentifizierung - also die Überprüfung der Zugangsberechtigung eines bestimmten Nutzers zu einem bestimmten Netzwerkservice - heute eines seiner wichtigsten Anwendungsgebiete. LDAP wird mittlerweile weitaus häufiger zur Authentifizierung verwendet als dedizierte Protokolle wie z.B. RADIUS (Remote Authentication Dial-In User Service).

Die vom ZID verwalteten Benutzungsberechtigungen (v.a. Unet- und Mailbox-UserIDs) erlauben den Zugriff auf viele verschiedene Netzwerkdienste - von eMail, Fileservices und ADSL bis zur Lernplattform WebCT Vista. Intern werden zur Authentifizierung verschiedene Mechanismen und Protokolle eingesetzt: LDAP, RADIUS (z.B. für Wählleitungsverbindungen, ADSL, WLAN, VPN) und andere. Obwohl es bereits eine große Erleichterung darstellt, auf verschiedene Dienste mit derselben Username-/Passwort-Kombination zugreifen zu können anstatt sich viele einzelne Passwörter merken zu müssen, sind wir von einer echten Single Sign-On-Lösung, bei der nach einmaligem Login der Zugriff auf alle verfügbaren Services gewährt wird, noch weit entfernt. Es wird jedoch daran gearbeitet, diesem Ziel zumindest näher zu kommen und die Authentifizierung der verschiedenen Services zu vereinfachen und besser zu integrieren. In diesem Zusammenhang soll auch ein Authentifizierungs-Service für Dritte angeboten werden: Von etlichen Instituten und Dienststellen der Universität Wien werden für Studierende bzw. Uni-MitarbeiterInnen verschiedene Anwendungen (meistens Webapplikationen) mit Zugangskontrolle zur Verfügung gestellt, die üblicherweise über eine eigene Benutzerverwaltung mit speziellen Usernamen und Passwörtern verfügen. Die Administration solcher Anwendungen könnte durch eine zentrale Authentifizierung wesentlich vereinfacht werden.

Bei einer solchen zentralen Authentifizierung für Dritte muss selbstverständlich besondere Sorgfalt an den Tag gelegt werden, was Sicherheit und Datenschutz betrifft. Aus diesem Grund wird das zu schaffende System zwar LDAP verwenden (möglicherweise sogar auf LDAP basieren), aber kein reines "LDAP-Service" sein, sondern auch andere Authentifizierungs-Methoden mit einbeziehen.

Wenn Sie an einem solchen Authentifizierungs-Service interessiert sind, teilen Sie uns dies bitte per eMail an helpdesk.zid@univie.ac.at mit - wir werden dann versuchen, Ihre speziellen Anforderungen in das künftige Authentifizierungs-System zu integrieren.