V-Hub by Vodafone BusinessUnified CommunicationSicherheitLDAP einfach erklärt: Definition, Funktionsweise und Einsatzmöglichkeiten
Zwei Hände an einem Laptop, davor Symbole für Ordner und Dokumente.
Unified Communication

LDAP einfach erklärt: Definition, Funktionsweise und Einsatzmöglichkeiten

Portrait von Dr. Lorenz SteinkeLorenz Steinke
19.05.2023
14 Min.

    Das „Lightweight Directory Access Protocol“, kurz LDAP, gehört zu den heimlichen Stars in der IT-Welt. In Millionen Netzwerken weltweit übernimmt es die Rechtevergabe und Authentifizierung und durchsucht dabei mühelos riesige Benutzerdatenbanken. Trotzdem ist es weithin unbekannt, weil es unsichtbar im Hintergrund arbeitet. Erfahren Sie hier, was LDAP alles kann und wofür Sie es in Ihrem Business nutzen können.

    LDAP ist die universelle Protokollsprache, wenn es um Benutzerverzeichnisse geht und ganz allgemein um das "Identity and Access Management" (IAM), also die Verwaltung von Identitäten und Zugriffsrechten in Netzwerken.

    Hierfür wird LDAP oft auch als Quasi-Industriestandard bezeichnet. Über Betriebssystemgrenzen hinweg verwaltet es Freigaben für Anwender:innen, selbst in großen Strukturen mit vielen Betriebssystemen, wo Windows, MacOS, Unix, Linux, Android und iOS parallel zum Einsatz kommen. Doch LDAP kann noch viel mehr.

    Inhaltsverzeichnis

    Was ist LDAP (Lightweight Directory Access Protocol)?Wie funktioniert LDAP?Was ist der Unterschied zwischen LDAP und Active Directory?Einsatzgebiete

    Was ist LDAP (Lightweight Directory Access Protocol)?

    Das Lightweight Directory Access Protocol (LDAP) ist ein Zugriffsprotokoll für verteilte Verzeichnisse in Netzwerken. Verteilte Verzeichnisse sind Verzeichnisstrukturen, die sich über mehrere Computer erstrecken und auf die üblicherweise mehrere Nutzer:innen parallel zugreifen können. Mittels LDAP können Sie Informationen innerhalb eines solchen verteilten Verzeichnisses abfragen. Wenn entsprechende Nutzungsrechte vorliegen, können Sie diese Informationen auch bearbeiten.
    Der Begriff Verzeichnis beschränkt sich hierbei nicht allein auf Dateiverzeichnisse, sondern meint grundsätzlich jede Art von Verzeichnissen, die als Baumstruktur (hierarchisch) aufgebaut sind, beispielsweise Datenbanken mit Nutzernamen, -adressen und -freigaben.
    Typische Einsatzgebiete für LDAP-Verzeichnisse sind das Rechtemanagement in Firmennetzen oder die Verwaltung von Kennwörtern und E-Mailadressen in großen Provider-Netzwerken. Auch viele Adressdatenbanken werden mittels LDAP abgefragt.
    LDAP ist bereits herstellerseitig in vielen Betriebssystemen, Programmen und Arbeitsumgebungen vorinstalliert, beispielsweise auf NAS-Servern (Festplatten-Servern) für die Benutzerfreigabe oder in gängigen Wikis (Wissensdatenbanken) für die Vergabe von Autorenrechten.
    LDAP wird auch für die Rechtevergabe auf vielen Samba-Servern zur Authentifizierung eingesetzt, sowie unter OpenVPN, Kubernetes und Docker. LDAP wird daher auch als agnostisches Protokoll bezeichnet, weil es nicht auf bestimmte Hersteller oder Standards beschränkt ist, sondern bewusst plattform- und geräteunabhängig konzipiert wurde.
    Mit LDAP können Sie drei Arten von Aufgaben organisieren:
    • Mittels LDAP finden Sie über standardisierte Queries (Suchanfragen) Informationen in Verzeichnissen, zum Beispiel die E-Mail-Adresse einer bestimmten Person oder die IP-Adresse eines Servers.
    • Mit LDAP können Sie diese Verzeichnisse bearbeiten – zum Beispiel, um neue Zugriffsrechte in einem Benutzerverzeichnis einzutragen.
    • Über LDAP können Sie außerdem Benutzer:innen authentifizieren, beispielsweise über eine Passwortabfrage.

    Organisiert als Client-Server-Umgebung

    LDAP ist nach dem Client-Server-Modell organisiert. Es gibt also immer einen oder mehrere zentrale Server, die die gewünschten Informationen bereitstellen; und einen oder mehrere Clients, die diese Informationen von den Servern abrufen können. Hat ein Client die entsprechenden Zugriffsrechte, kann er Informationen auf der Serverseite mittels LDAP auch bearbeiten. LDAP stellt hierfür einheitliche Befehle zur Verfügung, über die die Kommunikation zwischen der Client-Seite und den jeweiligen Verzeichnis-Servern erfolgt.
    Wörtlich aus dem Englischen übersetzt bedeutet "Lightweight Directory Access Protocol" so viel wie "Leichtgewichtiges Verzeichnis-Zugriffsprotokoll". Der Begriff Leichtgewicht gibt an, dass LDAP eine vereinfachte Version des komplexeren Directory Access Protocol (DAP) für X.500-Verzeichnisserver (X.500 ist ein Standard für den Aufbau von Verzeichnisdiensten) ist.
    Durch diese Vereinfachung benötigt LDAP im laufenden Betrieb deutlich weniger Hardwareressourcen als DAP. Somit war es bei seiner Einführung im Jahr 1993 auch auf den damals üblichen Arbeitsplatzcomputern problemlos lauffähig, was erheblich zu seiner großen Verbreitung beigetragen hat.

    Wie funktioniert LDAP?

    LDAP-Implementierung

    In der einfachsten Konfiguration besteht eine LDAP-Installation aus einem einzelnen NAS-Client, der über ein TCP/IP-Netzwerk direkt auf einen NAS-Server zugreift. Hierfür ist auf dem Server ein sogenannter Directory System Agent (DSA) installiert. Das ist eine Software, die alle Anfragen des Clients entgegennimmt und beantwortet.
    Durch Pfeile verbundene Kästen mit den Wörtern LDAP-Client, LDAP-Server und Verzeichnis.
    Für die Kommunikation nutzen Client und Server den Port 389 für ungesicherte Übertragungen sowie den per TLS gesicherten Port 636 für den verschlüsselten Datenaustausch. Hat der LDAP-Server direkten Zugriff auf das Verzeichnis, wird er auch als Standalone-Server bezeichnet. Alternativ können LDAP-Server und Verzeichnis beispielsweise auch über eine zwischengeschaltete Instanz aus X.500-Server und -Client miteinander verbunden werden. LDAP-Server und X.500 bilden dann zusammen ein sogenanntes Gateway.
    In der Praxis sind Basis-Konfigurationen mit nur einem Client und einem Server eher selten. Üblicherweise greifen in Firmennetzen viele Clients gleichzeitig auf einen oder mehrere LDAP-Server zu. Sind mehrere solcher LDAP-Server vorhanden, müssen diese untereinander aushandeln, wie sie Client-Anfragen organisieren und jegliche Aktualisierungen im Verzeichnis an alle beteiligten Server weiterreichen. Hierfür sind in größeren Netzwerken unterschiedliche Strukturen üblich, die aus sogenannten Master- und Consumer-Servern bestehen. Die genaue Zusammensetzung hängt dabei ab von Einsatzzweck, Auslastung und Netztopologie.

    Mehrere Kontaktdatenbanken mittels LDAP organisieren

    Sie betreiben in Ihrem Unternehmen mehrere Kontaktdatenbanken parallel und würden diese gerne zusammenführen? Mit Tools wie MetaDirectory von Estos oder PeopleSync von Messageconcept führen Sie Ihre Datenbanken unter Exchange, Microsoft 365 Business, CardDAV, Oracle oder Salesforce zu einem konsistenten Adressbestand zusammen und greifen hierauf beispielsweise per LDAP zu.
    Eine Frau in roter Bluse sitzt an einem Mac und telefoniert via Headset

    Fertig für Sie eingerichtet und startklar: Microsoft 365 Business mit Vodafone Services

    Produktivität steigern. Sicherheit stärken. Und sich dabei komplett auf Ihr Business konzentrieren? Das geht. Unsere Expert:innen helfen mit Ihren Microsoft 365 Business-Lizenzen. So haben Sie Zeit für Ihr Kerngeschäft.

    Jetzt mehr erfahren

    LDAP-Verzeichnis-Aufbau

    LDAP arbeitet mit einer hierarchischen Baumstruktur, die aus einem sogenannten "Wurzel"-Knoten, sowie "Zweigen" (auch Unterknoten oder Unterverzeichnisse genannt) und "Blättern" besteht. Eine solche Baumstruktur wird auch "Directory-Information-Tree" (DIT) genannt, was auf Deutsch so viel wie Verzeichnis-Informationsbaum bedeutet.
    Die Wurzel, im Englischen auch als "suffix" oder "root" bezeichnet, ist die Basis dieses Datenbaums, von der aus alle weiteren Strukturen eindeutig adressierbar sind. Die Anzahl der Hierarchiestufen ist theoretisch unbegrenzt. Am Ende von Zweigen finden sich die Blätter mit den darin gespeicherten Informationen.
    Der vollständige Weg (Pfad) von der Wurzel bis zu einem gesuchten Eintrag (Blatt) wird als eindeutiger Name oder "Distinguished Name" (DN) bezeichnet. Jeglicher Teilabschnitt dieses Pfades ist ein sogenannter relativer eindeutiger Name oder "Relative Distinguished Name" (RDN), weil er nicht bei der Wurzel selbst beginnt, sondern an einer anderen Stelle im Baum.
    Bild

    Suche im Verzeichnisbaum

    Eine LDAP-Abfrage, die innerhalb des Informationsbaumes nach einem bestimmten Blatt mit einer ganz oder in Teilen bekannten Information sucht, hat eine feste Syntax aus Befehl, Argumenten, Filtern und Attributen. Eine einfache Suche mit dem Befehl "ldapsearch" kann beispielsweise folgende Bestandteile haben:
    ldapsearch: Mit diesem Suchbefehl beauftragt der LDAP-Client den LDAP-Server, nach Datensätzen in einem Verzeichnis zu suchen.
    Such-DN: Über die Such-DN gibt der LDAP-Client vor, in welchem Unterverzeichnis nach der gewünschten Information gesucht werden soll.
    Umfang: Der LDAP-Client kann die Suche auf die Ebene unterhalb des adressierten Verzeichnisses beschränken oder auch alle weiteren Unterverzeichnisse dieses Verzeichnisses einbeziehen (Sub-Tree Level).
    Filter: Der Filter gibt die Zeichenfolge an, die innerhalb des Baumes gesucht werden soll, beispielsweise der Name einer Person oder ein Teil des Namens. Nach Wortteilen können Sie mithilfe des Sternchensymbols suchen. Eine Suche nach dem Benutzernamen "*schmidt" findet somit auch Benutzer:innen, die "Kleinschmidt" oder "Meier-Schmidt" heißen.
    Suchfilter können kombiniert (verknüpft) werden. Die Abfrage Name = "Meier" & Vorname gleich "K*" findet alle Personen namens Meier, deren Vorname mit "K" beginnt. Anstelle des Zeichens "&" (UND) sind unter LDAP auch die Verknüpfungen "|" (ODER) und "!" (NICHT) möglich. Eine vollständige Liste aller Filter finden Sie im LDAP-Standard "RFC 2254 – The String Representation of LDAP Search Filters".
    Art des gesuchten Rückgabewertes: Der vom Client abgefragte Rückgabewert wird als Ergebnis der Suche vom Server zurückgeliefert, sofern ein passender Datensatz (Blatt) gefunden wurde. Der Rückgabewert kann beispielsweise die "Benutzerrechte", die "Mailadresse" oder die "Rechnungsanschrift" der gesuchten Personen enthalten.
    Durch die einfache und schlanke Befehlsstruktur funktioniert die Suche mithilfe von LDAP-Servern nahezu in Echtzeit. So können Sie beispielsweise Ihr Rechtemanagement auch standortübergreifend oder plattformübergreifend sehr gut und verzögerungsfrei organisieren – und binden dabei auch mobile Endgeräte jederzeit problemlos ein.
    Geschäftsmann strahlt mit verschränkten Armen in die Kamera

    MPLS-VPN: Mit Vodafone Company Net

    Verbinden Sie Ihre Unternehmensstandorte auf schnelle, sichere und dabei flexible Weise miteinander – und schotten Sie sie vom Rest des Internets ab.

    • Garantierte Datenübertragung
    • Privates, eigenes Netz
    • Vielfältige Anbindungsmöglichkeiten
    • Individuell konfigurierbar
    • Sicher und absolut zuverlässig
    Jetzt mehr erfahren

    Was ist der Unterschied zwischen LDAP und Active Directory?

    Oft wird gefragt, ob LDAP ein Ersatz für Active Directory (AD) sein kann. Tatsächlich handelt es sich hierbei um zwei sehr unterschiedliche Dinge.
    Während LDAP lediglich ein Zugriffsprotokoll ist, ist das von Microsoft seit Windows 2000 genutzte AD ein vollständiger Verzeichnisdienst, der verteilte Ressourcen zur Verfügung stellt und diese aktiv managt. Mit AD können Sie beispielsweise Ihr komplettes Unternehmensnetzwerk organisieren.
    Die unterste Ebene im AD ist die Domänenebene. Eine solche digitale Domäne ist vergleichbar mit einer Abteilung in Ihrem Unternehmen. Die Benutzer:innen innerhalb einer Domäne können sich beispielsweise gegenseitig Verzeichnisse freigegeben und dieselben Abteilungsdrucker benutzen. Die Domäne ist über eine gemeinsame Datenbank organisiert, die alle Rechte und Abhängigkeiten erfasst.
    Mehrere Domänen zusammen ergeben in der Active-Directory-Logik eine sogenannte Baumstruktur. Diese kann beispielsweise einen einzelnen Standort Ihres Unternehmens repräsentieren. Auch hier können Sie wieder gemeinsame Berechtigungen für alle Benutzer:innen einrichten – etwa den Zugriff auf 3D-Drucker und andere Maschinen in Ihrer benachbarten Fabrikhalle, die im Industrial Internet of Things (IIoT) vernetzt sind.
    Mehrere Bäume bilden schließlich einen sogenannten "Forest" (Wald). Ein solcher Wald kann das Netzwerk Ihres kompletten Unternehmens mit seinen zahlreichen Einzelstandorten umfassen. Auch hier können Sie wieder gemeinsame Rechte für alle Nutzer:innen vergeben, etwa den Zugriff auf Ihre unternehmensweite Private-Cloud. Die Erweiterung von AD für Microsoft 365 Business und die Microsoft-Cloud Azure heißt "Azure Active Directory" (Azure AD).
    Für die Arbeit im AD stehen Ihnen verschiedene Protokolle und Anwendungen zur Verfügung, darunter auch LDAP. Beispielsweise können Sie mittels LDAP im AD einheitliche Anfragen stellen, um die Rechte von Benutzer:innen abzufragen, Zugriffsrechte auf Anwendungen freizugeben oder diverse Datenbanken (Verzeichnisse) auszulesen.
    Active Directory ist also ein vollständiger Verzeichnisdienst, LDAP hingegen ein Protokoll, mit dem Sie sehr schnell Verzeichnisse durchsuchen, abfragen und ändern können – sowohl innerhalb eines solchen Verzeichnisdienstes als auch in anderen Umgebungen.
    Die meisten Office- und Serverprodukte von Microsoft unterstützen LDAP ebenso wie AD. Dies trifft aber auch auf viele Systeme anderer Hersteller zu. AD selbst bietet Ihnen ebenfalls LDAP-Unterstützung, damit LDAP-basierte Anwendungen in Ihrer Active-Directory-Umgebung problemlos laufen können.
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    Einsatzgebiete

    LDAP in Unternehmen

    LDAP kann überall dort seine Stärken ausspielen, wo Rechte vergeben oder Verzeichnisstrukturen sehr schnell durchsucht werden sollen. Weil es zu den schnellsten Protokollen seiner Art gehört, kommt es besonders in großen Umgebungen mit Millionen Rechtevergaben und Konten zum Einsatz. Aber auch kleine und mittlere Unternehmen profitieren von LDAP.
    Ein Beispiel: Haben Sie in Ihrem Unternehmen den Chat-Dienst Teamwire von grouptime für Ihre Mitarbeiter:innen eingerichtet, so können diese ihre Adressbücher mit LDAP und Active Directory ganz bequem und automatisiert synchronisieren.
    Ein anderes Beispiel: Sie möchten in Ihrem Unternehmen ein Wiki einrichten, in dem Ihre Mitarbeiter:innen Informationen zu Ihren Produkten und Herstellungsverfahren zusammentragen? Mit LDAP vergeben und protokollieren Sie sehr einfach und bequem die Nutzungsrechte in diesem Wiki oder protokollieren Änderungen an den Texten.
    Bild
    Mithilfe des Zugriffsprotokolls LDAP melden Sie vernetzte Industriemaschinen sehr einfach in Ihrer jeweiligen Domäne an.

    LDAP in der IT-Sicherheit

    Durch seine wichtige Rolle in der Rechtevergabe und der Authentifizierung ist LDAP schon immer auch für die IT-Sicherheit relevant. Deshalb sollten Sie LDAP beim Thema Cybersecurity in Ihrem Unternehmen oder Ihrer Organisation stets mitberücksichtigen.
    In den ersten Jahren nach seiner Einführung wurde LDAP vor allem in geschlossenen Firmennetzen verwendet. Dort waren die Risiken noch gering, dass LDAP-Übertragungen von Dritten mitgelesen werden konnten.
    Inzwischen kommt LDAP auch in vielen über das Internet erreichbaren Netzen zum Einsatz. Daher warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen, dass offene LDAP-Verbindungen nicht nur für die Betreiber der LDAP-Server selbst gefährlich sind. Stattdessen können auch Cyberkriminielle diese für eine bestimmte Form von DDoS-Angriffen missbrauchen.
    Daher sollten Sie Ihren LDAP-Datenverkehr möglichst über Verbindungen abwickeln, die per SSL/TSL gesichert sind. SSL steht für "Secure Sockets Layer"; TSL ist die Abkürzung für Transport Layer Security. Diese Technik wird auch als LDAPS ("Lightweight Directory Access Protocol over Secure Sockets Layer (SSL)") bezeichnet.

    LDAP in der Cloud

    Die Migration vieler Unternehmensnetzwerke von On-Premises-Lösungen hin in die Cloud hat auch die Einsatzgebiete und Aufgaben für den LDAP-Einsatz verändert. Viele Firmen setzen hierfür heute auf cloudbasierte LDAP-Server, auf LDAP-kompatible Cloud-Anwendungen oder auf Hybrid-Lösungen. Dabei können sie vorhandene LDAP-Server weiternutzen und mit Authentifizierungssystemen in der Unternehmenscloud kombinieren.
    Je nach Unternehmensnetz und gewählter Cloudlösungen gibt es hier viele unterschiedliche Lösungen. Microsoft beispielsweise schlägt vor, mittels Azure Active Directory die LDAP-Synchronisierung in Azure-Clouds durch die Microsoft-Anwendung Azure AD Connect zu ersetzen.
    Geschäftsmann arbeitet am Notebook

    Mit Vodafone in der Multi-Cloud durchstarten

    Kaum ein Cloud-Dienst deckt sämtliche unternehmerischen Anforderungen aus einer Hand ab. Mit Vodafone gelingt die Steuerung Ihres Multi-Cloud-Ansatzes optimal: Neben den Angeboten von Azure, Alibaba und AWS bieten wir professionellen Support und optimale Konnektivität aus einer Hand.

    • Umfassende Bedarfsanalyse im Vorfeld
    • Individueller Roll-out-Plan basierend auf Ihren Anforderungen
    • Gemeinsame Optimierung der Infrastruktur und Services
    Jetzt informieren

    Vorteile von LDAP im Überblick

    Für den Einsatz von LDAP in Unternehmensnetzwerken gibt es viele Gründe. Einige der wichtigsten Gründe sind:
    • LDAP ist effizient und schlank. Daher können Sie damit auch in großen Verzeichnisbeständen sehr schnell nach Informationen suchen.
    • LDAP funktioniert auch auf älterer und wenig leistungsfähiger Hardware. So finden Sie im Internet beispielsweise Anleitungen, wie Sie einen Raspberry Pi als Authentifizierungs-Server für LDAP einrichten.
    • LDAP ist sehr verbreitet und daher auf vielen Plattformen und Geräten bereits vorinstalliert. Wo es noch nicht vorhanden ist, können Sie es nachträglich oft schnell einrichten, zum Beispiel als OpenLDAP unter Linux. Mit einfach zu handhabenden Werkzeugen wie der Freeware Ldap Admin oder grafischen Oberflächen wie dem Apache Directory Studio greifen Sie von überall her auf Ihre LDAP-Server zu.
    • LDAP-Verfahren funktionieren Sie mit sehr vielen unterschiedlichen Endgerätetypen, vom Softphone über die Industrieautomatisierung (beispielsweise ctrlX AUTOMATION von Bosch Rexroth) bis hin zum NAS-Server.
    • Mit LDAP können Sie viele Abfragen auf Ihren Systemen automatisieren und Rechtevergaben sinnvoll bündeln. Ihre Mitarbeiter:innen brauchen somit nur ein Passwort für zahlreiche Anwendungen und Freigaben ("Single-Sign-On"). Das wiederum verringert die Anzahl der verwendeten und neu anzulegenden Passwörter, was auch die Gefahren von Hackingangriffen per Credential-Stuffing reduziert.
    • LDAP hat von X.500 das offene, objektorientierte Datenmodell übernommen. Somit können Sie sehr flexibel ganz unterschiedliche Verzeichnisstrukturen mittels LDAP verwalten.
    Arbeiten am Tablet im Gegenlicht

    Vodafone Cloud-Backup für Microsoft 365

    Als Cloud-Native-Lösung sichert das Vodafone Cloud-Backup für Microsoft 365 zuverlässig Ihre Office-Daten vor alltäglichen Risiken. Denn jeder Datenverlust kostet Sie wertvolle Zeit und somit Geld. Ihre Vorteile im Überblick:

    • Backup für alle Microsoft 365-Anwendungen
    • Einfache Suche & schnelle Wiederherstellung
    • Compliance-konform und sicher

    Herausforderungen von LDAP

    Wie jedes Protokoll und jeder Dienst in der Informationstechnik bietet auch LDAP grundsätzlich Angriffspunkte für Hackingattacken. Jede Sicherheitsarchitektur ist immer nur so gut wie das schwächste Glied in der Kette.
    Beim Einsatz von LDAP sollten Sie insbesondere auf eine zeitgemäße Verschlüsselung der Übertragung zwischen Client und Server achten, beispielsweise per LDAPS. Außerdem sollten Sie Abfragen von Clients an LDAP-Server gegen LDAP-Injections schützen. LDAP-Injections funktionieren ähnlich wie die bekannteren SQL-Injections. Hierbei infiltrieren Angreifer:innen die Eingabefelder in Webformularen mit gefährlichem Schadcode, der dann auf dem LDAP-Server ausgeführt wird und dort Nutzungsrechte manipuliert oder unautorisierten Zugriff auf geschützte Daten ermöglicht.
    LDAP ist als Protokoll deutlich schlanker als das viel größere DAP, von dem es abgeleitet ist. Es funktioniert auf fast jeder IT-Struktur und arbeitet dabei mit beliebigen Verzeichnissystemen zusammen. Gerade durch diese offene Auslegung können Sie LDAP theoretisch auch in sehr unsicheren Umgebungen betreiben, ohne dass LDAP dies erkennt und sie darauf hinweist. Sie sollten also genau wissen, wo Sie LDAP einsetzen.
    Ihre LDAP-Server wie überhaupt Ihre gesamten IT-Strukturen sollten Sie außerdem jederzeit gegen Angriffe von innen und außen schützen. Dazu dienen unter anderem eine effiziente und aktuelle Firewall sowie regelmäßige Pentests Ihrer gesamten Firmen-IT.

    Die Zukunft von LDAP

    Expert:innen schätzen, dass LDAP auch weiterhin in vielen Netzwerken zum Einsatz kommen wird. Da Digitalisierung und die Vernetzung sehr unterschiedlicher Systeme und Hardwareplattformen beständig zunehmen, könnte sich LDAP als agnostisches Protokoll sogar noch mehr verbreiten.
    Entscheidend hierfür ist auch die erfolgreiche Integration von LDAP in Cloudservices und in aktuelle Zero-Trust-Strukturen. Letztere sollen beispielsweise in Firmennetzen Angriffe per Malware oder Ransomware von innen heraus verhindern.

    Die Alternativen zu LDAP

    Als schnelles und schlankes Abfrageprotokoll für Verzeichnisse ist LDAP äußerst leistungsfähig, was auch seine große Beliebtheit in der IT-Welt erklärt. Für die Authentifizierung von Benutzer:innen in Netzwerkumgebungen gibt es hingegen zahlreiche Alternativen, von denen einige hier bereits genannt wurden. So können Sie statt LDAP auch das größere und komplexere DAP verwenden, das speziell für X.500-Server entwickelt wurde. Andere Systeme verzichten ganz auf zentrale Datenbanken und nutzen verteilte Authentifizierungsverfahren wie die auch als Blockchain-Technologie bekannte Distributed Ledger Technologie (DLT).
    Zunehmend Verbreitung findet auch die Authentifizierung über sogenannte Access-Token wie etwa das JSON-Web-Token. Ein Vorteil der Token-Technologie ist, dass sie auch in zustandslosen Sessions funktioniert, bei denen die Beteiligten nicht erst eine sichere Verbindung untereinander einrichten müssen. Damit ist die Token-Technologie prädestiniert für den sicheren Datenaustausch im Web, kommt aber auch in Cloudumgebungen oder in der Standortvernetzung per SD-WAN zum Einsatz.

    Das Wichtigste zu LDAP in Kürze

    • LDAP ist ein weit verbreitetes Protokoll, um Informationen aus verteilten Verzeichnissen abzurufen oder Inhalte dieser Verzeichnisse zu bearbeiten.
    • Bevorzugtes Einsatzgebiet von LDAP ist die Verwaltung von Identitäten und Zugriffsrechten (Identity and Access Management). Grundsätzlich kann es aber auch jede andere Form von Verzeichnissen verwalten.
    • LDAP ist systemunabhängig und objektorientiert und unterstützt dadurch auch sehr komplexe, benutzerdefinierte Verzeichnisstrukturen.
    • LDAP funktioniert abfragebasiert als Client-Server-Struktur.
    • In der Authentifizierung konkurriert LDAP mit anderen Verfahren, beispielsweise der Blockchain-Technologie oder Tokenlösungen speziell für zustandslose Sessions.
    Portrait von Dr. Lorenz SteinkeLorenz Steinke
    19.05.2023
      # Tags:SicherheitDigital
      Das könnte Sie auch interessieren:
      Security
      Digitale Darstellung eines trojanischen Pferds vor einer dreidimensionalen Unicode-Darstellung als Symbol für einen Trojaner.

      Was ist ein Trojaner? Definition & Funktionsweise

      Der Trick stammt vom berühmten „trojanischen Pferd“ aus der griechischen Mythologie und ist längst zum geflügelten Wort geworden: Ein Trojaner schleicht sich meist unter dem Deckmantel einer nützlichen Anwendung in ein geschlossenes IT-System ein und greift es von innen heraus an. Für Unternehmen stellen Trojaner eine enorme Gefahr dar: Vom Diebstahl über die Systemübernahme bis hin zur Zerstörung kompletter Datenbestände ist dabei erheblicher Schaden möglich. Anwender:innen bekommen meist nichts von einem Trojaner-Angriff mit – bis es zu spät ist. Selbst wenn Sie dann den Trojaner nach der Entdeckung vom Rechner löschen, können die durch ihn installierten Schadprogramme oft weiterhin unbemerkt ihren Aufgaben nachgehen. Doch im Gegensatz zur Bevölkerung der antiken Stadt Troja sind Sie dem Angreifer nicht schutzlos ausgeliefert: In diesem Artikel erfahren Sie, welche Arten von Trojanern es gibt, wie diese vorgehen und wie Sie Ihr Unternehmen gegen die Schädlinge schützen können.

      Weiterlesen
      Telefon

      Digitalisierungs-Beratung

      Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

      0800 505 4512

      Hilfe und Service

      Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

      0800 172 1234
      Online
      Vor Ort