Um sich einem LDAP-Server auf der Kommandozeile zu nähern, benötigt man zunächst den Base-DN, der sich (obwohl nicht standardisiert) bei recht vielen LDAP-Servern mittels
$ ldapsearch -h<host>-b "" -s base "objectclass=*"
ermitteln lässt. Im Ergebnis trägt das Attribut namingContexts die verfügbaren DN, die für ein weiteres Kennenlernen des LDAP-Baums nötig sind.
$ ldapsearch -h<host>-b "<wert von namingContexts>" "objectclass=*"
gibt einem anschließend alles in die Hand, was man für das erste Kennenlernen braucht. Mancher mag auf die Idee kommen, die anonyme Verbindung gegen den LDAP-Server zu verbieten, um diesen Zugriff von außen zu unterbinden. Die daraus entstehenden Probleme wurden oben beschrieben.
Ein Firewall, der unter anderem auch den Port 389 vom Internet fern hält, wäre aber auf jeden Fall angebracht. Zusätzlich sollte man den LDAP-Server mit passenden Access Control Lists so sichern, dass anonyme Benutzer nur auf die zur weiteren Anmeldung notwendigen Informationen zugreifen können.
Die Konzepte, die hinter der Rechteverwaltung mit Access Control Lists liegen, werden leider von der LDAP-Spezifikation nicht genormt, sodass bei einem Umzug auf den LDAP-Server eines anderen Herstellers mit großer Wahrscheinlichkeit an dieser Stelle zum einen ein neues Konzept als auch eine neue Notation der Rechtevergabe erlernt werden muss.
Dieser Text ist der Zeitschriften-Ausgabe 02/2001 von iX entnommen.
iOS, Android, Windows Phone 7 und HTML5 - das neue Sonderheft von heise Developer führt Einsteiger und Profis in die Programmierung mobiler Geräte ein.
