next up previous contents
Next: lpr - Line Printer Up: Protokollbeschreibungen und Portlisten für Previous: L2TP - Layer 2   Contents

LDAP - Lightweight Directory Access Protocol

LDAP wird für den Zugriff auf Verzeichnisdienste verwendet. Anwendungsbeispiele dafür sind Benutzerauthentifizierung, Adressbücher, öffentliche Schlüssel etc. LDAP ist ein einfacher TCP-Dienst, der gut von Paketfiltern kontrolliert werden kann. Neben LDAP, das TCP-Port 389 verwendet, existiert noch eine verschlüsselte Form mit dem Namen LDAPS. LDAPS verwendet TCP-Port 636. LDAPS verwendet TLS zur Verschlüsselung und Authentifizierung. Clients verwenden ein beliebiges Port oberhalb 1023.

Ab Windows 2000 verwendet Active-Directory auch LDAP, jedoch verwendet es TCP-Port 3268 bzw. TCP-Port 3269 für den SSL-gesicherten Dienst.

Beim Einsatz von LDAP-Proxies ist darauf zu achten, dass viele Produkte mit dieser Bezeichnung nicht Proxies im herkömmlichen Sinn sind, sondern eigentlich Gateways für die Umwandlung in andere Verzeichnisdienste darstellen. LDAP ist aber ein einfaches Protokoll, das leicht zusammen mit Proxies (z.Bsp. SOCKS) eingesetzt werden kann. NAT kann verwendet werden. Man muss berücksichtigen, dass LDAP-Server einen Client anweisen können, die Daten von einem anderen LDAP-Server zu holen. Solche Anweisungen können IP-Adressen enthalten. Bei NAT darf eine solche Umlenkung nicht auf einen unerreichbaren Server verweisen.

Beim Einsatz von LDAP für Zugriff aus dem Internet sollte man entweder einen eigenen LDAP-Server einsetzen, oder Zugriffe durch einen Proxy kontrollieren.

Richtung Proto- Port
Status
Anmerkung
Client Server koll Quelle Ziel
 
         
 
>   TCP 1024: 389
NEW, ESTABLISHED
LDAP-Anfrage, Client -> Server
  < TCP 389 1024:
ESTABLISHED
Antwort des LDAP-Servers
>   TCP 1024: 636
NEW, ESTABLISHED
LDAPS-Anfrage, Client -> Server
  < TCP 636 1024:
ESTABLISHED
Antwort des LDAPS-Servers
>   TCP 1024: 3268
NEW, ESTABLISHED
LDAP-Anfrage für Global Catalog des Active Directory
  < TCP 3268 1024:
ESTABLISHED
Antwort des Active Directory Servers
>   TCP 1024: 3269
NEW, ESTABLISHED
LDAPS-Angrage für Global Catalog des Active Directory
  < TCP 3269 1024:
ESTABLISHED
Antwort des Active Directory Servers


next up previous contents
Next: lpr - Line Printer Up: Protokollbeschreibungen und Portlisten für Previous: L2TP - Layer 2   Contents
Ernst Pisch 2003-05-17