По мере распространения протоколов на базе XML каталоги LDAP могут оказаться ненужным
Том Хаус, отец LDAP: «В 1997 году рынку был крайне необходим стандартный клиентский протокол»

Весной 1997 года студент Мичиганского университета Том Хаус шел по переполненному залу, где собрались производители программного обеспечения, чтобы детализировать стандартный протокол доступа к каталогам, который он помогал создавать в рамках своей работы на степень магистра.

К той осени протокол вышел за рамки сугубо научного обсуждения, и каждый производитель службы каталогов стремился использовать Lightweight Directory Access Protocol (LDAP), стандарт для поддержки запросов и обновления каталога. Это стало реакцией на проблемы громоздкого каталога Directory Access Protocol в X.500.

Сейчас LDAP версии 3 (LDAPv3) — основа для централизованного корпоративного каталога, доступного для любого приложения.

Каждый производитель каталогов поддерживает LDAP, и существуют тысячи продуктов, соответствующих LDAP, которые действуют в качестве клиентов для этих каталогов. Протокол становится стандартом, используемым в крупных компаниях для доступа к имеющейся в каталоге информации о пользователях и ресурсах.

«Та встреча, безусловно, была переломной, — заметил Хаус, ныне директор по технологиям компании Loudcloud. — Рынку был крайне необходим стандартный клиентский протокол».

Но судьба LDAP, по существу, весьма туманна. Разработчики создавали эту технологию, поскольку была необходимость в стандартном способе, который могли использовать клиенты для доступа к каталогу, и LDAP нашел свое место в корпоративных сетях.

«LDAP предложил самое общее и простое решение для доступа к каталогу», — считает Джон Принс, ведущий менеджер по коммуникационным технологиям компании Conoco. Компания использует этот протокол для того, чтобы предоставить доступ к каталогу другим приложениям.

Но Принс, как и другие, ждет, что LDAP позволит стандартизировать интеграцию каталогов.

В LDAPv3 отсутствует широко принятый контроль доступа и базовые расширения интеграции, такие как тиражирование, которые необходимы для интеграции различных каталогов и создания распределенной службы каталогов. Сейчас в компании эти вопросы решаются за счет метакаталогов, но проблемы в основном обрушились на LDAP за межсетевым экраном. Эксперты считают, что в их решении помогут новые технологии, такие как XML.

Обратно к чертежной доске

Internet Engineering Task Force, организация по стандартам, занимающаяся LDAP, работает над решением давних проблем этого протокола.

В марте IETF создала исполнительный комитет по анализу 65 предложений, касающихся расширений LDAP. Кроме того, IETF приостановила деятельность рабочей группы по расширениям LDAP и передала ее работу над моделью контроля доступа группе, занимающейся LDUP — протоколом LDAP Duplication/Replication/Update Protocol. Этот протокол должен предоставить стандартный метод тиражирования между серверами, а также между сервером и клиентом. Защищенный контроль доступа особенно важен там, где каталоги напрямую взаимодействуют друг с другом и обмениваются информацией.

«Тиражирование и контроль доступа — два важных компонента, но их завершение потребует времени, — подчеркнул Курт Зейленга, сопредседатель рабочей группы LDAP Revision, которая дорабатывает спецификацию LDAPv3 с тем, чтобы разрешить все неясности. — Но LDAP живет и здравствует, а кроме того, потенциал его пока не реализован, и мы сейчас начинаем работать в очень интересных областях».

Он сказал, что продолжающаяся работа в IETF над протоколами аутентификации и защиты, в том числе Simple Authentication and Security Layer и Start Transport Layer Security, принесет LDAP большую пользу.

Однако некоторые аналитики считают LDAP устаревшим, в доказательство приводя тот факт, что группа LDUP не смогла подготовить стандарт в течение последних трех лет, а XML способен обеспечить функциональность, которой не хватает LDAP.

«Очевидно, что XML становится способом для обмена данными в будущем, а LDAP может оказаться вторичным или просто ненужным», — заметил Дейв Кирнс, независимый консультант.

Теперь LDAP сосуществует с Directory Services Markup Language (DSML), XML-клоном LDAPv3. У производителя каталогов — компании iPlanet E-Commerce Solutions — уже есть XMLDAP Gateway, который позволяет разработчикам создавать приложения, использующие DMSL для выполнения операций LDAP.

Более того, новые стандарты XML, такие как Security Assertion Markup Language (SAML) и Extensible Access Control Markup Language, могут предоставить функции управления доступом, дополняющие LDAP и DSML, и избавить каталоги от необходимости тиражировать данные друг другу прежде, чем они смогут взаимодействовать.

«LDAP не утратил своего потенциала, но он стабилизировался и очень долго остается в этом состоянии, — считает Дениэл Блум, аналитик компании Burton Group. — Мы не считаем, что работа над контролем доступа получит широкое одобрение, поскольку слишком многие производители имеют свои собственные механизмы».

Тем не менее на целый ряд вопросов ответы сможет дать XML. DSML 2.0 близок по сути к другим решениям, связанным с XML.

«Мы с одобрением относимся к DSML. Он позволяет использовать LDAP в протоколе и кодирует XML, который существует повсюду, — заметил Винстон Бампус, сопредседатель рабочей группы DSML и председатель Directory Interoperability Forum. — Небольшим мобильным устройствам не понадобится LDAP: они могут использовать для связи XML и SOAP».

Протоколы XML, многие из которых напрямую не связаны с операциями с каталогами, могут действовать на уровень выше, чем каталог, к примеру связывать серверы управления доступом. В этом случае эти серверы используют XML для обмена предварительно утвержденными данными для аутентификации и предоставления прав доступа, полученными из каталогов, которые они связывают с помощью LDAP. Каталоги, поддерживающие LDAP, никогда не взаимодействуют друг с другом и не требуют совместимых элементов управления доступом, тиражирования или схемы, которые описывают структуру каталога.

Речь идет в первую очередь не об интеграции на уровне каталога, а об интегрирующем программном обеспечении, которое использует каталог. Новые протоколы XML, такие как SAML, помогают, по мнению эксперта, реализовывать такую программную интеграцию.

«SAML может констатировать, что аутентификация пользователя проведена, и добавить привилегии. Предполагается, что получатель может использовать SAML, не зная схемы или протоколов, применяемых в каталоге отправителя», — заметил Джеми Льюис, президент Burton Group.

Для работы LDAP такие знания необходимы. Но Льюис предупреждает, что SAML, в свою очередь, оставляет открытыми некоторые вопросы, связанные со схемой и синтаксисом, и при этом необходимо использовать систему контроля личности пользователя, такую как Microsoft Passport или Liberty Alliance Project.

Поделитесь материалом с коллегами и друзьями