Authn.tech
Startseite
  • SAML 2.0
  • OAuth 2.0
  • OIDC
  • WebAuthn / Passkey
  • MFA / TOTP
  • LDAP
  • Alle Tools
  • JWT dekodieren
  • JWT signieren
  • JWK erzeugen
  • JWK → PEM
  • PEM → JWK
  • PKCE erzeugen
  • OIDC Discovery
  • TOTP
  • WebAuthn
  • SAML-Codec
  • SAML Metadata
  • SAML Response
  • X.509-Zertifikat
  • PEM prüfen
  • Base64URL
  • LDAP-Filter
  • Übersicht & Rollen
  • OIDC Mock
  • SAML Mock
  • Mail-Server
  • LDAP-Verzeichnis
  • OIDC-Login-Demo
  • SAML-Login-Demo
  • 简体中文
  • English
  • Deutsch
GitHub
Startseite
  • SAML 2.0
  • OAuth 2.0
  • OIDC
  • WebAuthn / Passkey
  • MFA / TOTP
  • LDAP
  • Alle Tools
  • JWT dekodieren
  • JWT signieren
  • JWK erzeugen
  • JWK → PEM
  • PEM → JWK
  • PKCE erzeugen
  • OIDC Discovery
  • TOTP
  • WebAuthn
  • SAML-Codec
  • SAML Metadata
  • SAML Response
  • X.509-Zertifikat
  • PEM prüfen
  • Base64URL
  • LDAP-Filter
  • Übersicht & Rollen
  • OIDC Mock
  • SAML Mock
  • Mail-Server
  • LDAP-Verzeichnis
  • OIDC-Login-Demo
  • SAML-Login-Demo
  • 简体中文
  • English
  • Deutsch
GitHub
  • LDAP

    • LDAP-Übersicht
    • Kernkonzepte
    • Typische Workflows
    • Parameter und Syntax-Referenz

LDAP-Übersicht

LDAP(Lightweight Directory Access Protocol, Leichtgewichtiges Verzeichniszugriffsprotokoll) ist ein Protokoll für den Zugriff und die Verwaltung von Verzeichnisdiensten, definiert in der RFC 4510–4519-Serie. Es wird häufig als Identitätsdatenquelle im Unternehmen eingesetzt: Benutzer, Gruppen, Organisationsstrukturen, Geräte usw. werden als hierarchische „Einträge" im Verzeichnis gespeichert, und Anwendungen nutzen LDAP zur Benutzerabfrage, zur Kennwortvalidierung (bind) und zur Überprüfung der Gruppenmitgliedschaft.

Verzeichnis ist keine Datenbank

Ein LDAP-Verzeichnis ist ein Baum (DIT, Directory Information Tree), der für lesehäufige, schreibseltene und hierarchische Szenarien optimiert ist:

  • Daten sind hierarchisch organisiert (wie dc=com → dc=example → ou=people → uid=alice), nicht in relationalen Tabellen.
  • Lese- und Suchvorgänge sind sehr schnell, Schreibvorgänge und Transaktionsfähigkeit sind schwach (kein Ersatz für relationale Datenbanken).
  • Betonung auf standardisiertem Schema(objectClass und Attributtypen) sowie Interoperabilität zwischen Anbietern.

Typische Implementierungen: OpenLDAP, Microsoft Active Directory (AD), 389 Directory Server, Apache DS und Cloud-Verzeichnisdienste.

Position im Authentifizierungssystem

  • Authentifizierung (bind): Die Anwendung sendet den von Benutzer eingegebenen DN + Kennwort an das Verzeichnis für einen bind. Ein erfolgreicher bind beweist die Richtigkeit des Kennworts – dies ist die traditionellste Form des „LDAP-Logins".
  • Attribute/Autorisierungsquelle: Auch wenn SAML / OIDC für das Frontend-Login verwendet wird, dient LDAP/AD im Hintergrund des IdP häufig als verbindliche Datenquelle für Benutzer und Gruppen, Attribute werden nach dem Login aus dem Verzeichnis abgerufen und die Gruppenmitgliedschaft wird für die Autorisierung überprüft.
  • Beziehung zu SAML / OIDC: Letztere sind „Verbund-Login"-Protokolle; LDAP ist ein „Verzeichniszugriff"-Protokoll. Eine häufige Unternehmenskombination ist: Keycloak/ADFS und andere IdP verbunden mit AD/LDAP, die dann extern SAML/OIDC bereitstellen.

Von wo aus anfangen

  • Möchten Sie DN, Einträge, objectClass, Suchbereich verstehen? Siehe Kernkonzepte.
  • Möchten Sie sehen, wie ein bind + search genau funktioniert? Siehe Typische Workflows.
  • Benötigen Sie Nachschlagwerk für Filtersyntax, häufige Attribute und Ergebniscodes? Siehe Referenz.
  • Möchten Sie direkt einen Suchfilter zusammenstellen? Verwenden Sie den LDAP-Filtergenerator und testen Sie gegen das Mock LDAP-Beispielverzeichnis.
Zuletzt aktualisiert: 06.07.26, 08:43
Mitwirkende: linux, Claude Opus 4.8
Next
Kernkonzepte