LDAP

LDAP Authentifizierung

LDAP ist die Abkürzung für das Lightweight Directory Access Protocol. Wie der Name sagt, unterstützt dieses Protokoll einen Verzeichnisdienst (Directory).

Anwendungen müssen heute oft nicht nur auf Ressourcen im eigenen Local Area Network (LAN) oder im Intranet einer Institution zugreifen, sondern auch auf Ressourcen irgendwo im weiteren Unternehmensnetzwerk, bei Projektpartnern oder im Internet. 

Das wilde Wachstum der letzten Jahre hat dazu geführt, dass es in den meisten Netzen verschiedene, spezialisierte Verzeichnisse mit teilweise redundanten Informationen gibt, die oft nur schwer gemeinsam genutzt werden können. Irgendwann ist ein Irrgarten aus Import- und Exportskripten entstanden, der praktisch nicht mehr wartbar ist.

Gleichzeitig wächst der Wunsch nach zentraler Datenhaltung für neue Applikationen, die man andererseits vor nicht autorisiertem Zugriff schützen will.

Die Lösung: Verzeichnisdienste

Das Wort Verzeichnis verwirrt in diesem Zusammenhang viele Leute, weil ihnen nicht bewusst ist, dass die meisten Netzwerke Verzeichnisse benutzen, oder weil sie denken, LDAP soll jetzt das einzige Verzeichnis im Netzwerk werden.

Tatsächlich sind aber Verzeichnisse Bestandteil des täglichen Lebens, besonders in der IT-Welt. Uns allen ist das Konzept eines Telefonbuchs vertraut, im Zusammenhang mit Computern wird dann aber statt des korrekteren Begriffs Verzeichnis der Terminus Datenbank benutzt. Dabei gibt es viele Verzeichnisdienste, die im IT-Bereich alltäglich sind: DNS, NIS, Whois, LDAP, X.500, NDS, Finger, ...

LDAP ist seit einigen Jahren ein heißes Thema für Systemadministratoren. LDAP stellt einen Verzeichnisdienst zur Verfügung, der zur Speicherung und zum Wiederabruf von Informationen über einzelne Personen (z.B. Mitarbeiter) einer Organisation genutzt werden kann. Die Bandbreite der Informationen, die auf diese Weise verfügbar gemacht werden können, ist recht groß: traditionelle Telefon- oder andere institutionelle Verzeichnisse (Lage von Büros, Telefonnummern usw.), Daten von Unix-Benutzer-Accounts, persönlichere Daten, wie private Telefonnummern und Fotografien, zusammen mit weiteren spezifischen Daten. 

OpenERP LDAP Modul

OpenERP verfügt über ein LDAP Modul. Dieses Modul ermöglicht es Benutzern, sich mit ihrem LDAP-Benutzernamen und Passwort anzumelden und es wird automatisch ein OpenERP Nutzer für sie on the fly angelegt.

Nach der Installation dieses Moduls müssen die LDAP-Parameter in der Registerkarte Konfiguration der Gesellschaft konfiguriert werden. Verschiedene Unternehmen können unterschiedliche LDAP-Server haben, solange sie eindeutige Benutzernamen verwalten.

Anonyme LDAP-Anbindung wird ebenfalls unterstützt (für LDAP-Server, die es erlauben), indem man einfach die LDAP-Benutzer und das  Passwort in der LDAP-Konfiguration leer läßt. Dies erlaubt keine anonyme Authentifizierung für Benutzer, sondern es ist nur für das Master-LDAP-Konto gedacht, das verwendet wird, um zu überprüfen, ob ein Benutzer vorhanden ist, bevor er authentifiziert wird.

Sicherheits-Überlegungen:

Die User LDAP-Passwörter werden niemals in der OpenERP Datenbank gespeichert. Es wird der LDAP-Server abgefragt, wenn ein Benutzer authentifiziert werden muss. Es erfolgt keine Vervielfältigung des Passwortes und Kennwörter werden nur an einer Stelle verwaltet.

Es ist auch möglich, lokale OpenERP Benutzer in der Datenbank zusammen mit LDAP-authentifizierten Benutzern zu verwalten.