← Tüm terimler
LDAP (Hafif Dizin Erişim Protokolü)

LDAP nedir?

LDAP, uygulamaların dizin hizmetlerini sorgulamak ve kimlik bilgilerini doğrulamak için kullandığı standart protokoldür; sayısız kurumsal sistemin kimlik doğrulamasını taşır.

Son güncelleme: 14 Temmuz 2026

LDAP nasıl çalışır

LDAP, bir dizin ağacındaki kayıtları okumak ve yazmak için kullanılan istemci-sunucu protokolüdür. Her kaydın, hiyerarşideki yerini kodlayan bir ayırt edici adı (DN) vardır — örneğin uid=jsmith,ou=people,dc=example,dc=com — ve şemayla tanımlanan öznitelikleri bulunur. İstemciler az sayıda işlem çalıştırır: doğrulama için bind, ([email protected]) gibi filtrelerle arama ve kayıt ekleme, değiştirme veya silme.

LDAP ile kimlik doğrulama genellikle iki biçimden birini alır. Basit bind'da uygulama, kullanıcının DN'ini ve parolasını gönderir; dizin bunları doğrular. Önce-ara-sonra-bind deseninde ise uygulama, bir servis hesabıyla kullanıcının kaydını kullanıcı adı veya e-postayla arar, ardından bulunan DN ile verilen parolayı kullanarak bind yapar. Trafik 389 numaralı bağlantı noktasında, LDAPS için 636'da akar; düz bind parolayı açık metin olarak ilettiğinden üretim ortamları her zaman TLS ile şifrelenmelidir.

LDAP neden önemli

LDAP, kurumsal altyapının ortak dilidir. PAM ve SSSD kullanan Linux sunucuları, ağ cihazları, Jenkins ve diğer CI araçları, VPN yoğunlaştırıcıları, veritabanları ve binlerce iş uygulaması, kullanıcıları bir dizinle LDAP konuşarak doğrular. SAML ve OpenID Connect'ten çok daha eskidir ve ona bağımlı yazılımın büyük bölümü asla yeniden yazılmayacaktır.

Bu yaygınlık hem gücü hem riskidir. LDAP tabanlı kimlik doğrulama çoğunlukla yalnızca bir parola kontrolüdür: MFA yoktur, cihaz veya risk sinyali yoktur, oltalamaya direnç yoktur. Şifrelenmemiş LDAP üzerinden erişilebilen dizinler, aramalar için kullanılan aşırı yetkili servis hesapları ve temizlenmemiş filtre girdisiyle yapılan enjeksiyon, tekrar eden bulgulardır. Modern her kimlik stratejisi, yalnızca LDAP konuşan sistemlerle ne yapılacağı sorusunu yanıtlamak zorundadır.

Uygulamada LDAP

Pragmatik yol, LDAP'ı gerektiği yerde tutup güven merkezini taşımaktır. Her yerde LDAPS'ı zorunlu kılın, arama servis hesaplarına mümkün olan en dar alt ağaçta salt okunur erişim verin ve hâlâ LDAP üzerinden doğrulama yapan sistemlerin envanterini çıkararak risk değerlendirmelerinde görünür olmalarını sağlayın.

Modernizasyon içinse bir LDAP ağ geçidi, eski sistemlerin bildikleri protokolü konuşmaya devam etmesine izin verirken kimlik doğrulama kararlarını perde arkasında MFA ve uyarlanabilir politikaya sahip merkezi bir kimlik platformuna taşır. Monosign, Linux PAM/SSSD sunucularının, Jenkins'in ve NAS cihazlarının istemci tarafında hiçbir değişiklik yapmadan platforma karşı kimlik doğrulamasına imkân veren böyle bir LDAP ağ geçidi içerir.

Sık sorulan sorular

LDAP ile Active Directory arasındaki fark nedir?
LDAP bir protokoldür; Active Directory bir üründür. AD, Microsoft'un dizin hizmetidir ve LDAP, Kerberos ve diğerleriyle birlikte konuştuğu protokollerden biridir. OpenLDAP ve Oracle Unified Directory gibi dizinler de LDAP'ı uygular; bu sayede protokole göre yazılmış uygulamalar bunların herhangi biriyle çalışabilir.
LDAP güvenli midir?
Protokol güvenli işletilebilir; ancak varsayılanları zayıftır. 389 numaralı bağlantı noktasındaki düz LDAP, bind parolalarını şifresiz gönderir; bu yüzden üretimde LDAPS veya StartTLS zorunludur. Daha büyük kısıt mimariden gelir: LDAP kimlik doğrulaması doğası gereği tek faktörlüdür; hassas erişimlerin önüne MFA ve risk politikaları ekleyen bir platform konmalıdır.
Yeni uygulamalar kimlik doğrulama için LDAP kullanmalı mı?
Genellikle hayır. Yeni uygulamalar bir kimlik sağlayıcıya OpenID Connect veya SAML üzerinden bağlanmalıdır; bu, uygulama parolalara hiç dokunmadan SSO, MFA ve merkezi politika sağlar. LDAP, yalnızca onu destekleyen altyapılar için doğru yanıt olmayı sürdürür; ideal olan, aynı merkezi platforma dayanan bir ağ geçidi üzerinden kullanılmasıdır.