El LDAP v3 (RFC 2251) est� dise�ado para corregir algunas de las limitaciones del LDAP v2 en las �reas de internacionalizaci�n, autentificaci�n, remisi�n, y despliegue. Tambi�n permite que se a�adan nuevas caracter�sticas la protocolo sin tener que cambiarlo. Esto se hace usando extensiones y controles.
�Internacionalizaci�n
La internacionalizaci�n se corrige mediante el conjunto de caracteres internacionales (ISO 10646) para representar elementos que son strings (como una DNs). La Version 3 tambi�n se diferencia de la versi�n 2 en que usa UTF-8 para codificar los strings.
�Autentificaci�n
El LDAP v2 soportaba tres tipos de autentificaciones: an�nima, simple (password de texto claro), y Kerberos v4.
El LDAP v3 usa el marco de trabajo de autentificaci�n "Simple Authentication and Security Layer (SASL)" (RFC 2222) para permitir utilizar diferentes mecanismos de autentificaci�n con el LDAP. SASL especifica un protocolo de desaf�o-respuesta en el que se intercambian datos entre el cliente y el servidor para prop�sitos de autentificaci�n.
Actualmente hay definidos varios mecanismos SASL: DIGEST-MD5, CRAM-MD5, Anonymous, External, S/Key, GSSAPI, y Kerberos v4. Un cliente LDAP v3 puede usar cualquiera de estos mecanismos SASL, suponiendo que el servidor LDAP v3 los soporte. Adem�s, se pueden usar nuevos mecanismos (todav�a-no-definidos) sin tener que cambiar el LDAP.
�Remisiones
Una remis�on (referral) es informaci�n que un servidor env�a de vuelta al cliente indicando que la informaci�n solicitada puede encontrarse en otra localizaci�n (posiblemente en otro servidor). En LDAP v2, se supon�a que los servidores manejaban la remisiones y no las devolv�an al cliente. Esto es porque manejar las remisiones puede ser muy complicado y por lo tanto resultar�a en clientes m�s-complicados. Como los servidores eran construidos y desplegados, las remisiones se encontraron �tiles, pero no muchos servidores soportan el manejo de remisiones en el lado del servidor. Por eso una forma de reparar el protocolo es permitir que se devuelvan las remisiones. Esto se hace situando la remisi�n dentro de un mensaje de error de una respuesta de error de "resultado parcial".
El LDAP v3 tiene soporte expl�cito para remisiones y permite a los servidores devolver remisiones directamente al cliente.
�Despliegue
Un protocolo com�n como el LDAP es �til para asegurar que todos los clientes y servidores del directorio "hablan el mismo lenguaje". Cuando muchas y diferentes aplicaciones clientes y servidores de directorios se despliegan en una red, tambi�n es �til para todas estas entidades hablar sobre los mismos objetos. Por ejemplo, si las aplicaciones App1 y App2 necesitan asociar datos con un usuario, tiene sentido que el directorio tenga una noci�n com�n de usuario para que �mbas aplicaciones puedan usarlo en vez de que cada una haga su propia definici�n.
Un esquema de directorio especifica, entre otras cosas, los tipos de objetos que el directorio puede contener y la obligatoriedad u opcionalidad de los atributos de cada uno de los tipos de objetos que puede tener. El LDAP v3 teine un esquema (RFC 2252 y RFC 2256) basado en el est�ndar X.500 para objetos comunes encontrados en la red, como pa�ses, localidades, organizaciones, usuarios/personas, grupos y dispositivos. Tambi�n define una forma para que una aplicaci�n cliente pueda acceder al esquema del servidor para poder encontrar los tipos de objetos y atributos que soporta un servidor particular.
El LDAP v3 adem�s define un conjunto de s�ntaxis de representaci�n de valores de atributos (RFC 2252).
�Extensiones
Adem�s del repertorio de operaciones predefinidas como "search" y "modify", el LDAP v3 define una operaci�n "extended". Esta operaci�n toma una petici�n como argumento y devuelve una respuesta. La respuesta contiene un identificador que indentifica la petici�n y los argumentos de la respuesta. La respuesta contiene el resultado de la petici�n realizada. La pareja de operaciones "extendidas" petici�n/respuesta es conocida como extensi�n. Por ejemplo, puede haber una extensi�n para Start TLS, que es una petici�n del cliente para que el servidor active el protocolo Start TLS.
Estas extensiones pueden ser est�ndars (definidas por la comunidad LDAP) o propietarias (definidas por un vendedor de directorio particular).
�Controles
Otra forma de a�adir nuevas caracter�siticas es usar un control. El LDAP v3 permite modificar el comportamiento de cualquier operaci�n a trav�s del uso de controles. Se puede enviar cualquier n�mero de controles junto una operaci�n, y se puede devolver cualquier n�mero de controles con su resultado. Por ejemplo, podemos env�ar un control Sort junto con una operaci�n "search" que le diga al servidor que ordene los resultados de acuerdo al atributo "name".
C�mo las extensiones, los controles pueden ser est�ndars o propietarios.
�Diferencias Adicionales
| Operaci�n/Caracter�stica | Descripci�n |
|---|---|
| bind | La operaci�n "bind" es opcional y puede enviarse varias veces durante una sesi�n. Si un cliente pide que una operaci�n se realice sin hacer una uni�n expl�cita, el cliente es tratado como "an�nimo". El cliente tambi�n puede enviar una operaci�n "bind" en el medio de una sesi�n para cambiar las credenciales del cliente (sin enviar primero una operaci�n "unbind"). |
| modify DN | La operaci�n "modify DN" nos permite renombrar una entrada a otra parte del espacio de nombres. (Es decir, no estamos restringidos al mismo contexto, como en el caso del LDAP v2). El cliente especifica la DN de la entrada, la nueva RDN, y la DN (opcional) del nuevo padre de la nueva RDN. Si no se especifica la DN opcional del nuevo padre, se usa la entrada del padre original. |
| filtro de b�squeda | El LDAP v3 define una representaci�n de filtro de b�squeda actualizado ( RFC 2254) que soporta el conjunto de caracteres ISO 10646, soporta correspondencias extensibles, y usa la codificaci�n UTF-8. |
| atributos operacionales | Los atributos operaciones los mantienen los servidores para prop�sitos administrativos. No son visibles para las aplicaciones cliente a menos que dichas aplicaciones los soliciten expl�citamente. Se usan para mantener informaci�n como sellos de fecha y subentradas de subesquemas (que es un puntero a la informaci�n de esquema sobre la entrada). El LDAP v3 define estos atributos operacionales y entradas de subesquema y permite a los clientes acceder a ellos. |
| URL LDAP | El LDAP v3 define un formato de URL LDAP (RFC 2255) para soportar extensiones. |
�LDAP v3 Comparado con el Est�ndard X.500
El LDAP v3 tiene muchas m�s caracter�sitcas que el LDAP v2 y por lo tanto se separa de uno de los objetivos originales del LDAP v2, tener clientes peque�os y sencillos. El LDAP v3 soporta un mayor subconjunto de caracter�sticas del X.500 que el LDAP v2.