Về lý thuyết, bất cứ ứng dụng nào tơng thích với LDAP thì phải có khả năng truy cập đợc các th mục theo chuẩn LDAP. Một th mục tuân theo chuẩn LDAP sẽ đóng vai trò chủ trong khi ứng dụng sẽ có chức năng nh một LDAP khách.
Th mục LDAP đợc tổ chức thành các lối vào (directory entry), các lối vào này đợc bố trí theo cấu trúc cây phân cấp.
Ví dụ về cây th mục LDAP.
Mỗi thực thể muốn lu trữ có một điểm vào và có các thuộc tính, các thuộc tính lu các thông tin về thực thể đó. Mỗi thuộc tính đều có tên, loại, và một hay nhiều các giá trị kết hợp. Các loại là những xâu đặc trng, nh "cn" đặc trng cho tên thông thờng, hoặc "mail" đặc trng cho địa chỉ email...
Khi muốn lu giữ các thuộc tính khác nhau, các điểm vào có một loại kết hợp với chúng. Một loại điểm vào đợc hiểu nh một lớp đối tợng. Một lớp đối tợng của điểm vào định nghĩa các thuộc tính mà nó sẽ có.
Những thuộc tính đợc lu trữ quy định loại đối tợng đợc coi nh một lợc đồ của đối tợng. Lợc đồ bắt buộc phải tuân theo lớp đối tợng của điểm vào, nhng một trong các phần mở rộng chính trong LDAP 3 chuẩn bị cho khả năng mở rộng của lợc đồ. LDAP-3 đề xuất các định nghĩa một lớp đối tợng đặc biệt gọi là đối tợng có thể mở rộng (extensibleObject). Nếu thuộc tính lớp đối t- ợng của điểm vào chứa giá trị đối tợng có thể mở rộng, các thuộc tính đa ra sau này đợc chấp nhận. Nói cách khác lợc đồ không tuân theo quy tắc.
LDAP3 cũng cung cấp một cách thức cho các client nhận ra các lợc đồ, đây là điểm quan trọng và rất cần thiết, hạn chế chính trong LDAP1 và LDAP2 là client đã phải biết lợc đồ là gì.
LDAP hỗ trợ việc tổ chức phân cấp các thông tin trong th mục. Nó dựa trên các khái niệm của X.500, các điểm vào LDAP đợc đặt tên dựa theo tên đặc biệt của chúng (Distinguished Named: DN), thông tin mô tả lợc đồ đặt tên của LDAP đợc trình bầy trong RFC 1779.
LDAP client sử dụng giao thức TCP/IP để truyền thông với LDAP server. Thông thờng LDAP server nghe ngóng thông tin từ cổng 389 do đó các client cần phải hớng các yêu cầu tới cổng đó. Truyền thông giữa LDAP client và server là kiểu session-oriented, client bắt đầu phiên làm việc bằng cách gửi một yêu cầu kết nối để thiết lập phiên làm việc.
Khi việc thiết lập phiên làm việc đợc thực hiện, các th mục LDAP yêu cầu sự xác thực của client. LDAP1 và LDAP2 cung cấp sự xác thực dựa trên một password đơn giản, nhng password đợc gửi đi dới dạng plain text. LDAP3 sử dụng phơng pháp an toàn tầng vận chuyển (TLS : Transport Layer Security) dựa trên SSL 3.
LDAP định nghĩa nhiều thao tác mà một LDAP server có thể làm cho client. Chúng bao gồm kết nối (bind), cởi bỏ (unbind), tìm kiếm điểm vào, thay đổi, thêm, xoá, so sánh, từ bỏ yêu cầu trong khi chờ đợi....
Sự tìm kiếm thực hiện qua các tiêu chuẩn tìm kiếm (bộ lọc tìm kiếm -search filter). Một bộ lọc tìm kiếm là khả năng xác định cái đang tìm kiếm là gì. Khả năng đặt các bộ lọc là ph ơng tiện trợ giúp rất mạnh trong việc tìm kiếm th mục, khả năng lọc của LDAP rất linh hoạt, có thể yêu cầu chính xác hay gần đúng cho các tiêu chuẩn lọc, cũng nh dùng các phép so sánh, logic. Khi đa ra một yêu cầu tìm kiếm, client phải cung cấp một đối tợng cơ sở (baseObject), là DN của điểm vào, làm mốc cho quá trình tìm kiếm bắt đầu.
Vì đối tợng cơ sở nh là một điểm xuất phát, giới hạn độ dài tìm kiếm đợc định nghĩa trong biến phạm vi. Phạm vi có thể có một trong 3 giá trị: Thứ nhất là tìm kiếm cây con có nghĩa là mọi thứ ở phía dới của đối tợng cơ sở sẽ đợc tìm (nói cách khác đối tợng cơ sở sẽ là gốc của thao tác tìm kiếm.)
Giá trị có thể thứ 2 của phạm vi là tìm kiếm một cấp(one-level). Nó sẽ tìm kiếm tất cả các điểm vào của cái mà đối tợng cơ bản đã mô tả là gốc trực tiếp. VD: Nếu có một điểm vào cho phòng kế toán của công ty XYZ, bạn có thể tìm kiếm tất cả các điểm vào là cấp dới trực tiếp của điểm vào phòng kế toán bằng cách xác lập giá trị baseObject là “OU=Accounting, O=XYZ, C=US” và xác lập phạm vi là cấp 1 (“OU” thể hiện là loại đối tợng Đơn vị của tổ chức). Chú ý
rằng nếu muốn tìm ra mọi điểm vào đơn mà ở phía dới OU “accounting” cần phải dùng tìm kiếm trong phạm vi cây con chứ không phải là cấp 1.
Tuỳ chọn thứ 3 của phạm vi là phạm vi của đối tợng cơ sở, cái mà chỉ trả về một điểm vào của bản thân đối tợng cơ sở đó. Nó đợc sử dụng khi muốn tìm ra một thuộc tính nào đó (hoặc một tập hợp các thuộc tính) cho một điểm vào cụ thể, hoặc khi muốn biết chính xác điểm vào.
Khi LDAP server nhận yêu cầu từ client, nó sẽ thực hiện yêu cầu đó nếu có thể, và trả về một thông điệp phúc đáp. Thông điệp phúc đáp có thể là một mã lỗi (trong trờng hợp yêu cầu không thể thực hiện đợc) hoặc kết quả của hoạt động đã đợc yêu cầu bởi client.
Trong LDAP1 và LDAP2, không có sự tham chiếu để LDAP server trả về các tham chiếu cho client. LDAP3 cung cấp phơng pháp cho LDAP server để lấy yêu cầu ban đầu trả về một tham chiếu đến LDAP server khác.
