LDAP: Uvod

Pozdrav prijatelji! Pokrećemo novu seriju članaka za koje se nadamo da će biti od pomoći. Odlučili smo ih napisati za one koji vole znati s čime rade i sami implementirati, bez ovisnosti o potpuno vlasničkom softveru, ili one koji su napola besplatni, a napola komercijalni.

Obavezna literatura je OpenLDAP Software 2.4 Administratorski vodič. Da, na engleskom, jer koristimo softver dizajniran i napisan na jeziku Shakespearea. Also Takođe toplo preporučujemo čitanje Ubuntu ServerGuide 12.04., koju dajemo na preuzimanje.

Postojeća dokumentacija je na engleskom jeziku. Nisam našao španjolski prijevod niti jednog od dva prethodno preporučena.

Sve napisano u ovom uvodu preuzeto je sa Wikipedije ili slobodno prevedeno na španski iz gore pomenutih dokumenata.

Vidjet ćemo:

Sažetak definicije

Sa Wikipedije:

LDAP je kratica za Lightweight Directory Access Protocol (na španskom Lightweight Directory Access Protocol) koji se odnosi na protokol na nivou aplikacije koji omogućava pristup uređenim i distribuiranim uslugama direktorija za traženje različitih informacija u mrežnom okruženju . LDAP se također smatra bazom podataka (iako se njegov sistem za pohranu može razlikovati) koja se može pitati.

Direktorij je skup objekata s atributima organiziranim na logičan i hijerarhijski način. Najčešći primjer je telefonski imenik koji se sastoji od niza imena (osoba ili organizacija) poredanih po abecedi, uz svako ime uz adresu i telefonski broj. Da bismo bolje razumjeli, to je knjiga ili fascikla u koju su upisana imena, telefonski brojevi i adrese ljudi i poredani su po abecedi.

Stablo LDAP direktorija ponekad odražava različite političke, geografske ili organizacijske granice, ovisno o odabranom modelu. Trenutne LDAP-ove implementacije imaju tendenciju da koriste imena sistema domena (DNS) za strukturiranje viših nivoa hijerarhije. Dok se pomičete prema direktorijumu, mogu se pojaviti unosi koji predstavljaju ljude, organizacijske jedinice, štampače, dokumente, grupe ljudi ili bilo što drugo što predstavlja zadani unos u stablu (ili više unosa).

Obično pohranjuje podatke za provjeru autentičnosti (korisnik i lozinka) i koristi se za provjeru autentičnosti, iako je moguće pohraniti i druge podatke (podaci o kontaktima korisnika, mjesto različitih mrežnih resursa, dozvole, certifikati itd.). Ukratko, LDAP je objedinjeni protokol pristupa skupu informacija na mreži.

Trenutna verzija je LDAPv3, a definirana je u RFC-ima RFC 2251 i RFC 2256 (osnovni LDAP dokument), RFC 2829 (metoda provjere autentičnosti za LDAP), RFC 2830 (proširenje za TLS) i RFC 3377 (tehnička specifikacija) .

Neke LDAP implementacije:

Aktivni direktorij: naziv je koji koristi Microsoft (od Windows 2000) kao centralizirano spremište informacija za jednu od svojih domena upravljanja. Usluga direktorija je strukturirano spremište informacija o različitim objektima sadržanim u Active Directoryu, u ovom slučaju to mogu biti pisači, korisnici, računari ... Koristi različite protokole (uglavnom, LDAP, DNS, DHCP, Kerberos...).

Pod ovim imenom zapravo postoji shema (definicija polja koja se mogu pregledati) LDAP verzija 3, koja omogućava integriranje drugih sistema koji podržavaju protokol. Ovaj LDAP pohranjuje informacije o korisnicima, mrežnim resursima, sigurnosnim politikama, konfiguraciji, dodjeli dozvola itd.

Novell Directory ServicesPoznat i kao eDirectory, to je implementacija Novell-a koja se koristi za upravljanje pristupom resursima na različitim serverima i računarima na mreži. U osnovi se sastoji od hijerarhijske i objektno orijentisane baze podataka koja predstavlja svaki server, računar, štampač, uslugu, ljude itd. Između kojih se stvaraju dozvole za kontrolu pristupa putem nasljeđivanja. Prednost ove implementacije je što se izvodi na više platformi, tako da se lako može prilagoditi okruženjima koja koriste više od jednog operativnog sistema.

Predvodnik je u pogledu struktura direktorija, jer je predstavljen 1990. godine s verzijom Novell Netware 4.0. Iako je popularnost Microsoft AD narasla, još uvijek se ne može mjeriti s pouzdanošću i kvalitetom eDirectory-a i njegovim mogućnostima na više platformi.

OpenLDAP: To je besplatna implementacija protokola koji podržava više šema tako da se može koristiti za povezivanje s bilo kojim drugim LDAP-om. Ima svoju licencu, OpenLDAP javnu licencu. Budući da je protokol neovisan o platformi, uključuje ga nekoliko distribucija GNU / Linux i BSD, kao i AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) i z / OS.

OpenLDAP ima četiri glavne komponente:

  • slapd - samostalni LDAP demon.
  • slurpd - Samostalni demon replikacije LDAP ažuriranja.
  • Rutine biblioteke podržavaju LDAP protokol
  • Uslužni programi, alati i klijenti.

Ključne značajke LDAP-a iz perspektive korisnika

Kakve informacije možemo pohraniti u direktorij?. Model informacija u LDAP direktoriju temelji se na karte. Unos je zbirka atributa koja ima jedinstveno razlikovano ime ili "Distinguished Name (DN)". DN se koristi za jedinstveno upućivanje na unos.

Svaki atribut unosa ima tipo i jedan ili više njih vrijednosti. Tipovi su tipično mnemotehničke žice cn o "Uobičajeno ime" za uobičajena imena, ili pošta za adrese e-pošte. Sintaksa vrijednosti ovisi o vrsti atributa.

Na primjer, atribut cn može sadržavati vrijednost Frodo Bagins. Atribut pošta mogu imati hrabrosti frodobagins@amigos.cu. Atribut jpgePhoto može sadržavati fotografiju u binarnom formatu JPEG.

Kako su organizirane informacije?. U LDAP-u su unosi direktorija organizirani u hijerarhijskoj strukturi u obliku obrnutog stabla. Tradicionalno, ova struktura odražava geografske i / ili organizacijske granice ili ograničenja.

Unosi koji predstavljaju zemlje pojavljuju se na vrhu stabla. Ispod njih će biti unosi koji predstavljaju države i nacionalne organizacije.

Tada mogu postojati unosi koji predstavljaju organizacijske jedinice, ljude, štampače, dokumente ili bilo što drugo čega se možemo sjetiti.

Donja slika je primjer stabla LDAP direktorija u kojem se koriste tradicionalna imena.

Dijagram1

LDAP omogućuje kontrolu nad kojim atributima trebamo unos pomoću posebnog atributa tzv objectClass. Vrijednost atributa objectClass određuje Pravila šeme o Pravila sheme da se ulaz mora pokoravati.

Kako se pozivamo na informacije?. Unos upućujemo na njegovo ugledno ime ili Ugledno ime, koji je sastavljen od naziva samog unosa (nazvan Distinguished Relative Name ili Relativno ugledno ime o DAM), povezan sa imenom unosa njegovih predaka ili predaka.

Na primjer, na slici iznad unosa Frodo Bagins ima DAM cn = Frodo Bagins i njegovu DN kompletan je cn = Frodo Bagins, ou = prstenovi, o = prijatelji, st = Havana, c = cu.

Kako pristupamo informacijama?. LDAP je definirao operacije potrebne za ispitivanje i ažuriranje direktorija. To uključuje operacije dodavanja i brisanja unosa, modificiranja postojećeg unosa i preimenovanja unosa.

Međutim, većinu vremena LDAP koristi za traženje podataka pohranjenih u direktoriju. Operacije pretraživanja omogućuju pretragu dijela direktorija za unose koji zadovoljavaju neke kriterije navedene u filtru pretraživanja. Na taj način možemo pretraživati ​​svaki unos koji ispunjava kriterije pretraživanja.

Kako štitimo informacije od neovlaštenog pristupa?. Neke usluge direktorija nisu zaštićene i omogućuju svima da vide vaše podatke.

LDAP pruža mehanizam za klijente da provjere autentičnost ili potvrde svoj identitet usluzi direktorija, kako bi se zajamčila kontrola pristupa radi zaštite podataka koje poslužitelj sadrži.

LDAP takođe podržava usluge zaštite podataka, kako u pogledu integriteta tako i poverljivosti.

Kada bismo trebali koristiti LDAP?

Ovo je vrlo dobro pitanje. Generalno, uslugu direktorija moramo koristiti kada nam trebaju informacije koje će se centralno čuvati i njima upravljati i biti dostupne metodama zasnovanim na standardima.

Nekoliko primjera vrste informacija koje nalazimo u poslovnom i industrijskom okruženju:

  • Provjera autentičnosti mašine
  • Autentifikacija korisnika
  • Korisnici i grupe sistema
  • Adresar
  • Organizaciona zastupanja
  • Praćenje resursa
  • Skladište telefonskih informacija
  • Upravljanje korisničkim resursima
  • Pretraživanje adrese e-pošte
  • Trgovina postavkama aplikacija
  • Skladište telefonskih centrala telefonskih centrala
  • itd…

Postoji nekoliko distribuiranih datoteka sheme -Distribuirane datoteke sheme- zasnovan na standardima. Međutim, uvijek možemo stvoriti vlastitu specifikaciju sheme ... kada smo stručnjaci za LDAP. 🙂

Kada ne bismo trebali koristiti LDAP?

Kad shvatimo da jesmo uvijanje ili prisiljavanjem našeg LDAP-a da radi ono što nam treba. U tom slučaju, možda će trebati redizajnirati. Ili ako nam treba jedna aplikacija za upotrebu i manipulaciju našim podacima.

Koje usluge i softver planiramo instalirati i konfigurirati?

 

  • Usluga direktorija ili Usluga direktorija na osnovu OpenLDAP
  • usluge NTP, DNS y DHCP nezavisno
  • Integrišite se Samba u LDAP
  • Moguće je da ćemo razviti integraciju LDAP y Kerberos
  • Upravljajte direktorijumom pomoću web aplikacije Ldap Account Manager.

I to je to za danas, prijatelji!

Konsultovani izvori:

  • https://wiki.debian.org/LDAP
  • OpenLDAP Software 2.4 Administratorski vodič
  • Ubuntu 12.04 poslužiteljski vodič

Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

15 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Oscar rekao je

    Mislim da je FreeIPA sveobuhvatan projekt (LDAP, Kerberos, DNS, itd.) Zanimljiv za proučavanje, zasnovan na LDAP 389 serveru.

  2.   Guido rolon rekao je

    Za početak sviđanja PFS-a ne rade. Jako sam zainteresiran za edukaciju iz LDAP-a. Hvala na dijeljenju.

    1.    elav rekao je

      Veze ispravljene.

  3.   eliotime3000 rekao je

    Zanimljivo.

  4.   iskoristimo linux rekao je

    Još jednom si prošao preko telefona!
    Veliki doprinos.
    Zagrljaj! Paul.

  5.   federico rekao je

    Hvala svima na komentaru !!! Prije se nisam mogao povezati sa svojim modemom na 28000 baud / sekundi. Kakva brzina. 🙂
    Pozdrav svima

  6.   federico rekao je

    Puno hvala svima na komentaru !!!. Ozkar, FreeIPA je mnogo više od LDAP-a. Integrira Red Hat Active Directory 389 s cijelim nizom povezanih usluga. To je životinja Fedora projekta. Prevelika za moje skromno znanje.

  7.   TheSandman86 rekao je

    Odličan članak, odgovara mi kao rukavica jer sam se planirao internalizirati u ovim izdanjima, radujem se novim člancima.

  8.   euforija rekao je

    Hvala vam što ste podijelili, uz to i ClearOS koji imam već neko vrijeme 🙂

  9.   vidagnu rekao je

    Odličan vodič, preuzeo sam i knjigu Ubunto, hvala!

    1.    vidagnu rekao je

      Ubuntu jejjeej Još uvijek spavam ...

  10.   alunado rekao je

    Iako ne poštujem vaš rad, pročitao sam ga gore i ako sam sve shvatio vrlo loše ili manje dobro, to se može razumjeti u ovoj šali:
    «Ali ako postanem capo capo open-ldap-a, razvijem svoj web pregledač i google shakeove!"

    1.    alunado rekao je

      Hvala na trudu i boli što nema materijala na španskom. mmm ...

  11.   edgar rekao je

    Sad pomalo napred, nastavljam čitati postove na stranici https://blog.desdelinux.net/ldap-introduccion/ Htio bih da mi pojasnite malo šta se odnosi na Machine Authentication (Autorizaciju autentičnosti), ova mi tačka nije jasna i jako sam oduševljen ovom OpenLdap-om. Već sam proveo nekoliko sati čitajući ovaj blog, ali želim biti u stanju savladati teme i koncepti iz tog razloga moja intervencija u vašim aktivnostima unaprijed hvala vam puno gospodine Fico nastavljamo s kontaktnim pozdravima