LDAP: Úvod

Dobrý den, přátelé!. Začínáme novou sérii článků, které, jak doufáme, budou užitečné. Rozhodli jsme se je napsat pro ty, kteří rádi vědí, s čím pracují, a provádět jejich vlastní implementace bez závislosti na zcela proprietárním softwaru nebo pro ty, které jsou napůl zdarma a napůl komerční.

Povinné čtení je Příručka pro správce softwaru OpenLDAP 2.4. Ano, v angličtině, protože používáme software navržený a napsaný v jazyce Shakespeara. 🙂 Důrazně doporučujeme přečíst si Průvodce serverem Ubuntu 12.04., které dáváme ke stažení.

Stávající dokumentace je v angličtině. Nenašel jsem španělské překlady žádného ze dvou dříve doporučených.

Všechno napsané v tomto úvodu je převzato z Wikipedie nebo volně přeloženo do španělštiny z výše zmíněných dokumentů.

Uvidíme:

• Souhrnná definice
• Klíčové funkce LDAP z pohledu uživatele
• Kdy bychom měli používat LDAP?
• Kdy bychom neměli používat LDAP?
• Jaké služby a software plánujeme nainstalovat a nakonfigurovat?

Souhrnná definice

Z Wikipedie:

LDAP je zkratka pro Lightweight Directory Access Protocol, který označuje protokol na úrovni aplikace, který umožňuje přístup k objednané a distribuované adresářové službě k vyhledávání různých informací v síťovém prostředí. . LDAP je také považován za databázi (i když se její úložný systém může lišit), na kterou lze dotazovat.

Adresář je sada objektů s atributy organizovanými logickým a hierarchickým způsobem. Nejběžnějším příkladem je telefonní seznam, který se skládá z řady jmen (osob nebo organizací) seřazených podle abecedy, přičemž každé jméno má adresu a je k němu připojeno telefonní číslo. Abychom tomu lépe porozuměli, jedná se o knihu nebo složku, ve které jsou zapsána jména lidí, telefonní čísla a adresy a jsou řazeny abecedně.

Strom adresářů LDAP někdy odráží různé politické, geografické nebo organizační hranice, v závislosti na zvoleném modelu. Aktuální nasazení LDAP mají tendenci používat názvy DNS (Domain Name System) ke strukturování vyšších úrovní hierarchie. Při procházení adresáře se mohou zobrazit položky představující lidi, organizační jednotky, tiskárny, dokumenty, skupiny osob nebo cokoli, co představuje danou položku ve stromu (nebo více položek).

Obvykle ukládá ověřovací informace (uživatelské jméno a heslo) a slouží k ověření, i když je možné ukládat další informace (kontaktní údaje uživatele, umístění různých síťových zdrojů, oprávnění, certifikáty atd.). Stručně řečeno, LDAP je protokol jednotného přístupu k souboru informací v síti.

Aktuální verze je LDAPv3 a je definována v RFC RFC 2251 a RFC 2256 (základní dokument LDAP), RFC 2829 (metoda ověřování pro LDAP), RFC 2830 (rozšíření pro TLS) a RFC 3377 (technická specifikace) .

Některé implementace LDAP:

Active Directory: je název používaný společností Microsoft (od Windows 2000) jako centralizované úložiště informací pro jednu z jeho domén správy. Adresářová služba je strukturované úložiště informací o různých objektech obsažených ve službě Active Directory, v tomto případě to mohou být tiskárny, uživatelé, počítače ... Používá různé protokoly (hlavně LDAP, DNS, DHCP, Kerberos...).

Pod tímto názvem je ve skutečnosti schéma (definice polí, která lze konzultovat) LDAP verze 3, která umožňuje integraci dalších systémů podporujících protokol. Tento LDAP ukládá informace o uživatelích, síťových zdrojích, zásadách zabezpečení, konfiguraci, přiřazení oprávnění atd.

Adresářové služby NovellEDirectory je také implementace Novell používaná ke správě přístupu k prostředkům na různých serverech a počítačích v síti. Skládá se v zásadě z hierarchické a objektově orientované databáze, která představuje každý server, počítač, tiskárnu, službu, lidi atd. Mezi kterými jsou vytvořena oprávnění pro řízení přístupu prostřednictvím dědičnosti. Výhodou této implementace je, že běží na více platformách, takže ji lze snadno přizpůsobit prostředím, která používají více než jeden operační systém.

Jedná se o předchůdce z hlediska adresářových struktur, protože byl představen v roce 1990 s verzí Novell Netware 4.0. Ačkoli si reklama společnosti Microsoft získala popularitu, stále se nemůže shodovat se spolehlivostí a kvalitou služby eDirectory a jejích schopností napříč platformami.

OpenLDAP: Jedná se o bezplatnou implementaci protokolu, který podporuje více schémat, takže jej lze použít k připojení k jakémukoli jinému LDAP. Má svou vlastní licenci OpenLDAP Public License. Jako protokol nezávislý na platformě jej zahrnuje několik distribucí GNU / Linux a BSD, stejně jako AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) a z / OS.

OpenLDAP má čtyři hlavní komponenty:

• slapd - samostatný démon LDAP.
• slurpd - samostatný démon replikace aktualizace LDAP.
• Rutinové knihovny podporující protokol LDAP
• Nástroje, nástroje a klienti.

Klíčové funkce LDAP z pohledu uživatele

Jaké informace můžeme uložit do adresáře?. Informační model v adresáři LDAP je založen na Lístky. Položka je kolekce atributů, která má jedinečný rozlišující název nebo „rozlišující název (DN)“. DN se používá k jedinečnému označení záznamu.

Každý atribut položky má a typ a jeden nebo více Valores. Typy jsou obvykle mnemotechnické řetězce podobné cn o "Obecný název" pro běžné názvy nebo email pro e-mailové adresy. Syntaxe hodnot závisí na typu atributu.

Například atribut cn může obsahovat hodnotu Frodo taškařice. Atribut email může mít odvahu frodobagins@amigos.cu. Atribut jpgeFotografie může obsahovat fotografii v binárním formátu JPEG.

Jak jsou informace organizovány?. V LDAP jsou položky adresáře organizovány v hierarchické struktuře ve formě obráceného stromu. Tato struktura tradičně odráží geografické a / nebo organizační hranice nebo limity.

V horní části stromu se zobrazují položky představující země. Pod nimi budou položky představující státy a národní organizace.

Pak mohou existovat záznamy, které představují organizační jednotky, lidi, tiskárny, dokumenty nebo cokoli jiného, ​​na co si myslíme.

Obrázek níže je příkladem stromu adresářů LDAP, ve kterém se používají tradiční názvy.

LDAP umožňuje řídit, které atributy potřebujeme pro záznam pomocí zvláštního atributu s názvem objectClass. Hodnota atributu objectClass určuje Pravidla schématu o Pravidla schématu že vstup musí poslouchat.

Jak odkazujeme na informace?. Na záznam odkazujeme jeho rozlišujícím jménem nebo Rozlišující jméno, který je vytvořen z názvu samotné položky (nazývané Distinguished Relative Name nebo Relativní rozlišovací jméno o RDN), zřetězené s názvem záznamů jeho předků nebo předků.

Například na obrázku výše má Frodo Bagins a RDN cn = Frodo Bagins a DN kompletní je cn = Frodo Bagins, ou = prsteny, o = přátelé, st = Havana, c = cu.

Jak přistupujeme k informacím?. LDAP definoval operace potřebné k dotazování a aktualizaci adresáře. Patří mezi ně operace přidání a odstranění položky, úprava existující položky a změna názvu položky.

Většinou se však LDAP používá k hledání informací uložených v adresáři. Vyhledávací operace umožňují, aby se v části adresáře prohledaly položky, které splňují některá kritéria uvedená ve filtru vyhledávání. Tímto způsobem můžeme vyhledávat každou položku, která splňuje kritéria vyhledávání.

Jak chráníme informace před neoprávněným přístupem?. Některé adresářové služby jsou nechráněné a umožňují komukoli zobrazit vaše informace.

LDAP poskytuje klientům mechanismus k autentizaci nebo potvrzení jejich identity adresářové službě, aby bylo zaručeno řízení přístupu k ochraně informací, které server obsahuje.

LDAP také podporuje služby zabezpečení dat, a to jak z hlediska integrity, tak důvěrnosti.

Kdy bychom měli používat LDAP?

To je velmi dobrá otázka. Obecně bychom měli používat adresářovou službu, když potřebujeme informace centrálně ukládat a spravovat a být přístupné metodami založenými na standardech.

Několik příkladů typu informací, které najdeme v obchodním a průmyslovém prostředí:

• Ověření stroje
• Ověření uživatele
• Uživatelé a skupiny systému
• Adresář
• Organizační zastoupení
• Sledování zdrojů
• Telefonní informační sklad
• Správa uživatelských zdrojů
• Hledání e-mailové adresy
• Obchod s nastavením aplikace
• Sklad konfigurace telefonních zařízení PBX
• atd…

Existuje několik souborů distribuovaných schémat -Distribuované soubory schémat- na základě standardů. Vždy však můžeme vytvořit vlastní specifikaci schématu ... když jsme experty na LDAP. 🙂

Kdy bychom neměli používat LDAP?

Když si uvědomíme, že jsme kroucení nebo tím, že nutíme náš LDAP dělat to, co potřebujeme. V takovém případě bude možná nutné přepracovat. Nebo pokud potřebujeme jedinou aplikaci k používání a manipulaci s našimi daty.

Jaké služby a software plánujeme nainstalovat a nakonfigurovat?

• Adresářová služba nebo Adresářová služba na základě OpenLDAP
• služby NTP, DNS y DHCP nezávislý
• Integrace Samba na LDAP
• Možná budeme rozvíjet integraci LDAP y Kerberos
• Spravujte adresář pomocí webové aplikace Správce účtu LDAP.

A to je pro dnešek vše, přátelé!

Konzultované zdroje:

• https://wiki.debian.org/LDAP
• Příručka pro správce softwaru OpenLDAP 2.4
• Průvodce serverem Ubuntu 12.04