Hej venner!. Vi starter en ny serie artikler, som vi håber vil være nyttige. Vi har besluttet at skrive dem til dem, der kan lide at vide, hvad de arbejder med, og lave deres egne implementeringer uden at være afhængig af helt proprietær software eller dem, der er halvt gratis og halvt kommercielle.
Nødvendig læsning er OpenLDAP Software 2.4 Administratorvejledning. Ja, på engelsk, fordi vi bruger software designet og skrevet på Shakespeares sprog. 🙂 Vi anbefaler også stærkt at læse Ubuntu Server Guide 12.04., som vi giver til download.
Den eksisterende dokumentation er på engelsk. Jeg har ikke fundet spanske oversættelser af nogen af de to tidligere anbefalede.
Alt skrevet i denne introduktion er taget fra Wikipedia eller frit oversat til spansk fra de ovennævnte dokumenter.
Vi vil se:
- Resume definition
- LDAP-nøglefunktioner fra brugerens perspektiv
- Hvornår skal vi bruge LDAP?
- Hvornår skal vi ikke bruge LDAP?
- Hvilke tjenester og software planlægger vi at installere og konfigurere?
Resume definition
Fra Wikipedia:
LDAP er forkortelsen for Lightweight Directory Access Protocol (på spansk Lightweight Directory Access Protocol), der henviser til en applikationsniveauprotokol, der giver adgang til en bestilt og distribueret katalogtjeneste for at søge efter forskellige oplysninger i et netværksmiljø. LDAP betragtes også som en database (selvom dens lagersystem kan være anderledes), der kan forespørges.
En mappe er et sæt objekter med attributter organiseret på en logisk og hierarkisk måde. Det mest almindelige eksempel er telefonbogen, som består af en række navne (personer eller organisationer), der er arrangeret alfabetisk, hvor hvert navn har en adresse og et telefonnummer, der er knyttet til det. For bedre at forstå det er det en bog eller mappe, hvor folks navne, telefonnumre og adresser er skrevet, og det er arrangeret alfabetisk.
Et LDAP-katalogtræ afspejler undertiden forskellige politiske, geografiske eller organisatoriske grænser afhængigt af den valgte model. Nuværende LDAP-implementeringer har tendens til at bruge DNS-navne (Domain Name System) til at strukturere de højere niveauer i hierarkiet. Når du ruller ned i biblioteket, kan der vises poster, der repræsenterer personer, organisationsenheder, printere, dokumenter, grupper af mennesker eller noget, der repræsenterer en given post i træet (eller flere poster).
Normalt gemmer den godkendelsesoplysninger (bruger og adgangskode) og bruges til at godkende, skønt det er muligt at gemme andre oplysninger (brugerkontaktdata, placering af forskellige netværksressourcer, tilladelser, certifikater osv.). Sammenfattende er LDAP en samlet adgangsprotokol til et sæt informationer på et netværk.
Den aktuelle version er LDAPv3, og den er defineret i RFC'er RFC 2251 og RFC 2256 (LDAP-basisdokument), RFC 2829 (godkendelsesmetode for LDAP), RFC 2830 (udvidelse til TLS) og RFC 3377 (teknisk specifikation) .
Nogle LDAP-implementeringer:
Active Directory: er navnet brugt af Microsoft (siden Windows 2000) som et centraliseret informationslager til et af dets administrationsdomæner. En katalogtjeneste er et struktureret lager af information om de forskellige objekter, der er indeholdt i Active Directory, i dette tilfælde kan de være printere, brugere, computere ... Den bruger forskellige protokoller (hovedsagelig LDAP, DNS, DHCP, Kerberos...).
Under dette navn er der faktisk et skema (definition af de felter, der kan høres) LDAP version 3, som tillader integration af andre systemer, der understøtter protokollen. Denne LDAP gemmer oplysninger om brugere, netværksressourcer, sikkerhedspolitikker, konfiguration, tildeling af tilladelser osv.
Novell Directory-tjenesterOgså kendt som eDirectory, det er Novell-implementeringen, der bruges til at administrere adgang til ressourcer på forskellige servere og computere på et netværk. Den er grundlæggende sammensat af en hierarkisk og objektorienteret database, der repræsenterer hver server, computer, printer, service, folk osv. mellem hvilke der oprettes tilladelser til adgangskontrol gennem arv. Fordelen ved denne implementering er, at den kører på flere platforme, så den let kan tilpasses miljøer, der bruger mere end et operativsystem.
Det er forløberen med hensyn til katalogstrukturer, der blev introduceret i 1990 med Novell Netware version 4.0. Selvom Microsofts AD er vokset i popularitet, kan den stadig ikke matche pålideligheden og kvaliteten af eDirectory og dens muligheder på tværs af platforme.
OpenLDAP: Det er en gratis implementering af protokollen, der understøtter flere ordninger, så den kan bruges til at oprette forbindelse til enhver anden LDAP. Det har sin egen licens, OpenLDAP Public License. At være en platformuafhængig protokol inkluderer flere GNU / Linux- og BSD-distributioner det, ligesom AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) og z / OS.
OpenLDAP har fire hovedkomponenter:
- slapd - standalone LDAP-dæmon.
- slurpd - Standalone LDAP-replikeringsdemon for replikering.
- LDAP-protokol understøtter biblioteksrutiner
- Hjælpeprogrammer, værktøjer og klienter.
LDAP-nøglefunktioner fra brugerens perspektiv
Hvilken slags information kan vi gemme i et bibliotek?. Informationsmodellen i et LDAP-bibliotek er baseret på billetter. En post er en samling attributter, der har et unikt Distinguished Name eller "Distinguished Name (DN)". DN bruges til at henvise entydigt entydigt.
Hver attribut for en post har en tipo og en eller flere Valores. Typerne er typisk mnemoniske strenge som cn o "Almindeligt navn" for almindelige navne, eller post for e-mail-adresser. Syntaksen for værdierne afhænger af attributttypen.
For eksempel en attribut cn kan indeholde værdien af Frodo bagins. En attribut post kan have modet frodobagins@amigos.cu. En attribut jpgeFoto kan indeholde et foto i binært format JPEG.
Hvordan er oplysningerne organiseret?. I LDAP er biblioteksposter organiseret i en hierarkisk struktur i form af et inverteret træ. Traditionelt afspejler denne struktur geografiske og / eller organisatoriske grænser eller grænser.
Indlæg, der repræsenterer lande, vises øverst på træet. Under dem vil der være poster, der repræsenterer stater og nationale organisationer.
Så kan der være poster, der repræsenterer organisatoriske enheder, personer, printere, dokumenter eller hvad vi ellers er i stand til at tænke på.
Figuren nedenfor er et eksempel på et LDAP-katalogtræ, hvor traditionelle navne bruges.
LDAP tillader kontrol af, hvilke attributter vi har brug for til en post ved hjælp af en speciel attribut kaldet objektklasse. Værdien af attributten objektklasse bestemmer Ordningsregler o Skema regler at input skal adlyde.
Hvordan refererer vi til oplysningerne?. Vi henviser til en post ved dens distinkte navn eller Distinguished Name, der er konstrueret ud fra selve postens navn (kaldet Distinguished Relative Name eller Relativt særskilt navn o RDN) sammenkædet med navnet på dens forfædres eller forfædres poster.
F.eks. Har figuren ovenfor posten Frodo Bagins en RDN cn = Frodo Bagins og DN komplet er cn = Frodo Bagins, ou = Ringe, o = Venner, st = Havana, c = cu.
Hvordan får vi adgang til oplysningerne?. LDAP har defineret de operationer, der kræves for at forhøre og opdatere biblioteket. Disse inkluderer handlingerne ved at tilføje og slette en post, ændre en eksisterende post og ændre navnet på en post.
Dog bruges LDAP for det meste til at søge efter oplysninger, der er gemt i telefonbogen. Søgeoperationer gør det muligt at søge efter en del af biblioteket efter poster, der opfylder nogle kriterier, der er angivet i søgefilteret. På den måde kan vi søge i hver post, der opfyldte søgekriterierne.
Hvordan beskytter vi oplysninger mod uautoriseret adgang?. Nogle bibliotekstjenester er ubeskyttede og giver alle mulighed for at se dine oplysninger.
LDAP giver en mekanisme, som klienter kan godkende eller bekræfte deres identitet til en katalogtjeneste for at garantere adgangskontrol for at beskytte de oplysninger, serveren indeholder.
LDAP understøtter også datasikkerhedstjenester, både med hensyn til integritet og fortrolighed.
Hvornår skal vi bruge LDAP?
Dette er et meget godt spørgsmål. Generelt skal vi bruge Directory Service, når vi har brug for oplysninger, der skal lagres og administreres centralt, og for at være tilgængelige via standardbaserede metoder.
Nogle eksempler på den type information, vi finder i forretnings- og industrimiljøet:
- Maskinautentificering
- Brugergodkendelse
- Systembrugere og grupper
- Adressebog
- Organisatoriske repræsentationer
- Sporing af ressourcer
- Telefoninformationslager
- Administration af brugerressourcer
- E-mail-adresse søgning
- Programindstillingsbutik
- PBX-telefonanlægskonfigurationslager
- etc…
Der er flere distribuerede skemafiler -Distribuerede skemafiler- standardbaseret. Vi kan dog altid oprette vores egen skema-specifikation ... når vi er LDAP-eksperter. 🙂
Hvornår skal vi ikke bruge LDAP?
Når vi indser, at vi er det vride eller ved at tvinge vores LDAP til at gøre det, vi har brug for. I så fald skal det muligvis redesignes. Eller hvis vi har brug for en enkelt applikation til at bruge og manipulere vores data.
Hvilke tjenester og software planlægger vi at installere og konfigurere?
- Directory Service eller Katalogtjeneste baseret på OpenLDAP
- Tjenester NTP, DNS y DHCP uafhængig
- integrere Samba til LDAP
- Muligvis vil vi udvikle integrationen af LDAP y Kerberos
- Administrer telefonbogen med webapplikationen Ldap Account Manager.
Og det er det i dag, venner!
Kilder, der er hørt:
- https://wiki.debian.org/LDAP
- OpenLDAP Software 2.4 Administratorvejledning
- Ubuntu 12.04 servervejledning
Jeg synes FreeIPA er et omfattende projekt (LDAP, Kerberos, DNS osv.), Der er interessant at studere, baseret på LDAP 389-serveren.
Til at begynde med fungerer likerne af Pfs ikke. Jeg er meget interesseret i at uddanne mig i ldap. Tak fordi du delte.
Links korrigeret.
Interessant.
Du gik derovre igen!
Fantastisk bidrag.
Kram! Paul.
Tak alle sammen for at kommentere !!! Jeg kunne ikke oprette forbindelse før med mit modem ved 28000 baud / sekund. Hvilken hastighed. 🙂
Hilsen til alle
Mange tak for alle for kommentar !!!. Ozkar, FreeIPA er meget mere end en LDAP. Det integrerer Red Hat Active Directory 389 med en hel række relaterede tjenester. Det er et Fedora-projektdyr. For kæmpe for min beskedne viden.
Fremragende artikel, det passer mig som en handske, da jeg planlagde at komme ind i disse emner, jeg ser frem til nye artikler.
Mange tak for delingen, med det og ClearOS har jeg i et stykke tid 🙂
Fremragende tutorial, jeg downloadede også Ubunto-bogen, tak!
Ubuntu jejjeej Jeg sover stadig ...
Selvom jeg ikke respekterer dit arbejde, har jeg læst det ovenfor, og hvis jeg forstod alt meget dårligt eller mindre godt, kan det forstås i denne vittighed:
"Men hvis jeg bliver capo capo af open-ldap, udvikler jeg min webbrowser og google shakes!"
Tak for indsatsen, og det gør ondt, at der ikke er noget materiale på spansk. mmm ...
Fico, se om denne guide på spansk tjener til at føje den til materialet ...
http://www.google.com.ar/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CEwQFjAD&url=http%3A%2F%2Felpuig.xeill.net%2Fdepartaments%2Finformatica%2Ffitxers%2Fsistemes-operatius%2Fcurso-de-ldap-en-gnu-linux%2Fat_download%2Ffile&ei=NwXgUrIOxLaRB4LHgYgG&usg=AFQjCNGj7BjNtzfdlu1gsl3YSWK1U1ELpw&sig2=aKABXgHookIGYhYXevUQew&bvm=bv.59568121,d.eW0
Nu går jeg lidt fremad, og jeg læser fortsat indlæggene på siden https://blog.desdelinux.net/ldap-introduccion/ Jeg vil gerne have, at du afklarer for mig, hvad der refererer til maskinautentificering, dette punkt er ikke klart for mig, og jeg er meget begejstret for denne OpenLdap, jeg har allerede brugt flere timer på at læse denne blog, men jeg vil være i stand til at mestre emnerne og begreberne af den grund indblanding i dine aktiviteter på forhånd tak meget hr. Fico, vi fortsætter i kontakthilsner