LDAP: Εισαγωγή

Γεια σας φίλοι!. Ξεκινάμε μια νέα σειρά άρθρων που ελπίζουμε ότι θα είναι χρήσιμα. Αποφασίσαμε να τα γράψουμε για όσους θέλουν να ξέρουν με τι συνεργάζονται και να κάνουν τις δικές τους υλοποιήσεις χωρίς να εξαρτώνται από πλήρως ιδιοκτησιακό λογισμικό ή εκείνες που είναι μισές δωρεάν και μισές εμπορικές.

Η απαιτούμενη ανάγνωση είναι το Οδηγός διαχειριστή OpenLDAP 2.4. Ναι, στα Αγγλικά, επειδή χρησιμοποιούμε λογισμικό σχεδιασμένο και γραμμένο στη γλώσσα του Σαίξπηρ. Recommend Σας συνιστούμε επίσης να διαβάσετε το Οδηγός διακομιστή Ubuntu 12.04., το οποίο δίνουμε για λήψη.

Η υπάρχουσα τεκμηρίωση είναι στα Αγγλικά. Δεν έχω βρει ισπανικές μεταφράσεις από κανένα από τα δύο που είχαν προταθεί προηγουμένως.

Όλα όσα γράφονται σε αυτήν την εισαγωγή προέρχονται από τη Wikipedia ή μεταφράζονται ελεύθερα στα ισπανικά από τα έγγραφα που αναφέρονται παραπάνω.

Θα δούμε:

• Συνοπτικός ορισμός
• Βασικά χαρακτηριστικά του LDAP από την προοπτική του χρήστη
• Πότε πρέπει να χρησιμοποιήσουμε το LDAP;
• Πότε δεν πρέπει να χρησιμοποιήσουμε το LDAP;
• Τι υπηρεσίες και λογισμικό σχεδιάζουμε να εγκαταστήσουμε και να διαμορφώσουμε;

Συνοπτικός ορισμός

Από τη Βικιπαίδεια:

Το LDAP είναι το ακρωνύμιο του Lightweight Directory Access Protocol (στα Ισπανικά Lightweight Directory Access Protocol) που αναφέρεται σε ένα πρωτόκολλο επιπέδου εφαρμογής που επιτρέπει την πρόσβαση σε μια υπηρεσία καταλόγου που έχει παραγγείλει και κατανεμηθεί για αναζήτηση διάφορων πληροφοριών σε περιβάλλον δικτύου. Το LDAP θεωρείται επίσης μια βάση δεδομένων (αν και το σύστημα αποθήκευσης ενδέχεται να είναι διαφορετικό) που μπορεί να υποβληθεί σε ερώτηση.

Ένας κατάλογος είναι ένα σύνολο αντικειμένων με χαρακτηριστικά οργανωμένα με λογικό και ιεραρχικό τρόπο. Το πιο συνηθισμένο παράδειγμα είναι ο τηλεφωνικός κατάλογος, ο οποίος αποτελείται από μια σειρά ονομάτων (άτομα ή οργανισμούς) που είναι διατεταγμένα αλφαβητικά, με κάθε όνομα να έχει μια διεύθυνση και έναν αριθμό τηλεφώνου συνδεδεμένο σε αυτόν. Για να το καταλάβετε καλύτερα, είναι ένα βιβλίο ή φάκελος, στον οποίο γράφονται τα ονόματα, οι αριθμοί τηλεφώνου και οι διευθύνσεις των ανθρώπων, και τακτοποιείται αλφαβητικά.

Ένα δέντρο καταλόγου LDAP αντικατοπτρίζει μερικές φορές διάφορα πολιτικά, γεωγραφικά ή οργανωτικά όρια, ανάλογα με το επιλεγμένο μοντέλο. Οι τρέχουσες αναπτύξεις LDAP τείνουν να χρησιμοποιούν ονόματα συστήματος ονομάτων τομέα (DNS) για τη δομή των υψηλότερων επιπέδων της ιεραρχίας. Καθώς κάνετε κύλιση προς τα κάτω στον κατάλογο, ενδέχεται να εμφανίζονται καταχωρήσεις που αντιπροσωπεύουν άτομα, οργανωτικές μονάδες, εκτυπωτές, έγγραφα, ομάδες ατόμων ή οτιδήποτε αντιπροσωπεύει μια δεδομένη καταχώριση στο δέντρο (ή πολλές καταχωρίσεις).

Συνήθως, αποθηκεύει πληροφορίες ελέγχου ταυτότητας (χρήστης και κωδικός πρόσβασης) και χρησιμοποιείται για τον έλεγχο ταυτότητας, αν και είναι δυνατή η αποθήκευση άλλων πληροφοριών (δεδομένα επικοινωνίας χρήστη, τοποθεσία διαφόρων πόρων δικτύου, δικαιώματα, πιστοποιητικά κ.λπ.). Συνοπτικά, το LDAP είναι ένα ενοποιημένο πρωτόκολλο πρόσβασης σε ένα σύνολο πληροφοριών σε ένα δίκτυο.

Η τρέχουσα έκδοση είναι LDAPv3 και ορίζεται στα RFC RFC 2251 και RFC 2256 (βασικό έγγραφο LDAP), RFC 2829 (μέθοδος ελέγχου ταυτότητας για LDAP), RFC 2830 (επέκταση για TLS) και RFC 3377 (τεχνική προδιαγραφή).

Ορισμένες εφαρμογές LDAP:

Active Directory: είναι το όνομα που χρησιμοποιείται από τη Microsoft (από τα Windows 2000) ως κεντρικό κατάστημα πληροφοριών για έναν από τους τομείς διαχείρισης. Μια υπηρεσία καταλόγου είναι ένα δομημένο αποθετήριο πληροφοριών για τα διάφορα αντικείμενα που περιέχονται στην υπηρεσία καταλόγου Active Directory, στην περίπτωση αυτή θα μπορούσαν να είναι εκτυπωτές, χρήστες, υπολογιστές ... Χρησιμοποιεί διαφορετικά πρωτόκολλα (κυρίως, LDAP, DNS, DHCP, Kerberos...).

Κάτω από αυτό το όνομα υπάρχει στην πραγματικότητα ένα σχήμα (ορισμός των πεδίων που μπορούν να συμβουλευτούν) LDAP έκδοση 3, η οποία επιτρέπει την ενσωμάτωση άλλων συστημάτων που υποστηρίζουν το πρωτόκολλο. Αυτό το LDAP αποθηκεύει πληροφορίες για χρήστες, πόρους δικτύου, πολιτικές ασφαλείας, διαμόρφωση, εκχώρηση δικαιωμάτων κ.λπ.

Υπηρεσίες καταλόγου NovellΕπίσης γνωστό ως eDirectory, είναι η εφαρμογή Novell που χρησιμοποιείται για τη διαχείριση της πρόσβασης σε πόρους σε διαφορετικούς διακομιστές και υπολογιστές σε ένα δίκτυο. Αποτελείται βασικά από μια ιεραρχική και αντικειμενοστρεφή βάση δεδομένων, η οποία αντιπροσωπεύει κάθε διακομιστή, υπολογιστή, εκτυπωτή, υπηρεσία, άτομα κ.λπ. Μεταξύ των οποίων δημιουργούνται δικαιώματα ελέγχου πρόσβασης, μέσω μεταβίβασης. Το πλεονέκτημα αυτής της εφαρμογής είναι ότι εκτελείται σε πολλές πλατφόρμες, οπότε μπορεί εύκολα να προσαρμοστεί σε περιβάλλοντα που χρησιμοποιούν περισσότερα από ένα λειτουργικά συστήματα.

Είναι ο πρόδρομος από την άποψη των δομών καταλόγου, που παρουσιάστηκε το 1990 με την έκδοση του Novell Netware 4.0. Αν και η AD της Microsoft έχει αυξηθεί σε δημοτικότητα, εξακολουθεί να μην ταιριάζει με την αξιοπιστία και την ποιότητα του eDirectory και τις δυνατότητες Cross-Platform.

OpenLDAP: Είναι μια δωρεάν εφαρμογή του πρωτοκόλλου που υποστηρίζει πολλαπλά σχήματα, ώστε να μπορεί να χρησιμοποιηθεί για σύνδεση σε οποιοδήποτε άλλο LDAP. Έχει τη δική του άδεια, το OpenLDAP Public License. Όντας ένα ανεξάρτητο πρωτόκολλο πλατφόρμας, αρκετές διανομές GNU / Linux και BSD το περιλαμβάνουν, όπως και οι AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) και z / OS.

Το OpenLDAP έχει τέσσερα κύρια στοιχεία:

• slapd - αυτόνομος δαίμονας LDAP.
• slurpd - αυτόνομος δαίμονας αναπαραγωγής LDAP.
• Πρωτόκολλο LDAP υποστηρίζει ρουτίνες βιβλιοθήκης
• Βοηθητικά προγράμματα, εργαλεία και πελάτες.

Βασικά χαρακτηριστικά του LDAP από την προοπτική του χρήστη

Τι είδους πληροφορίες μπορούμε να αποθηκεύσουμε σε έναν κατάλογο;. Το μοντέλο πληροφοριών σε έναν κατάλογο LDAP βασίζεται Εισιτήρια. Μια καταχώριση είναι μια συλλογή χαρακτηριστικών που έχουν ένα μοναδικό Διακεκριμένο Όνομα ή "Διακεκριμένο Όνομα (DN)". Το DN χρησιμοποιείται για να αναφέρεται μοναδικά στην καταχώριση.

Κάθε χαρακτηριστικό μιας καταχώρησης έχει ένα τύπος και ένα ή περισσότερα Valores. Οι τύποι είναι συνήθως μνημονικές χορδές όπως cn o "Κοινό όνομα" για κοινά ονόματα, ή e-mail για διευθύνσεις email. Η σύνταξη των τιμών εξαρτάται από τον τύπο του χαρακτηριστικού.

Για παράδειγμα, ένα χαρακτηριστικό cn μπορεί να περιέχει την τιμή του Φρόντο Μπάγκινς. Ένα χαρακτηριστικό e-mail μπορεί να έχει το θάρρος frodobagins@amigos.cu. Ένα χαρακτηριστικό jpgeΦωτογραφία μπορεί να περιέχει μια φωτογραφία σε δυαδική μορφή JPEG.

Πώς οργανώνονται οι πληροφορίες;. Στο LDAP, οι καταχωρήσεις καταλόγου οργανώνονται σε μια ιεραρχική δομή με τη μορφή ανεστραμμένου δέντρου. Παραδοσιακά, αυτή η δομή αντικατοπτρίζει γεωγραφικά και / ή οργανωτικά όρια ή όρια.

Οι καταχωρήσεις που αντιπροσωπεύουν χώρες εμφανίζονται στην κορυφή του δέντρου. Παρακάτω θα εμφανίζονται συμμετοχές που αντιπροσωπεύουν κράτη και εθνικούς οργανισμούς.

Τότε μπορεί να υπάρχουν καταχωρήσεις που αντιπροσωπεύουν οργανωτικές μονάδες, άτομα, εκτυπωτές, έγγραφα ή οτιδήποτε άλλο μπορούμε να σκεφτούμε.

Το παρακάτω σχήμα είναι ένα παράδειγμα ενός δέντρου καταλόγου LDAP στο οποίο χρησιμοποιούνται παραδοσιακά ονόματα.

Το LDAP επιτρέπει τον έλεγχο των χαρακτηριστικών που χρειαζόμαστε για μια καταχώριση χρησιμοποιώντας ένα ειδικό χαρακτηριστικό που ονομάζεται αντικείμενοClass. Η τιμή του χαρακτηριστικού αντικείμενοClass καθορίζει το Κανόνες προγράμματος o Κανόνες σχήματος ότι η είσοδος πρέπει να υπακούει.

Πώς αναφερόμαστε στις πληροφορίες;. Αναφερόμαστε σε μια καταχώρηση με το Διακεκριμένο Όνομα ή Διακεκριμένο όνομα, το οποίο κατασκευάζεται από το όνομα της ίδιας της καταχώρησης (ονομάζεται Διακεκριμένο Σχετικό Όνομα ή Σχετικό διακεκριμένο όνομα o Rdn), σε συνδυασμό με το όνομα των καταχωρήσεων των προγόνων ή των προγόνων του.

Για παράδειγμα, στην παραπάνω εικόνα η καταχώρηση Frodo Bagins έχει ένα Rdn cn = Frodo Bagins και DN πλήρης είναι cn = Frodo Bagins, ou = Δαχτυλίδια, o = Φίλοι, st = Αβάνα, c = cu.

Πώς έχουμε πρόσβαση στις πληροφορίες;. Το LDAP έχει ορίσει τις λειτουργίες που απαιτούνται για την ανάκριση και την ενημέρωση του καταλόγου. Αυτές περιλαμβάνουν τις λειτουργίες προσθήκης και διαγραφής μιας καταχώρισης, τροποποίησης μιας υπάρχουσας καταχώρησης και μετονομασία μιας καταχώρησης.

Ωστόσο, τις περισσότερες φορές το LDAP χρησιμοποιείται για την αναζήτηση πληροφοριών που είναι αποθηκευμένες στον κατάλογο. Οι λειτουργίες αναζήτησης επιτρέπουν την αναζήτηση ενός τμήματος του καταλόγου για καταχωρήσεις που πληρούν ορισμένα κριτήρια που καθορίζονται στο φίλτρο αναζήτησης. Με αυτόν τον τρόπο μπορούμε να αναζητήσουμε κάθε καταχώριση που πληρούσε τα κριτήρια αναζήτησης.

Πώς προστατεύουμε τις πληροφορίες από μη εξουσιοδοτημένη πρόσβαση;. Ορισμένες υπηρεσίες καταλόγου δεν προστατεύονται και επιτρέπουν σε οποιονδήποτε να δει τις πληροφορίες σας.

Το LDAP παρέχει έναν μηχανισμό για τους πελάτες για έλεγχο ταυτότητας ή επιβεβαίωση της ταυτότητάς τους σε μια υπηρεσία καταλόγου, προκειμένου να εγγυηθεί τον έλεγχο πρόσβασης για την προστασία των πληροφοριών που περιέχει ο διακομιστής.

Το LDAP υποστηρίζει επίσης υπηρεσίες ασφάλειας δεδομένων, τόσο σε σχέση με την ακεραιότητα όσο και την εμπιστευτικότητα.

Πότε πρέπει να χρησιμοποιήσουμε το LDAP;

Αυτή είναι μια πολύ καλή ερώτηση. Γενικά, πρέπει να χρησιμοποιούμε την υπηρεσία καταλόγου όταν χρειαζόμαστε να αποθηκεύονται και να διαχειρίζονται κεντρικά πληροφορίες και να είναι προσβάσιμες μέσω μεθόδων βασισμένων σε πρότυπα.

Μερικά παραδείγματα του τύπου πληροφοριών που βρίσκουμε στο επιχειρηματικό και βιομηχανικό περιβάλλον:

• Έλεγχος ταυτότητας μηχανήματος
• Έλεγχος ταυτότητας χρήστη
• Χρήστες και ομάδες συστήματος
• Βιβλίο διευθύνσεων
• Οργανωτικές Αντιπροσωπείες
• Παρακολούθηση πόρων
• Αποθήκη τηλεφωνικών πληροφοριών
• Διαχείριση πόρων χρήστη
• Αναζήτηση διεύθυνσης email
• Κατάστημα διαμόρφωσης εφαρμογών
• Αποθήκη διαμόρφωσης τηλεφωνικής εγκατάστασης PBX
• και τα λοιπά…

Υπάρχουν πολλά αρχεία κατανεμημένου σχήματος -Διανεμημένα αρχεία σχημάτων- βάσει προτύπων. Ωστόσο, μπορούμε πάντα να δημιουργήσουμε τη δική μας προδιαγραφή σχήματος ... όταν είμαστε ειδικοί LDAP. 🙂

Πότε δεν πρέπει να χρησιμοποιήσουμε το LDAP;

Όταν συνειδητοποιούμε ότι είμαστε συστροφή ή αναγκάζοντας το LDAP να κάνει ό, τι χρειαζόμαστε. Σε αυτήν την περίπτωση, ίσως χρειαστεί να επανασχεδιαστεί. Ή εάν χρειαζόμαστε μία μόνο εφαρμογή για να χρησιμοποιήσουμε και να χειριστούμε τα δεδομένα μας.

Ποιες υπηρεσίες και λογισμικό σκοπεύουμε να εγκαταστήσουμε και να διαμορφώσουμε;

• Υπηρεσία καταλόγου ή Υπηρεσία καταλόγου με βάση OpenLDAP
• υπηρεσίες NTP, DNS y DHCP ανεξάρτητος
• Ενσωμάτωση Σάμπα στο LDAP
• Ενδεχομένως θα αναπτύξουμε την ολοκλήρωση του LDAP y Kerberos
• Διαχειριστείτε τον κατάλογο με την εφαρμογή ιστού Διαχειριστής λογαριασμού Ldap.

Και αυτό είναι για σήμερα, φίλοι!

Πηγές που ερωτήθηκαν:

• https://wiki.debian.org/LDAP
• Οδηγός διαχειριστή OpenLDAP 2.4
• Οδηγός διακομιστή Ubuntu 12.04