LDAP: Enkonduko

Saluton, amikoj!. Ni komencas novan serion de artikoloj, kiujn ni esperas helpos. Ni decidis verki ilin por tiuj, kiuj ŝatas scii, per kio ili laboras, kaj fari siajn proprajn efektivigojn sen dependi de tute proprieta programaro, aŭ tiuj, kiuj estas duone senpagaj kaj duone komercaj.

Bezonata legado estas la Gvidilo de Administranto de OpenLDAP Software 2.4. Jes, en la angla, ĉar ni uzas programojn desegnitajn kaj verkitajn en la lingvo de Ŝekspiro. 🙂 Ni ankaŭ forte rekomendas legi la Ubuntu-Servila Gvidilo 12.04., kiun ni donas por elŝuti.

La ekzistanta dokumentaro estas en la angla. Mi ne trovis hispanajn tradukojn de iu el la du antaŭe rekomenditaj.

Ĉio skribita en ĉi tiu enkonduko estas prenita de Vikipedio aŭ libere tradukita al la hispana el la supre menciitaj dokumentoj.

Ni vidos:

Resuma difino

El Vikipedio:

LDAP estas la akronimo de Lightweight Directory Access Protocol (Malpeza Alira Protokola Aliro), kiu rilatas al protokolo ĉe la aplika nivelo, kiu permesas aliron al ordigita kaj distribuita adresara servo por serĉi malsamajn informojn en reta medio. LDAP ankaŭ estas konsiderata datumbazo (kvankam ĝia stokada sistemo povas esti malsama) pridemandinda.

Adresaro estas aro de objektoj kun atributoj organizitaj laŭ logika kaj hierarkia maniero. La plej ofta ekzemplo estas la telefona adresaro, kiu konsistas el serio de nomoj (personoj aŭ organizoj) aranĝitaj alfabete, kun ĉiu nomo havanta adreson kaj telefonan numeron ligita al ĝi. Por pli bone kompreni, ĝi estas libro aŭ dosierujo, en kiu estas skribitaj nomoj, telefonaj numeroj kaj adresoj de homoj, kaj ĝi estas aranĝita alfabete.

LDAP-adresarbo foje reflektas diversajn politikajn, geografiajn aŭ organizajn limojn, depende de la elektita modelo. Aktualaj LDAP-disfaldoj emas uzi nomojn de Domajna Sistemo (DNS) por strukturi la pli altajn nivelojn de la hierarkio. Dum vi malsupreniras la dosierujon, eniroj povas aperi reprezentante homojn, organizajn unuojn, presilojn, dokumentojn, homgrupojn, aŭ ion ajn, kio reprezentas donitan eniron en la arbo (aŭ plurajn enirojn).

Kutime ĝi stokas la aŭtentikajn informojn (uzantnomo kaj pasvorto) kaj estas uzata por aŭtentikigi, kvankam eblas stoki aliajn informojn (uzanto-kontaktodatumoj, loko de diversaj retaj rimedoj, permesoj, atestiloj, ktp). Resume, LDAP estas unuigita alira protokolo al aro da informoj en reto.

La aktuala versio estas LDAPv3, kaj ĝi estas difinita en RFCs RFC 2251 kaj RFC 2256 (LDAP-baza dokumento), RFC 2829 (aŭtentikiga metodo por LDAP), RFC 2830 (etendaĵo por TLS), kaj RFC 3377 (teknika specifo).

Iuj LDAP-efektivigoj:

Aktiva Dosierujo: estas la nomo uzata de Microsoft (ekde Vindozo 2000) kiel centralizita informbutiko por unu el ĝiaj administraj domajnoj. Adresara Servo estas strukturita deponejo de informoj pri la diversaj objektoj enhavitaj en la Aktiva Adresaro, ĉi-kaze ili povus esti presiloj, uzantoj, komputiloj ... Ĝi uzas malsamajn protokolojn (ĉefe, LDAP, DNS, DHCP, Kerberos...)

Sub ĉi tiu nomo ekzistas fakte skemo (difino de la konsultindaj kampoj) LDAP-versio 3, kiu permesas la integriĝon de aliaj sistemoj, kiuj subtenas la protokolon. Ĉi tiu LDAP stokas informojn pri uzantoj, retaj rimedoj, sekurecaj politikoj, agordo, asigno de permesoj, ktp.

Novell Directory ServicesAnkaŭ eDirectory estas la Novell-efektivigo uzata por administri aliron al rimedoj en malsamaj serviloj kaj komputiloj en reto. Ĝi esence konsistas el hierarkia kaj objektema datumbazo, kiu reprezentas ĉiun servilon, komputilon, presilon, servon, homojn ktp. Inter kiuj estas kreitaj permesoj por alirkontrolo, per heredo. La avantaĝo de ĉi tiu efektivigo estas, ke ĝi funkcias sur multaj platformoj, do ĝi povas esti facile adaptita al medioj, kiuj uzas pli ol unu operaciumon.

Ĝi estas la antaŭulo laŭ adresaraj strukturoj, ĉar ĝi estis lanĉita en 1990 per la versio de Novell Netware 4.0. Kvankam la AD de Mikrosofto kreskis en populareco, ĝi ankoraŭ ne povas egali la fidindecon kaj kvaliton de eDirectory kaj ĝiaj Transsistemaj kapabloj.

OpenLDAP: Ĝi estas senpaga efektivigo de la protokolo, kiu subtenas plurajn skemojn, do ĝi povas esti uzata por konekti al iu ajn alia LDAP. Ĝi havas propran permesilon, la Publikan Permesilon OpenLDAP. Estante platformo sendependa protokolo, pluraj distribuoj GNU / Linukso kaj BSD inkluzivas ĝin, same kiel AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) kaj z / OS.

OpenLDAP havas kvar ĉefajn erojn:

  • slapd - memstara LDAP-demono.
  • slurpd - memstara LDAP-ĝisdatiga replika demono.
  • LDAP-protokolo subtenas bibliotekajn rutinojn
  • Servaĵoj, iloj kaj klientoj.

LDAP-Ŝlosiloj el la Perspektivo de la Uzanto

Kiajn informojn ni povas konservi en Adresaro?. La informa modelo en LDAP-adresaro baziĝas sur biletoj. Eniro estas kolekto de atributoj, kiuj havas unikan distingitan nomon aŭ "distingitan nomon (DN)". La DN estas uzata por referi unike al la eniro.

Ĉiu atributo de eniro havas a afabla kaj unu aŭ pli valoroj. La tipoj estas tipe mnemonikaj kordoj kiel cn o "Komuna nomo" por komunaj nomoj, aŭ poŝto por retpoŝtadresoj. La sintakso de la valoroj dependas de la speco de atributo.

Ekzemple, atributo cn povas enhavi la valoron de Frodo bagins. Atributo poŝto povas havi la kuraĝon frodobagins@amigos.cu. Atributo jpgeFoto povas enhavi foton en duuma formato JPEG.

Kiel estas organizita la informo?. En LDAP, adresaraj eniroj estas organizitaj en hierarkia strukturo en la formo de inversa arbo. Tradicie, ĉi tiu strukturo reflektas geografiajn kaj / aŭ organizajn limojn aŭ limojn.

Eniroj reprezentantaj landojn aperas ĉe la supro de la arbo. Sub ili estos enskriboj reprezentantaj ŝtatojn kaj landajn organizaĵojn.

Poste povas esti eniroj, kiuj reprezentas organizajn unuojn, homojn, presilojn, dokumentojn, aŭ kion ajn ni povas pensi.

La suba figuro estas ekzemplo de LDAP-adresarbo en kiu tradiciaj nomoj estas uzataj.

Diagramo1

LDAP permesas regi kiujn atributojn ni bezonas por eniro uzante specialan atributon nomatan objektoKlaso. La valoro de la atributo objektoKlaso determinas la Reguloj pri Skemo o Skemaj Reguloj ke la enigo devas obei.

Kiel ni referencas la informojn?. Ni rilatas al eniro per ĝia Distingita Nomo aŭ Distingita Nomo, kiu estas konstruita el la nomo de la eniro mem (nomata Distingita Relativa Nomo aŭ Relativa Distingita Nomo o DAM), kunligita kun la nomo de la eniroj de ĝiaj prapatroj aŭ prapatroj.

Ekzemple, en la supra figuro Frodo Bagins havas DAM cn = Frodo Bagins kaj ĝia DN kompleta estas cn = Frodo Bagins, ou = Rings, o = Friends, st = Havano, c = cu.

Kiel ni aliras la informojn?. LDAP difinis la operaciojn necesajn por esplori kaj ĝisdatigi la adresaron. Ĉi tiuj inkluzivas la operaciojn aldoni kaj forigi eniron, modifi ekzistantan eniron kaj ŝanĝi la nomon de eniro.

Tamen plej ofte LDAP estas uzata por serĉi informojn konservitajn en la adresaro. Serĉaj operacioj permesas serĉi parton de la adresaro enirojn, kiuj plenumas iujn kriteriojn specifitajn en la serĉfiltrilo. Tiel ni povas serĉi ĉiun eniron, kiu plenumis la serĉajn kriteriojn.

Kiel ni protektas informojn kontraŭ neaŭtorizita aliro?. Iuj adresaraj servoj estas senprotektaj kaj permesas al iu ajn vidi viajn informojn.

LDAP provizas mekanismon por klientoj aŭtentikigi aŭ konfirmi sian identecon al adresara servo, por garantii alirkontrolon por protekti la informojn, kiujn enhavas la servilo.

LDAP ankaŭ subtenas datumajn sekurecajn servojn, kaj rilate al integreco kaj konfidenco.

Kiam ni uzu LDAP?

Ĉi tio estas tre bona demando. Ĝenerale ni devas uzi la Katalogan Servon kiam ni bezonas informojn por esti centre konservataj kaj administrataj, kaj esti alireblaj per normaj metodoj.

Iuj ekzemploj de la speco de informoj, kiujn ni trovas en la komerca kaj industria medio:

  • Maŝina Aŭtentikigo
  • Uzanto-Aŭtentikigo
  • Sistemuzantoj kaj Grupoj
  • Adresaron
  • Organizaj Reprezentantoj
  • Rimedo-Spurado
  • Stokejo pri Telefona Informo
  • Administrado de Uzanto-Rimedo
  • Retpoŝta Adreso-Serĉo
  • Butiko de Agordoj pri Aplikaĵoj
  • PBX-Telefona Fabriko-Agordoj-Stokejo
  • ktp ...

Estas pluraj Distribuitaj Skemaj Dosieroj -Distribuitaj Skemoj-Dosieroj- normoj bazitaj. Tamen ni ĉiam povas krei nian propran Skeman Specifon ... kiam ni estas LDAP-Ekspertoj. 🙂

Kiam ni ne uzu LDAP?

Kiam ni rimarkas, ke ni estas tordi aŭ devigante nian LDAP fari tion, kion ni bezonas. En tiu kazo, ĝi eble devos esti restrukturita. Aŭ se ni bezonas ununuran programon por uzi kaj manipuli niajn datumojn.

Kiujn servojn kaj programojn ni planas instali kaj agordi?

 

  • Adresara Servo aŭ Adresara Servo surbaze de OpenLDAP
  • servoj NTP, DNS y DHCP sendependa
  • Integri sambo al LDAP
  • Eble ni disvolvos la integriĝon de LDAP y Kerberos
  • Administru la Dosierujon per la retejo Administranto de Konto Ldap.

Kaj jen por hodiaŭ, amikoj!

Konsultitaj fontoj:

  • https://wiki.debian.org/LDAP
  • Gvidilo de Administranto de OpenLDAP Software 2.4
  • Servila gvidilo Ubuntu 12.04

La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

15 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   oscar diris

    Mi pensas, ke FreeIPA estas ampleksa projekto (LDAP, Kerberos, DNS, ktp) interesa por studi, bazita sur la LDAP 389-servilo.

  2.   Guido rolon diris

    Unue la ŝatoj de la Pfs ne funkcias. Mi tre interesas min eduki pri ldap. Dankon pro dividado.

    1.    elav diris

      Ligiloj korektitaj.

  3.   eliotime3000 diris

    Interesaj.

  4.   ni uzu linux diris

    Vi telefonis, ankoraŭ unu fojon!
    Bonega kontribuo.
    Brakumo! Paŭlo.

  5.   federika diris

    Dankon al ĉiuj pro komentoj !!!. Mi ne povis konekti antaŭe kun mia modemo je 28000 baŭdoj / sekundo. Kia rapido. 🙂
    Saluton al ĉiuj

  6.   federika diris

    Koran dankon al ĉiuj pro komento !!!. Ozkar, FreeIPA estas multe pli ol LDAP. Ĝi integras Red Hat Active Directory 389 kun tuta serio de rilataj servoj. Ĝi estas besto de projekto Fedora. Tro grandega por mia modesta scio.

  7.   La Sabloviro86 diris

    Bonega artikolo, ĝi konvenas al mi kiel ganto, ĉar mi planis internigi min en ĉi tiuj numeroj, mi antaŭĝojas pri novaj artikoloj.

  8.   eŭforio diris

    Mi tre dankas vin por dividi, kun tio kaj la ClearOS mi havas iom da tempo 🙂

  9.   vidagnu diris

    Bonega lernilo, mi ankaŭ elŝutis la libron Ubunto, dankon!

    1.    vidagnu diris

      Ubuntu jejjeej Mi ankoraŭ dormas ...

  10.   luneca diris

    Kvankam malrespektante vian verkon, mi legis ĝin supre kaj se mi komprenis ĉion tre malbone aŭ malpli bone, ĝi povas esti komprenata en ĉi tiu ŝerco:
    "Sed se mi fariĝos la capo capo de open-ldap, mi disvolvas mian retumilon kaj guglo skuas!"

    1.    luneca diris

      Dankon pro la penado kaj doloras, ke ne ekzistas materialo en la hispana. mmm ...

  11.   edgar diris

    Nun iom antaŭen mi daŭre legas la afiŝojn sur la paĝo https://blog.desdelinux.net/ldap-introduccion/ Mi ŝatus, ke vi iomete klarigu al mi, kio rilatas al Maŝina Aŭtentikigo, ke ĉi tiu punkto ne estas klara al mi kaj mi tre entuziasmas pri ĉi tiu OpenLdap. Mi jam pasigis plurajn horojn legante ĉi tiun blogon, sed mi volas povi regi la temojn kaj konceptoj pro tio mia interveno en viajn agadojn anticipe dankon multe S-ro Fico ni plu kontaktas salutojn