Tere, sõbrad!. Alustame uut artiklite sarja, mis loodetavasti on abiks. Oleme otsustanud need kirjutada neile, kellele meeldib teada, millega nad töötavad, ja teha ise rakendusi, sõltumata täiesti patenteeritud tarkvarast, või neile, mis on pooleldi tasuta ja pooleldi kommertslikud.
Kohustuslik lugemine on OpenLDAP Software 2.4 administraatori juhend. Jah, inglise keeles, sest me kasutame tarkvara, mis on loodud ja kirjutatud Shakespeare'i keeles. 🙂 Soovitame tungivalt ka lugeda Ubuntu serveri juhend 12.04., mille anname allalaadimiseks.
Olemasolev dokumentatsioon on inglise keeles. Ma pole leidnud kummagi varem soovitatud tõlke hispaania keelde.
Kõik selles sissejuhatuses kirjutatu on võetud Vikipeediast või tõlgitud vabalt hispaania keelde eespool nimetatud dokumentidest.
Eks me näe:
- Kokkuvõtlik määratlus
- LDAP põhifunktsioonid kasutaja vaatenurgast
- Millal peaksime kasutama LDAP-i?
- Millal me ei peaks LDAP-i kasutama?
- Milliseid teenuseid ja tarkvara plaanime installida ja konfigureerida?
Kokkuvõtlik määratlus
Vikipeediast:
LDAP on akenüüm Lightweight Directory Access Protocol (hispaania keeles Lightweight Directory Access Protocol), mis viitab rakendustaseme protokollile, mis võimaldab juurdepääsu tellitud ja hajutatud kataloogiteenusele mitmesuguse teabe otsimiseks võrgukeskkonnas. LDAP-d peetakse ka andmebaasiks (kuigi selle salvestussüsteem võib olla erinev), mida saab pärida.
Kataloog on objektide kogum, mille atribuudid on korraldatud loogiliselt ja hierarhiliselt. Kõige tavalisem näide on telefonikataloog, mis koosneb tähestiku järjekorras olevast nimede (isikute või organisatsioonide) reast, kusjuures iga nime külge on lisatud aadress ja telefoninumber. Selle paremaks mõistmiseks on see raamat või kaust, kuhu on kirjutatud inimeste nimed, telefoninumbrid ja aadressid ning see on paigutatud tähestiku järgi.
LDAP kataloogipuu peegeldab mõnikord erinevaid poliitilisi, geograafilisi või organisatsioonilisi piire, olenevalt valitud mudelist. Praegused LDAP-juurutused kasutavad hierarhia kõrgemate tasandite struktureerimiseks domeeninimede süsteemi (DNS) nimesid. Kataloogi alla kerides võivad ilmuda kirjed, mis esindavad inimesi, organisatsiooniüksusi, printereid, dokumente, inimrühmi või kõike muud, mis tähistab puul antud kirjet (või mitut kirjet).
Tavaliselt salvestab see autentimisteabe (kasutajanime ja parooli) ning seda kasutatakse autentimiseks, kuigi on võimalik salvestada ka muud teavet (kasutaja kontaktandmed, erinevate võrguressursside asukoht, load, sertifikaadid jne). Kokkuvõtteks võib öelda, et LDAP on ühtne juurdepääsuprotokoll võrgus oleva teabe komplektile.
Praegune versioon on LDAPv3 ja see on määratletud RFC-des RFC 2251 ja RFC 2256 (LDAP-alusdokument), RFC 2829 (LDAP-i autentimismeetod), RFC 2830 (TLS-i laiendus) ja RFC 3377 (tehniline spetsifikatsioon).
Mõned LDAP-rakendused:
Active Directory: on nimi, mida Microsoft (alates Windows 2000) kasutab oma haldusdomeenide jaoks tsentraliseeritud teabehoidlana. Kataloogiteenus on struktureeritud hoidla, mis sisaldab teavet Active Directory mitmesuguste objektide kohta. Sel juhul võivad need olla printerid, kasutajad, arvutid ... See kasutab erinevaid protokolle (peamiselt LDAP, DNS, DHCP, Kerberos...).
Selle nime all on tegelikult skeem (väljade määratlus, mida saab vaadata) LDAP-i versioon 3, mis võimaldab integreerida muid protokolli toetavaid süsteeme. See LDAP salvestab teavet kasutajate, võrguressursside, turbepoliitikate, konfiguratsiooni, lubade määramise jms kohta.
Novelli kataloogiteenusedTuntud ka kui e-kataloog, on see Novelli rakendus, mida kasutatakse võrgus olevate serverite ja arvutite ressurssidele juurdepääsu haldamiseks. Põhimõtteliselt koosneb see hierarhilisest ja objektorienteeritud andmebaasist, mis esindab iga serverit, arvutit, printerit, teenust, inimesi jne. Mille vahel luuakse pärimise kaudu juurdepääsukontrolli load. Selle rakenduse eeliseks on see, et see töötab mitmel platvormil, nii et seda saab hõlpsasti kohandada keskkondades, mis kasutavad rohkem kui ühte opsüsteemi.
See on kataloogistruktuuride eelkäija, kuna see võeti kasutusele 1990. aastal Novell Netware 4.0 versiooniga. Kuigi Microsofti AD-de populaarsus on kasvanud, ei suuda see siiski eDirectory usaldusväärsust ja kvaliteeti ning platvormidevahelisi võimalusi võrrelda.
OpenLDAP: See on protokolli tasuta rakendus, mis toetab mitut skeemi, nii et seda saab kasutada ühenduse loomiseks mis tahes muu LDAP-ga. Sellel on oma litsents, OpenLDAP Public License. Kuna tegemist on platvormist sõltumatu protokolliga, sisaldavad seda mitmed GNU / Linuxi ja BSD jaotused, nagu ka AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) ja z / OS.
OpenLDAP-l on neli põhikomponenti:
- slapd - iseseisev LDAP-deemon.
- slurpd - iseseisev LDAP-i värskenduste replikatsiooni deemon.
- LDAP-protokoll toetab raamatukogu rutiine
- Utiliidid, tööriistad ja kliendid.
LDAP põhifunktsioonid kasutaja vaatenurgast
Millist teavet saame kataloogi salvestada?. LDAP-kataloogi infomudel põhineb piletid. Kirje on atribuutide kogu, millel on üks eristatav nimi või "eristatav nimi (DN)". DN-d kasutatakse kirjele ainulaadselt viitamiseks.
Igal kirje atribuudil on a tüüp ja üks või mitu Valores. Tüübid on tavaliselt mnemoonilised stringid cn o "Üldnimi" üldnimede jaoks või post e-posti aadresside jaoks. Väärtuste süntaks sõltub atribuudi tüübist.
Näiteks atribuut cn võib sisaldada väärtust Frodo bagins. Atribuut post saab julgust frodobagins@amigos.cu. Atribuut jpgeFoto võib sisaldada kahendformaadis fotot JPEG.
Kuidas teave on korraldatud?. LDAP-s on kataloogikirjed hierarhilises struktuuris korraldatud ümberpööratud puu kujul. Traditsiooniliselt peegeldab see struktuur geograafilisi ja / või organisatsioonilisi piire või piire.
Riiki esindavad kanded kuvatakse puu otsas. Nende all on osariike ja rahvuslikke organisatsioone esindavad kanded.
Siis võivad olla kirjed, mis esindavad organisatsiooni üksusi, inimesi, printereid, dokumente või mida iganes muud me suudame välja mõelda.
Allolev joonis on näide LDAP-kataloogipuust, milles kasutatakse traditsioonilisi nimesid.
LDAP võimaldab kontrollida, milliseid atribuute me kirjele vajame, kasutades selleks spetsiaalset atribuuti objektiklass. Atribuudi väärtus objektiklass määrab Skeemi reeglid o Skeemireeglid et sisend peab kuuletuma.
Kuidas viidata teabele?. Viitame kirjele selle eristatava nime või järgi Tunnustatud nimi, mis on konstrueeritud kirje enda nimest (nn Distinguished Relative Name või Suhteline eristatav nimi o RDN), mis on ühendatud esivanemate või esivanemate kannete nimega.
Näiteks ülaltoodud joonisel on Frodo Baginsil a RDN cn = Frodo Bagins ja DN täielik on cn = Frodo Bagins, ou = Sõrmused, o = Sõbrad, st = Havana, c = cu.
Kuidas me teabele juurde pääseme?. LDAP on määranud kataloogi küsimiseks ja värskendamiseks vajalikud toimingud. Nende hulka kuuluvad kirje lisamise ja kustutamise toimingud, olemasoleva kirje muutmine ja kirje nime muutmine.
Enamasti kasutatakse LDAP-i kataloogis oleva teabe otsimiseks. Otsingutoimingud võimaldavad otsida kataloogist osa kirjeid, mis vastavad mõnele otsingufiltris täpsustatud kriteeriumile. Nii saame otsida igast kirjest, mis vastasid otsingukriteeriumidele.
Kuidas kaitsta teavet volitamata juurdepääsu eest?. Mõni kataloogiteenus on kaitsmata ja võimaldab kõigil teie teavet vaadata.
LDAP pakub klientidele mehhanismi oma teenuse autentimiseks või identiteedi kinnitamiseks, et tagada juurdepääsu kontroll serveri sisaldava teabe kaitsmiseks.
LDAP toetab ka andmeturbe teenuseid, seda nii terviklikkuse kui ka konfidentsiaalsuse osas.
Millal peaksime kasutama LDAP-i?
See on väga hea küsimus. Üldiselt peame kasutama kataloogiteenust, kui vajame teabe keskset salvestamist ja haldamist ning standardipõhiste meetodite kaudu juurdepääsu.
Mõned näited teabe tüübist, mille leiame äri- ja tööstuskeskkonnast:
- Masina autentimine
- Kasutaja autentimine
- Süsteemi kasutajad ja rühmad
- Aadressiraamat
- Organisatsioonilised esindused
- Ressursside jälgimine
- Telefoniteabe ladu
- Kasutaja ressursside haldamine
- E-posti aadressi otsing
- Rakenduse seadete pood
- PBX-telefonijaama konfiguratsioonide ladu
- jne…
Hajutatud skeemifaile on mitu -Jaotatud skeemide failid- standarditel põhinev. Kuid me saame alati luua oma skeemi spetsifikatsiooni ... kui oleme LDAP eksperdid. 🙂
Millal me ei peaks LDAP-i kasutama?
Kui saame aru, et oleme väänamine või sundides meie LDAP-d tegema seda, mida vajame. Sel juhul võib tekkida vajadus seda ümber kujundada. Või kui vajame oma andmete kasutamiseks ja manipuleerimiseks ühte rakendust.
Milliseid teenuseid ja tarkvara plaanime installida ja konfigureerida?
- Kataloogiteenus või Kataloogiteenus põhineb OpenLDAP
- teenused NTP, DNS y DHCP sõltumatu
- integreerima Samba LDAP-le
- Võimalik, et arendame välja selle integreerimise LDAP y Kerberos
- Hallake kataloogi veebirakendusega Ldap kontohaldur.
Ja see on see tänaseks, sõbrad!
Allikad, kellega konsulteeriti:
- https://wiki.debian.org/LDAP
- OpenLDAP Software 2.4 administraatori juhend
- Ubuntu 12.04 serveri juhend
Ma arvan, et FreeIPA on põhjalik projekt (LDAP, Kerberos, DNS jne), mida on huvitav uurida ja mis põhineb LDAP 389 serveril.
Alustuseks Pf-de liks ei tööta. Olen väga huvitatud enda harimisest ldapis. Aitäh jagamast.
Lingid parandatud.
Huvitav.
Sa läksid sinna veel kord!
Suur panus.
Kallistama! Paul.
Aitäh kõigile kommenteerimise eest !!! Ma ei saanud enne modemiga ühendust luua kiirusega 28000 baud / s. Millist kiirust. 🙂
Tervitused kõigile
Suur aitäh kõigile kommentaari eest !!!. Ozkar, FreeIPA on palju enamat kui LDAP. See integreerib Red Hat Active Directory 389 terve rea seotud teenustega. See on Fedora projektloom. Minu tagasihoidlike teadmiste jaoks liiga suur.
Suurepärane artikkel, see sobib mulle nagu kinnas, kuna plaanisin end nendes väljaannetes sisustada, ootan huviga uusi artikleid.
Suur aitäh jagamise eest, selle ja ClearOSiga, mis mul mõnda aega on have
Suurepärane õpetus, laadisin alla ka Ubunto raamatu, aitäh!
Ubuntu jejjeej olen ikka maganud ...
Kuigi te ei lugupidagi teie tööd, olen ma seda juba eespool lugenud ja kui sain kõigest väga halvasti või halvemini aru, saab sellest aru ka selles naljas:
«Aga kui minust saab open-ldap capo capo, arendan oma veebibrauserit ja google raputab!"
Täname pingutuste eest ja on valus, et hispaania keeles materjali pole. mmm ...
Fico, vaata, kas see hispaaniakeelne juhend aitab seda materjalile lisada ...
http://www.google.com.ar/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CEwQFjAD&url=http%3A%2F%2Felpuig.xeill.net%2Fdepartaments%2Finformatica%2Ffitxers%2Fsistemes-operatius%2Fcurso-de-ldap-en-gnu-linux%2Fat_download%2Ffile&ei=NwXgUrIOxLaRB4LHgYgG&usg=AFQjCNGj7BjNtzfdlu1gsl3YSWK1U1ELpw&sig2=aKABXgHookIGYhYXevUQew&bvm=bv.59568121,d.eW0
Nüüd natuke edasi liikudes loen edasi lehe postitusi https://blog.desdelinux.net/ldap-introduccion/ Ma sooviksin, et teeksite mulle veidi selgeks, mis viitab masina autentimisele, see punkt pole mulle selge ja ma olen sellest OpenLdapist väga vaimustuses, ma olen juba mitu tundi seda blogi lugenud, kuid ma tahan, et saaksin teemad valdada kontseptsioonid sel põhjusel on minu sekkumine teie tegevustesse juba ette tänatud, härra Fico, jätkame kontaktidega