LDAP: Johdanto

Hei ystävät!. Aloitamme uuden artikkelisarjan, josta toivomme olevan hyötyä. Olemme päättäneet kirjoittaa ne niille, jotka haluavat tietää, minkä kanssa he työskentelevät, ja tehdä omat toteutuksensa riippumatta täysin omistetuista ohjelmista tai puoliksi ilmaisista ja puoliksi kaupallisista ohjelmistoista.

Vaadittu lukema on OpenLDAP Software 2.4 -järjestelmänvalvojan opas. Kyllä, englanniksi, koska käytämme ohjelmistoa, joka on suunniteltu ja kirjoitettu Shakespearen kielellä. 🙂 Suosittelemme myös, että luet Ubuntu-palvelinopas 12.04., jonka annamme ladattavaksi.

Nykyinen dokumentaatio on englanniksi. En ole löytänyt kummankaan aiemmin suositellun käännöksiä espanjaksi.

Kaikki tässä johdannossa kirjoitettu on otettu Wikipediasta tai käännetty vapaasti espanjaksi edellä mainituista asiakirjoista.

Nähdään:

• Yhteenveto määritelmä
• LDAP-pääominaisuudet käyttäjän näkökulmasta
• Milloin meidän pitäisi käyttää LDAP: tä?
• Milloin emme saa käyttää LDAP: tä?
• Mitä palveluja ja ohjelmistoja aiomme asentaa ja määrittää?

Yhteenveto määritelmä

Wikipediasta:

LDAP on lyhenne sanoista Lightweight Directory Access Protocol (espanjaksi Lightweight Directory Access Protocol), joka viittaa sovellustason protokollaan, joka sallii pääsyn tilattuun ja hajautettuun hakemistopalveluun etsimään erilaisia ​​tietoja verkkoympäristöstä . LDAP: tä pidetään myös tietokantana (vaikka sen tallennusjärjestelmä voi olla erilainen), josta voidaan kysyä.

Hakemisto on joukko objekteja, joiden määritteet on järjestetty loogisesti ja hierarkkisesti. Yleisin esimerkki on puhelinluettelo, joka koostuu sarjasta nimiä (henkilöitä tai organisaatioita), jotka on järjestetty aakkosjärjestyksessä, ja jokaisella nimellä on osoite ja puhelinnumero. Parempaa ymmärtämistä varten se on kirja tai kansio, johon kirjoitetaan ihmisten nimet, puhelinnumerot ja osoitteet, ja se on järjestetty aakkosjärjestykseen.

LDAP-hakemistopuu heijastaa joskus erilaisia ​​poliittisia, maantieteellisiä tai organisatorisia rajoja valitusta mallista riippuen. LDAP: n nykyiset asennukset käyttävät yleensä DNS (Domain Name System) -nimiä hierarkian ylempien tasojen rakentamiseen. Kun vierität hakemistoa alas, näkyviin voi tulla merkintöjä, jotka edustavat ihmisiä, organisaatioyksiköitä, tulostimia, asiakirjoja, ihmisryhmiä tai mitä tahansa, joka edustaa tiettyä merkintää puussa (tai useita merkintöjä).

Yleensä se tallentaa todennustiedot (käyttäjä ja salasana) ja sitä käytetään todennukseen, vaikka on mahdollista tallentaa muita tietoja (käyttäjän yhteystiedot, erilaisten verkkoresurssien sijainti, käyttöoikeudet, varmenteet jne.). Yhteenvetona voidaan todeta, että LDAP on yhtenäinen pääsyprotokolla verkon tietojoukolle.

Nykyinen versio on LDAPv3, ja se on määritelty RFC: ssä RFC 2251 ja RFC 2256 (LDAP-perusasiakirja), RFC 2829 (todennustapa LDAP: lle), RFC 2830 (laajennus TLS: lle) ja RFC 3377 (tekninen erittely) .

Jotkut LDAP-toteutukset:

Active Directory: on nimi, jota Microsoft käyttää (Windows 2000: sta lähtien) keskitettynä tietovarastona yhdelle hallintotunnuksestaan. Hakemistopalvelu on jäsennelty tietovarasto Active Directoryn eri objekteista, tässä tapauksessa ne voivat olla tulostimia, käyttäjiä, tietokoneita ... Se käyttää erilaisia ​​protokollia (lähinnä LDAP, DNS, DHCP, Kerberos...).

Tämän nimen alla on oikeastaan ​​kaava (määriteltävissä olevat kentät) LDAP-versio 3, joka mahdollistaa muiden protokollaa tukevien järjestelmien integroinnin. Tämä LDAP tallentaa tietoja käyttäjistä, verkkoresursseista, suojauskäytännöistä, määrityksistä, käyttöoikeuksien määrityksistä jne.

Novell-hakemistopalvelutSe tunnetaan myös nimellä eDirectory, ja se on Novell-toteutus, jota käytetään verkon eri palvelimien ja tietokoneiden resurssien käytön hallintaan. Se koostuu periaatteessa hierarkkisesta ja olio-tietokannasta, joka edustaa kutakin palvelinta, tietokonetta, tulostinta, palvelua, ihmisiä jne. joiden välillä käyttöoikeudet luodaan käyttöoikeuksien hallintaan perimisen kautta. Tämän toteutuksen etuna on, että se toimii useilla alustoilla, joten se voidaan helposti mukauttaa ympäristöihin, joissa käytetään useampaa kuin yhtä käyttöjärjestelmää.

Se on edelläkävijä hakemistorakenteissa, koska se otettiin käyttöön vuonna 1990 Novell Netware 4.0 -versiolla. Vaikka Microsoft AD: n suosio on kasvanut, se ei silti pysty vastaamaan eDirectoryn luotettavuutta ja laatua eikä sen Cross-Platform-ominaisuuksia.

OpenLDAP: Se on protokollan ilmainen toteutus, joka tukee useita malleja, joten sitä voidaan käyttää yhteyden muodostamiseen mihin tahansa muuhun LDAP: hen. Sillä on oma lisenssi, OpenLDAP Public License. Koska se on alustasta riippumaton protokolla, useat GNU / Linux- ja BSD-jakelut sisältävät sen, samoin kuin AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) ja z / OS.

OpenLDAP: lla on neljä pääkomponenttia:

• slapd - itsenäinen LDAP-demoni.
• slurpd - itsenäinen LDAP-päivityksen replikointidemon.
• LDAP-protokolla tukee kirjastorutiineja
• Apuohjelmat, työkalut ja asiakkaat.

LDAP-pääominaisuudet käyttäjän näkökulmasta

Millaisia ​​tietoja voimme tallentaa hakemistoon?. LDAP-hakemiston tietomalli perustuu liput. Merkintä on attribuuttikokoelma, jolla on yksilöllinen erottuva nimi tai "erottuva nimi (DN)". DN: ää käytetään viittaamaan merkintään yksiselitteisesti.

Jokaisella merkinnän attribuutilla on tyyppi ja yksi tai useampi Valores. Tyypit ovat tyypillisesti muistilehtiöitä, kuten cn o "Yleisnimi" yleisnimille, tai posti sähköpostiosoitteille. Arvojen syntakse riippuu määritteen tyypistä.

Esimerkiksi attribuutti cn voi sisältää arvon Frodo bagins. Attribuutti posti voi olla rohkeutta frodobagins@amigos.cu. Attribuutti jpgeKuva voi sisältää valokuvan binaarimuodossa JPEG.

Kuinka tiedot järjestetään?. LDAP: ssä hakemistomerkinnät on järjestetty hierarkkiseen rakenteeseen käännetyn puun muodossa. Perinteisesti tämä rakenne heijastaa maantieteellisiä ja / tai organisaation rajoja tai rajoituksia.

Maita edustavat merkinnät näkyvät puun yläosassa. Niiden alapuolella on valtioita ja kansallisia järjestöjä edustavia merkintöjä.

Sitten voi olla merkintöjä, jotka edustavat organisaatioyksiköitä, ihmisiä, tulostimia, asiakirjoja tai mitä tahansa muuta voimme ajatella.

Seuraava kuva on esimerkki LDAP-hakemistopuusta, jossa käytetään perinteisiä nimiä.

LDAP mahdollistaa sen, mitä merkintöjä tarvitsemme merkinnälle, käyttämällä erityistä määritettä nimeltä objektiluokka. Määritteen arvo objektiluokka määrittää Järjestelmän säännöt o Järjestelmän säännöt että syötteen on totteltava.

Kuinka viittaamme tietoihin?. Viittaamme merkintään sen erottuvalla nimellä tai Tunnettu nimi, joka on muodostettu itse merkinnän nimestä (nimeltään Distinguished Relative Name tai Suhteellinen erottuva nimi o RDN), liitetty esivanhempiensa tai esi-isiensä merkintöjen nimiin.

Esimerkiksi yllä olevan kuvan kohdalla Frodo Baginsilla on RDN cn = Frodo Bagins ja DN täydellinen on cn = Frodo Bagins, ou = renkaat, o = ystävät, st = Havana, c = cu.

Kuinka pääsemme tietoihin?. LDAP on määritellyt toiminnot, joita tarvitaan hakemiston kyselyyn ja päivittämiseen. Näitä ovat merkinnän lisääminen ja poistaminen, olemassa olevan merkinnän muokkaaminen ja merkinnän uudelleennimeäminen.

LDAP: tä käytetään kuitenkin yleensä hakemistoon tallennettujen tietojen etsimiseen. Hakutoiminnot sallivat osan hakemistosta hakea merkintöjä, jotka täyttävät jotkut hakusuodattimessa määritellyt ehdot. Tällä tavoin voimme etsiä kutakin hakukriteerit täyttävää merkintää.

Kuinka suojaamme tietoja luvattomalta käytöltä?. Jotkut hakemistopalvelut ovat suojaamattomia, ja niiden avulla kuka tahansa voi tarkastella tietojasi.

LDAP tarjoaa asiakkaille mekanismin todentaa tai vahvistaa henkilöllisyytensä hakemistopalvelulle, jotta taataan pääsyn hallinta palvelimen sisältämien tietojen suojaamiseksi.

LDAP tukee myös tietoturvapalveluja, sekä eheyden että luottamuksellisuuden suhteen.

Milloin meidän pitäisi käyttää LDAP: tä?

Tämä on erittäin hyvä kysymys. Yleensä meidän tulisi käyttää Hakemistopalvelua, kun tarvitsemme tietoja keskitetysti tallennettavaksi ja hallittavaksi sekä standardeihin perustuvien menetelmien saataville.

Joitakin esimerkkejä liike- ja teollisuusympäristöstä löydettävistä tiedoista:

• Koneen todennus
• Käyttäjän todennus
• Järjestelmän käyttäjät ja ryhmät
• Osoitekirja
• Organisaation edustukset
• Resurssien seuranta
• Puhelintietovarasto
• Käyttäjän resurssien hallinta
• Sähköpostiosoitehaku
• Sovelluksen määrityskauppa
• PBX-puhelinlaitoksen kokoonpanovarasto
• jne…

Hajautettuja skeematiedostoja on useita -Hajautetut kaaviotiedostot- standardeihin perustuva. Voimme kuitenkin aina luoda oman skeemamäärittelymme ... kun olemme LDAP-asiantuntijoita. 🙂

Milloin emme saa käyttää LDAP: tä?

Kun tajuamme olevamme kiertämällä tai pakottamalla LDAP: n tekemään mitä tarvitsemme. Siinä tapauksessa se on ehkä suunniteltava uudelleen. Tai jos tarvitsemme yhden sovelluksen tietojen käyttämiseen ja käsittelyyn.

Mitä palveluja ja ohjelmistoja aiomme asentaa ja määrittää?

• Hakemistopalvelu tai Hakemistopalvelu perustuu OpenLDAP
• palvelut NTP, DNS y DHCP itsenäinen
• yhdistää Samba LDAP: lle
• Mahdollisesti kehitämme LDAP y Kerberos
• Hallinnoi hakemistoa verkkosovelluksella Ldap-tilipäällikkö.

Ja tämä on tänään, ystävät!

Lähteet, joita on kuultu:

• https://wiki.debian.org/LDAP
• OpenLDAP Software 2.4 -järjestelmänvalvojan opas
• Ubuntu 12.04 -palvelinopas