Pozdrav prijatelji!. Pokrećemo novu seriju članaka za koje se nadamo da će biti korisni. Odlučili smo ih napisati za one koji vole znati s čime rade i samostalno implementirati, neovisno o potpuno zaštićenom softveru, ili onima koji su napola besplatni, a napola komercijalni.
Obavezna literatura je OpenLDAP Software 2.4 Administratorski vodič. Da, na engleskom, jer koristimo softver dizajniran i napisan na jeziku Shakespearea. 🙂 Također toplo preporučujemo čitanje Vodič za Ubuntu poslužitelj 12.04., koju dajemo na preuzimanje.
Postojeća dokumentacija je na engleskom jeziku. Nisam našao španjolski prijevod niti jednog od dva prethodno preporučena.
Sve napisano u ovom uvodu preuzeto je s Wikipedije ili slobodno prevedeno na španjolski iz gore spomenutih dokumenata.
Vidjet ćemo:
- Sažetak definicije
- Ključne značajke LDAP-a iz perspektive korisnika
- Kada bismo trebali koristiti LDAP?
- Kada ne bismo trebali koristiti LDAP?
- Koje usluge i softver planiramo instalirati i konfigurirati?
Sažetak definicije
S Wikipedije:
LDAP je kratica za Lightweight Directory Access Protocol (na španjolskom Lightweight Directory Access Protocol) koji se odnosi na protokol na razini aplikacije koji omogućuje pristup uređenim i distribuiranim uslugama direktorija za traženje različitih informacija u mrežnom okruženju . LDAP se također smatra bazom podataka (iako se njegov sustav za pohranu može razlikovati) koja se može podvrgnuti ispitivanju.
Direktorij je skup objekata s atributima organiziranim na logičan i hijerarhijski način. Najčešći je primjer telefonski imenik koji se sastoji od niza imena (osoba ili organizacija) poredanih po abecedi, uz svako ime uz adresu i telefonski broj. Da bismo bolje razumjeli, to je knjiga ili mapa, u koju su upisana imena, telefonski brojevi i adrese ljudi, a poredani su po abecedi.
Stablo LDAP direktorija ponekad odražava različite političke, zemljopisne ili organizacijske granice, ovisno o odabranom modelu. Trenutne LDAP-ove implementacije obično koriste imena sustava domena (DNS) za strukturiranje viših razina hijerarhije. Dok se pomičete prema dolje po direktoriju, mogu se pojaviti unosi koji predstavljaju ljude, organizacijske jedinice, pisače, dokumente, skupine ljudi ili bilo što drugo što predstavlja zadani unos u stablu (ili više unosa).
Obično pohranjuje podatke za provjeru autentičnosti (korisničko ime i lozinka) i koristi se za provjeru autentičnosti, iako je moguće pohraniti i druge podatke (podaci o kontaktima korisnika, mjesto različitih mrežnih resursa, dozvole, certifikati itd.) Ukratko, LDAP je objedinjeni protokol pristupa skupu podataka na mreži.
Trenutna verzija je LDAPv3, a definirana je u RFC-ima RFC 2251 i RFC 2256 (osnovni dokument LDAP-a), RFC 2829 (metoda provjere autentičnosti za LDAP), RFC 2830 (proširenje za TLS) i RFC 3377 (tehnička specifikacija).
Neke implementacije LDAP-a:
Active Directory: naziv je koji koristi Microsoft (od Windows 2000) kao centralizirano spremište podataka za jednu od svojih domena upravljanja. Usluga direktorija strukturirano je spremište podataka o različitim objektima sadržanim u Active Directoryu, u ovom slučaju to mogu biti pisači, korisnici, računala ... Koristi različite protokole (uglavnom, LDAP, DNS, DHCP, Kerberos...).
Pod tim imenom zapravo postoji shema (definicija polja koja se mogu pregledati) LDAP verzija 3, koja omogućuje integraciju ostalih sustava koji podržavaju protokol. Ovaj LDAP pohranjuje informacije o korisnicima, mrežnim resursima, sigurnosnim politikama, konfiguraciji, dodjeli dozvola itd.
Usluge direktorija NovellTakođer poznat kao eDirectory, to je implementacija Novell koja se koristi za upravljanje pristupom resursima na različitim poslužiteljima i računalima u mreži. U osnovi se sastoji od hijerarhijske i objektno orijentirane baze podataka koja predstavlja svaki poslužitelj, računalo, pisač, uslugu, ljude itd. Između kojih se stvaraju dozvole za kontrolu pristupa nasljeđivanjem. Prednost ove implementacije je što se izvodi na više platformi, tako da se lako može prilagoditi okruženjima koja koriste više od jednog operativnog sustava.
Predvodnik je u pogledu struktura direktorija, jer je predstavljen 1990. godine s verzijom Novell Netware 4.0. Iako je Microsoftov AD postao sve popularniji, još uvijek se ne može mjeriti s pouzdanošću i kvalitetom eDirectory-a i njegovih mogućnosti na više platformi.
OpenLDAP: To je besplatna implementacija protokola koji podržava više shema tako da se može koristiti za povezivanje s bilo kojim drugim LDAP-om. Ima vlastitu licencu, OpenLDAP javnu licencu. Budući da je protokol neovisan o platformi, uključuje ga nekoliko distribucija GNU / Linux i BSD, kao i AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) i z / OS.
OpenLDAP ima četiri glavne komponente:
- slapd - samostalni LDAP demon.
- slurpd - Samostalni demon replikacije ažuriranja LDAP-a.
- Rutine biblioteke podržavaju LDAP protokol
- Uslužni programi, alati i klijenti.
Ključne značajke LDAP-a iz perspektive korisnika
Kakve podatke možemo pohraniti u direktorij?. Model informacija u LDAP direktoriju temelji se na ulaznice. Unos je zbirka atributa koja ima jedno istaknuto ime ili "Distinguished Name (DN)". DN se koristi za jedinstveno upućivanje na unos.
Svaki atribut unosa ima znak vrsta i jedan ili više njih valores. Tipovi su obično mnemotetičke žice poput cn o "Uobičajeni naziv" za uobičajena imena, ili pošta za adrese e-pošte. Sintaksa vrijednosti ovisi o vrsti atributa.
Na primjer, atribut cn može sadržavati vrijednost Frodo bagins. Atribut pošta mogu imati hrabrosti frodobagins@amigos.cu. Atribut jpgeFotografija može sadržavati fotografiju u binarnom formatu JPEG.
Kako su organizirane informacije?. U LDAP-u su unosi u direktorij organizirani u hijerarhijskoj strukturi u obliku obrnutog stabla. Tradicionalno, ova struktura odražava zemljopisne i / ili organizacijske granice ili ograničenja.
Napisi koji predstavljaju zemlje pojavljuju se na vrhu stabla. Ispod njih bit će unosi koji predstavljaju države i nacionalne organizacije.
Tada mogu postojati unosi koji predstavljaju organizacijske jedinice, ljude, tiskare, dokumente ili bilo što drugo čega se možemo sjetiti.
Donja slika je primjer stabla LDAP direktorija u kojem se koriste tradicionalni nazivi.
LDAP omogućuje kontrolu koji su nam atributi potrebni za unos pomoću posebnog atributa tzv objektna klasa. Vrijednost atributa objektna klasa određuje Pravila sheme o Pravila sheme da se ulaz mora pokoravati.
Kako se pozivamo na informacije?. Unos upućujemo na njegovo ugledno ime ili Ugledno ime, koji je izgrađen od naziva samog unosa (nazvan Distinguished Relative Name ili Relativno ugledno ime o RDN), povezan s imenom unosa njegovih predaka ili predaka.
Na primjer, na slici iznad unosa Frodo Bagins ima RDN cn = Frodo Bagins i DN kompletan je cn = Frodo Bagins, ou = Prstenovi, o = Prijatelji, st = Havana, c = cu.
Kako pristupamo informacijama?. LDAP je definirao operacije potrebne za ispitivanje i ažuriranje direktorija. To uključuje operacije dodavanja i brisanja unosa, modificiranja postojećeg unosa i preimenovanja unosa.
Međutim, većinu vremena LDAP koristi za traženje podataka pohranjenih u direktoriju. Operacije pretraživanja omogućuju traženje dijela direktorija za unose koji zadovoljavaju neke kriterije navedene u filtru pretraživanja. Na taj način možemo pretraživati svaki unos koji ispunjava kriterije pretraživanja.
Kako štitimo podatke od neovlaštenog pristupa?. Neke su usluge direktorija nezaštićene i omogućuju svima da vide vaše podatke.
LDAP pruža mehanizam kojim klijenti mogu provjeriti autentičnost ili potvrditi svoj identitet usluzi direktorija kako bi se zajamčila kontrola pristupa radi zaštite podataka koje poslužitelj sadrži.
LDAP također podržava usluge zaštite podataka, kako u pogledu integriteta tako i povjerljivosti.
Kada bismo trebali koristiti LDAP?
Ovo je vrlo dobro pitanje. Općenito, uslugu direktorija moramo koristiti kad nam trebaju informacije koje treba centralno pohranjivati i njima upravljati te biti dostupne metodama temeljenim na standardima.
Nekoliko primjera vrste informacija koje nalazimo u poslovnom i industrijskom okruženju:
- Provjera autentičnosti stroja
- Autentifikacija korisnika
- Korisnici i grupe sustava
- Adresar
- Organizacijska zastupanja
- Praćenje resursa
- Skladište telefonskih informacija
- Upravljanje korisničkim resursima
- Pretraživanje adrese e-pošte
- Pohrana konfiguracije aplikacije
- Skladište konfiguracija telefonskih centrala PBX-a
- itd ...
Postoji nekoliko distribuiranih datoteka sheme -Datoteke distribuiranih shema- temelje se na standardima. Međutim, uvijek možemo stvoriti vlastitu specifikaciju sheme ... kada smo stručnjaci za LDAP. 🙂
Kada ne bismo trebali koristiti LDAP?
Kad shvatimo da jesmo uvijanje ili prisiljavanjem našeg LDAP-a da radi ono što trebamo. U tom će slučaju možda trebati redizajnirati. Ili ako nam treba jedna aplikacija za upotrebu i upravljanje podacima.
Koje usluge i softver planiramo instalirati i konfigurirati?
- Usluga direktorija ili Usluga direktorija na temelju OpenLDAP
- usluge NTP, DNS y DHCP nezavisan
- integrirati Samba na LDAP
- Moguće je da ćemo razviti integraciju LDAP y Kerberos
- Upravljajte Direktorijom putem web aplikacije Ldap upravitelj računa.
I to je to za danas, prijatelji!
Savjetovani izvori:
- https://wiki.debian.org/LDAP
- OpenLDAP Software 2.4 Administratorski vodič
- Vodič za poslužitelje Ubuntu 12.04
Mislim da je FreeIPA sveobuhvatan projekt (LDAP, Kerberos, DNS, itd.) Zanimljiv za proučavanje, zasnovan na LDAP 389 poslužitelju.
Za početak sviđanja PFS-a ne rade. Jako sam zainteresiran za edukaciju iz LDAP-a. Hvala na dijeljenju.
Veze ispravljene.
Zanimljiv.
Otišli ste preko telefona, još jednom!
Veliki doprinos.
Zagrliti! Pavao.
Hvala svima na komentaru !!! Prije se nisam mogao povezati sa svojim modemom na 28000 baud / sekundi. Kakva brzina. 🙂
Pozdrav svima
Puno hvala svima na komentaru !!!. Ozkar, FreeIPA je puno više od LDAP-a. Integrira Red Hat Active Directory 389 s cijelim nizom povezanih usluga. To je projektna životinja Fedore. Prevelika za moje skromno znanje.
Izvrstan članak, odgovara mi poput rukavice jer sam se planirao internalizirati u ovim pitanjima, radujem se novim člancima.
Puno vam hvala na dijeljenju, uz to i ClearOS koji imam neko vrijeme 🙂
Izvrsna lekcija, preuzeo sam i knjigu Ubunto, hvala!
Ubuntu jejjeej Još uvijek spavam ...
Iako ne poštujem vaš rad, pročitao sam ga gore i ako sam sve shvatio vrlo loše ili manje dobro, to se može razumjeti u ovoj šali:
"Ali ako postanem capo capo open-ldap-a, razvijam svoj web preglednik i google shakeove!"
Hvala na trudu i boli što nema materijala na španjolskom. mmm ...
Fico, pogledaj služi li ovaj vodič na španjolskom za dodavanje u materijal ...
http://www.google.com.ar/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CEwQFjAD&url=http%3A%2F%2Felpuig.xeill.net%2Fdepartaments%2Finformatica%2Ffitxers%2Fsistemes-operatius%2Fcurso-de-ldap-en-gnu-linux%2Fat_download%2Ffile&ei=NwXgUrIOxLaRB4LHgYgG&usg=AFQjCNGj7BjNtzfdlu1gsl3YSWK1U1ELpw&sig2=aKABXgHookIGYhYXevUQew&bvm=bv.59568121,d.eW0
Sad pomalo napred, nastavljam čitati postove na stranici https://blog.desdelinux.net/ldap-introduccion/ Htio bih da mi malo pojasnite što se odnosi na Machine Authentication, ova mi točka nije jasna i jako sam oduševljen OpenLdapom. Već sam proveo nekoliko sati čitajući ovaj blog, ali želim biti u mogućnosti svladati teme i koncepti zbog toga moja intervencija u vašim aktivnostima unaprijed zahvaljujem puno gospodine Fico nastavljamo s kontaktnim pozdravom