LDAP：はじめに

皆さん、こんにちは！。 役立つことを願って、新しいシリーズの記事を始めています。 私たちは、彼らが何を扱っているのかを知りたい人のためにそれらを書き、完全に独自のソフトウェアに依存せずに独自の実装を作成すること、または半分無料で半分商用のものを作成することにしました。

必要な読み物は OpenLDAPソフトウェア2.4管理者ガイド。 はい、英語で。シェイクスピアの言語で設計および作成されたソフトウェアを使用しているためです。 🙂また、 Ubuntu サーバーガイド 12.04。、ダウンロード用に提供します。

既存のドキュメントは英語です。 以前に推奨されたXNUMXつのいずれかのスペイン語の翻訳は見つかりませんでした。

このイントロダクションに書かれているものはすべてウィキペディアから引用されているか、上記のドキュメントから自由にスペイン語に翻訳されています。

様子を見よう：

• 要約の定義
• ユーザーの観点から見たLDAPの主な機能
• LDAPはいつ使用する必要がありますか？
• LDAPを使用すべきでないのはいつですか？
• どのようなサービスとソフトウェアをインストールして構成する予定ですか？

要約の定義

ウィキペディアから：

LDAPは、Lightweight Directory Access Protocolの頭字語であり、ネットワーク環境でさまざまな情報を検索するために、順序付けられ分散されたディレクトリサービスにアクセスできるようにするアプリケーションレベルのプロトコルを指します。 。 LDAPは、照会可能なデータベースと見なされます（ただし、そのストレージシステムは異なる場合があります）。

ディレクトリは、論理的かつ階層的な方法で編成された属性を持つオブジェクトのセットです。 最も一般的な例は、アルファベット順に並べられた一連の名前（個人または組織）で構成され、各名前にアドレスと電話番号が付加された電話ディレクトリです。 わかりやすくするために、人の名前、電話番号、住所が書かれた本やフォルダーをアルファベット順に並べたものです。

LDAPディレクトリツリーは、選択したモデルに応じて、さまざまな政治的、地理的、または組織的な境界を反映する場合があります。 LDAPの現在の展開では、ドメインネームシステム（DNS）名を使用して、階層の上位レベルを構造化する傾向があります。 ディレクトリを下にスクロールすると、人、組織単位、プリンタ、ドキュメント、人のグループ、またはツリー内の特定のエントリ（または複数のエントリ）を表すエントリが表示される場合があります。

通常、認証情報（ユーザーとパスワード）を保存し、認証に使用されますが、他の情報（ユーザーの連絡先データ、さまざまなネットワークリソースの場所、アクセス許可、証明書など）を保存することもできます。 要約すると、LDAPは、ネットワーク上の一連の情報への統合アクセスプロトコルです。

現在のバージョンはLDAPv3であり、RFC RFC2251およびRFC2256（LDAPベースドキュメント）、RFC 2829（LDAPの認証方法）、RFC 2830（TLSの拡張）、およびRFC 3377（技術仕様）で定義されています。 。

いくつかのLDAP実装：

Active Directory：は、Microsoftが（Windows 2000以降）管理ドメインのXNUMXつの集中型インフォメーションストアとして使用している名前です。 ディレクトリサービスは、アクティブディレクトリに含まれるさまざまなオブジェクトに関する情報の構造化されたリポジトリです。この場合、それらはプリンタ、ユーザー、コンピュータなどです。さまざまなプロトコルを使用します（主に、 LDAP、DNS、DHCP、Kerberos...）。

この名前の下には、実際にはスキーマ（参照できるフィールドの定義）LDAPバージョン3があり、プロトコルをサポートする他のシステムの統合を可能にします。 このLDAPには、ユーザー、ネットワークリソース、セキュリティポリシー、構成、アクセス許可の割り当てなどに関する情報が格納されます。

ノベルディレクトリサービスeDirectoryとも呼ばれるNovellの実装は、ネットワーク上のさまざまなサーバーやコンピューター上のリソースへのアクセスを管理するために使用されます。 これは基本的に、各サーバー、コンピューター、プリンター、サービス、人などを表す階層的でオブジェクト指向のデータベースで構成されています。 継承を通じて、アクセス制御のためにアクセス許可が作成されます。 この実装の利点は、複数のプラットフォームで実行されるため、複数のオペレーティングシステムを使用する環境に簡単に適応できることです。

1990年にNovellNetware 4.0のバージョンで導入されたため、ディレクトリ構造の点で先駆者です。 MicrosoftのADの人気は高まっていますが、それでもeDirectoryとそのクロスプラットフォーム機能の信頼性と品質に匹敵するものはありません。

OpenLDAP：これは、複数のスキームをサポートするプロトコルの無料実装であるため、他のLDAPへの接続に使用できます。 独自のライセンスであるOpenLDAPパブリックライセンスがあります。 プラットフォームに依存しないプロトコルであるため、AIX、HP-UX、Mac OS X、Solaris、Windows（2000 / XP）、z / OSと同様に、いくつかのGNU / LinuxおよびBSDディストリビューションに含まれています。

OpenLDAPには、次のXNUMXつの主要コンポーネントがあります。

• slapd-スタンドアロンLDAPデーモン。
• slurpd-スタンドアロンLDAP更新レプリケーションデーモン。
• LDAPプロトコルサポートライブラリルーチン
• ユーティリティ、ツール、クライアント。

ユーザーの観点から見たLDAPの主な機能

ディレクトリにはどのような情報を保存できますか？。 LDAPディレクトリの情報モデルはに基づいています エントリー。 エントリは、一意の識別名または「識別名（DN）」を持つ属性のコレクションです。 DNは、エントリを一意に参照するために使用されます。

エントリの各属性には、 ティポ およびXNUMXつ以上 返り。 タイプは通常、次のようなニーモニック文字列です。 cn o一般名の場合は「一般名」、または 電子メール 電子メールアドレスの場合。 値の構文は、属性のタイプによって異なります。

たとえば、属性 cn の値を含めることができます フロドバギンズ。 属性 電子メール 勇気を持つことができます frodobagins@amigos.cu。 属性 jpge写真 バイナリ形式の写真を含めることができます JPEG.

情報はどのように整理されていますか？。 LDAPでは、ディレクトリエントリは、反転ツリーの形式で階層構造に編成されます。 伝統的に、この構造は地理的および/または組織の境界または制限を反映します。

国を表すエントリがツリーの上部に表示されます。 その下には、州や国の組織を表すエントリがあります。

次に、組織単位、人、プリンター、ドキュメント、またはその他の考えられるものを表すエントリが存在する場合があります。

次の図は、従来の名前が使用されているLDAPディレクトリツリーの例です。

LDAPでは、と呼ばれる特別な属性を使用して、エントリに必要な属性を制御できます。 オブジェクトクラス。 属性の値 オブジェクトクラス を決定します スキームルール o スキーマルール 入力が従わなければならないこと。

情報をどのように参照しますか？。 エントリを識別名または 識別名、エントリ自体の名前から構築されます（識別された相対名または 相対的な識別名 o RDN）、その祖先または祖先のエントリの名前と連結されます。

たとえば、上の図のエントリFrodoBaginsには RDN cn = Frodo Bagins と DN 完了は cn = Frodo Bagins、ou = Rings、o = Friends、st = Havana、c = cu.

情報にアクセスするにはどうすればよいですか？。 LDAPは、ディレクトリの調査と更新に必要な操作を定義しています。 これには、エントリの追加と削除、既存のエントリの変更、およびエントリの名前変更の操作が含まれます。

ただし、ほとんどの場合、LDAPはディレクトリに保存されている情報の検索に使用されます。 検索操作を使用すると、ディレクトリの一部で、検索フィルターで指定されたいくつかの条件を満たすエントリを検索できます。 そうすれば、検索条件を満たす各エントリを検索できます。

不正アクセスから情報を保護するにはどうすればよいですか？。 一部のディレクトリサービスは保護されておらず、誰でもあなたの情報を閲覧できます。

LDAPは、サーバーに含まれる情報を保護するためのアクセス制御を保証するために、クライアントがディレクトリサービスに対してクライアントのIDを認証または確認するためのメカニズムを提供します。

LDAPは、整合性と機密性の両方に関して、データセキュリティサービスもサポートします。

LDAPはいつ使用する必要がありますか？

これはとても良い質問です。 一般に、情報を一元的に保存および管理し、標準ベースの方法でアクセスできるようにする必要がある場合は、ディレクトリサービスを使用する必要があります。

私たちがビジネスおよび産業環境で見つける情報の種類のいくつかの例：

• マシン認証
• ユーザ認証
• システムユーザーとグループ
• 住所録
• 組織的表現
• リソース追跡
• 電話情報倉庫
• ユーザーリソース管理
• メールアドレス検索
• アプリケーション構成ストア
• PBX電話プラント構成倉庫
• 等…

いくつかの分散スキーマファイルがあります-分散スキーマファイル-標準ベース。 ただし、LDAPエキスパートの場合は、いつでも独自のスキーマ仕様を作成できます。 🙂

LDAPを使用すべきでないのはいつですか？

私たちが ねじれ または、LDAPに必要なことを強制することによって。 その場合、再設計が必要になる場合があります。 または、データを使用および操作するために単一のアプリケーションが必要な場合。

どのようなサービスとソフトウェアをインストールして構成する予定ですか？

• ディレクトリサービスまたは ディレクトリサービス に基づいて OpenLDAP
• サービス NTP, DNS y DHCP 独立した
• 積分する サンバ LDAPへ
• おそらく私たちはの統合を開発します LDAP y Kerberos
• Webアプリケーションでディレクトリを管理する Ldapアカウントマネージャー.

そして、これが今日の友達です！

相談した情報源：

• https://wiki.debian.org/LDAP
• OpenLDAPソフトウェア2.4管理者ガイド
• Ubuntu12.04サーバーガイド