LDAP: Кириш сөз

Салам достор!. Биз пайдалуу болот деп үмүттөнгөн макалалардын жаңы сериясын баштайбыз. Биз аларды эмне менен иштээрин билип, толугу менен менчик программалык камсыздоосуна көз карандысыз өз алдынча жүзөгө ашырууну каалагандар үчүн же жарымы эркин жана жарымы коммерциялык үчүн жазууну чечтик.

Милдеттүү окуу болуп саналат OpenLDAP Software 2.4 Администратордун колдонмосу. Ооба, англис тилинде, анткени биз Шекспирдин тилинде жазылган жана жазылган программаны колдонуп жатабыз. 🙂 Ошондой эле, окуп чыгууну сунуштайбыз Ubuntu Server Guide 12.04., биз жүктөө үчүн берген.

Учурдагы документтер англис тилинде. Мурда сунуш кылынган экөөнүн тең испан тилиндеги котормолорун тапкан жокмун.

Бул кириш сөздө жазылгандардын бардыгы Википедиядан алынган же жогоруда айтылган документтерден испан тилине эркин которулган.

Биз көрөбүз:

Кыскача аныктама

Википедиядан:

LDAP - Жеңил Каталогдорго Жеткиликтүүлүк Протоколунун кыскартылышы, бул тармактык чөйрөдө ар кандай маалыматтарды издөө үчүн буйрук кылынган жана бөлүштүрүлгөн каталог кызматына мүмкүнчүлүк берген колдонмонун деңгээлиндеги протоколду билдирет. LDAP ошондой эле суроо берилиши мүмкүн болгон маалымат базасы деп эсептелет (бирок анын сактоо тутуму башкача болушу мүмкүн).

Каталог - бул логикалык жана иерархиялык жол менен уюштурулган атрибуттары бар объектилердин жыйындысы. Эң кеңири таралган мисал катары, алфавит боюнча жайгаштырылган бир катар ысымдардан (адамдар же уюмдар) турган, ар бир аттын дареги жана телефон номери тиркелүүчү телефон каталогу келтирилген. Аны жакшыраак түшүнүш үчүн, ал китеп же папка, анда адамдардын аты-жөнү, телефон номерлери жана даректери жазылып, алфавит боюнча жайгаштырылган.

LDAP каталог дарагы кээде тандалган моделге жараша ар кандай саясий, географиялык же уюштуруу чектерин чагылдырат. Учурдагы LDAP жайгаштыруулары иерархиянын жогорку деңгээлин түзүүдө Домендик Аталыштар Системасы (DNS) аталыштарын колдонушат. Каталогду ылдый жылдырганда, адамдарды, уюштуруу бөлүмдөрүн, принтерлерди, документтерди, адамдардын топторун же дарактагы берилген жазууну чагылдырган нерселерди (же бир нече жазууларды) чагылдырган жазуулар пайда болушу мүмкүн.

Адатта, ал аутентификация жөнүндө маалыматты (колдонуучу жана пароль) сактайт жана аутентификация үчүн колдонулат, бирок башка маалыматты (колдонуучунун байланыш маалыматтары, ар кандай тармактык ресурстардын жайгашкан жери, уруксаттар, сертификаттар ж.б.) сактоо мүмкүн. Жыйынтыктап айтканда, LDAP - бул тармактагы маалыматтардын жыйындысына бирдиктүү мүмкүндүк алуу протоколу.

Учурдагы версия LDAPv3 жана ал RFC 2251 жана RFC 2256 (LDAP базалык документ), RFC 2829 (LDAP үчүн аутентификация ыкмасы), RFC 2830 (TLS үчүн кеңейтүү) жана RFC 3377 (техникалык мүнөздөмө) менен аныкталган.

Айрым LDAP программалары:

Active Directory: бул Microsoft тарабынан башкарылган домендердин бири үчүн борборлоштурулган маалыматтык дүкөн катары (Windows 2000-жылдан бери) колдонулган ат. Каталог кызматы - бул Активдик Каталогдо камтылган ар кандай объектилер жөнүндө маалыматтын структураланган сактагычы, бул учурда алар принтерлер, колдонуучулар, компьютерлер болушу мүмкүн ... Ал ар кандай протоколдорду колдонот (негизинен, LDAP, DNS, DHCP, Kerberos...).

Бул аталышта чындыгында схема бар (кеңешүүгө боло турган талаалардын аныктамасы), протоколду колдогон башка тутумдарды интеграциялоого мүмкүндүк берген LDAP 3-нускасы. Бул LDAP колдонуучулар, тармактык ресурстар, коопсуздук саясаты, конфигурациясы, уруксаттарды дайындоо ж.б. жөнүндө маалыматты сактайт.

Novell каталог кызматтарыEDirectory деп дагы белгилүү, бул ар кандай серверлердеги жана тармактардагы компьютерлердеги ресурстарга жеткиликтүүлүктү башкаруу үчүн колдонулган Novell программасы. Ал негизинен иерархиялык жана объектке багытталган маалыматтар базасынан турат, анда ар бир сервер, компьютер, принтер, кызмат, адамдар ж.б. Мураска алуу аркылуу, жеткиликтүүлүктү көзөмөлдөө үчүн уруксаттар түзүлгөн. Бул ишке ашыруунун артыкчылыгы, ал бир нече платформада иштейт, ошондуктан аны бир нече иштетүү тутумун колдонгон чөйрөлөргө оңой эле ыңгайлаштырып алса болот.

Бул Каталог структуралары боюнча алдыңкы орунду ээлейт, анткени 1990-жылы Novell Netware 4.0 версиясы менен киргизилген. Майкрософттун AD популярдуулугу өскөнүнө карабастан, eDirectory ишенимдүүлүгүнө жана сапатына жана анын Платформалардын мүмкүнчүлүктөрүнө дал келе албайт.

OpenLDAP: Бул ар кандай башка LDAP менен туташуу үчүн колдонула турган бир нече схемаларды колдогон протоколдун акысыз жүзөгө ашырылышы. Анын өзүнүн OpenLDAP Public License лицензиясы бар. Платформадан көз карандысыз протокол болгондуктан, бир нече GNU / Linux жана BSD дистрибьюторлору AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) жана z / OS сыяктуу камтыйт.

OpenLDAP төрт негизги компоненттен турат:

  • slapd - өз алдынча LDAP демону.
  • slurpd - Автономдуу LDAP жаңыртуу демону.
  • LDAP протоколу китепкана иш-аракеттерин колдойт
  • Коммуналдык кызматтар, шаймандар жана кардарлар.

Колдонуучунун көз карашынан алынган LDAP негизги өзгөчөлүктөрү

Каталогдо кандай маалыматты сактасак болот?. LDAP каталогундагы маалымат модели негизделген билеты. Киргизүү - бул уникалдуу айырмаланган ысымга же "Өзгөчө ысымга (DN)" ээ болгон атрибуттардын жыйындысы. DN жазуусу уникалдуу шилтеме берүү үчүн колдонулат.

Жазуунун ар бир атрибутунда а бар Түрү жана бир же бир нече баалуулуктар. Түрлөрү, эреже катары, мнемоникалык саптар cn o Жалпы аттар үчүн "Жалпы ысым" же почта электрондук почта даректери үчүн. Маанилердин синтаксиси атрибуттун түрүнө жараша болот.

Мисалы, атрибут cn маанисин камтышы мүмкүн Фродо Багинс. Атрибут почта кайраттуу болушу мүмкүн frodobagins@amigos.cu. Атрибут jpgePhoto экилик форматта сүрөт камтышы мүмкүн JPEG.

Маалымат кандайча уюштурулган?. LDAP программасында каталог жазуулары иерархиялык түзүмдө тескери дарак түрүндө уюштурулган. Адатта, бул түзүм географиялык жана / же уюштуруу чектерин же чектерин чагылдырат.

Бактын башында өлкөлөрдү чагылдырган жазуулар пайда болот. Алардын ылдый жагында мамлекеттердин жана улуттук уюмдардын өкүлчүлүктөрү болот.

Андан кийин уюштуруу бөлүмдөрүн, адамдарды, принтерлерди, документтерди же биз ойлогон башка нерселерди чагылдырган жазуулар болушу мүмкүн.

Төмөндөгү сүрөттө салттуу аталыштар колдонулган LDAP каталог дарагынын мисалы келтирилген.

Диаграмма1

LDAP деп аталган атайын атрибутту колдонуп, кайсы атрибуттар керек экендигин көзөмөлдөөгө мүмкүнчүлүк берет objectClass. Атрибуттун мааниси objectClass аныктайт Схеманын эрежелери o Схеманын эрежелери киргизүү баш ийиши керек деп.

Маалыматты кантип шилтеме кылабыз?. Биз анын айырмаланган аты же аты менен жазылган Урматтуу ысым, ал жазуунун аталышынан курулат (айырмаланган салыштырмалуу ысым же деп аталат Салыштырмалуу айырмаланган ысым o RDN), анын ата-бабаларынын же ата-бабаларынын жазууларынын аталышы менен айкалыштырылган.

Мисалы, жогорудагы сүрөттө Frodo Bagins жазуусу бар RDN cn = Фродо Багинс жана DN толук болуп саналат cn = Фродо Багинс, ou = Шакектер, o = Достор, st = Гавана, c = cu.

Маалыматты кантип алабыз?. LDAP каталогду суракка алуу жана жаңыртуу үчүн керектүү аракеттерди аныктады. Аларга жазууну кошуу жана жок кылуу, бар жазууну өзгөртүү жана жазуунун атын өзгөртүү операциялары кирет.

Бирок, көпчүлүк учурда LDAP каталогдо сакталган маалыматты издөө үчүн колдонулат. Издөө иш-аракеттери каталогдун бир бөлүгүн издөө чыпкасында көрсөтүлгөн айрым критерийлерге жооп берген жазууларды издөөгө мүмкүндүк берет. Ошентип издөө критерийлерине жооп берген ар бир жазууну издей алабыз.

Маалыматты уруксатсыз кирүүдөн кантип коргойбуз?. Айрым каталог кызматтары корголбогон жана сиздин маалыматыңызды каалаган адамдар көрө алышат.

LDAP кардарлар үчүн сервер камтылган маалыматты коргоо үчүн жеткиликтүүлүктү контролдоону кепилдөө максатында каталог кызматында аныктыгын тастыктаган же өздүгүн тастыктаган механизмди камсыз кылат.

LDAP маалыматтын коопсуздугун камсыз кылуу кызматын, ошондой эле кынтыксыздыкты камсыз кылат.

LDAPты качан колдонушубуз керек?

Бул абдан жакшы суроо. Жалпысынан, биз маалыматтарды борборлоштуруп сактоого жана башкарууга жана стандарттарга негизделген ыкмалар аркылуу жеткиликтүү болушубуз керек болгондо Каталог кызматын колдонушубуз керек.

Бизнесте жана өндүрүш чөйрөсүндө кездешкен маалыматтын түрлөрүнүн айрым мисалдары:

  • Машинанын аныктыгын текшерүү
  • Колдонуучунун аныктыгын текшерүү
  • Тутум колдонуучулары жана топтору
  • Дарек китеби
  • Уюштуруу өкүлчүлүктөрү
  • Ресурстук көз салуу
  • Телефон маалымат кампасы
  • Колдонуучунун ресурстарын башкаруу
  • Электрондук почта дарегин издөө
  • Колдонмо Орнотуулар Дүкөнү
  • АТС телефон заводунун конфигурациясынын кампасы
  • жана башкалар…

Бир нече бөлүштүрүлгөн схема файлдары бар -Таркатылган схемалар файлдары- стандарттарга негизделген. Бирок, биз ар дайым өзүбүздүн схема өзгөчөлүгүбүздү түзө алабыз ... биз LDAP эксперттери болгондо. 🙂

LDAPты качан колдонбошубуз керек?

Биз экенибизди түшүнгөндө буроо же LDAP программабызды керектүү нерселерди жасоого мажбурлоо менен. Мындай учурда аны кайрадан иштеп чыгуу керек болушу мүмкүн. Же болбосо, биздин маалыматтарды колдонуу жана иштетүү үчүн бир гана тиркеме керек болсо.

Кандай кызматтарды жана программаларды орнотуп, конфигурациялоону пландап жатабыз?

 

  • Каталог кызматы же Каталог кызматы негизинде OpenLDAP
  • кызмат NTP, DNS y DHCP көз каранды эмес
  • толук түзүү Самба LDAPка
  • Балким биз интеграциясын өнүктүрөбүз LDAP y Kerberos
  • Веб тиркеме менен Каталогду башкарыңыз Ldap эсеп менеджери.

Жана бул бүгүнкү күн үчүн, достор!

Маалымат булактары:

  • https://wiki.debian.org/LDAP
  • OpenLDAP Software 2.4 Администратордун колдонмосу
  • Ubuntu 12.04 сервердик колдонмо

Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

15 комментарий, өзүңүздүкүн калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт.

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   Оскар ал мындай деди:

    FreeIPA бул LDAP 389 серверинин негизинде изилдөөгө кызыктуу, ар тараптуу долбоор (LDAP, Kerberos, DNS ж.б.) деп ойлойм.

  2.   Guido rolon ал мындай деди:

    Баштай Pfs жаккан жок иштебейт. Мен лдапта өзүмдү-өзүм тарбиялоого абдан кызыкдармын. Бөлүшкөнүңүз үчүн рахмат.

    1.    элав ал мындай деди:

      Шилтемелер оңдолду.

  3.   eliotime3000 ал мындай деди:

    Кызыктуу.

  4.   Келгиле, Linuxту колдонобуз ал мындай деди:

    Ал жакка дагы бир жолу бардыңыз!
    Улуу салым.
    Кучакта! Пабыл.

  5.   Federico ал мындай деди:

    Комментарий бергениңиздерге рахмат !!! Буга чейин модемим менен 28000 ылдамдыкта / секундада байланыша алган жокмун. Кандай ылдамдык. 🙂
    баарына салам

  6.   Federico ал мындай деди:

    Комментарий үчүн баарыңыздарга чоң рахмат !!!. Озкар, FreeIPA LDAPдан алда канча көп нерсе. Бул Red Hat Active Directory 389 байланышкан кызматтардын бир катар менен бириктирет. Бул Fedora долбоору жаныбар. Менин жөнөкөй билимим үчүн өтө чоң.

  7.   TheSandman86 ал мындай деди:

    Мыкты макала, ал мага мээлейдей жарашат, анткени ушул маселелерде өзүмдү өзүмдөштүрүүнү пландап жаткам, жаңы макалаларды чыдамсыздык менен күтөм.

  8.   Мираж ал мындай деди:

    Бөлүшкөнүңүз үчүн чоң рахмат, мен жана ClearOS менен бир аз убакытка ээ болдум with

  9.   vidagnu ал мындай деди:

    Мыкты окуу куралы, мен Ubunto китебин жүктөп алдым, рахмат!

    1.    vidagnu ал мындай деди:

      Ubuntu jejjeej Мен дагы деле уктап жатам ...

  10.   айлуу ал мындай деди:

    Сиздин эмгегиңизди сыйлабасам дагы, мен жогоруда окуп чыктым жана эгер мен бардыгын өтө начар же жакшы түшүнбөсөм, анда бул тамаша аркылуу түшүнүүгө болот:
    "Бирок мен ачык-лдаптын капо капосу болуп калсам, анда веб браузеримди жана google shakesти өнүктүрөм!"

    1.    айлуу ал мындай деди:

      Аракетиңиз үчүн рахмат, испан тилинде эч кандай материал жок экени капа кылат. ммм ...

  11.   эдгар ал мындай деди:

    Эми бир аз алдыга жылсам, мен баракчадагы билдирүүлөрдү окуй берем https://blog.desdelinux.net/ldap-introduccion/ Мага Машинанын Аутентификациясы деген эмне экендигин бир аз түшүндүрүп беришиңизди каалайм, бул нерсе мен үчүн түшүнүксүз жана мен OpenLdap программасына аябай ынтызармын, буга чейин бир нече саат ушул блогду окугам, бирок темаларды жакшы өздөштүргүм келет. Ушул себептен сиздин иш-аракеттериңизге кийлигишүүм алдын ала, Фико мырзага терең ыраазычылыгыбызды билдиребиз

bool(чын)