LDAP: Ievads

Sveiki draugi!. Mēs sākam jaunu rakstu sēriju, kas, cerams, būs noderīga. Mēs esam nolēmuši tos uzrakstīt tiem, kam patīk zināt, ar ko viņi strādā, un paši ieviest tos, neatkarīgi no pilnībā patentētas programmatūras vai tiem, kas ir pa pusei bezmaksas un pa pusei komerciāli.

Obligātā lasāmviela ir OpenLDAP Software 2.4 Administratora rokasgrāmata. Jā, angļu valodā, jo mēs izmantojam programmatūru, kas izstrādāta un rakstīta Šekspīra valodā. 🙂 Mēs arī iesakām izlasīt Ubuntu ServerGuide 12.04., kuru mēs lejupielādējam.

Esošā dokumentācija ir angļu valodā. Es neesmu atradis neviena no diviem iepriekš ieteiktajiem tulkojumiem spāņu valodā.

Viss, kas rakstīts šajā ievadā, ir ņemts no Vikipēdijas vai brīvi tulkots spāņu valodā no iepriekš minētajiem dokumentiem.

Mēs redzēsim:

Kopsavilkuma definīcija

No Vikipēdijas:

LDAP ir saīsinājums no Lightweight Directory Access Protocol, kas attiecas uz protokolu lietojumprogrammas līmenī, kas ļauj piekļūt pasūtītam un sadalītam direktoriju pakalpojumam, lai tīkla vidē meklētu atšķirīgu informāciju. . LDAP tiek uzskatīta arī par datu bāzi (lai gan tās glabāšanas sistēma var būt atšķirīga), par kuru var jautāt.

Katalogs ir objektu kopa ar atribūtiem, kas sakārtoti loģiskā un hierarhiskā veidā. Visizplatītākais piemērs ir tālruņu katalogs, kas sastāv no vārdu (personu vai organizāciju) virknes, kas sakārtotas alfabētiskā secībā, katram vārdam pievienojot adresi un tālruņa numuru. Lai labāk saprastu, tā ir grāmata vai mape, kurā ir ierakstīti cilvēku vārdi, tālruņu numuri un adreses, un tā ir sakārtota alfabētiskā secībā.

LDAP direktoriju koks dažkārt atspoguļo dažādas politiskās, ģeogrāfiskās vai organizatoriskās robežas atkarībā no izvēlētā modeļa. Pašreizējās LDAP izvietojumos parasti tiek izmantoti domēna vārdu sistēmas (DNS) nosaukumi, lai strukturētu augstākos hierarhijas līmeņus. Pārvietojoties lejup pa direktoriju, var parādīties ieraksti, kas apzīmē cilvēkus, organizatoriskās vienības, printerus, dokumentus, cilvēku grupas vai jebko, kas apzīmē noteiktu ierakstu kokā (vai vairākos ierakstos).

Parasti tas glabā autentifikācijas informāciju (lietotāju un paroli) un tiek izmantots autentificēšanai, lai gan ir iespējams glabāt arī citu informāciju (lietotāja kontaktinformāciju, dažādu tīkla resursu atrašanās vietu, atļaujas, sertifikātus utt.). Kopumā LDAP ir vienots piekļuves protokols informācijas kopai tīklā.

Pašreizējā versija ir LDAPv3, un tā ir definēta RFC RFC 2251 un RFC 2256 (LDAP pamatdokuments), RFC 2829 (LDAP autentifikācijas metode), RFC 2830 (TLS paplašinājums) un RFC 3377 (tehniskā specifikācija) .

Daži LDAP ieviešanas gadījumi:

Active Directory: ir nosaukums, ko Microsoft (kopš Windows 2000) izmanto kā centralizētu informācijas krātuvi vienam no tā pārvaldības domēniem. Direktorija pakalpojums ir strukturēta informācijas krātuve par dažādiem objektiem, kas atrodas Active Directory, šajā gadījumā tie varētu būt printeri, lietotāji, datori ... Tas izmanto dažādus protokolus (galvenokārt, LDAP, DNS, DHCP, Kerberos...).

Zem šī nosaukuma faktiski ir shēma (to lauku definīcija, ar kuriem var iepazīties) LDAP 3. versija, kas ļauj integrēt citas sistēmas, kas atbalsta protokolu. Šajā LDAP tiek glabāta informācija par lietotājiem, tīkla resursiem, drošības politikām, konfigurāciju, atļauju piešķiršanu utt.

Novell direktoriju pakalpojumiPazīstams arī kā eDirectory ir Novell ieviešana, ko izmanto, lai pārvaldītu piekļuvi resursiem dažādos serveros un datoros tīklā. Būtībā to veido hierarhiska un objektorientēta datu bāze, kas pārstāv katru serveri, datoru, printeri, servisu, cilvēkus utt. Starp kurām tiek izveidotas piekļuves kontroles atļaujas, izmantojot mantojumu. Šīs ieviešanas priekšrocība ir tā, ka tā darbojas uz vairākām platformām, tāpēc to var viegli pielāgot videi, kurā tiek izmantotas vairākas operētājsistēmas.

Tas ir priekšgājējs direktoriju struktūru ziņā, jo tas tika ieviests 1990. gadā ar Novell Netware 4.0 versiju. Neskatoties uz to, ka Microsoft AD popularitāte ir pieaugusi, tā joprojām nevar salīdzināt eDirectory uzticamību un kvalitāti, kā arī tās starpplatformu iespējas.

OpenLDAP: Tā ir bezmaksas protokola ieviešana, kas atbalsta vairākas shēmas, lai to varētu izmantot, lai izveidotu savienojumu ar jebkuru citu LDAP. Tam ir sava licence - OpenLDAP publiskā licence. Tā kā protokols ir neatkarīgs no platformas, to iekļauj vairāki GNU / Linux un BSD izplatītāji, tāpat kā AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) un z / OS.

OpenLDAP ir četras galvenās sastāvdaļas:

  • slapd - atsevišķs LDAP dēmons.
  • slurpd - atsevišķs LDAP atjauninājumu dublēšanas dēmons.
  • LDAP protokols atbalsta bibliotēkas rutīnas
  • Komunālie pakalpojumi, rīki un klienti.

LDAP galvenās iezīmes no lietotāja viedokļa

Kādu informāciju mēs varam uzglabāt direktorijā?. Informācijas modelis LDAP direktorijā ir balstīts uz biļetes. Ieraksts ir atribūtu kopums, kuram ir unikāls atšķirīgais nosaukums vai "atšķirīgais nosaukums (DN)". DN tiek izmantots, lai unikāli atsauktos uz ierakstu.

Katram ieraksta atribūtam ir tips un viens vai vairāki Valores. Veidi parasti ir mnemotiskas virknes, piemēram cn o "Parastais nosaukums" parastajiem nosaukumiem, vai e-pasts e-pasta adresēm. Vērtību sintakse ir atkarīga no atribūta veida.

Piemēram, atribūts cn var saturēt vērtību Frodo bagins. Atribūts e-pasts var būt drosme frodobagins@amigos.cu. Atribūts jpgeFoto var saturēt fotoattēlu binārā formātā JPEG.

Kā tiek organizēta informācija?. LDAP direktoriju ieraksti ir sakārtoti hierarhiskā struktūrā apgriezta koka formā. Tradicionāli šī struktūra atspoguļo ģeogrāfiskās un / vai organizatoriskās robežas vai ierobežojumus.

Ieraksti, kas pārstāv valstis, parādās koka augšdaļā. Zem tiem būs ieraksti, kas pārstāv valstis un nacionālās organizācijas.

Tad var būt ieraksti, kas pārstāv organizatoriskās vienības, cilvēkus, printerus, dokumentus vai visu citu, ko mēs spējam iedomāties.

Zemāk redzamais attēls ir LDAP direktoriju koka piemērs, kurā tiek izmantoti tradicionālie nosaukumi.

1. diagramma

LDAP ļauj kontrolēt, kuri atribūti mums ir nepieciešami ierakstam, izmantojot īpašu atribūtu, ko sauc objectClass. Atribūta vērtība objectClass nosaka Shēmas noteikumi o Shēmas noteikumi ka ievadam ir jāpakļaujas.

Kā mēs atsaucamies uz informāciju?. Mēs atsaucamies uz ierakstu ar tā atšķirīgo nosaukumu vai Pazīstamais vārds, kas tiek veidots no paša ieraksta nosaukuma (saukts par atšķirīgo relatīvo nosaukumu vai Relatīvais atšķirīgais nosaukums o RDN), saīsināts ar senču vai senču ierakstu nosaukumiem.

Piemēram, attēlā virs ieraksta Frodo Bagins ir RDN cn = Frodo Bagins un DN pilnīgs ir cn = Frodo Bagins, ou = Gredzeni, o = Draugi, st = Havana, c = cu.

Kā mēs piekļūstam informācijai?. LDAP ir definējis darbības, kas nepieciešamas direktorija nopratināšanai un atjaunināšanai. Tie ietver ieraksta pievienošanas un dzēšanas darbības, esoša ieraksta modificēšanu un ieraksta pārdēvēšanu.

Tomēr lielāko daļu laika LDAP tiek izmantots direktorijā glabātās informācijas meklēšanai. Meklēšanas darbības ļauj direktorija daļā meklēt ierakstus, kas atbilst dažiem meklēšanas filtrā norādītajiem kritērijiem. Tādā veidā mēs varam meklēt katrā ierakstā, kas atbilda meklēšanas kritērijiem.

Kā mēs aizsargājam informāciju no nesankcionētas piekļuves?. Daži direktoriju pakalpojumi nav aizsargāti un ļauj ikvienam skatīt jūsu informāciju.

LDAP nodrošina klientu mehānismu, lai autentificētu vai apstiprinātu viņu identitāti direktoriju pakalpojumā, lai garantētu piekļuves kontroli, lai aizsargātu servera saturošo informāciju.

LDAP atbalsta arī datu drošības pakalpojumus gan integritātes, gan konfidencialitātes ziņā.

Kad mums vajadzētu izmantot LDAP?

Tas ir ļoti labs jautājums. Parasti mums ir jāizmanto direktoriju pakalpojums, kad mums nepieciešama informācijas centralizēta glabāšana un pārvaldība un piekļuve, izmantojot uz standartiem balstītas metodes.

Daži uzņēmējdarbības un rūpniecības vidē atrodamās informācijas veida piemēri:

  • Mašīnas autentifikācija
  • Lietotāja autentifikācija
  • Sistēmas lietotāji un grupas
  • Adrešu grāmata
  • Organizatoriskās pārstāvniecības
  • Resursu izsekošana
  • Tālruņa informācijas noliktava
  • Lietotāju resursu pārvaldība
  • E-pasta adreses meklēšana
  • Lietojumprogrammu konfigurācijas veikals
  • PBX tālruņu rūpnīcas konfigurāciju noliktava
  • utt.

Ir vairāki izplatīti shēmas faili -Izplatītie shēmu faili- balstīts uz standartiem. Tomēr mēs vienmēr varam izveidot savu shēmas specifikāciju ... kad esam LDAP eksperti. 🙂

Kad mums nevajadzētu izmantot LDAP?

Kad saprotam, ka esam vērpjot vai piespiežot mūsu LDAP darīt to, kas mums vajadzīgs. Tādā gadījumā to var nākties pārveidot. Vai arī, ja mums ir nepieciešama viena lietojumprogramma, lai izmantotu un manipulētu ar mūsu datiem.

Kādus pakalpojumus un programmatūru plānojam instalēt un konfigurēt?

 

  • Direktoriju pakalpojums vai Direktoriju pakalpojums pamatojoties uz OpenLDAP
  • pakalpojumi NTP, DNS y DHCP neatkarīgs
  • Integrēt Samba uz LDAP
  • Iespējams, ka mēs attīstīsim LDAP y Kerberos
  • Pārvaldiet direktoriju, izmantojot tīmekļa lietojumprogrammu Ldap kontu menedžeris.

Un tas ir šodien, draugi!

Apspriešanās avoti:

  • https://wiki.debian.org/LDAP
  • OpenLDAP Software 2.4 Administratora rokasgrāmata
  • Ubuntu 12.04 servera palīgs

Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

15 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   oscar teica

    Es domāju, ka FreeIPA ir visaptverošs projekts (LDAP, Kerberos, DNS utt.), Kuru ir interesanti izpētīt un kura pamatā ir LDAP 389 serveris.

  2.   Gvido rolons teica

    Vispirms Pfs liks nedarbojas. Mani ļoti interesē izglītot sevi ldap. Paldies par dalīšanos.

    1.    elav teica

      Saites labotas.

  3.   3000 teica

    Interesanti.

  4.   izmantosim linux teica

    Jūs pārgājāt pa tālruni vēl vienu reizi!
    Liels ieguldījums.
    Apskāviens! Pāvils.

  5.   Federico teica

    Paldies visiem par komentāriem !!! Iepriekš nevarēju izveidot savienojumu ar modemu ar ātrumu 28000 baudi sekundē. Kāda veida ātrums. 🙂
    Sveiciens visiem

  6.   Federico teica

    Liels paldies visiem par komentāriem !!!. Ozkar, FreeIPA ir daudz kas vairāk nekā LDAP. Tas integrē Red Hat Active Directory 389 ar visu saistīto pakalpojumu virkni. Tas ir Fedora projekta dzīvnieks. Pārāk milzīgs manām pieticīgajām zināšanām.

  7.   Smilšakmens86 teica

    Izcils raksts, tas man der kā cimds, jo es plānoju sevi internalizēt šajos jautājumos, es ar nepacietību gaidu jaunus rakstus.

  8.   Eiforija teica

    Liels paldies par dalīšanos ar to un ClearOS, kas man ir uz laiku 🙂

  9.   vidagnu teica

    Lieliska apmācība, es lejupielādēju arī Ubunto grāmatu, paldies!

    1.    vidagnu teica

      Ubuntu jejjeej es joprojām guļu ...

  10.   alunādo teica

    Neskatoties uz jūsu darbu, es to esmu izlasījis iepriekš, un, ja es visu sapratu ļoti slikti vai sliktāk, to var saprast šajā jokā:
    "Bet, ja es kļūstu par capo capo open-ldap, es izstrādāju savu tīmekļa pārlūkprogrammu un google satricina!"

    1.    alunādo teica

      Paldies par pūlēm, un sāp, ka nav materiāla spāņu valodā. mmm ...

  11.   Edgars teica

    Tagad es virzos mazliet uz priekšu, es turpinu lasīt ziņas lapā https://blog.desdelinux.net/ldap-introduccion/ Es vēlētos, lai jūs nedaudz paskaidrotu, kas attiecas uz mašīnu autentifikāciju, šis punkts man nav skaidrs, un es esmu ļoti entuziasma pilns par šo OpenLdap, kuru es jau pavadīju vairākas stundas, lasot šo emuāru, bet es vēlos, lai šī iemesla dēļ varētu apgūt tēmas un koncepcijas. iejaukšanās jūsu darbībās jau iepriekš, liels paldies Fico kungam, mēs turpinām kontaktēties ar sveicieniem