LDAP: Pengenalan

Helo kawan !. Kami memulakan siri artikel baru yang kami harap dapat membantu. Kami telah memutuskan untuk menulisnya untuk mereka yang ingin mengetahui apa yang mereka bekerjasama, dan membuat pelaksanaannya sendiri tanpa bergantung pada perisian proprietari sepenuhnya, atau yang separuh percuma dan separuh komersial.

Bacaan yang diperlukan adalah Panduan Pentadbir Perisian OpenLDAP 2.4. Ya, dalam bahasa Inggeris, kerana kami menggunakan perisian yang dirancang dan ditulis dalam bahasa Shakespeare. 🙂 Kami juga sangat mengesyorkan membaca Panduan Pelayan Ubuntu 12.04., yang kami berikan untuk dimuat turun.

Dokumentasi yang ada dalam Bahasa Inggeris. Saya tidak menemui terjemahan bahasa Sepanyol daripada kedua-dua yang disyorkan sebelumnya.

Semua yang ditulis dalam pengenalan ini diambil dari Wikipedia atau diterjemahkan secara bebas ke dalam bahasa Sepanyol dari dokumen yang disebutkan di atas.

Kita akan lihat:

Ringkasan definisi

Dari Wikipedia:

LDAP adalah singkatan dari Protokol Akses Direktori Ringan, yang merujuk pada protokol di tingkat aplikasi yang memungkinkan akses ke perkhidmatan direktori yang diperintahkan dan diedarkan untuk mencari maklumat yang berbeza dalam lingkungan rangkaian. . LDAP juga dianggap sebagai pangkalan data (walaupun sistem penyimpanannya mungkin berbeza) yang dapat ditanyakan.

Direktori adalah sekumpulan objek dengan atribut yang disusun secara logik dan hierarki. Contoh yang paling umum adalah direktori telefon, yang terdiri daripada serangkaian nama (orang atau organisasi) yang disusun mengikut abjad, dengan setiap nama memiliki alamat dan nombor telefon yang melekat padanya. Untuk memahami dengan lebih baik, ia adalah buku atau folder, di mana nama, nombor telefon dan alamat orang ditulis, dan disusun mengikut abjad.

Pohon direktori LDAP kadang-kadang mencerminkan pelbagai batas politik, geografi, atau organisasi, bergantung pada model yang dipilih. Penyebaran LDAP semasa cenderung menggunakan nama Domain Name System (DNS) untuk menyusun hierarki tahap yang lebih tinggi. Semasa anda menatal ke bawah direktori, entri mungkin muncul yang mewakili orang, unit organisasi, pencetak, dokumen, kumpulan orang, atau apa sahaja yang mewakili entri tertentu di pohon (atau beberapa entri).

Biasanya, ia menyimpan maklumat pengesahan (pengguna dan kata laluan) dan digunakan untuk mengesahkan, walaupun ada kemungkinan untuk menyimpan maklumat lain (data hubungan pengguna, lokasi pelbagai sumber rangkaian, kebenaran, sijil, dll.). Ringkasnya, LDAP adalah protokol akses bersatu untuk sekumpulan maklumat di rangkaian.

Versi semasa adalah LDAPv3, dan ia ditentukan dalam RFCs RFC 2251 dan RFC 2256 (dokumen asas LDAP), RFC 2829 (kaedah pengesahan untuk LDAP), RFC 2830 (sambungan untuk TLS), dan RFC 3377 (spesifikasi teknikal).

Beberapa pelaksanaan LDAP:

Active Directory: adalah nama yang digunakan oleh Microsoft (sejak Windows 2000) sebagai gedung maklumat terpusat untuk salah satu domain pengurusannya. Perkhidmatan Direktori adalah tempat penyimpanan informasi tersusun mengenai berbagai objek yang terdapat dalam Direktori Aktif, dalam hal ini mereka mungkin pencetak, pengguna, komputer ... Menggunakan protokol yang berbeza (terutamanya, LDAP, DNS, DHCP, Kerberos...).

Dengan nama ini sebenarnya ada skema (definisi bidang yang dapat dilihat) LDAP versi 3, yang memungkinkan untuk mengintegrasikan sistem lain yang menyokong protokol. LDAP ini menyimpan maklumat mengenai pengguna, sumber rangkaian, dasar keselamatan, konfigurasi, pemberian izin, dll.

Perkhidmatan Direktori NovellJuga dikenal sebagai eDirectory adalah implementasi Novell yang digunakan untuk menguruskan akses ke sumber pada pelayan dan komputer yang berlainan di rangkaian. Ia pada dasarnya terdiri dari pangkalan data hierarki dan berorientasikan objek, yang mewakili setiap pelayan, komputer, pencetak, perkhidmatan, orang, dll. Antara kebenaran yang dibuat untuk kawalan akses, melalui pewarisan. Kelebihan pelaksanaan ini adalah bahawa ia berjalan di beberapa platform, sehingga dapat dengan mudah disesuaikan dengan lingkungan yang menggunakan lebih dari satu sistem operasi.

Ini adalah pendahulu dari segi struktur Direktori, yang telah diperkenalkan pada tahun 1990 dengan Novell Netware versi 4.0. Walaupun AD Microsoft telah semakin popular, ia masih tidak dapat menandingi kebolehpercayaan dan kualiti eDirectory dan kemampuan Cross-Platformnya.

OpenLDAP: Ini adalah pelaksanaan protokol secara percuma yang mendukung banyak skema sehingga dapat digunakan untuk menyambung ke LDAP lain. Ia mempunyai lesen sendiri, iaitu OpenLDAP Public License. Sebagai protokol bebas platform, beberapa pengedaran GNU / Linux dan BSD menyertakannya, seperti AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP), dan z / OS.

OpenLDAP mempunyai empat komponen utama:

  • slapd - daemon LDAP mandiri.
  • slurpd - daemon replikasi kemas kini LDAP mandiri.
  • Protokol LDAP menyokong rutin perpustakaan
  • Utiliti, alat dan pelanggan.

Ciri-ciri Utama LDAP dari Perspektif Pengguna

Apakah jenis maklumat yang boleh kita simpan dalam Direktori?. Model maklumat dalam direktori LDAP berdasarkan tiket. Entri adalah kumpulan atribut yang mempunyai Nama Cemerlang atau "Distinguished Name (DN)" yang unik. DN digunakan untuk merujuk pada entri secara unik.

Setiap atribut entri mempunyai a jenis dan satu atau lebih valores. Jenisnya biasanya rentetan mnemonik seperti cn o "Nama Umum" untuk nama umum, atau mel untuk alamat e-mel. Sintaks nilai bergantung pada jenis atribut.

Contohnya, atribut cn boleh mengandungi nilai Frodo bagins. Satu sifat mel boleh mempunyai keberanian frodobagins@amigos.cu. Satu sifat jpgeFoto boleh mengandungi foto dalam format binari JPEG.

Bagaimana maklumat disusun?. Dalam LDAP, entri direktori disusun dalam struktur hierarki dalam bentuk pokok terbalik. Secara tradisinya, struktur ini mencerminkan batasan atau had geografi dan / atau organisasi.

Entri yang mewakili negara muncul di bahagian atas pokok. Di bawahnya terdapat entri yang mewakili negeri dan organisasi nasional.

Mungkin ada entri yang mewakili unit organisasi, orang, pencetak, dokumen, atau apa sahaja yang dapat kita fikirkan.

Gambar di bawah adalah contoh pokok direktori LDAP di mana nama tradisional digunakan.

Rajah1

LDAP membolehkan kawalan atribut mana yang kita perlukan untuk entri dengan menggunakan atribut khas yang disebut objekKelas. Nilai atribut objekKelas menentukan Peraturan Skim o Peraturan Skema bahawa input mesti dipatuhi.

Bagaimana kita merujuk maklumat?. Kami merujuk kepada entri dengan Nama Cemerlang atau Nama yang terkenal, yang dibina dari nama entri itu sendiri (disebut Distinguished Relative Name atau Nama Pembezaan Relatif o RDN), digabungkan dengan nama entri nenek moyang atau nenek moyangnya.

Sebagai contoh, dalam gambar di atas entri Frodo Bagins mempunyai RDN cn = Frodo Bagins dan DN lengkap adalah cn = Frodo Bagins, ou = Cincin, o = Kawan, st = Havana, c = cu.

Bagaimana kita mengakses maklumat tersebut?. LDAP telah menentukan operasi yang diperlukan untuk menyoal siasat dan mengemas kini direktori. Ini termasuk operasi menambah dan menghapus entri, mengubah entri yang ada, dan mengubah nama entri.

Namun, selalunya LDAP digunakan untuk mencari maklumat yang tersimpan di dalam direktori. Operasi carian membolehkan sebahagian direktori dicari untuk entri yang memenuhi beberapa kriteria yang ditentukan dalam penapis carian. Dengan cara itu kita dapat mencari setiap entri yang memenuhi kriteria carian.

Bagaimana kita melindungi maklumat daripada akses yang tidak dibenarkan?. Beberapa perkhidmatan direktori tidak dilindungi dan membolehkan sesiapa sahaja melihat maklumat anda.

LDAP menyediakan mekanisme untuk klien mengesahkan, atau mengesahkan identiti mereka ke perkhidmatan direktori, untuk menjamin kawalan akses untuk melindungi maklumat yang terdapat dalam pelayan.

LDAP juga menyokong perkhidmatan keselamatan data, baik yang berkaitan dengan integriti dan kerahsiaan.

Bilakah kita harus menggunakan LDAP?

Ini adalah soalan yang sangat baik. Secara umum, kita harus menggunakan Direktori Perkhidmatan apabila kita memerlukan maklumat untuk disimpan dan dikendalikan secara terpusat, dan dapat diakses melalui kaedah berdasarkan standard.

Beberapa contoh jenis maklumat yang kami dapati dalam persekitaran perniagaan dan perindustrian:

  • Pengesahan Mesin
  • Pengesahan Pengguna
  • Pengguna dan Kumpulan Sistem
  • Buku alamat
  • Perwakilan Organisasi
  • Penjejakan Sumber
  • Gudang Maklumat Telefon
  • Pengurusan Sumber Pengguna
  • Pencarian Alamat E-mel
  • Kedai Tetapan Aplikasi
  • Gudang Konfigurasi Loji Telefon PBX
  • dan lain-lain…

Terdapat beberapa Fail Skema Teragih -Fail Skema yang diedarkan- berasaskan standard. Walau bagaimanapun, kita selalu dapat membuat Spesifikasi Skema kita sendiri ... semasa kita menjadi Ahli LDAP 🙂

Bilakah kita tidak boleh menggunakan LDAP?

Apabila kita sedar bahawa kita berpusing atau dengan memaksa LDAP kami melakukan apa yang kami perlukan. Sekiranya demikian, ia mungkin perlu direka bentuk semula. Atau jika kita memerlukan satu aplikasi untuk menggunakan dan memanipulasi data kita.

Perkhidmatan dan perisian apa yang akan kami pasang dan konfigurasikan?

 

  • Perkhidmatan Direktori atau Perkhidmatan Direktori berdasarkan OpenLDAP
  • perkhidmatan NTP, DNS y DHCP bebas
  • Mengintegrasikan Samba ke LDAP
  • Mungkin kita akan mengembangkan integrasi LDAP y Kerberos
  • Urus Direktori dengan aplikasi web Pengurus Akaun Ldap.

Dan ini untuk hari ini, kawan!

Sumber yang dirujuk:

  • https://wiki.debian.org/LDAP
  • Panduan Pentadbir Perisian OpenLDAP 2.4
  • Pelayan Ubuntu 12.04

Kandungan artikel mematuhi prinsip kami etika editorial. Untuk melaporkan ralat, klik di sini.

15 komen, tinggalkan komen anda

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan.

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   Oscar kata

    Saya rasa FreeIPA adalah projek komprehensif (LDAP, Kerberos, DNS, dll.) Yang menarik untuk dikaji, berdasarkan pelayan LDAP 389.

  2.   Guido rolon kata

    Untuk memulakan dengan suka Pfs tidak berfungsi. Saya sangat berminat untuk mendidik diri saya dalam ldap. Terima kasih kerana sudi berkongsi.

    1.    elav kata

      Pautan dibetulkan.

  3.   eliotime3000 kata

    Menarik.

  4.   mari gunakan linux kata

    Anda pergi ke sana, sekali lagi!
    Sumbangan hebat.
    Peluk! Paul.

  5.   Federico kata

    Terima kasih semua kerana memberi komen !!! Saya tidak dapat berhubung dengan modem pada 28000 baud / saat. Apa jenis kelajuan. 🙂
    Salam kepada semua

  6.   Federico kata

    Terima kasih banyak atas komen !!!. Ozkar, FreeIPA lebih daripada LDAP. Ia menggabungkan Red Hat Active Directory 389 dengan rangkaian perkhidmatan yang berkaitan. Ia adalah haiwan projek Fedora. Terlalu besar untuk pengetahuan sederhana saya.

  7.   TheSandman86 kata

    Artikel yang sangat baik, ia sesuai dengan saya seperti sarung tangan kerana saya merancang untuk menginternalisasikan diri saya dalam isu-isu ini, saya menantikan artikel baru.

  8.   Euforia kata

    Terima kasih banyak berkongsi, dengan itu dan ClearOS yang saya ada sebentar 🙂

  9.   vidagnu kata

    Tutorial yang sangat baik, saya juga memuat turun buku Ubunto, terima kasih!

    1.    vidagnu kata

      Ubuntu jejjeej Saya masih tidur ...

  10.   berbulan kata

    Walaupun tidak menghormati karya anda, saya telah membacanya di atas dan jika saya memahami semuanya dengan teruk atau kurang baik, itu dapat difahami dalam lelucon ini:
    "Tetapi jika saya menjadi capo capo open-ldap, saya mengembangkan penyemak imbas web saya dan google goyang!"

    1.    berbulan kata

      Terima kasih atas usaha dan menyakitkan kerana tidak ada bahan dalam bahasa Sepanyol. mmm ...

  11.   Edgar kata

    Sekarang bergerak maju sedikit saya terus membaca catatan di halaman https://blog.desdelinux.net/ldap-introduccion/ Saya ingin anda menjelaskan sedikit tentang apa yang merujuk kepada Pengesahan Mesin, perkara ini tidak jelas bagi saya dan saya sangat bersemangat dengan OpenLdap ini. Saya telah menghabiskan beberapa jam untuk membaca blog ini tetapi saya ingin dapat menguasai topik dan konsep kerana itu saya campur tangan dalam aktiviti anda terlebih dahulu terima kasih banyak Encik Fico kami terus menghubungi salam