LDAP: Introduksjon

Hei venner!. Vi starter en ny serie artikler som vi håper vil være nyttige. Vi har bestemt oss for å skrive dem for de som liker å vite hva de jobber med, og lage sine egne implementeringer uten å avhenge av helt egenutviklet programvare, eller de som er halvt gratis og halvt kommersielt.

Nødvendig lesing er OpenLDAP Software 2.4 Administratorhåndbok. Ja, på engelsk, fordi vi bruker programvare designet og skrevet på språket til Shakespeare. Vi anbefaler også sterkt å lese Ubuntu Server Guide 12.04., som vi gir for nedlasting.

Den eksisterende dokumentasjonen er på engelsk. Jeg har ikke funnet spanske oversettelser av noen av de to som er anbefalt tidligere.

Alt skrevet i denne introduksjonen er hentet fra Wikipedia eller fritt oversatt til spansk fra dokumentene nevnt ovenfor.

Vi får se:

Sammendrag definisjon

Fra Wikipedia:

LDAP er forkortelsen for Lightweight Directory Access Protocol, som refererer til en protokoll på applikasjonsnivå som gir tilgang til en bestilt og distribuert katalogtjeneste for å søke etter annen informasjon i et nettverksmiljø. LDAP betraktes også som en database (selv om lagringssystemet kan være annerledes) som kan spørres.

En katalog er et sett med objekter med attributter organisert på en logisk og hierarkisk måte. Det vanligste eksemplet er telefonkatalogen, som består av en serie navn (personer eller organisasjoner) som er ordnet alfabetisk, med hvert navn som har en adresse og et telefonnummer knyttet til seg. For å forstå bedre er det en bok eller mappe der folks navn, telefonnummer og adresser er skrevet, og den er ordnet alfabetisk.

Et LDAP-katalogtreet gjenspeiler noen ganger ulike politiske, geografiske eller organisatoriske grenser, avhengig av hvilken modell som er valgt. Nåværende LDAP-distribusjoner pleier å bruke DNS-navn (Domain Name System) for å strukturere de høyere nivåene i hierarkiet. Når du blar nedover i katalogen, kan det vises oppføringer som representerer personer, organisasjonsenheter, skrivere, dokumenter, grupper av mennesker eller noe som representerer en gitt oppføring i treet (eller flere oppføringer).

Vanligvis lagrer den autentiseringsinformasjonen (brukernavn og passord) og brukes til å autentisere, selv om det er mulig å lagre annen informasjon (brukerkontaktdata, plassering av forskjellige nettverksressurser, tillatelser, sertifikater osv.). Oppsummert er LDAP en enhetlig tilgangsprotokoll til et sett med informasjon i et nettverk.

Den nåværende versjonen er LDAPv3, og den er definert i RFCer RFC 2251 og RFC 2256 (LDAP-basedokument), RFC 2829 (godkjenningsmetode for LDAP), RFC 2830 (utvidelse for TLS) og RFC 3377 (teknisk spesifikasjon).

Noen LDAP-implementeringer:

Active Directory: er navnet som brukes av Microsoft (siden Windows 2000) som en sentralisert informasjonsbutikk for et av administrasjonsdomenene. En katalogtjeneste er et strukturert lager med informasjon om de forskjellige objektene som finnes i Active Directory, i dette tilfellet kan de være skrivere, brukere, datamaskiner ... Den bruker forskjellige protokoller (hovedsakelig, LDAP, DNS, DHCP, Kerberos...).

Under dette navnet er det faktisk et skjema (definisjon av feltene som kan konsulteres) LDAP versjon 3, som tillater integrering av andre systemer som støtter protokollen. Denne LDAP lagrer informasjon om brukere, nettverksressurser, sikkerhetsretningslinjer, konfigurasjon, tildeling av tillatelser osv.

Novell katalogtjenesterOgså kjent som eDirectory er Novell-implementeringen som brukes til å administrere tilgang til ressurser på forskjellige servere og datamaskiner i et nettverk. Den er i utgangspunktet sammensatt av en hierarkisk og objektorientert database, som representerer hver server, datamaskin, skriver, tjeneste, folk osv. Mellom hvilke tillatelser som opprettes for tilgangskontroll, gjennom arv. Fordelen med denne implementeringen er at den kjører på flere plattformer, slik at den lett kan tilpasses miljøer som bruker mer enn ett operativsystem.

Det er forløperen når det gjelder katalogstrukturer, da den ble introdusert i 1990 med versjonen av Novell Netware 4.0. Selv om Microsoft AD har vokst i popularitet, kan den fremdeles ikke matche påliteligheten og kvaliteten til eDirectory og dens muligheter på tvers av plattformer.

OpenLDAP: Det er en gratis implementering av protokollen som støtter flere ordninger, slik at den kan brukes til å koble til hvilken som helst annen LDAP. Den har sin egen lisens, OpenLDAP Public License. Å være en plattformuavhengig protokoll, inkluderer flere GNU / Linux- og BSD-distribusjoner den, som AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) og z / OS.

OpenLDAP har fire hovedkomponenter:

  • slapd - frittstående LDAP-demon.
  • slurpd - Frittstående replikeringsdemon for LDAP-oppdatering.
  • LDAP-protokoll støtter bibliotekrutiner
  • Verktøy, verktøy og klienter.

LDAP Nøkkelfunksjoner fra brukerens perspektiv

Hva slags informasjon kan vi lagre i en katalog?. Informasjonsmodellen i en LDAP-katalog er basert på billetter. En oppføring er en samling attributter som har et unikt Distinguished Name eller "Distinguished Name (DN)". DN brukes til å referere til oppføringen unikt.

Hvert attributt til en oppføring har en typen og en eller flere Valores. Typene er vanligvis mnemoniske strenger som cn o "Vanlig navn" for vanlige navn, eller post for e-postadresser. Syntaksen til verdiene avhenger av attributtypen.

For eksempel et attributt cn kan inneholde verdien av Frodo bagins. Et attributt post kan ha mot frodobagins@amigos.cu. Et attributt jpgeFoto kan inneholde et bilde i binært format JPEG.

Hvordan er informasjonen organisert?. I LDAP er katalogoppføringer organisert i en hierarkisk struktur i form av et invertert tre. Tradisjonelt gjenspeiler denne strukturen geografiske og / eller organisatoriske grenser eller grenser.

Oppføringer som representerer land vises øverst på treet. Under dem vil det være oppføringer som representerer stater og nasjonale organisasjoner.

Så kan det være oppføringer som representerer organisasjonsenheter, personer, skrivere, dokumenter eller hva annet vi kan tenke på.

Figuren nedenfor er et eksempel på et LDAP-katalogtreet der tradisjonelle navn brukes.

Diagram1

LDAP tillater kontroll av hvilke attributter vi trenger for en oppføring ved å bruke et spesialattributt kalt objektklasse. Verdien av attributtet objektklasse bestemmer Ordningsregler o Skjema Regler at innspillene må adlyde.

Hvordan refererer vi til informasjonen?. Vi henviser til en oppføring med dens fremtredende navn eller Distinguished Name, som er konstruert fra navnet på selve oppføringen (kalt Distinguished Relative Name eller Relativt fremtredende navn o RDN), sammenkoblet med navnet på oppføringene til dens forfedre eller forfedre.

For eksempel, i figuren ovenfor, har Frodo Bagins en RDN cn = Frodo Bagins og DN komplett er cn = Frodo Bagins, ou = Ringer, o = Venner, st = Havana, c = cu.

Hvordan får vi tilgang til informasjonen?. LDAP har definert operasjonene som er nødvendige for å forhøre og oppdatere katalogen. Disse inkluderer operasjonene for å legge til og slette en oppføring, endre en eksisterende oppføring og gi nytt navn til en oppføring.

Imidlertid brukes LDAP mesteparten av tiden for å søke etter informasjon som er lagret i katalogen. Søkeoperasjoner gjør det mulig å søke i en del av katalogen etter oppføringer som oppfyller noen kriterier spesifisert i søkefilteret. På den måten kan vi søke i hver oppføring som oppfylte søkekriteriene.

Hvordan beskytter vi informasjon mot uautorisert tilgang?. Noen katalogtjenester er ubeskyttet og tillater hvem som helst å se informasjonen din.

LDAP gir en mekanisme for klienter for å autentisere, eller bekrefte identiteten til en katalogtjeneste, for å garantere tilgangskontroll for å beskytte informasjonen som serveren inneholder.

LDAP støtter også datasikkerhetstjenester, både med hensyn til integritet og konfidensialitet.

Når skal vi bruke LDAP?

Dette er et veldig bra spørsmål. Generelt sett bør vi bruke katalogtjenesten når vi trenger informasjon for å bli lagret og administrert sentralt, og for å være tilgjengelig gjennom standardbaserte metoder.

Noen eksempler på typen informasjon vi finner i forretnings- og industrimiljøet:

  • Maskinautentisering
  • Bruker autentisering
  • Systembrukere og grupper
  • Adressebok
  • Organisasjonsrepresentasjoner
  • Ressurssporing
  • Telefoninformasjonslager
  • Administrasjon av brukerressurser
  • E-postadressesøk
  • Programkonfigurasjonsbutikk
  • PBX Telefonanlegg Konfigurasjonslager
  • etc…

Det er flere distribuerte skjemafiler -Distribuerte skjemafiler- standardbasert. Vi kan imidlertid alltid lage vår egen skjemaspesifikasjon ... når vi er LDAP-eksperter. 🙂

Når skal vi ikke bruke LDAP?

Når vi innser at vi er det kronglete eller ved å tvinge LDAP til å gjøre det vi trenger. I så fall kan det være nødvendig å redesigne den. Eller hvis vi trenger et enkelt program for å bruke og manipulere dataene våre.

Hvilke tjenester og programvare planlegger vi å installere og konfigurere?

  • Katalogtjeneste eller Katalogtjeneste basert på OpenLDAP
  • tjenester NTP, DNS y DHCP uavhengig
  • integrere Samba til LDAP
  • Muligens vil vi utvikle integrasjonen av LDAP y Kerberos
  • Administrer katalogen med webapplikasjonen Ldap Account Manager.

Og dette er det for i dag, venner!

Kilder som er konsultert:

  • https://wiki.debian.org/LDAP
  • OpenLDAP Software 2.4 Administratorhåndbok
  • Ubuntu 12.04 serverveiledning

15 kommentarer, legg igjen dine

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   oscar sa

    Jeg tror FreeIPA er et omfattende prosjekt (LDAP, Kerberos, DNS, etc.) interessant å studere, basert på LDAP 389-serveren.

  2.   Guido rolon sa

    Til å begynne med virker likhetene til Pfs ikke. Jeg er veldig interessert i å utdanne meg i ldap. Takk for at du delte.

    1.    livlig sa

      Koblinger korrigert.

  3.   eliotime3000. sa

    Interessant.

  4.   la oss bruke linux sa

    Du gikk over telefonen en gang til!
    Flott bidrag.
    Klem! Paul.

  5.   Federico sa

    Takk alle for kommentarene !!! Jeg kunne ikke koble meg til modemet på 28000 baud / sekund før. Hva slags fart. 🙂
    Hilsener til alle

  6.   Federico sa

    Tusen takk alle sammen for kommentar !!!. Ozkar, FreeIPA er mye mer enn en LDAP. Den integrerer Red Hat Active Directory 389 med en hel serie relaterte tjenester. Det er et Fedora-prosjektdyr. For stort for min beskjedne kunnskap.

  7.   TheSandman86 sa

    Utmerket artikkel, den passer meg som en hanske siden jeg planla å internalisere meg i disse utgavene, jeg gleder meg til nye artikler.

  8.   Eufori sa

    Tusen takk for at du delte, med det og ClearOS jeg har en stund 🙂

  9.   vidagnu sa

    Utmerket opplæring, jeg lastet også ned Ubunto-boka, takk!

    1.    vidagnu sa

      Ubuntu jejjeej Jeg sover fortsatt ...

  10.   måneaktig sa

    Selv om jeg ikke respekterer arbeidet ditt, har jeg lest det ovenfor, og hvis jeg forsto alt veldig dårlig eller mindre godt, kan det forstås i denne vitsen:
    "Men hvis jeg blir capo capo av open-ldap, utvikler jeg nettleseren min og google shakes!"

    1.    måneaktig sa

      Takk for innsatsen, og det gjør vondt at det ikke er noe materiale på spansk. mmm ...

  11.   edgar sa

    Nå fremover litt, fortsetter jeg å lese innleggene på siden https://blog.desdelinux.net/ldap-introduccion/ Jeg vil at du skal avklare litt for meg hva som refererer til maskinautentisering, dette punktet er ikke klart for meg, og jeg er veldig entusiastisk over OpenLdap. Jeg har allerede brukt flere timer på å lese denne bloggen, men jeg vil være i stand til å mestre emnene og konsepter av den grunn min intervensjon i dine aktiviteter på forhånd takk så mye Mr. Fico vi fortsetter i kontakthilsener