LDAP: Wprowadzenie

Cześć przyjaciele!. Rozpoczynamy nową serię artykułów, które, mamy nadzieję, będą pomocne. Postanowiliśmy napisać je z myślą o tych, którzy lubią wiedzieć, z czym pracują, i tworzyć własne implementacje bez polegania na oprogramowaniu całkowicie prawnie zastrzeżonym lub w połowie darmowym, w połowie komercyjnym.

Wymagany odczyt to Podręcznik administratora oprogramowania OpenLDAP 2.4. Tak, po angielsku, ponieważ używamy oprogramowania zaprojektowanego i napisanego w języku Szekspira. 🙂 Zalecamy również przeczytanie Ubuntu ServerGuide 12.04., które udostępniamy do pobrania.

Istniejąca dokumentacja jest w języku angielskim. Nie znalazłem hiszpańskiego tłumaczenia żadnego z dwóch wcześniej zalecanych.

Wszystko, co zostało napisane w tym wstępie, pochodzi z Wikipedii lub zostało swobodnie przetłumaczone na język hiszpański z wyżej wymienionych dokumentów.

Zobaczymy:

• Definicja podsumowania
• Kluczowe funkcje LDAP z perspektywy użytkownika
• Kiedy powinniśmy używać LDAP?
• Kiedy nie powinniśmy używać LDAP?
• Jakie usługi i oprogramowanie planujemy zainstalować i skonfigurować?

Definicja podsumowania

Z Wikipedii:

LDAP to akronim Lightweight Directory Access Protocol, który odnosi się do protokołu na poziomie aplikacji, który umożliwia dostęp do uporządkowanej i rozproszonej usługi katalogowej w celu wyszukiwania różnych informacji w środowisku sieciowym. . LDAP jest również uważany za bazę danych (chociaż jej system przechowywania może być inny), do której można zapytać.

Katalog to zbiór obiektów z atrybutami zorganizowanymi w sposób logiczny i hierarchiczny. Najczęstszym przykładem jest książka telefoniczna, która składa się z szeregu nazwisk (osób lub organizacji) ułożonych alfabetycznie, przy czym każda nazwa ma przypisany adres i numer telefonu. Aby lepiej zrozumieć, jest to książka lub folder, w którym zapisane są nazwiska osób, numery telefonów i adresy i są ułożone alfabetycznie.

Drzewo katalogów LDAP czasami odzwierciedla różne granice polityczne, geograficzne lub organizacyjne, w zależności od wybranego modelu. Obecne wdrożenia LDAP zwykle używają nazw systemu nazw domen (DNS) do tworzenia struktury wyższych poziomów hierarchii. Podczas poruszania się w dół katalogu mogą pojawiać się wpisy reprezentujące osoby, jednostki organizacyjne, drukarki, dokumenty, grupy osób lub wszystko, co reprezentuje daną pozycję w drzewie (lub wiele pozycji).

Zwykle przechowuje informacje uwierzytelniające (nazwa użytkownika i hasło) i służy do uwierzytelniania, chociaż możliwe jest przechowywanie innych informacji (dane kontaktowe użytkownika, lokalizacja różnych zasobów sieciowych, uprawnienia, certyfikaty itp.). Podsumowując, LDAP jest ujednoliconym protokołem dostępu do zestawu informacji w sieci.

Obecna wersja to LDAPv3 i jest zdefiniowana w RFCs RFC 2251 i RFC 2256 (dokument podstawowy LDAP), RFC 2829 (metoda uwierzytelniania dla LDAP), RFC 2830 (rozszerzenie dla TLS) i RFC 3377 (specyfikacja techniczna) .

Niektóre implementacje LDAP:

Active Directory: to nazwa używana przez firmę Microsoft (od Windows 2000) jako scentralizowany magazyn informacji dla jednej z jej domen zarządzania. Usługa katalogowa to ustrukturyzowane repozytorium informacji o różnych obiektach zawartych w Active Directory, w tym przypadku mogą to być drukarki, użytkownicy, komputery ... Używa różnych protokołów (głównie LDAP, DNS, DHCP, Kerberos...).

Pod tą nazwą faktycznie istnieje schemat (definicja pól, z którymi można się zapoznać) LDAP wersja 3, która umożliwia integrację innych systemów obsługujących protokół. Ten LDAP przechowuje informacje o użytkownikach, zasobach sieciowych, zasadach bezpieczeństwa, konfiguracji, przypisaniu uprawnień itp.

Usługi katalogowe NovellImplementacja firmy Novell, znana również jako eDirectory, służy do zarządzania dostępem do zasobów na różnych serwerach i komputerach w sieci. Zasadniczo składa się z hierarchicznej i zorientowanej obiektowo bazy danych, która reprezentuje każdy serwer, komputer, drukarkę, usługę, ludzi itp. Między którymi tworzone są uprawnienia do kontroli dostępu poprzez dziedziczenie. Zaletą tej implementacji jest to, że działa na wielu platformach, dzięki czemu można ją łatwo dostosować do środowisk korzystających z więcej niż jednego systemu operacyjnego.

Jest prekursorem pod względem struktur katalogów, ponieważ został wprowadzony w 1990 roku wraz z wersją Novell Netware 4.0. Chociaż popularność usługi AD firmy Microsoft wzrosła, nadal nie może ona dorównać niezawodności i jakości eDirectory oraz jej możliwościom wieloplatformowym.

OpenLDAP: Jest to darmowa implementacja protokołu obsługująca wiele schematów, dzięki czemu można go używać do łączenia się z dowolnym innym LDAP. Posiada własną licencję, Licencja Publiczna OpenLDAP. Będąc protokołem niezależnym od platformy, zawiera go kilka dystrybucji GNU / Linux i BSD, podobnie jak AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) iz / OS.

OpenLDAP ma cztery główne komponenty:

• slapd - samodzielny demon LDAP.
• slurpd - samodzielny demon replikacji aktualizacji LDAP.
• Biblioteka procedur obsługi protokołu LDAP
• Narzędzia, narzędzia i klienci.

Kluczowe funkcje LDAP z perspektywy użytkownika

Jakie informacje możemy przechowywać w katalogu?. Model informacji w katalogu LDAP jest oparty na bilety. Wpis to zbiór atrybutów, które mają unikatową nazwę wyróżniającą lub „nazwę wyróżniającą (DN)”. Nazwa wyróżniająca służy do jednoznacznego odwoływania się do wpisu.

Każdy atrybut wpisu ma rozszerzenie tipo i jeden lub więcej Valores. Typy są zwykle ciągami mnemonicznymi, takimi jak cn o „Nazwa pospolita” dla nazw zwyczajowych lub Poczta dla adresów e-mail. Składnia wartości zależy od typu atrybutu.

Na przykład atrybut cn może zawierać wartość Torebki Frodo. Atrybut Poczta może mieć odwagę frodobagins@amigos.cu. Atrybut jpgeZdjęcie może zawierać zdjęcie w formacie binarnym JPEG.

Jak są zorganizowane informacje?. W LDAP pozycje katalogów są zorganizowane w strukturę hierarchiczną w postaci odwróconego drzewa. Tradycyjnie ta struktura odzwierciedla granice lub ograniczenia geograficzne i / lub organizacyjne.

Wpisy reprezentujące kraje pojawiają się na górze drzewa. Pod nimi będą wpisy reprezentujące stany i organizacje narodowe.

Następnie mogą pojawić się wpisy, które reprezentują jednostki organizacyjne, ludzi, drukarki, dokumenty lub cokolwiek innego, o czym jesteśmy w stanie wymyślić.

Poniższy rysunek przedstawia przykład drzewa katalogów LDAP, w którym używane są tradycyjne nazwy.

Protokół LDAP umożliwia kontrolę atrybutów potrzebnych do wpisu za pomocą specjalnego atrybutu o nazwie klasa obiektu. Wartość atrybutu klasa obiektu określa Zasady programu o Reguły schematu że wejście musi być zgodne.

Jak odnosimy się do informacji?. Odnosimy się do wpisu poprzez jego nazwę wyróżniającą lub Wytworne imię, który jest tworzony na podstawie nazwy samego wpisu (nazywanego wyróżniającą nazwą względną lub Względna nazwa wyróżniająca o RDN), połączona z nazwami wpisów jej przodków lub przodków.

Na przykład na powyższym rysunku wpis Frodo Bagins ma RDN cn = Frodo Bagins i DN kompletne jest cn = Frodo Bagins, ou = Pierścionki, o = Przyjaciele, st = Hawana, c = cu.

Jak uzyskujemy dostęp do informacji?. LDAP zdefiniował operacje niezbędne do przeszukiwania i aktualizowania katalogu. Obejmują one operacje dodawania i usuwania wpisu, modyfikowania istniejącego wpisu i zmiany nazwy wpisu.

Jednak w większości przypadków do wyszukiwania informacji przechowywanych w katalogu używany jest protokół LDAP. Operacje wyszukiwania umożliwiają przeszukiwanie części katalogu w poszukiwaniu wpisów spełniających pewne kryteria określone w filtrze wyszukiwania. W ten sposób możemy przeszukać każdy wpis spełniający kryteria wyszukiwania.

Jak chronimy informacje przed nieautoryzowanym dostępem?. Niektóre usługi katalogowe nie są chronione i umożliwiają każdemu przeglądanie informacji.

Protokół LDAP zapewnia klientom mechanizm uwierzytelniania lub potwierdzania swojej tożsamości w usłudze katalogowej w celu zagwarantowania kontroli dostępu w celu ochrony informacji zawartych na serwerze.

LDAP obsługuje również usługi bezpieczeństwa danych, zarówno pod względem integralności, jak i poufności.

Kiedy powinniśmy używać LDAP?

To jest bardzo dobre pytanie. Ogólnie rzecz biorąc, powinniśmy korzystać z usługi katalogowej, gdy potrzebujemy, aby informacje były centralnie przechowywane i zarządzane oraz aby były dostępne za pomocą metod opartych na standardach.

Kilka przykładów informacji, które znajdujemy w środowisku biznesowym i przemysłowym:

• Uwierzytelnianie maszyny
• Uwierzytelnianie użytkownika
• Użytkownicy i grupy systemu
• Książka adresowa
• Reprezentacje organizacyjne
• Śledzenie zasobów
• Hurtownia informacji telefonicznej
• Zarządzanie zasobami użytkownika
• Wyszukiwanie adresu e-mail
• Sklep ustawień aplikacji
• Magazyn konfiguracji instalacji telefonicznych PBX
• itp…

Istnieje kilka rozproszonych plików schematu -Pliki schematów rozproszonych- oparte na standardach. Jednak zawsze możemy stworzyć własną Specyfikację schematu ... kiedy jesteśmy ekspertami LDAP. 🙂

Kiedy nie powinniśmy używać LDAP?

Kiedy zdamy sobie sprawę, że tak jest pokrętny lub zmuszając nasz LDAP do robienia tego, czego potrzebujemy. W takim przypadku może być konieczne przeprojektowanie. Lub jeśli potrzebujemy jednej aplikacji do wykorzystywania i manipulowania naszymi danymi.

Jakie usługi i oprogramowanie planujemy zainstalować i skonfigurować?

• Usługa katalogowa lub Usługa katalogowa na podstawie OpenLDAP
• usługi NTP, DNS y DHCP niezależny
• Zintegruj Samba do LDAP
• Ewentualnie rozwiniemy integrację LDAP y Kerberos
• Zarządzaj katalogiem za pomocą aplikacji internetowej Menedżer konta Ldap.

I to tyle na dziś, przyjaciele!

Źródła, z którymi się skonsultowano:

• https://wiki.debian.org/LDAP
• Podręcznik administratora oprogramowania OpenLDAP 2.4
• Przewodnik po serwerze Ubuntu 12.04