LDAP: Introducere

Bună prieteni!. Începem o nouă serie de articole care sperăm că vor fi de ajutor. Am decis să le scriem pentru cei cărora le place să știe cu ce lucrează și să își facă propriile implementări fără a depinde de software complet proprietar, sau a celor pe jumătate gratuite și pe jumătate comerciale.

Citirea obligatorie este OpenLDAP Software 2.4 Ghidul administratorului. Da, în engleză, pentru că folosim software conceput și scris în limba lui Shakespeare. 🙂 Vă recomandăm, de asemenea, să citiți Ghidul serverului Ubuntu 12.04., pe care îl oferim pentru descărcare.

Documentația existentă este în limba engleză. Nu am găsit traduceri în spaniolă pentru niciuna dintre cele două recomandate anterior.

Tot ceea ce este scris în această introducere este preluat din Wikipedia sau tradus gratuit în spaniolă din documentele menționate mai sus.

Vom vedea:

• Definiție sumară
• Caracteristici cheie LDAP din perspectiva utilizatorului
• Când ar trebui să folosim LDAP?
• Când nu ar trebui să folosim LDAP?
• Ce servicii și software intenționăm să instalăm și să configurăm?

Definiție sumară

Din Wikipedia:

LDAP este acronimul pentru Lightweight Directory Access Protocol, care se referă la un protocol la nivel de aplicație care permite accesul la un serviciu director ordonat și distribuit pentru a căuta diverse informații într-un mediu de rețea. LDAP este, de asemenea, considerat o bază de date (deși sistemul său de stocare poate fi diferit) care poate fi interogat.

Un director este un set de obiecte cu atribute organizate într-un mod logic și ierarhic. Cel mai obișnuit exemplu este agenda telefonică, care constă dintr-o serie de nume (persoane sau organizații) care sunt aranjate alfabetic, fiecare nume având o adresă și un număr de telefon atașat. Pentru a înțelege mai bine, este o carte sau un dosar, în care sunt scrise numele, numerele de telefon și adresele persoanelor și sunt aranjate alfabetic.

Un arbore de directoare LDAP reflectă uneori diferite limite politice, geografice sau organizaționale, în funcție de modelul ales. Implementările curente LDAP tind să utilizeze nume de sistem de nume de domeniu (DNS) pentru a structura nivelurile superioare ale ierarhiei. Pe măsură ce derulați în jos în director, pot apărea intrări care reprezintă persoane, unități organizaționale, imprimante, documente, grupuri de persoane sau orice altceva care reprezintă o intrare dată în arbore (sau intrări multiple).

De obicei, stochează informații de autentificare (utilizator și parolă) și este utilizat pentru autentificare, deși este posibilă stocarea altor informații (date de contact ale utilizatorului, localizarea diverselor resurse de rețea, permisiuni, certificate etc.). În rezumat, LDAP este un protocol de acces unificat la un set de informații dintr-o rețea.

Versiunea actuală este LDAPv3 și este definită în RFC-urile RFC 2251 și RFC 2256 (documentul de bază LDAP), RFC 2829 (metoda de autentificare pentru LDAP), RFC 2830 (extensia pentru TLS) și RFC 3377 (specificația tehnică).

Unele implementări LDAP:

Active Directory: este numele folosit de Microsoft (din Windows 2000) ca magazin centralizat de informații pentru unul dintre domeniile sale de gestionare. Un serviciu Directory este un depozit structurat de informații despre diferitele obiecte conținute în Active Directory, în acest caz acestea ar putea fi imprimante, utilizatori, computere ... Folosește protocoale diferite (în principal, LDAP, DNS, DHCP, Kerberos...).

Sub acest nume există de fapt o schemă (definiția câmpurilor care pot fi consultate) versiunea LDAP 3, care permite integrarea altor sisteme care acceptă protocolul. Acest LDAP stochează informații despre utilizatori, resurse de rețea, politici de securitate, configurare, atribuire de permisiuni etc.

Servicii de directoare NovellDe asemenea, cunoscută sub numele de eDirectory este implementarea Novell utilizată pentru gestionarea accesului la resurse de pe diferite servere și computere dintr-o rețea. Practic, este compus dintr-o bază de date ierarhizată și orientată obiect, care reprezintă fiecare server, computer, imprimantă, serviciu, oameni etc. Între care se creează permisiuni pentru controlul accesului, prin moștenire. Avantajul acestei implementări este că rulează pe mai multe platforme, deci poate fi ușor adaptat la medii care utilizează mai multe sisteme de operare.

Este precursorul în ceea ce privește structurile de directoare, deoarece a fost introdus în 1990 cu versiunea Novell Netware 4.0. Deși AD-ul Microsoft a crescut în popularitate, încă nu poate egala fiabilitatea și calitatea eDirectory și capabilitățile sale multiplataforma.

OpenLDAP: Este o implementare gratuită a protocolului care acceptă mai multe scheme, astfel încât să poată fi utilizat pentru a vă conecta la orice alt LDAP. Are propria licență, licența publică OpenLDAP. Fiind un protocol independent de platformă, mai multe distribuții GNU / Linux și BSD îl includ, la fel ca AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) și z / OS.

OpenLDAP are patru componente principale:

• slapd - daemon LDAP autonom.
• slurpd - Daemon autonom de replicare a actualizării LDAP.
• Protocolul LDAP suportă rutina bibliotecii
• Utilități, instrumente și clienți.

Caracteristici cheie LDAP din perspectiva utilizatorului

Ce fel de informații putem stoca într-un Director?. Modelul de informații dintr-un director LDAP se bazează pe Bilete. O intrare este o colecție de atribute care are un singur nume distinct sau „Nume distinct (DN)”. DN este utilizat pentru a face referire la intrarea în mod unic.

Fiecare atribut al unei intrări are un tip și una sau mai multe Valores. Tipurile sunt de obicei șiruri mnemonice, cum ar fi cn o "Nume comun" pentru nume comune, sau Poștă pentru adrese de e-mail. Sintaxa valorilor depinde de tipul de atribut.

De exemplu, un atribut cn poate conține valoarea Frodo bagins. Un atribut Poștă poate avea curajul frodobagins@amigos.cu. Un atribut jpgePhoto poate conține o fotografie în format binar JPEG.

Cum sunt organizate informațiile?. În LDAP, intrările de director sunt organizate într-o structură ierarhică sub forma unui arbore inversat. În mod tradițional, această structură reflectă limitele geografice și / sau organizaționale sau limitele.

Intrările care reprezintă țări apar în partea de sus a arborelui. Sub ele vor fi înregistrări reprezentând state și organizații naționale.

Apoi, pot exista intrări care reprezintă unități organizaționale, persoane, imprimante, documente sau orice altceva ne-am putea gândi.

Figura de mai jos este un exemplu de arbore de directoare LDAP în care sunt utilizate denumirile tradiționale.

LDAP permite controlul atributelor de care avem nevoie pentru o intrare folosind un atribut special numit objectClass. Valoarea atributului objectClass determină Reguli de schemă o Reguli de schemă că intrarea trebuie să se supună.

Cum facem referire la informații?. Ne referim la o intrare cu numele distinctiv sau Nume distins, care este construit din numele intrării în sine (numit Numele relativ distins sau Denumire distinsă relativă o RDN), concatenat cu numele intrărilor strămoșilor sau strămoșilor săi.

De exemplu, în figura de mai sus intrarea Frodo Bagins are un RDN cn = Frodo Bagins și DN complet este cn = Frodo Bagins, ou = Rings, o = Friends, st = Havana, c = cu.

Cum accesăm informațiile?. LDAP a definit operațiunile necesare pentru interogarea și actualizarea directorului. Acestea includ operațiile de adăugare și ștergere a unei intrări, modificarea unei intrări existente și redenumirea unei intrări.

Cu toate acestea, de cele mai multe ori LDAP este folosit pentru a căuta informații stocate în director. Operațiunile de căutare permit căutarea unei porțiuni din director pentru intrări care îndeplinesc anumite criterii specificate în filtrul de căutare. Astfel putem căuta fiecare intrare care îndeplinește criteriile de căutare.

Cum protejăm informațiile împotriva accesului neautorizat?. Unele servicii de directoare sunt neprotejate și permit oricui să vă vadă informațiile.

LDAP oferă clienților un mecanism de autentificare sau confirmare a identității lor către un serviciu director, pentru a garanta controlul accesului pentru a proteja informațiile pe care le conține serverul.

LDAP acceptă, de asemenea, servicii de securitate a datelor, atât în ​​ceea ce privește integritatea, cât și confidențialitatea.

Când ar trebui să folosim LDAP?

Aceasta este o întrebare foarte bună. În general, ar trebui să folosim serviciul director atunci când avem nevoie de informații pentru a fi stocate și gestionate central și pentru a fi accesibile prin metode bazate pe standarde.

Câteva exemple ale tipului de informații pe care le găsim în mediul de afaceri și industrial:

• Autentificare automată
• Autentificarea utilizatorului
• Utilizatori și grupuri de sistem
• Carte de adrese
• Reprezentări organizaționale
• Urmărirea resurselor
• Depozit de informații telefonice
• Gestionarea resurselor utilizatorilor
• Căutare adresă de e-mail
• Magazin de configurare a aplicației
• Depozit de configurații centrale telefonice PBX
• etc ...

Există mai multe fișiere de schemă distribuită -Fișiere de scheme distribuite- bazate pe standarde. Cu toate acestea, putem crea oricând propria noastră specificație de schemă ... când suntem experți LDAP. 🙂

Când nu ar trebui să folosim LDAP?

Când ne dăm seama că suntem răsucire sau forțând LDAP-ul nostru să facă ceea ce avem nevoie. În acest caz, poate fi necesar să fie reproiectat. Sau dacă avem nevoie de o singură aplicație pentru a ne folosi și manipula datele.

Ce servicii și software intenționăm să instalăm și să configurăm?

• Serviciu director sau Directory Service pe baza OpenLDAP
• servicii NTP, DNS y DHCP independent
• integra Samba la LDAP
• Eventual vom dezvolta integrarea LDAP y Kerberos
• Gestionați directorul cu aplicația web Manager cont Ldap.

Și asta este pentru astăzi, prieteni!

Surse consultate:

• https://wiki.debian.org/LDAP
• OpenLDAP Software 2.4 Ghidul administratorului
• Ghid de server Ubuntu 12.04