LDAP: Úvod

Dobrý deň, priatelia!. Začíname novú sériu článkov, ktoré, ako dúfame, budú užitočné. Rozhodli sme sa ich napísať pre tých, ktorí radi vedia, s čím pracujú, a robiť ich vlastné implementácie bez závislosti na plne proprietárnom softvéri alebo na tých, ktoré sú napoly bezplatné a napoly komerčné.

Povinné čítanie je Sprievodca správcom softvéru OpenLDAP 2.4. Áno, v angličtine, pretože používame softvér navrhnutý a napísaný v jazyku Shakespeara. 🙂 Dôrazne odporúčame prečítať si Ubuntu Server Guide 12.04., ktoré dávame na stiahnutie.

Existujúca dokumentácia je v angličtine. Nenašiel som španielske preklady ani jedného z dvoch predtým odporúčaných.

Všetko, čo je napísané v tomto úvode, je prevzaté z Wikipédie alebo je voľne preložené do španielčiny z vyššie uvedených dokumentov.

Uvidíme:

• Súhrnná definícia
• Kľúčové vlastnosti LDAP z pohľadu používateľa
• Kedy by sme mali použiť LDAP?
• Kedy by sme nemali používať LDAP?
• Aké služby a softvér plánujeme nainštalovať a nakonfigurovať?

Súhrnná definícia

Z Wikipedie:

LDAP je skratka pre Lightweight Directory Access Protocol (v španielčine Lightweight Directory Access Protocol), ktorá označuje protokol na úrovni aplikácie, ktorý umožňuje prístup k objednanej a distribuovanej adresárovej službe na vyhľadávanie rôznych informácií v sieťovom prostredí. LDAP sa tiež považuje za databázu (aj keď sa jej úložný systém môže líšiť), na ktorú je možné dopytovať.

Adresár je skupina objektov s atribútmi usporiadanými logickým a hierarchickým spôsobom. Najbežnejším príkladom je telefónny zoznam, ktorý sa skladá zo série mien (osôb alebo organizácií) usporiadaných podľa abecedy, pričom každé meno má priradenú adresu a telefónne číslo. Pre lepšie pochopenie je to kniha alebo priečinok, v ktorom sú napísané mená, telefónne čísla a adresy ľudí a sú zoradené abecedne.

Strom adresárov LDAP niekedy odráža rôzne politické, geografické alebo organizačné hranice v závislosti od zvoleného modelu. Súčasné nasadenia LDAP majú tendenciu používať názvy systémov DNS (Domain Name System) na štruktúrovanie vyšších úrovní hierarchie. Pri prechode nadol v adresári sa môžu zobraziť položky, ktoré predstavujú ľudí, organizačné jednotky, tlačiarne, dokumenty, skupiny ľudí alebo čokoľvek, čo predstavuje danú položku v strome (alebo viac položiek).

Spravidla ukladá autentifikačné informácie (používateľ a heslo) a slúži na autentifikáciu, aj keď je možné ukladať ďalšie informácie (kontaktné údaje používateľa, umiestnenie rôznych sieťových zdrojov, oprávnenia, certifikáty atď.). Stručne povedané, LDAP je protokol zjednoteného prístupu k množine informácií v sieti.

Aktuálna verzia je LDAPv3 a je definovaná v RFC RFC 2251 a RFC 2256 (základný dokument LDAP), RFC 2829 (metóda autentifikácie pre LDAP), RFC 2830 (rozšírenie pre TLS) a RFC 3377 (technická špecifikácia).

Niektoré implementácie protokolu LDAP:

Active Directory: je názov používaný spoločnosťou Microsoft (od Windows 2000) ako centralizované úložisko informácií pre jednu z jeho domén správy. Adresárová služba je štruktúrované úložisko informácií o rôznych objektoch obsiahnutých v službe Active Directory, v tomto prípade by to mohli byť tlačiarne, používatelia, počítače ... Používa rôzne protokoly (hlavne LDAP, DNS, DHCP, Kerberos, ...).

Pod týmto názvom sa v skutočnosti nachádza schéma (definícia polí, ktoré je možné vyhľadať) LDAP verzia 3, ktorá umožňuje integráciu ďalších systémov podporujúcich protokol. Tento LDAP ukladá informácie o používateľoch, sieťových prostriedkoch, bezpečnostných politikách, konfigurácii, prideľovaní povolení atď.

Adresárové služby NovellEDirectory je tiež známa ako eDirectory, ktorá sa používa na správu prístupu k zdrojom na rôznych serveroch a počítačoch v sieti. Skladá sa v zásade z hierarchickej a objektovo orientovanej databázy, ktorá predstavuje každý server, počítač, tlačiareň, službu, ľudí atď. medzi ktorými sa vytvárajú oprávnenia na riadenie prístupu prostredníctvom dedenia. Výhodou tejto implementácie je, že beží na viacerých platformách, takže sa dá ľahko prispôsobiť prostrediam, ktoré používajú viac ako jeden operačný systém.

Ide o predchodcu z hľadiska adresárových štruktúr, keďže bol predstavený v roku 1990 s verziou Novell Netware 4.0. Aj keď si reklama spoločnosti Microsoft získala čoraz väčšiu popularitu, stále sa nemôže rovnať spoľahlivosti a kvalite služby eDirectory a jej schopnostiam naprieč platformami.

OpenLDAP: Je to bezplatná implementácia protokolu, ktorá podporuje viac schém, takže ju možno použiť na pripojenie k ľubovoľnému inému LDAP. Má svoju vlastnú licenciu OpenLDAP Public License. Pretože je to protokol nezávislý na platforme, obsahuje ho niekoľko distribúcií GNU / Linux a BSD, rovnako ako AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) a z / OS.

OpenLDAP má štyri hlavné komponenty:

• slapd - samostatný démon LDAP.
• slurpd - samostatný démon replikácie aktualizácie LDAP.
• Knižničné rutiny podporujúce protokol LDAP
• Utility, nástroje a klienti.

Kľúčové vlastnosti LDAP z pohľadu používateľa

Aký druh informácií môžeme uložiť do adresára?. Informačný model v adresári LDAP je založený na lístky. Záznam je kolekcia atribútov, ktorá má jedinečný rozlišujúci názov alebo „rozlišujúci názov (DN)“. DN sa používa na jedinečné označenie záznamu.

Každý atribút položky má a typ a jeden alebo viac Valores. Typy sú zvyčajne mnemotechnické reťazce cn o „bežný názov“ pre bežné názvy, alebo pošta pre e-mailové adresy. Syntax hodnôt závisí od typu atribútu.

Napríklad atribút cn môže obsahovať hodnotu Frodo tašky. Atribút pošta môže mať odvahu frodobagins@amigos.cu. Atribút jpgeFoto môže obsahovať fotografiu v binárnom formáte JPEG.

Ako sú informácie usporiadané?. V LDAP sú položky adresára usporiadané v hierarchickej štruktúre vo forme obráteného stromu. Táto štruktúra tradične odráža geografické a / alebo organizačné hranice alebo limity.

Záznamy predstavujúce krajiny sa zobrazujú v hornej časti stromu. Pod nimi budú položky predstavujúce štáty a národné organizácie.

Potom môžu existovať záznamy, ktoré predstavujú organizačné jednotky, ľudí, tlačiarov, dokumenty alebo čokoľvek iné, na čo si dokážeme myslieť.

Obrázok nižšie je príkladom stromu adresárov LDAP, v ktorom sa používajú tradičné názvy.

LDAP umožňuje ovládať, ktoré atribúty potrebujeme pre záznam, pomocou špeciálneho atribútu s názvom objectClass. Hodnota atribútu objectClass určuje Pravidlá schémy o Pravidlá schémy že vstup musí poslúchať.

Ako odkazujeme na informácie?. Záznam označujeme jeho rozlišujúcim menom alebo Rozlišujúci názov, ktorý je zostavený z názvu samotného záznamu (nazývaného Rozlišujúci relatívny názov alebo Relatívne významné meno o RDN), zreťazený s názvom záznamov jeho predkov alebo predkov.

Napríklad na obrázku nad položkou má Frodo Bagins a RDN cn = Frodo Bagins a DN úplné je cn = Frodo Bagins, ou = krúžky, o = priatelia, sv = Havana, c = cu.

Ako sa k informáciám dostaneme?. LDAP definoval operácie potrebné na zisťovanie a aktualizáciu adresára. Patria sem operácie pridania a odstránenia záznamu, úpravy existujúceho záznamu a premenovania záznamu.

Väčšinou sa však server LDAP používa na vyhľadávanie informácií uložených v adresári. Vyhľadávacie operácie umožňujú, aby sa v časti adresára hľadali záznamy, ktoré vyhovujú niektorým kritériám uvedeným vo vyhľadávacom filtri. Takto môžeme prehľadať každú položku, ktorá splnila kritériá vyhľadávania.

Ako chránime informácie pred neoprávneným prístupom?. Niektoré adresárové služby nie sú chránené a umožňujú komukoľvek zobraziť vaše informácie.

Protokol LDAP poskytuje klientom mechanizmus na autentifikáciu alebo potvrdenie totožnosti adresárovej služby s cieľom zaručiť riadenie prístupu na ochranu informácií, ktoré server obsahuje.

LDAP tiež podporuje služby zabezpečenia údajov, a to z hľadiska integrity a dôvernosti.

Kedy by sme mali použiť LDAP?

Toto je veľmi dobrá otázka. Spravidla musíme používať adresárovú službu, keď potrebujeme, aby boli informácie centrálne ukladané a spravované a aby boli prístupné prostredníctvom štandardných metód.

Niekoľko príkladov typu informácií, ktoré nájdeme v obchodnom a priemyselnom prostredí:

• Autentifikácia stroja
• Autentifikácia užívateľa
• Používatelia systému a skupiny
• Adresár
• Organizačné zastúpenia
• Sledovanie zdrojov
• Telefónny informačný sklad
• Správa užívateľských zdrojov
• Vyhľadávanie e-mailových adries
• Obchod s konfiguráciou aplikácií
• Sklad konfigurácií telefónnych zariadení PBX
• atď…

Existuje niekoľko distribuovaných súborov schém -Distribuované súbory schém- založené na normách. Vždy však môžeme vytvoriť našu vlastnú špecifikáciu schémy ... keď sme experti na LDAP. 🙂

Kedy by sme nemali používať LDAP?

Keď si uvedomíme, že sme krútenie alebo prinútením nášho LDAP robiť to, čo potrebujeme. V takom prípade bude možno potrebné prepracovať. Alebo ak potrebujeme jednu aplikáciu na použitie a manipuláciu s našimi údajmi.

Aké služby a softvér plánujeme nainštalovať a nakonfigurovať?

• Adresárová služba alebo Adresárová služba na základe OpenLDAP
• služby NTP, DNS y DHCP nezávislý
• integrovať Samba na LDAP
• Možno rozvinieme integráciu LDAP y Kerberos
• Spravujte adresár pomocou webovej aplikácie Správca účtov LDAP.

A toto je na dnes všetko, priatelia!

Konzultované zdroje:

• https://wiki.debian.org/LDAP
• Sprievodca správcom softvéru OpenLDAP 2.4
• Sprievodca serverom Ubuntu 12.04