LDAP: Uvod

Pozdravljeni prijatelji!. Uvajamo novo serijo člankov, za katere upamo, da bodo v pomoč. Odločili smo se, da jih napišemo za tiste, ki radi vedo, s čim delajo, in sami izvajajo svoje izvedbe, ne da bi bili odvisni od popolnoma lastniške programske opreme, ali tiste, ki so na pol brezplačne in pol komercialne.

Zahtevano branje je Skrbniški priročnik za programsko opremo OpenLDAP 2.4. Da, v angleščini, ker uporabljamo programsko opremo, oblikovano in napisano v jeziku Shakespeara. 🙂 toplo priporočamo tudi branje Ubuntu Server Guide 12.04., ki ga damo v prenos.

Obstoječa dokumentacija je v angleščini. Nisem našel španskega prevoda nobenega od obeh predhodno priporočenih.

Vse, kar je zapisano v tem uvodu, je povzeto iz Wikipedije ali prosto prevedeno v španščino iz zgoraj omenjenih dokumentov.

Bomo videli:

• Povzetek opredelitve
• Ključne lastnosti LDAP z vidika uporabnika
• Kdaj naj uporabimo LDAP?
• Kdaj ne smemo uporabljati LDAP?
• Katere storitve in programsko opremo nameravamo namestiti in konfigurirati?

Povzetek opredelitve

Iz Wikipedije:

LDAP je kratica za Lightweight Directory Access Protocol, ki se nanaša na protokol na ravni aplikacije, ki omogoča dostop do urejene in distribuirane imeniške storitve za iskanje različnih informacij v omrežnem okolju. . LDAP velja tudi za bazo podatkov (čeprav je njen sistem za shranjevanje lahko drugačen), ki jo je mogoče poizvedovati.

Imenik je nabor predmetov z atributi, organiziranimi na logičen in hierarhičen način. Najpogostejši primer je telefonski imenik, ki je sestavljen iz vrste imen (oseb ali organizacij), ki so razporejena po abecedi, pri čemer ima vsako ime naslov in telefonsko številko. Za boljše razumevanje gre za knjigo ali mapo, v katero so zapisana imena, telefonske številke in naslovi ljudi, urejena pa je po abecedi.

Drevo imenikov LDAP včasih odraža različne politične, geografske ali organizacijske meje, odvisno od izbranega modela. Trenutne razmestitve LDAP običajno uporabljajo imena sistemov domenskih imen (DNS) za strukturiranje višjih ravni hierarhije. Ko se pomikate po imeniku, se lahko pojavijo vnosi, ki predstavljajo ljudi, organizacijske enote, tiskalnike, dokumente, skupine ljudi ali kar koli, kar predstavlja dani vnos v drevesu (ali več vnosov).

Običajno shrani podatke za preverjanje pristnosti (uporabnik in geslo) in se uporablja za preverjanje pristnosti, čeprav je mogoče shraniti tudi druge podatke (kontaktni podatki uporabnika, lokacija različnih omrežnih virov, dovoljenja, potrdila itd.) Če povzamemo, LDAP je enoten protokol za dostop do nabora informacij v omrežju.

Trenutna različica je LDAPv3 in je opredeljena v RFC-jih RFC 2251 in RFC 2256 (osnovni dokument LDAP), RFC 2829 (metoda overjanja za LDAP), RFC 2830 (razširitev za TLS) in RFC 3377 (tehnična specifikacija) .

Nekaj ​​izvedb LDAP:

Active Directory: je ime, ki ga Microsoft uporablja (od Windows 2000) kot centralizirano shrambo informacij za eno od svojih domen za upravljanje. Imeniška storitev je strukturirano repozitorij informacij o različnih predmetih, ki jih vsebuje Active Directory, v tem primeru so to lahko tiskalniki, uporabniki, računalniki ... Uporablja različne protokole (predvsem, LDAP, DNS, DHCP, Kerberos...).

Pod tem imenom dejansko obstaja shema (definicija polj, ki jih je mogoče pregledati) LDAP različice 3, ki omogoča integracijo drugih sistemov, ki podpirajo protokol. Ta LDAP shranjuje informacije o uporabnikih, omrežnih virih, varnostnih politikah, konfiguraciji, dodelitvi dovoljenj itd.

Storitve imenika NovellZnan tudi kot eDirectory, je izvedba Novell, ki se uporablja za upravljanje dostopa do virov v različnih strežnikih in računalnikih v omrežju. V osnovi je sestavljena iz hierarhične in objektno usmerjene baze podatkov, ki predstavlja vsak strežnik, računalnik, tiskalnik, storitev, ljudi itd. Med katerimi se ustvarijo dovoljenja za nadzor dostopa z dedovanjem. Prednost te izvedbe je, da deluje na več platformah, zato jo je mogoče enostavno prilagoditi okoljem, ki uporabljajo več kot en operacijski sistem.

Je predhodnik glede struktur imenikov, saj je bil uveden leta 1990 z različico Novell Netware 4.0. Čeprav je Microsoftov AD vse bolj priljubljen, se še vedno ne more ujemati z zanesljivostjo in kakovostjo eDirectoryja in njegovih zmožnostih med platformami.

OpenLDAP: To je brezplačna izvedba protokola, ki podpira več shem, zato se lahko uporablja za povezavo s katerim koli drugim LDAP. Ima lastno licenco, OpenLDAP Public License. Ker je od distribucije neodvisen protokol, ga vključuje več distribucij GNU / Linux in BSD, kot tudi AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) in z / OS.

OpenLDAP ima štiri glavne komponente:

• slapd - samostojni demon LDAP.
• slurpd - Samostojni demon replikacije posodobitve LDAP.
• Podprogrami knjižnice podpirajo protokol LDAP
• Pripomočki, orodja in odjemalci.

Ključne lastnosti LDAP z vidika uporabnika

Kakšne informacije lahko shranimo v imenik?. Informacijski model v imeniku LDAP temelji na vstopnice. Vnos je zbirka atributov z edinstvenim razpoznavnim imenom ali "razločevalnim imenom (DN)". DN se uporablja za enolično sklicevanje na vnos.

Vsak atribut vnosa ima Tip in enega ali več Valores. Tipi so običajno mnemonični nizi cn o "Splošno ime" za splošna imena ali mail za e-poštne naslove. Sintaksa vrednosti je odvisna od vrste atributa.

Na primer atribut cn lahko vsebuje vrednost Frodo bagins. Atribut mail lahko ima pogum frodobagins@amigos.cu. Atribut jpgePhoto lahko vsebuje fotografijo v binarni obliki JPEG.

Kako so organizirane informacije?. V LDAP so vnosi v imeniku organizirani v hierarhični strukturi v obliki obrnjenega drevesa. Tradicionalno ta struktura odraža geografske in / ali organizacijske meje ali omejitve.

Vnosi, ki predstavljajo države, so prikazani na vrhu drevesa. Pod njimi bodo vnosi, ki predstavljajo države in nacionalne organizacije.

Potem so lahko vnosi, ki predstavljajo organizacijske enote, ljudi, tiskarje, dokumente ali kar koli drugega, kar si lahko omislimo.

Spodnja slika je primer drevesa imenikov LDAP, v katerem se uporabljajo tradicionalna imena.

LDAP omogoča nadzor nad tem, katere atribute potrebujemo za vnos s pomočjo posebnega imenovanega atributa predmetni razred. Vrednost atributa predmetni razred določa Pravila sheme o Shema pravil da mora vnos upoštevati.

Kako se sklicujemo na informacije?. Na vnos se sklicujemo z njegovim uglednim imenom oz Razločevalno ime, ki je sestavljeno iz imena samega vnosa (imenovano Distinguished Relative Name oz Relativno ugledno ime o RDN), združeno z imenom zapisov njegovih prednikov ali prednikov.

Na primer, na sliki nad vnosom ima Frodo Bagins a RDN cn = Frodo Bagins in DN popoln je cn = Frodo Bagins, ou = obroči, o = prijatelji, st = Havana, c = cu.

Kako dostopamo do informacij?. LDAP je opredelil operacije, potrebne za zaslišanje in posodobitev imenika. Sem spadajo postopki dodajanja in brisanja vnosa, spreminjanja obstoječega in preimenovanja vnosa.

Vendar se LDAP največkrat uporablja za iskanje informacij, shranjenih v imeniku. Iskalne operacije omogočajo iskanje dela v imeniku po vnosih, ki ustrezajo nekaterim merilom, navedenim v iskalnem filtru. Tako lahko iščemo vsak vnos, ki ustreza iskalnim kriterijem.

Kako zaščitimo informacije pred nepooblaščenim dostopom?. Nekatere imeniške storitve niso zaščitene in vsem omogočajo ogled vaših podatkov.

LDAP zagotavlja mehanizem za odjemalce, da preverijo identiteto ali potrdijo svojo identiteto v imeniški storitvi, da se zagotovi nadzor dostopa za zaščito informacij, ki jih vsebuje strežnik.

LDAP podpira tudi storitve varstva podatkov, tako glede integritete kot zaupnosti.

Kdaj naj uporabimo LDAP?

To je zelo dobro vprašanje. Na splošno moramo imeniško službo uporabljati, kadar potrebujemo informacije za centralno shranjevanje in upravljanje ter dostop do njih s pomočjo metod, ki temeljijo na standardih.

Nekaj ​​primerov vrste informacij, ki jih najdemo v poslovnem in industrijskem okolju:

• Strojna avtentikacija
• Preverjanje pristnosti uporabnika
• Uporabniki in skupine sistema
• Imenik
• Organizacijska predstavništva
• Sledenje virom
• Skladišče telefonskih informacij
• Upravljanje uporabniških virov
• Iskanje po e-poštnem naslovu
• Trgovina s konfiguracijo aplikacije
• Skladišče konfiguracij telefonske centrale PBX
• itd ...

Obstaja več razdeljenih datotek shem -Porazdeljene datoteke shem- na standardih. Vendar lahko vedno izdelamo lastno specifikacijo sheme ... ko smo strokovnjaki za LDAP. 🙂

Kdaj ne smemo uporabljati LDAP?

Ko se zavemo, da smo sukanje ali tako, da prisilimo LDAP, da naredi, kar potrebujemo. V tem primeru ga bo morda treba preoblikovati. Ali če potrebujemo eno samo aplikacijo za uporabo in obdelavo naših podatkov.

Katere storitve in programsko opremo nameravamo namestiti in konfigurirati?

• Imeniška storitev oz Storitev imenikov ki temelji na OpenLDAP
• storitve NTP, DNS y DHCP neodvisni
• Integrirajte Samba na LDAP
• Mogoče bomo razvili integracijo LDAP y Kerberos
• Upravljajte imenik s spletno aplikacijo Upravitelj računa Ldap.

In to je to za danes, prijatelji!

Posvetovani viri:

• https://wiki.debian.org/LDAP
• Skrbniški priročnik za programsko opremo OpenLDAP 2.4
• Strežniški vodnik Ubuntu 12.04