LDAP: Hyrje

Përshëndetje miq!. Ne po fillojmë një seri të re artikujsh që shpresojmë të jenë të dobishme. Ne kemi vendosur t'i shkruajmë për ata që duan të dinë se me çfarë punojnë, dhe të bëjnë implementimet e tyre pa u varur nga programi krejtësisht i pronarit, ose ato që janë gjysmë falas dhe gjysmë komerciale.

Leximi i kërkuar është Programi OpenLDAP 2.4 Udhëzuesi i Administratorit. Po, në anglisht, sepse ne jemi duke përdorur softuer të hartuar dhe shkruar në gjuhën e Shekspirit. 🙂 Ne gjithashtu rekomandojmë fuqimisht të lexoni Ubuntu Server Guide 12.04., të cilën ne e japim për ta shkarkuar.

Dokumentacioni ekzistues është në anglisht. Unë nuk kam gjetur përkthime në spanjisht të asnjërit prej dy rekomanduar më parë.

Gjithçka e shkruar në këtë hyrje është marrë nga Wikipedia ose e përkthyer lirisht në Spanjisht nga dokumentet e përmendura më sipër.

Do të shohim:

• Përkufizimi përmbledhës
• Karakteristikat kryesore të LDAP nga këndvështrimi i përdoruesit
• Kur duhet të përdorim LDAP?
• Kur nuk duhet të përdorim LDAP?
• Çfarë shërbimesh dhe softuerësh planifikojmë të instalojmë dhe konfigurojmë?

Përkufizimi përmbledhës

Nga Wikipedia:

LDAP është shkurtesa për Protokollin e Hyrjes në Direktorinë e Lehtë, i cili i referohet një protokolli në nivelin e aplikimit që lejon hyrjen në një shërbim direktorie të porositur dhe të shpërndarë për të kërkuar informacione të ndryshme në një mjedis të rrjetit. LDAP konsiderohet gjithashtu një bazë e të dhënave (megjithëse sistemi i tij i ruajtjes mund të jetë i ndryshëm) që mund të kërkohet.

Direktoria është një grup i objekteve me atribute të organizuara në një mënyrë logjike dhe hierarkike. Shembulli më i zakonshëm është direktoria telefonike, e cila përbëhet nga një seri emrash (persona ose organizata) që janë rregulluar në mënyrë alfabetike, me secilin emër që ka një adresë dhe një numër telefoni të bashkangjitur me të. Për ta kuptuar më mirë, është një libër ose dosje, në të cilin janë shkruar emrat, numrat e telefonit dhe adresat e njerëzve, dhe është rregulluar alfabetikisht.

Një pemë e drejtorive LDAP ndonjëherë reflekton kufij të ndryshëm politikë, gjeografikë ose organizativë, në varësi të modelit të zgjedhur. Vendosjet aktuale të LDAP tentojnë të përdorin emrat e Sistemit të Emrave të Domenit (DNS) për të strukturuar nivelet më të larta të hierarkisë. Ndërsa lëvizni poshtë drejtorisë, mund të shfaqen shënime që përfaqësojnë njerëz, njësi organizative, printerë, dokumente, grupe njerëzish ose gjithçka që përfaqëson një hyrje të dhënë në pemë (ose shënime të shumta).

Zakonisht, ai ruan informacionet e vërtetimit (përdorues dhe fjalëkalim) dhe përdoret për të vërtetuar, megjithëse është e mundur të ruhen informacione të tjera (të dhënat e kontaktit të përdoruesit, vendndodhja e burimeve të ndryshme të rrjetit, lejet, certifikatat, etj.). Në përmbledhje, LDAP është një protokoll i unifikuar i hyrjes në një grup informacioni në një rrjet.

Versioni aktual është LDAPv3, dhe përcaktohet në RFC RFC 2251 dhe RFC 2256 (dokumenti bazë i LDAP), RFC 2829 (metoda e vërtetimit për LDAP), RFC 2830 (zgjerimi për TLS) dhe RFC 3377 (specifikimi teknik).

Disa zbatime të LDAP:

Active Directory: është emri i përdorur nga Microsoft (që nga Windows 2000) si një dyqan informacioni i centralizuar për një nga fushat e tij të menaxhimit. Një Shërbim Direktorie është një depo e strukturuar e informacionit mbi objektet e ndryshme që përmbahen në Active Directory, në këtë rast ato mund të jenë printera, përdorues, kompjuterë ... Ai përdor protokolle të ndryshëm (kryesisht, LDAP, DNS, DHCP, Kerberos...).

Nën këtë emër ekziston aktualisht një skemë (përcaktimi i fushave që mund të konsultohen) versioni 3 i LDAP, i cili lejon integrimin e sistemeve të tjera që mbështesin protokollin. Ky LDAP ruan informacione mbi përdoruesit, burimet e rrjetit, politikat e sigurisë, konfigurimin, caktimin e lejeve, etj.

Shërbimet e Drejtorisë NovellI njohur gjithashtu si eDirectory, është implementimi Novell i përdorur për të menaxhuar hyrjen në burime në servera dhe kompjuterë të ndryshëm në një rrjet. Në parim është i përbërë nga një bazë të dhënash hierarkike dhe e orientuar drejt objektit, e cila përfaqëson secilin server, kompjuter, printer, shërbim, njerëz, etj. midis të cilave krijohen lejet për kontrollin e hyrjes, përmes trashëgimisë. Avantazhi i këtij implementimi është se ai funksionon në platforma të ndryshme, kështu që mund të përshtatet lehtësisht në mjediset që përdorin më shumë se një sistem operativ.

Isshtë pararendës për sa i përket strukturave të Direktorisë, pasi u prezantua në vitin 1990 me versionin e Novell Netware 4.0. Megjithëse Microsoft AD është rritur në popullaritet, ai ende nuk mund të përputhet me besueshmërinë dhe cilësinë e eDirectory dhe aftësitë e tij Cross-Platform.

OpenLDAP: Isshtë një zbatim falas i protokollit që mbështet skema të shumta në mënyrë që të mund të përdoret për t'u lidhur me ndonjë LDAP tjetër. Ka licencën e vet, Licencën Publike OpenLDAP. Duke qenë një protokoll i pavarur nga platforma, disa shpërndarje të GNU / Linux dhe BSD e përfshijnë atë, ashtu si AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) dhe z / OS.

OpenLDAP ka katër përbërës kryesorë:

• slapd - demon i pavarur LDAP.
• slurpd - demon i replikimit të azhurnimit të pavarur të LDAP.
• Rutinat e bibliotekës të protokollit LDAP
• Shërbime, mjete dhe klientë.

Karakteristikat kryesore të LDAP nga këndvështrimi i përdoruesit

Çfarë lloj informacioni mund të ruajmë në një Drejtori?. Modeli i informacionit në një direktori LDAP bazohet në bileta. Një hyrje është një koleksion i atributeve që ka një emër unik të dalluar ose "Emër të dalluar (DN)". DN përdoret për t'iu referuar hyrjes në mënyrë unike.

Çdo atribut i një hyrje ka një Tipo dhe një ose më shumë valores. Llojet janë zakonisht vargje mememonike si cn o "Emri i Përbashkët" për emrat e zakonshëm, ose Mail për adresat e postës elektronike. Sintaksa e vlerave varet nga lloji i atributit.

Për shembull, një atribut cn mund të përmbajë vlerën e Frodo bagins. Një atribut Mail mund të ketë guximin frodobagins@amigos.cu. Një atribut jpgeFoto mund të përmbajë një foto në format binar JPEG.

Si organizohet informacioni?. Në LDAP, shënimet e drejtorive janë të organizuara në një strukturë hierarkike në formën e një peme të përmbysur. Tradicionalisht, kjo strukturë pasqyron kufijtë ose kufijtë gjeografikë dhe / ose organizativë.

Hyrjet që përfaqësojnë vendet shfaqen në majë të pemës. Nën to do të ketë shënime që përfaqësojnë shtetet dhe organizatat kombëtare.

Atëherë mund të ketë shënime që përfaqësojnë njësi organizative, njerëz, printerë, dokumente ose çfarëdo tjetër që ne jemi në gjendje të mendojmë.

Figura më poshtë është një shembull i një peme direktorie LDAP në të cilën përdoren emrat tradicionalë.

LDAP lejon kontrollin se cilat atribute na duhen për një hyrje duke përdorur një atribut të veçantë të quajtur objektiKlasa. Vlera e atributit objektiKlasa përcakton Rregullat e Skemës o Rregullat e Skemës që kontributi duhet t'i bindet.

Si i referojmë informacionet?. Ne i referohemi një shënimi me emrin e tij të dalluar ose Emri i Shquar, e cila është ndërtuar nga vetë emri i hyrjes (i quajtur Emër relativ i dalluar ose Emri relativ i dalluar o DAM), e bashkuar me emrin e shënimeve të paraardhësve ose paraardhësve të saj.

Për shembull, në figurën sipër hyrja Frodo Bagins ka një DAM cn = Frodo Bagins dhe DN komplet është cn = Frodo Bagins, ou = Unaza, o = Shokë, st = Havana, c = cu.

Si i qasemi informacioneve?. LDAP ka përcaktuar operacionet e kërkuara për të marrë në pyetje dhe azhurnuar drejtorinë. Këto përfshijnë operacionet e shtimit dhe fshirjes së një hyrje, modifikimin e një hyrje ekzistuese dhe ndryshimin e emrit të një hyrje.

Sidoqoftë, shumicën e kohës LDAP përdoret për të kërkuar informacione të ruajtura në direktori. Operacionet e kërkimit lejojnë që një pjesë e drejtorisë të kërkohet për shënime që plotësojnë disa kritere të specifikuara në filtrin e kërkimit. Në këtë mënyrë ne mund të kërkojmë çdo hyrje që plotëson kriteret e kërkimit.

Si i mbrojmë informacionet nga hyrja e paautorizuar?. Disa shërbime direktorie janë të pambrojtura dhe lejojnë këdo të shikojë informacionin tuaj.

LDAP siguron një mekanizëm për klientët për të vërtetuar, ose konfirmuar identitetin e tyre në një shërbim direktorie, në mënyrë që të garantojë kontrollin e hyrjes për të mbrojtur informacionin që përmban serveri.

LDAP gjithashtu mbështet shërbimet e sigurisë së të dhënave, si në lidhje me integritetin dhe konfidencialitetin.

Kur duhet të përdorim LDAP?

Kjo është një pyetje shumë e mirë. Në përgjithësi, ne duhet të përdorim Shërbimin e Direktorisë kur kemi nevojë që informacioni të ruhet dhe menaxhohet në mënyrë qendrore, dhe të jetë i arritshëm përmes metodave të bazuara në standarde.

Disa shembuj të llojit të informacionit që gjejmë në mjedisin e biznesit dhe industrisë:

• Vërtetimi i makinës
• Vërtetimi i përdoruesit
• Përdoruesit dhe Grupet e Sistemit
• Libri i adresave
• Përfaqësimet organizative
• Ndjekja e Burimeve
• Magazina e informacionit telefonik
• Menaxhimi i Burimeve të Përdoruesit
• Kërkimi i Adresave të Emailit
• Dyqani i Cilësimeve të Aplikimit
• Depoja e Konfigurimeve të Bimëve Telefonike PBX
• etj

Ka disa skedarë të skemës së shpërndarë -Skedarët e shpërndarë të skemave- bazuar në standarde. Sidoqoftë, ne gjithmonë mund të krijojmë specifikimin tonë të Skemës ... kur jemi Ekspertë të LDAP. 🙂

Kur nuk duhet të përdorim LDAP?

Kur ta kuptojmë se jemi përdredhje ose duke e detyruar LDAP-in tonë të bëjë atë që na duhet. Në atë rast, mund të ketë nevojë të ridizenjohet. Ose nëse na duhet një aplikacion i vetëm për të përdorur dhe manipuluar të dhënat tona.

Çfarë shërbimesh dhe softuerësh planifikojmë të instalojmë dhe konfigurojmë?

• Shërbimi i direktorive ose Shërbimi i Drejtorisë bazuar në OpenLDAP
• shërbimet NTP, DNS y DHCP i pavarur
• integruar Samba në LDAP
• Ndoshta ne do të zhvillojmë integrimin e LDAP y Kerberos
• Menaxhoni Drejtorinë me aplikacionin në internet Menaxheri i Llogarisë Ldap.

Dhe kjo është ajo për sot, miq!

Burimet e konsultuara:

• https://wiki.debian.org/LDAP
• Programi OpenLDAP 2.4 Udhëzuesi i Administratorit
• Udhëzuesi i serverit Ubuntu 12.04