LDAP: Introduktion

Hej kompisar!. Vi startar en ny serie artiklar som vi hoppas kommer att vara till hjälp. Vi har bestämt oss för att skriva dem för dem som gillar att veta vad de arbetar med, och göra sina egna implementeringar utan att bero på helt egenutvecklad programvara eller de som är hälften gratis och hälften kommersiella.

Nödvändig läsning är OpenLDAP Software 2.4 Administratörshandbok. Ja, på engelska, för vi använder programvara som är utformad och skriven på Shakespeares språk. Vi rekommenderar starkt att du läser Ubuntu Server Guide 12.04., som vi ger för nedladdning.

Den befintliga dokumentationen är på engelska. Jag har inte hittat spanska översättningar av någon av de två tidigare rekommenderade.

Allt som skrivs i denna introduktion är hämtat från Wikipedia eller fritt översatt till spanska från ovan nämnda dokument.

Vi får se:

Sammanfattningsdefinition

Från Wikipedia:

LDAP är förkortningen för Lightweight Directory Access Protocol (på spanska Lightweight Directory Access Protocol) som hänvisar till ett protokoll på applikationsnivå som tillåter åtkomst till en beställd och distribuerad katalogtjänst för att söka efter olika information i en nätverksmiljö . LDAP anses också vara en databas (även om lagringssystemet kan vara annorlunda) som kan ifrågasättas.

En katalog är en uppsättning objekt med attribut ordnade på ett logiskt och hierarkiskt sätt. Det vanligaste exemplet är telefonkatalogen, som består av en serie namn (personer eller organisationer) som är ordnade i alfabetisk ordning, där varje namn har en adress och ett telefonnummer bifogat. För att förstå bättre är det en bok eller mapp där människors namn, telefonnummer och adresser är skrivna, och det är ordnat alfabetiskt.

Ett LDAP-katalogträd återspeglar ibland olika politiska, geografiska eller organisatoriska gränser, beroende på vilken modell som väljs. Nuvarande LDAP-distributioner brukar använda domännamnssystem (DNS) för att strukturera de högre nivåerna i hierarkin. När du rullar ner i katalogen kan poster visas som representerar personer, organisationsenheter, skrivare, dokument, grupper av personer eller något som representerar en given post i trädet (eller flera poster).

Vanligtvis lagras den autentiseringsinformationen (användarnamn och lösenord) och används för att autentisera, även om det är möjligt att lagra annan information (användarkontaktdata, plats för olika nätverksresurser, behörigheter, certifikat etc.). Sammanfattningsvis är LDAP ett enhetligt åtkomstprotokoll till en uppsättning information i ett nätverk.

Den nuvarande versionen är LDAPv3 och definieras i RFC: er RFC 2251 och RFC 2256 (LDAP-basdokument), RFC 2829 (autentiseringsmetod för LDAP), RFC 2830 (tillägg för TLS) och RFC 3377 (teknisk specifikation) .

Några LDAP-implementeringar:

Active Directory: är namnet som används av Microsoft (sedan Windows 2000) som en centraliserad informationsbutik för en av dess förvaltningsdomäner. En katalogtjänst är en strukturerad databas med information om de olika objekten som Active Directory innehåller, i det här fallet kan de vara skrivare, användare, datorer ... Den använder olika protokoll (huvudsakligen LDAP, DNS, DHCP, Kerberos...).

Under detta namn finns det faktiskt ett schema (definition av fälten som kan konsulteras) LDAP version 3, som möjliggör integrering av andra system som stöder protokollet. Denna LDAP lagrar information om användare, nätverksresurser, säkerhetspolicyer, konfiguration, tilldelning av behörigheter etc.

Novell Directory ServicesÄven känd som eDirectory är det Novell-implementeringen som används för att hantera tillgång till resurser på olika servrar och datorer i ett nätverk. Den består i grunden av en hierarkisk och objektorienterad databas, som representerar varje server, dator, skrivare, service, folk etc. mellan vilka behörigheter skapas för åtkomstkontroll, genom arv. Fördelen med denna implementering är att den körs på flera plattformar så att den enkelt kan anpassas till miljöer som använder mer än ett operativsystem.

Det är föregångaren när det gäller katalogstrukturer, eftersom den introducerades 1990 med versionen av Novell Netware 4.0. Även om Microsofts AD har ökat i popularitet, kan det fortfarande inte matcha pålitligheten och kvaliteten på eDirectory och dess plattformsfunktioner.

OpenLDAP: Det är en gratis implementering av protokollet som stöder flera scheman så att det kan användas för att ansluta till andra LDAP. Den har sin egen licens, OpenLDAP Public License. Eftersom det är ett plattformsoberoende protokoll inkluderar flera GNU / Linux- och BSD-distributioner det, liksom AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) och z / OS.

OpenLDAP har fyra huvudkomponenter:

  • slapd - fristående LDAP-demon.
  • slurpd - fristående replikeringsdemon för LDAP-uppdatering.
  • LDAP-protokoll stödjer biblioteksrutiner
  • Verktyg, verktyg och klienter.

LDAP-nyckelfunktioner från användarens perspektiv

Vilken typ av information kan vi lagra i en katalog?. Informationsmodellen i en LDAP-katalog baseras på Biljetter. En post är en samling attribut som har ett enskilt Distinguished Name eller "Distinguished Name (DN)". DN används för att hänvisa till posten unikt.

Varje attribut i en post har en typ och en eller flera valores. Typerna är vanligtvis mnemoniska strängar som cn o "Vanligt namn" för vanliga namn, eller post för e-postadresser. Syntaxen för värdena beror på attributstypen.

Till exempel ett attribut cn kan innehålla värdet på Frodo bagins. Ett attribut post kan ha modet frodobagins@amigos.cu. Ett attribut jpgeFoto kan innehålla ett foto i binärt format JPEG-.

Hur är informationen organiserad?. I LDAP är katalogposter organiserade i en hierarkisk struktur i form av ett inverterat träd. Traditionellt återspeglar denna struktur geografiska och / eller organisatoriska gränser eller gränser.

Poster som representerar länder visas högst upp i trädet. Under dem kommer poster som representerar stater och nationella organisationer.

Då kan det finnas poster som representerar organisationsenheter, personer, skrivare, dokument eller vad som helst vi kan tänka på.

Figuren nedan är ett exempel på ett LDAP-katalogträd där traditionella namn används.

Diagram1

LDAP tillåter kontroll av vilka attribut vi behöver för en post med hjälp av ett speciellt attribut som kallas objektKlass. Attributets värde objektKlass bestämmer Systemregler o Schema regler att ingången måste följa.

Hur refererar vi till informationen?. Vi hänvisar till en post med dess framstående namn eller Distinguished Name, som är konstruerad från själva postens namn (kallat Distinguished Relative Name eller Relativ distinkt namn o RDN), sammanfogat med namnet på posterna för dess förfäder eller förfäder.

Till exempel, i figuren ovan har Frodo Bagins en RDN cn = Frodo Bagins och DN komplett är cn = Frodo Bagins, ou = Ringar, o = Vänner, st = Havanna, c = cu.

Hur får vi tillgång till informationen?. LDAP har definierat de åtgärder som är nödvändiga för att förhöra och uppdatera katalogen. Dessa inkluderar åtgärder för att lägga till och ta bort en post, ändra en befintlig post och byta namn på en post.

LDAP används dock oftast för att söka efter information som är lagrad i katalogen. Sökoperationer gör att en del av katalogen kan sökas efter poster som uppfyller vissa kriterier som anges i sökfiltret. På så sätt kan vi söka i varje post som uppfyller sökkriterierna.

Hur skyddar vi information från obehörig åtkomst?. Vissa katalogtjänster är oskyddade och tillåter vem som helst att se din information.

LDAP tillhandahåller en mekanism för klienter att autentisera eller bekräfta sin identitet till en katalogtjänst för att garantera åtkomstkontroll för att skydda den information som servern innehåller.

LDAP stöder också datasäkerhetstjänster, både med avseende på integritet och konfidentialitet.

När ska vi använda LDAP?

Det här är en mycket bra fråga. I allmänhet bör vi använda katalogtjänsten när vi behöver information för att lagras och hanteras centralt och vara tillgängliga via standardbaserade metoder.

Några exempel på vilken typ av information vi hittar i näringslivet:

  • Maskinautentisering
  • Användarautentisering
  • Systemanvändare och grupper
  • Adressbok
  • Organisatoriska representationer
  • Resursspårning
  • Telefoninformation Lager
  • Användarresurshantering
  • Sök efter e-postadress
  • Programkonfigurationsbutik
  • PBX-telefonanläggningslager
  • etc…

Det finns flera distribuerade schemafiler -Distribuerade schemafiler- standardbaserad. Vi kan dock alltid skapa vår egen schemaspecifikation ... när vi är LDAP-experter. 🙂

När ska vi inte använda LDAP?

När vi inser att vi är det vridning eller genom att tvinga vår LDAP att göra vad vi behöver. I så fall kan det behöva redesignas. Eller om vi behöver en enda applikation för att använda och manipulera våra data.

Vilka tjänster och programvara planerar vi att installera och konfigurera?

 

  • Katalogtjänst eller Katalogtjänst baserat på OpenLDAP
  • tjänster NTP, DNS y DHCP- oberoende
  • integrera Samba till LDAP
  • Möjligen kommer vi att utveckla integrationen av LDAP y Kerberos
  • Hantera katalogen med webbapplikationen Ldap Account Manager.

Och det är det för idag, vänner!

Källor som konsulterats:

  • https://wiki.debian.org/LDAP
  • OpenLDAP Software 2.4 Administratörshandbok
  • Serverguide för Ubuntu 12.04

Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

15 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   oscar sade

    Jag tror FreeIPA är ett omfattande projekt (LDAP, Kerberos, DNS, etc.) intressant att studera, baserat på LDAP 389-servern.

  2.   Guido rolon sade

    Till att börja med fungerar inte likarna med Pfs. Jag är väldigt intresserad av att utbilda mig i ldap. Tack för att du delar med dig.

    1.    elav sade

      Länkar korrigerade.

  3.   eliotime3000 sade

    Intressant.

  4.   låt oss använda Linux sade

    Du gick över telefonen en gång till!
    Bra bidrag.
    Kram! Paul.

  5.   federico sade

    Tack alla för att ni kommenterade !!! Jag kunde inte ansluta förut med mitt modem vid 28000 baud / sekund. Vilken typ av hastighet. 🙂
    Hälsningar till alla

  6.   federico sade

    Tack så mycket alla för kommentarer !!!. Ozkar, FreeIPA är mycket mer än en LDAP. Integrerar Red Hat Active Directory 389 med en hel serie relaterade tjänster. Det är ett Fedora-projektdjur. För enormt för min blygsamma kunskap.

  7.   TheSandman86 sade

    Utmärkt artikel, den passar mig som en handske eftersom jag planerade att internalisera mig i dessa nummer, jag ser fram emot nya artiklar.

  8.   Eufori sade

    Tack så mycket för att du delar, med det och ClearOS jag har ett tag 🙂

  9.   vidagnu sade

    Utmärkt handledning, jag laddade också ner Ubunto-boken, tack!

    1.    vidagnu sade

      Ubuntu jejjeej Jag sover fortfarande ...

  10.   månig sade

    Även om jag respekterar ditt arbete har jag läst det ovan och om jag förstod allt väldigt dåligt eller mindre bra kan det förstås i detta skämt:
    "Men om jag blir capo capo för open-ldap utvecklar jag min webbläsare och google shakes!"

    1.    månig sade

      Tack för ansträngningen och det gör ont att det inte finns något material på spanska. mmm ...

  11.   edgar sade

    Nu går jag lite framåt och läser inläggen på sidan https://blog.desdelinux.net/ldap-introduccion/ Jag vill att du klargör lite för mig vad som hänvisar till maskinautentisering, denna punkt är inte tydlig för mig och jag är väldigt entusiastisk över OpenLdap. Jag har redan tillbringat flera timmar på att läsa den här bloggen men jag vill kunna behärska ämnena och begrepp av den anledningen mitt ingripande i dina aktiviteter i förväg tack så mycket Herr Fico vi fortsätter i kontakt hälsningar