LDAP: บทนำ

สวัสดีเพื่อน!. เรากำลังเริ่มบทความชุดใหม่ที่หวังว่าจะเป็นประโยชน์ เราได้ตัดสินใจที่จะเขียนสิ่งเหล่านี้สำหรับผู้ที่ต้องการทราบว่าพวกเขาทำงานกับอะไรและดำเนินการใช้งานด้วยตนเองโดยไม่ขึ้นอยู่กับซอฟต์แวร์ที่เป็นกรรมสิทธิ์ทั้งหมดหรือซอฟต์แวร์ที่เป็นอิสระครึ่งหนึ่งและเป็นเชิงพาณิชย์

การอ่านที่จำเป็นคือไฟล์ คู่มือสำหรับผู้ดูแลระบบซอฟต์แวร์ OpenLDAP 2.4. ใช่เป็นภาษาอังกฤษเนื่องจากเราใช้ซอฟต์แวร์ที่ออกแบบและเขียนด้วยภาษาเชกสเปียร์ 🙂เราขอแนะนำอย่างยิ่งให้อ่านไฟล์ Ubuntu ServerGuide 12.04 ดาวน์โหลด. ซึ่งเราให้ดาวน์โหลด.

เอกสารที่มีอยู่เป็นภาษาอังกฤษ ฉันไม่พบคำแปลภาษาสเปนของทั้งสองคำที่แนะนำก่อนหน้านี้

ทุกสิ่งที่เขียนในบทนำนี้นำมาจาก Wikipedia หรือแปลเป็นภาษาสเปนอย่างอิสระจากเอกสารที่กล่าวถึงข้างต้น

เราจะเห็น:

• คำจำกัดความโดยสรุป
• คุณสมบัติหลักของ LDAP จากมุมมองของผู้ใช้
• เราควรใช้ LDAP เมื่อใด?
• เมื่อใดที่เราไม่ควรใช้ LDAP
• เราวางแผนจะติดตั้งและกำหนดค่าบริการและซอฟต์แวร์อะไรบ้าง?

คำจำกัดความโดยสรุป

จาก Wikipedia:

LDAP เป็นคำย่อของ Lightweight Directory Access Protocol (ใน Spanish Lightweight Directory Access Protocol) ที่อ้างถึงโปรโตคอลระดับแอปพลิเคชันที่อนุญาตให้เข้าถึงบริการไดเรกทอรีที่สั่งซื้อและกระจายเพื่อค้นหาข้อมูลต่างๆในสภาพแวดล้อมเครือข่าย . LDAP ยังถือเป็นฐานข้อมูล (แม้ว่าระบบจัดเก็บข้อมูลอาจแตกต่างกัน) ที่สามารถสืบค้นได้

ไดเร็กทอรีคือชุดของอ็อบเจ็กต์ที่มีแอ็ตทริบิวต์ที่จัดเรียงตามลำดับชั้น ตัวอย่างที่พบบ่อยที่สุดคือสมุดโทรศัพท์ซึ่งประกอบด้วยชุดของชื่อ (บุคคลหรือองค์กร) ที่เรียงตามตัวอักษรโดยแต่ละชื่อจะมีที่อยู่และหมายเลขโทรศัพท์ติดอยู่ เพื่อให้เข้าใจได้ดียิ่งขึ้นหนังสือหรือโฟลเดอร์ซึ่งมีการเขียนชื่อของผู้คนหมายเลขโทรศัพท์และที่อยู่และจัดเรียงตามตัวอักษร

โครงสร้างไดเรกทอรี LDAP บางครั้งสะท้อนถึงขอบเขตทางการเมืองภูมิศาสตร์หรือองค์กรต่างๆขึ้นอยู่กับรูปแบบที่เลือก การปรับใช้ LDAP ในปัจจุบันมักจะใช้ชื่อ Domain Name System (DNS) เพื่อจัดโครงสร้างระดับที่สูงขึ้นของลำดับชั้น เมื่อคุณย้ายไดเรกทอรีลงรายการอาจปรากฏขึ้นซึ่งแสดงถึงบุคคลหน่วยขององค์กรเครื่องพิมพ์เอกสารกลุ่มบุคคลหรืออะไรก็ตามที่แสดงถึงรายการที่กำหนดในโครงสร้าง (หรือหลายรายการ)

โดยปกติจะเก็บข้อมูลการพิสูจน์ตัวตน (ผู้ใช้และรหัสผ่าน) และใช้ในการพิสูจน์ตัวตนแม้ว่าจะสามารถจัดเก็บข้อมูลอื่น ๆ ได้ (ข้อมูลติดต่อของผู้ใช้ตำแหน่งของทรัพยากรเครือข่ายต่างๆสิทธิ์ใบรับรอง ฯลฯ ) โดยสรุป LDAP คือโปรโตคอลการเข้าถึงชุดข้อมูลบนเครือข่ายแบบรวม

เวอร์ชันปัจจุบันคือ LDAPv3 และถูกกำหนดไว้ใน RFCs RFC 2251 และ RFC 2256 (เอกสารฐาน LDAP), RFC 2829 (วิธีการพิสูจน์ตัวตนสำหรับ LDAP), RFC 2830 (ส่วนขยายสำหรับ TLS) และ RFC 3377 (ข้อกำหนดทางเทคนิค)

การใช้งาน LDAP บางอย่าง:

Active Directory: เป็นชื่อที่ Microsoft ใช้ (ตั้งแต่ Windows 2000) เป็นที่เก็บข้อมูลส่วนกลางสำหรับหนึ่งในโดเมนการจัดการ Directory Service เป็นที่เก็บข้อมูลที่มีโครงสร้างของวัตถุต่างๆที่มีอยู่ใน Active Directory ในกรณีนี้อาจเป็นเครื่องพิมพ์ผู้ใช้คอมพิวเตอร์ ... โดยใช้โปรโตคอลที่แตกต่างกัน (ส่วนใหญ่คือ LDAP, DNS, DHCP, เคอร์เบอรอส... )

ภายใต้ชื่อนี้มี schema (คำจำกัดความของฟิลด์ที่สามารถปรึกษาได้) LDAP เวอร์ชัน 3 ซึ่งอนุญาตให้รวมระบบอื่น ๆ ที่รองรับโปรโตคอล LDAP นี้เก็บข้อมูลเกี่ยวกับผู้ใช้ทรัพยากรเครือข่ายนโยบายความปลอดภัยการกำหนดค่าการกำหนดสิทธิ์ ฯลฯ

บริการไดเรกทอรีของ Novellหรือที่เรียกว่า eDirectory คือการนำ Novell มาใช้เพื่อจัดการการเข้าถึงทรัพยากรบนเซิร์ฟเวอร์และคอมพิวเตอร์ที่แตกต่างกันบนเครือข่าย โดยพื้นฐานแล้วประกอบด้วยฐานข้อมูลแบบลำดับชั้นและเชิงวัตถุซึ่งแสดงถึงเซิร์ฟเวอร์คอมพิวเตอร์เครื่องพิมพ์บริการบุคคลและอื่น ๆ ระหว่างสิทธิ์ใดที่สร้างขึ้นสำหรับการควบคุมการเข้าถึงผ่านการสืบทอด ข้อดีของการใช้งานนี้คือทำงานบนหลายแพลตฟอร์มดังนั้นจึงสามารถปรับให้เข้ากับสภาพแวดล้อมที่ใช้ระบบปฏิบัติการมากกว่าหนึ่งระบบได้อย่างง่ายดาย

เป็นผู้บุกเบิกในแง่ของโครงสร้างไดเร็กทอรีเนื่องจากเปิดตัวในปี 1990 พร้อมกับเวอร์ชันของ Novell Netware 4.0 แม้ว่า AD ของ Microsoft จะได้รับความนิยมเพิ่มขึ้น แต่ก็ยังไม่สามารถเทียบกับความน่าเชื่อถือและคุณภาพของ eDirectory และความสามารถข้ามแพลตฟอร์มได้

OpenLDAP: เป็นการใช้งานโปรโตคอลฟรีที่รองรับหลายรูปแบบเพื่อให้สามารถใช้เพื่อเชื่อมต่อกับ LDAP อื่น ๆ มีใบอนุญาตของตัวเองคือ OpenLDAP Public License การเป็นโปรโตคอลอิสระของแพลตฟอร์มการแจกแจง GNU / Linux และ BSD หลายแบบรวมถึง AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) และ z / OS

OpenLDAP มีองค์ประกอบหลัก XNUMX ส่วน:

• Slapd - LDAP daemon แบบสแตนด์อโลน
• slurpd - ดีมอนการจำลองการอัพเดต LDAP แบบสแตนด์อโลน
• รูทีนไลบรารีสนับสนุนโปรโตคอล LDAP
• ยูทิลิตี้เครื่องมือและไคลเอนต์

คุณสมบัติหลักของ LDAP จากมุมมองของผู้ใช้

ข้อมูลประเภทใดที่เราสามารถจัดเก็บใน Directory?. โมเดลข้อมูลในไดเร็กทอรี LDAP ขึ้นอยู่กับ ตั๋ว. รายการคือชุดของแอตทริบิวต์ที่มี Distinguished Name เดียวหรือ "Distinguished Name (DN)" DN ใช้เพื่ออ้างถึงรายการโดยไม่ซ้ำกัน

แต่ละแอตทริบิวต์ของรายการมี ชนิด และอย่างน้อยหนึ่งรายการ Valores. ประเภทนี้มักเป็นสตริงช่วยในการจำเช่น cn o "ชื่อสามัญ" สำหรับชื่อสามัญหรือ อีเมล สำหรับที่อยู่อีเมล ไวยากรณ์ของค่าขึ้นอยู่กับประเภทของแอตทริบิวต์

ตัวอย่างเช่นแอตทริบิวต์ cn สามารถมีค่าของ โฟรโดบากินส์. แอตทริบิวต์ อีเมล สามารถมีความกล้าหาญ frodobagins@amigos.cu. แอตทริบิวต์ jpgePhoto สามารถมีภาพถ่ายในรูปแบบไบนารี JPEG.

มีการจัดระเบียบข้อมูลอย่างไร?. ใน LDAP รายการไดเร็กทอรีจะถูกจัดเรียงตามโครงสร้างลำดับชั้นในรูปแบบของต้นไม้กลับหัว ตามเนื้อผ้าโครงสร้างนี้สะท้อนถึงขอบเขตหรือข้อ จำกัด ทางภูมิศาสตร์และ / หรือองค์กร

รายการที่เป็นตัวแทนของประเทศจะปรากฏที่ด้านบนของแผนภูมิ ด้านล่างนี้จะเป็นรายการที่แสดงถึงรัฐและองค์กรระดับชาติ

จากนั้นอาจมีรายการที่แสดงถึงหน่วยขององค์กรบุคคลเครื่องพิมพ์เอกสารหรืออะไรก็ตามที่เราสามารถคิดได้

รูปด้านล่างเป็นตัวอย่างของแผนผังไดเร็กทอรี LDAP ที่ใช้ชื่อดั้งเดิม

LDAP อนุญาตให้ควบคุมแอตทริบิวต์ที่เราต้องการสำหรับรายการโดยใช้แอตทริบิวต์พิเศษที่เรียกว่า วัตถุคลาส. ค่าของแอตทริบิวต์ วัตถุคลาส กำหนด กฎของโครงการ o กฎของสคีมา ที่ข้อมูลต้องเป็นไปตาม

เราอ้างอิงข้อมูลอย่างไร?. เราอ้างถึงรายการตามชื่อที่โดดเด่นหรือ Distinguished Nameซึ่งสร้างจากชื่อของรายการเอง (เรียกว่า Distinguished Relative Name หรือ ชื่อที่ไม่ซ้ำกัน o RDN) เชื่อมต่อกับชื่อของรายการของบรรพบุรุษหรือบรรพบุรุษ

ตัวอย่างเช่นในรูปด้านบนรายการ Frodo Bagins มีไฟล์ RDN cn = โฟรโดบากินส์ และ DN สมบูรณ์คือ cn = Frodo Bagins, ou = Rings, o = Friends, st = Havana, c = cu.

เราจะเข้าถึงข้อมูลได้อย่างไร?. LDAP ได้กำหนดการดำเนินการที่จำเป็นในการซักถามและอัพเดตไดเร็กทอรี ซึ่งรวมถึงการดำเนินการในการเพิ่มและลบรายการการแก้ไขรายการที่มีอยู่และการเปลี่ยนชื่อรายการ

อย่างไรก็ตามเวลาส่วนใหญ่ LDAP จะใช้เพื่อค้นหาข้อมูลที่เก็บไว้ในไดเร็กทอรี การดำเนินการค้นหาช่วยให้สามารถค้นหาส่วนหนึ่งของไดเร็กทอรีเพื่อค้นหารายการที่ตรงตามเกณฑ์บางประการที่ระบุไว้ในตัวกรองการค้นหา ด้วยวิธีนี้เราสามารถค้นหาแต่ละรายการที่ตรงตามเกณฑ์การค้นหา

เราจะป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างไร?. บริการไดเรกทอรีบางอย่างไม่มีการป้องกันและอนุญาตให้ทุกคนดูข้อมูลของคุณได้

LDAP จัดเตรียมกลไกสำหรับไคลเอ็นต์ในการพิสูจน์ตัวตนหรือยืนยันตัวตนกับไดเร็กทอรีเซอร์วิสเพื่อรับประกันการควบคุมการเข้าถึงเพื่อปกป้องข้อมูลที่เซิร์ฟเวอร์มีอยู่

LDAP ยังรองรับบริการรักษาความปลอดภัยของข้อมูลทั้งในส่วนที่เกี่ยวกับความสมบูรณ์และการรักษาความลับ

เราควรใช้ LDAP เมื่อใด?

นี่เป็นคำถามที่ดีมาก โดยทั่วไปเราต้องใช้ Directory Service เมื่อเราต้องการข้อมูลเพื่อจัดเก็บและจัดการจากส่วนกลางและสามารถเข้าถึงได้ด้วยวิธีการตามมาตรฐาน

ตัวอย่างประเภทของข้อมูลที่เราพบในสภาพแวดล้อมทางธุรกิจและอุตสาหกรรม:

• การตรวจสอบเครื่อง
• การตรวจสอบผู้ใช้
• ผู้ใช้ระบบและกลุ่ม
• สมุดที่อยู่
• การเป็นตัวแทนขององค์กร
• การติดตามทรัพยากร
• คลังข้อมูลโทรศัพท์
• การจัดการทรัพยากรผู้ใช้
• ค้นหาที่อยู่อีเมล
• ที่เก็บการตั้งค่าแอปพลิเคชัน
• คลังสินค้าการกำหนดค่าโรงงานโทรศัพท์ PBX
• ฯลฯ …

มีไฟล์สคีมาแบบกระจายหลายไฟล์ -ไฟล์ Schemas แบบกระจาย- ตามมาตรฐาน อย่างไรก็ตามเราสามารถสร้างข้อกำหนด Schema ของเราเองได้ตลอดเวลา ... เมื่อเราเป็นผู้เชี่ยวชาญด้าน LDAP 🙂

เมื่อใดที่เราไม่ควรใช้ LDAP

เมื่อเรารู้ตัวว่าเรานั้น บิด หรือโดยบังคับให้ LDAP ของเราทำในสิ่งที่เราต้องการ ในกรณีนั้นอาจต้องออกแบบใหม่ หรือหากเราต้องการแอปพลิเคชั่นเดียวเพื่อใช้และจัดการข้อมูลของเรา

เราวางแผนจะติดตั้งและกำหนดค่าบริการและซอฟต์แวร์อะไรบ้าง?

• Directory Service หรือ บริการไดเรกทอรี ขึ้นอยู่กับ OpenLDAP
• บริการ NTP, DNS y DHCP อิสระ
• รวบรวม แซมบ้า เป็น LDAP
• เป็นไปได้ว่าเราจะพัฒนาการรวม LDAP y Kerberos
• จัดการไดเรกทอรีด้วยเว็บแอปพลิเคชัน ผู้จัดการบัญชี Ldap.

และนี่คือวันนี้เพื่อน!

แหล่งที่มาที่ปรึกษา:

• https://wiki.debian.org/LDAP
• คู่มือสำหรับผู้ดูแลระบบซอฟต์แวร์ OpenLDAP 2.4
• คู่มือเซิร์ฟเวอร์ Ubuntu 12.04