สวัสดีเพื่อน!. เรากำลังเริ่มบทความชุดใหม่ที่หวังว่าจะเป็นประโยชน์ เราได้ตัดสินใจที่จะเขียนสิ่งเหล่านี้สำหรับผู้ที่ต้องการทราบว่าพวกเขาทำงานกับอะไรและดำเนินการใช้งานด้วยตนเองโดยไม่ขึ้นอยู่กับซอฟต์แวร์ที่เป็นกรรมสิทธิ์ทั้งหมดหรือซอฟต์แวร์ที่เป็นอิสระครึ่งหนึ่งและเป็นเชิงพาณิชย์
การอ่านที่จำเป็นคือไฟล์ คู่มือสำหรับผู้ดูแลระบบซอฟต์แวร์ OpenLDAP 2.4. ใช่เป็นภาษาอังกฤษเนื่องจากเราใช้ซอฟต์แวร์ที่ออกแบบและเขียนด้วยภาษาเชกสเปียร์ 🙂เราขอแนะนำอย่างยิ่งให้อ่านไฟล์ Ubuntu ServerGuide 12.04 ดาวน์โหลด. ซึ่งเราให้ดาวน์โหลด.
เอกสารที่มีอยู่เป็นภาษาอังกฤษ ฉันไม่พบคำแปลภาษาสเปนของทั้งสองคำที่แนะนำก่อนหน้านี้
ทุกสิ่งที่เขียนในบทนำนี้นำมาจาก Wikipedia หรือแปลเป็นภาษาสเปนอย่างอิสระจากเอกสารที่กล่าวถึงข้างต้น
เราจะเห็น:
- คำจำกัดความโดยสรุป
- คุณสมบัติหลักของ LDAP จากมุมมองของผู้ใช้
- เราควรใช้ LDAP เมื่อใด?
- เมื่อใดที่เราไม่ควรใช้ LDAP
- เราวางแผนจะติดตั้งและกำหนดค่าบริการและซอฟต์แวร์อะไรบ้าง?
คำจำกัดความโดยสรุป
จาก Wikipedia:
LDAP เป็นคำย่อของ Lightweight Directory Access Protocol (ใน Spanish Lightweight Directory Access Protocol) ที่อ้างถึงโปรโตคอลระดับแอปพลิเคชันที่อนุญาตให้เข้าถึงบริการไดเรกทอรีที่สั่งซื้อและกระจายเพื่อค้นหาข้อมูลต่างๆในสภาพแวดล้อมเครือข่าย . LDAP ยังถือเป็นฐานข้อมูล (แม้ว่าระบบจัดเก็บข้อมูลอาจแตกต่างกัน) ที่สามารถสืบค้นได้
ไดเร็กทอรีคือชุดของอ็อบเจ็กต์ที่มีแอ็ตทริบิวต์ที่จัดเรียงตามลำดับชั้น ตัวอย่างที่พบบ่อยที่สุดคือสมุดโทรศัพท์ซึ่งประกอบด้วยชุดของชื่อ (บุคคลหรือองค์กร) ที่เรียงตามตัวอักษรโดยแต่ละชื่อจะมีที่อยู่และหมายเลขโทรศัพท์ติดอยู่ เพื่อให้เข้าใจได้ดียิ่งขึ้นหนังสือหรือโฟลเดอร์ซึ่งมีการเขียนชื่อของผู้คนหมายเลขโทรศัพท์และที่อยู่และจัดเรียงตามตัวอักษร
โครงสร้างไดเรกทอรี LDAP บางครั้งสะท้อนถึงขอบเขตทางการเมืองภูมิศาสตร์หรือองค์กรต่างๆขึ้นอยู่กับรูปแบบที่เลือก การปรับใช้ LDAP ในปัจจุบันมักจะใช้ชื่อ Domain Name System (DNS) เพื่อจัดโครงสร้างระดับที่สูงขึ้นของลำดับชั้น เมื่อคุณย้ายไดเรกทอรีลงรายการอาจปรากฏขึ้นซึ่งแสดงถึงบุคคลหน่วยขององค์กรเครื่องพิมพ์เอกสารกลุ่มบุคคลหรืออะไรก็ตามที่แสดงถึงรายการที่กำหนดในโครงสร้าง (หรือหลายรายการ)
โดยปกติจะเก็บข้อมูลการพิสูจน์ตัวตน (ผู้ใช้และรหัสผ่าน) และใช้ในการพิสูจน์ตัวตนแม้ว่าจะสามารถจัดเก็บข้อมูลอื่น ๆ ได้ (ข้อมูลติดต่อของผู้ใช้ตำแหน่งของทรัพยากรเครือข่ายต่างๆสิทธิ์ใบรับรอง ฯลฯ ) โดยสรุป LDAP คือโปรโตคอลการเข้าถึงชุดข้อมูลบนเครือข่ายแบบรวม
เวอร์ชันปัจจุบันคือ LDAPv3 และถูกกำหนดไว้ใน RFCs RFC 2251 และ RFC 2256 (เอกสารฐาน LDAP), RFC 2829 (วิธีการพิสูจน์ตัวตนสำหรับ LDAP), RFC 2830 (ส่วนขยายสำหรับ TLS) และ RFC 3377 (ข้อกำหนดทางเทคนิค)
การใช้งาน LDAP บางอย่าง:
Active Directory: เป็นชื่อที่ Microsoft ใช้ (ตั้งแต่ Windows 2000) เป็นที่เก็บข้อมูลส่วนกลางสำหรับหนึ่งในโดเมนการจัดการ Directory Service เป็นที่เก็บข้อมูลที่มีโครงสร้างของวัตถุต่างๆที่มีอยู่ใน Active Directory ในกรณีนี้อาจเป็นเครื่องพิมพ์ผู้ใช้คอมพิวเตอร์ ... โดยใช้โปรโตคอลที่แตกต่างกัน (ส่วนใหญ่คือ LDAP, DNS, DHCP, เคอร์เบอรอส... )
ภายใต้ชื่อนี้มี schema (คำจำกัดความของฟิลด์ที่สามารถปรึกษาได้) LDAP เวอร์ชัน 3 ซึ่งอนุญาตให้รวมระบบอื่น ๆ ที่รองรับโปรโตคอล LDAP นี้เก็บข้อมูลเกี่ยวกับผู้ใช้ทรัพยากรเครือข่ายนโยบายความปลอดภัยการกำหนดค่าการกำหนดสิทธิ์ ฯลฯ
บริการไดเรกทอรีของ Novellหรือที่เรียกว่า eDirectory คือการนำ Novell มาใช้เพื่อจัดการการเข้าถึงทรัพยากรบนเซิร์ฟเวอร์และคอมพิวเตอร์ที่แตกต่างกันบนเครือข่าย โดยพื้นฐานแล้วประกอบด้วยฐานข้อมูลแบบลำดับชั้นและเชิงวัตถุซึ่งแสดงถึงเซิร์ฟเวอร์คอมพิวเตอร์เครื่องพิมพ์บริการบุคคลและอื่น ๆ ระหว่างสิทธิ์ใดที่สร้างขึ้นสำหรับการควบคุมการเข้าถึงผ่านการสืบทอด ข้อดีของการใช้งานนี้คือทำงานบนหลายแพลตฟอร์มดังนั้นจึงสามารถปรับให้เข้ากับสภาพแวดล้อมที่ใช้ระบบปฏิบัติการมากกว่าหนึ่งระบบได้อย่างง่ายดาย
เป็นผู้บุกเบิกในแง่ของโครงสร้างไดเร็กทอรีเนื่องจากเปิดตัวในปี 1990 พร้อมกับเวอร์ชันของ Novell Netware 4.0 แม้ว่า AD ของ Microsoft จะได้รับความนิยมเพิ่มขึ้น แต่ก็ยังไม่สามารถเทียบกับความน่าเชื่อถือและคุณภาพของ eDirectory และความสามารถข้ามแพลตฟอร์มได้
OpenLDAP: เป็นการใช้งานโปรโตคอลฟรีที่รองรับหลายรูปแบบเพื่อให้สามารถใช้เพื่อเชื่อมต่อกับ LDAP อื่น ๆ มีใบอนุญาตของตัวเองคือ OpenLDAP Public License การเป็นโปรโตคอลอิสระของแพลตฟอร์มการแจกแจง GNU / Linux และ BSD หลายแบบรวมถึง AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) และ z / OS
OpenLDAP มีองค์ประกอบหลัก XNUMX ส่วน:
- Slapd - LDAP daemon แบบสแตนด์อโลน
- slurpd - ดีมอนการจำลองการอัพเดต LDAP แบบสแตนด์อโลน
- รูทีนไลบรารีสนับสนุนโปรโตคอล LDAP
- ยูทิลิตี้เครื่องมือและไคลเอนต์
คุณสมบัติหลักของ LDAP จากมุมมองของผู้ใช้
ข้อมูลประเภทใดที่เราสามารถจัดเก็บใน Directory?. โมเดลข้อมูลในไดเร็กทอรี LDAP ขึ้นอยู่กับ ตั๋ว. รายการคือชุดของแอตทริบิวต์ที่มี Distinguished Name เดียวหรือ "Distinguished Name (DN)" DN ใช้เพื่ออ้างถึงรายการโดยไม่ซ้ำกัน
แต่ละแอตทริบิวต์ของรายการมี ชนิด และอย่างน้อยหนึ่งรายการ Valores. ประเภทนี้มักเป็นสตริงช่วยในการจำเช่น cn o "ชื่อสามัญ" สำหรับชื่อสามัญหรือ อีเมล สำหรับที่อยู่อีเมล ไวยากรณ์ของค่าขึ้นอยู่กับประเภทของแอตทริบิวต์
ตัวอย่างเช่นแอตทริบิวต์ cn สามารถมีค่าของ โฟรโดบากินส์. แอตทริบิวต์ อีเมล สามารถมีความกล้าหาญ frodobagins@amigos.cu. แอตทริบิวต์ jpgePhoto สามารถมีภาพถ่ายในรูปแบบไบนารี JPEG.
มีการจัดระเบียบข้อมูลอย่างไร?. ใน LDAP รายการไดเร็กทอรีจะถูกจัดเรียงตามโครงสร้างลำดับชั้นในรูปแบบของต้นไม้กลับหัว ตามเนื้อผ้าโครงสร้างนี้สะท้อนถึงขอบเขตหรือข้อ จำกัด ทางภูมิศาสตร์และ / หรือองค์กร
รายการที่เป็นตัวแทนของประเทศจะปรากฏที่ด้านบนของแผนภูมิ ด้านล่างนี้จะเป็นรายการที่แสดงถึงรัฐและองค์กรระดับชาติ
จากนั้นอาจมีรายการที่แสดงถึงหน่วยขององค์กรบุคคลเครื่องพิมพ์เอกสารหรืออะไรก็ตามที่เราสามารถคิดได้
รูปด้านล่างเป็นตัวอย่างของแผนผังไดเร็กทอรี LDAP ที่ใช้ชื่อดั้งเดิม
LDAP อนุญาตให้ควบคุมแอตทริบิวต์ที่เราต้องการสำหรับรายการโดยใช้แอตทริบิวต์พิเศษที่เรียกว่า วัตถุคลาส. ค่าของแอตทริบิวต์ วัตถุคลาส กำหนด กฎของโครงการ o กฎของสคีมา ที่ข้อมูลต้องเป็นไปตาม
เราอ้างอิงข้อมูลอย่างไร?. เราอ้างถึงรายการตามชื่อที่โดดเด่นหรือ Distinguished Nameซึ่งสร้างจากชื่อของรายการเอง (เรียกว่า Distinguished Relative Name หรือ ชื่อที่ไม่ซ้ำกัน o RDN) เชื่อมต่อกับชื่อของรายการของบรรพบุรุษหรือบรรพบุรุษ
ตัวอย่างเช่นในรูปด้านบนรายการ Frodo Bagins มีไฟล์ RDN cn = โฟรโดบากินส์ และ DN สมบูรณ์คือ cn = Frodo Bagins, ou = Rings, o = Friends, st = Havana, c = cu.
เราจะเข้าถึงข้อมูลได้อย่างไร?. LDAP ได้กำหนดการดำเนินการที่จำเป็นในการซักถามและอัพเดตไดเร็กทอรี ซึ่งรวมถึงการดำเนินการในการเพิ่มและลบรายการการแก้ไขรายการที่มีอยู่และการเปลี่ยนชื่อรายการ
อย่างไรก็ตามเวลาส่วนใหญ่ LDAP จะใช้เพื่อค้นหาข้อมูลที่เก็บไว้ในไดเร็กทอรี การดำเนินการค้นหาช่วยให้สามารถค้นหาส่วนหนึ่งของไดเร็กทอรีเพื่อค้นหารายการที่ตรงตามเกณฑ์บางประการที่ระบุไว้ในตัวกรองการค้นหา ด้วยวิธีนี้เราสามารถค้นหาแต่ละรายการที่ตรงตามเกณฑ์การค้นหา
เราจะป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างไร?. บริการไดเรกทอรีบางอย่างไม่มีการป้องกันและอนุญาตให้ทุกคนดูข้อมูลของคุณได้
LDAP จัดเตรียมกลไกสำหรับไคลเอ็นต์ในการพิสูจน์ตัวตนหรือยืนยันตัวตนกับไดเร็กทอรีเซอร์วิสเพื่อรับประกันการควบคุมการเข้าถึงเพื่อปกป้องข้อมูลที่เซิร์ฟเวอร์มีอยู่
LDAP ยังรองรับบริการรักษาความปลอดภัยของข้อมูลทั้งในส่วนที่เกี่ยวกับความสมบูรณ์และการรักษาความลับ
เราควรใช้ LDAP เมื่อใด?
นี่เป็นคำถามที่ดีมาก โดยทั่วไปเราต้องใช้ Directory Service เมื่อเราต้องการข้อมูลเพื่อจัดเก็บและจัดการจากส่วนกลางและสามารถเข้าถึงได้ด้วยวิธีการตามมาตรฐาน
ตัวอย่างประเภทของข้อมูลที่เราพบในสภาพแวดล้อมทางธุรกิจและอุตสาหกรรม:
- การตรวจสอบเครื่อง
- การตรวจสอบผู้ใช้
- ผู้ใช้ระบบและกลุ่ม
- สมุดที่อยู่
- การเป็นตัวแทนขององค์กร
- การติดตามทรัพยากร
- คลังข้อมูลโทรศัพท์
- การจัดการทรัพยากรผู้ใช้
- ค้นหาที่อยู่อีเมล
- ที่เก็บการตั้งค่าแอปพลิเคชัน
- คลังสินค้าการกำหนดค่าโรงงานโทรศัพท์ PBX
- ฯลฯ …
มีไฟล์สคีมาแบบกระจายหลายไฟล์ -ไฟล์ Schemas แบบกระจาย- ตามมาตรฐาน อย่างไรก็ตามเราสามารถสร้างข้อกำหนด Schema ของเราเองได้ตลอดเวลา ... เมื่อเราเป็นผู้เชี่ยวชาญด้าน LDAP 🙂
เมื่อใดที่เราไม่ควรใช้ LDAP
เมื่อเรารู้ตัวว่าเรานั้น บิด หรือโดยบังคับให้ LDAP ของเราทำในสิ่งที่เราต้องการ ในกรณีนั้นอาจต้องออกแบบใหม่ หรือหากเราต้องการแอปพลิเคชั่นเดียวเพื่อใช้และจัดการข้อมูลของเรา
เราวางแผนจะติดตั้งและกำหนดค่าบริการและซอฟต์แวร์อะไรบ้าง?
- Directory Service หรือ บริการไดเรกทอรี ขึ้นอยู่กับ OpenLDAP
- บริการ NTP, DNS y DHCP อิสระ
- รวบรวม แซมบ้า เป็น LDAP
- เป็นไปได้ว่าเราจะพัฒนาการรวม LDAP y Kerberos
- จัดการไดเรกทอรีด้วยเว็บแอปพลิเคชัน ผู้จัดการบัญชี Ldap.
และนี่คือวันนี้เพื่อน!
แหล่งที่มาที่ปรึกษา:
- https://wiki.debian.org/LDAP
- คู่มือสำหรับผู้ดูแลระบบซอฟต์แวร์ OpenLDAP 2.4
- คู่มือเซิร์ฟเวอร์ Ubuntu 12.04
ฉันคิดว่า FreeIPA เป็นโครงการที่ครอบคลุม (LDAP, Kerberos, DNS และอื่น ๆ ) ที่น่าศึกษาโดยอาศัยเซิร์ฟเวอร์ LDAP 389
เริ่มต้นด้วยความชอบของ Pfs ไม่ได้ผล ฉันสนใจที่จะศึกษาตัวเองใน ldap มาก ขอบคุณสำหรับการแบ่งปัน.
ลิงก์ถูกแก้ไข
น่าสนใจ.
คุณคุยโทรศัพท์อีกครั้ง!
ผลงานที่ยอดเยี่ยม
กอด! พอล.
ขอบคุณทุกท่านสำหรับการแสดงความคิดเห็น !!! ฉันไม่สามารถเชื่อมต่อกับโมเด็มของฉันมาก่อนที่ความเร็ว 28000 บอด / วินาที ความเร็วแบบไหน. 🙂
ทักทายทั้งหมด
ขอบคุณทุกคนมากสำหรับความคิดเห็น !!!. Ozkar, FreeIPA เป็นมากกว่า LDAP มันรวม Red Hat Active Directory 389 เข้ากับชุดบริการที่เกี่ยวข้องทั้งหมด เป็นสัตว์ในโครงการ Fedora มากเกินไปสำหรับความรู้เล็กน้อยของฉัน
บทความที่ยอดเยี่ยมเหมาะกับฉันเหมือนถุงมือตั้งแต่ฉันวางแผนที่จะแก้ไขปัญหาเหล่านี้ฉันหวังว่าจะได้บทความใหม่ ๆ
ขอบคุณมากสำหรับการแบ่งปันกับสิ่งนั้นและ ClearOS ที่ฉันมีมาระยะหนึ่งแล้ว🙂
บทช่วยสอนที่ยอดเยี่ยมฉันดาวน์โหลดหนังสือ Ubunto ด้วยขอบคุณ!
Ubuntu jejjeej ฉันยังหลับอยู่ ...
แม้ว่าจะดูหมิ่นงานของคุณ แต่ฉันได้อ่านด้านบนแล้วและถ้าฉันเข้าใจทุกอย่างไม่ดีหรือดีน้อยก็สามารถเข้าใจได้ในเรื่องตลกนี้
"แต่ถ้าฉันกลายเป็น capo capo ของ open-ldap ฉันพัฒนาเว็บเบราว์เซอร์ของฉันและ google ก็สั่น!"
ขอบคุณสำหรับความพยายามและมันเจ็บปวดที่ไม่มีเนื้อหาเป็นภาษาสเปน อืม ...
Fico ดูว่าคู่มือนี้เป็นภาษาสเปนหรือไม่ที่จะเพิ่มเข้าไปในเนื้อหา ...
http://www.google.com.ar/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CEwQFjAD&url=http%3A%2F%2Felpuig.xeill.net%2Fdepartaments%2Finformatica%2Ffitxers%2Fsistemes-operatius%2Fcurso-de-ldap-en-gnu-linux%2Fat_download%2Ffile&ei=NwXgUrIOxLaRB4LHgYgG&usg=AFQjCNGj7BjNtzfdlu1gsl3YSWK1U1ELpw&sig2=aKABXgHookIGYhYXevUQew&bvm=bv.59568121,d.eW0
ตอนนี้ก้าวไปข้างหน้าเล็กน้อยฉันอ่านโพสต์ในเพจต่อไป https://blog.desdelinux.net/ldap-introduccion/ ฉันต้องการให้คุณชี้แจงให้ฉันทราบเล็กน้อยว่าหมายถึงการตรวจสอบความถูกต้องของเครื่องประเด็นนี้ไม่ชัดเจนสำหรับฉันและฉันกระตือรือร้นมากเกี่ยวกับ OpenLdap ฉันใช้เวลาหลายชั่วโมงในการอ่านบล็อกนี้ แต่ฉันต้องการที่จะเชี่ยวชาญในหัวข้อและ แนวคิดด้วยเหตุนี้การแทรกแซงของฉันในกิจกรรมของคุณล่วงหน้าขอบคุณมาก Mr. Fico เรายังคงทักทายอย่างต่อเนื่อง