LDAP: Вступ

Привіт, друзі!. Ми починаємо нову серію статей, які, як ми сподіваємось, будуть корисними. Ми вирішили написати їх для тих, хто любить знати, з чим вони працюють, і робити власні реалізації, не залежачи від повністю власного програмного забезпечення, або тих, які є наполовину безкоштовними, а наполовину комерційними.

Потрібне прочитання Посібник адміністратора для програмного забезпечення OpenLDAP 2.4. Так, англійською мовою, оскільки ми використовуємо програмне забезпечення, розроблене та написане мовою Шекспіра. 🙂 Ми також настійно рекомендуємо прочитати Посібник із сервера Ubuntu 12.04., яку ми даємо для завантаження.

Існуюча документація складається англійською мовою. Я не знайшов іспанського перекладу жодного з двох раніше рекомендованих.

Усе написане у цьому вступі взято з Вікіпедії або вільно перекладено на іспанську мову із зазначених вище документів.

Побачимо:

• Сумарне визначення
• Ключові особливості LDAP з точки зору користувача
• Коли ми повинні використовувати LDAP?
• Коли ми не повинні використовувати LDAP?
• Які послуги та програмне забезпечення ми плануємо встановити та налаштувати?

Сумарне визначення

З Вікіпедії:

LDAP - це абревіатура Легкого протоколу доступу до каталогу, який відноситься до протоколу на рівні програми, що дозволяє отримати доступ до впорядкованої та розподіленої служби каталогів для пошуку різної інформації в мережевому середовищі. LDAP також вважається базою даних (хоча система її зберігання може бути іншою), до якої можна надіслати запит.

Каталог - це сукупність об’єктів з атрибутами, організованими логічно та ієрархічно. Найпоширенішим прикладом є телефонний довідник, який складається з ряду імен (осіб або організацій), розташованих за алфавітом, до кожного імені є адреса та прикріплений до нього номер телефону. Щоб краще зрозуміти, це книга чи папка, в якій записані імена людей, телефони та адреси, і вони розташовані в алфавітному порядку.

Дерево каталогів LDAP іноді відображає різні політичні, географічні чи організаційні межі, залежно від обраної моделі. Поточні розгортання LDAP, як правило, використовують імена системи доменних імен (DNS) для структурування вищих рівнів ієрархії. Коли ви прокручуєте каталог вниз, можуть з’являтися записи, що представляють людей, організаційні підрозділи, принтери, документи, групи людей або що-небудь, що представляє даний запис у дереві (або кілька записів).

Зазвичай він зберігає інформацію про автентифікацію (ім’я користувача та пароль) і використовується для автентифікації, хоча можливо зберігати й іншу інформацію (контактні дані користувача, розташування різних мережевих ресурсів, дозволи, сертифікати тощо). Таким чином, LDAP - це уніфікований протокол доступу до набору інформації в мережі.

Поточна версія - LDAPv3, і вона визначена у RFC RFC 2251 та RFC 2256 (базовий документ LDAP), RFC 2829 (метод автентифікації для LDAP), RFC 2830 (розширення для TLS) та RFC 3377 (технічна специфікація).

Деякі реалізації LDAP:

Active Directory: це назва, що використовується Microsoft (з Windows 2000) як централізоване сховище інформації для одного з доменів управління. Служба каталогів - це структуроване сховище інформації про різні об’єкти, що містяться в Active Directory, у цьому випадку це можуть бути принтери, користувачі, комп’ютери ... Вона використовує різні протоколи (головним чином, LDAP, DNS, DHCP, Kerberos...).

Під цією назвою насправді існує схема (визначення полів, до яких можна ознайомитися) LDAP версії 3, що дозволяє інтегрувати інші системи, що підтримують протокол. Цей LDAP зберігає інформацію про користувачів, мережеві ресурси, політику безпеки, конфігурацію, призначення дозволів тощо.

Послуги каталогів NovellТакож відомий як eDirectory, це реалізація Novell, яка використовується для управління доступом до ресурсів на різних серверах та комп’ютерах у мережі. В основному вона складається з ієрархічної та об’єктно-орієнтованої бази даних, яка представляє кожен сервер, комп’ютер, принтер, службу, людей тощо. Між якими створюються дозволи для контролю доступу через успадкування. Перевага цієї реалізації полягає в тому, що вона працює на декількох платформах, тому її можна легко адаптувати до середовищ, що використовують більше однієї операційної системи.

Це попередник з точки зору структур каталогів, оскільки він був представлений в 1990 році з версією Novell Netware 4.0. Попри популярність Microsoft AD, вона все ще не може відповідати надійності та якості eDirectory та його крос-платформним можливостям.

OpenLDAP: Це безкоштовна реалізація протоколу, який підтримує кілька схем, тому його можна використовувати для підключення до будь-якого іншого LDAP. Він має власну ліцензію, OpenLDAP Public License. Як незалежний від платформи протокол, кілька дистрибутивів GNU / Linux та BSD включають його, як і AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) та z / OS.

OpenLDAP має чотири основні компоненти:

• slapd - автономний демон LDAP.
• slurpd - Автономний демон реплікації оновлення LDAP.
• Підпрограми бібліотеки підтримки протоколу LDAP
• Службові програми, інструменти та клієнти.

Ключові особливості LDAP з точки зору користувача

Яку інформацію ми можемо зберігати в Каталозі?. Інформаційна модель в каталозі LDAP базується на квитки. Запис - це сукупність атрибутів, що має унікальне відмінне ім’я або «Відмінне ім’я (DN)». DN використовується для однозначного посилання на запис.

Кожен атрибут запису має a тип і один або кілька Valores. Типи - це, як правило, мнемонічні рядки cn o "Загальна назва" для загальних назв, або пошта для адрес електронної пошти. Синтаксис значень залежить від типу атрибута.

Наприклад, атрибут cn може містити значення Фродо Бегінс. Атрибут пошта може мати сміливість frodobagins@amigos.cu. Атрибут jpgePhoto може містити фотографію у двійковому форматі JPEG.

Як організована інформація?. У LDAP записи каталогів організовані в ієрархічній структурі у вигляді перевернутого дерева. Традиційно ця структура відображає географічні та / або організаційні межі або межі.

Записи, що представляють країни, з’являються у верхній частині дерева. Під ними будуть записи, що представляють держави та національні організації.

Тоді можуть бути записи, що представляють організаційні підрозділи, людей, друкарі, документи або все інше, про що ми можемо подумати.

Малюнок нижче є прикладом дерева каталогів LDAP, в якому використовуються традиційні імена.

LDAP дозволяє контролювати, які атрибути нам потрібні для запису, використовуючи спеціальний атрибут, який називається об'єктний клас. Значення атрибута об'єктний клас визначає Правила схеми o Правила схеми що вхід повинен підкорятися.

Як ми посилаємось на інформацію?. Ми називаємо запис під його відмінним іменем або Відмінне ім'я, яка побудована з назви самого запису (називається Відмінне відносне ім’я або Відносна розрізнена назва o RDN), поєднане з назвою записів його предків або предків.

Наприклад, на малюнку над записом Фродо Бегінс має символ RDN cn = Фродо Бегінс і DN повна є cn = Фродо Бегінс, ou = Кільця, o = Друзі, st = Гавана, c = cu.

Як ми отримуємо доступ до інформації?. LDAP визначив операції, необхідні для допиту та оновлення каталогу. Сюди входять операції додавання та видалення запису, модифікації існуючого запису та зміни назви запису.

Однак більшу частину часу LDAP використовується для пошуку інформації, що зберігається в каталозі. Операції пошуку дозволяють шукати частину каталогу за записами, які відповідають певним критеріям, визначеним у фільтрі пошуку. Таким чином ми можемо шукати кожен запис, який відповідає критеріям пошуку.

Як ми захищаємо інформацію від несанкціонованого доступу?. Деякі служби каталогів незахищені і дозволяють кожному переглядати вашу інформацію.

LDAP надає механізм для автентифікації клієнтів або підтвердження своєї ідентичності службі каталогів, щоб гарантувати контроль доступу для захисту інформації, що міститься на сервері.

LDAP також підтримує служби захисту даних як щодо цілісності, так і щодо конфіденційності.

Коли ми повинні використовувати LDAP?

Це дуже вдале питання. Загалом, ми повинні користуватися Службою каталогів, коли нам потрібна інформація для централізованого зберігання та управління та доступ до неї за допомогою стандартних методів.

Ось кілька прикладів типу інформації, яку ми знаходимо в діловому та виробничому середовищі:

• Аутентифікація машини
• Аутентифікація користувача
• Користувачі та групи системи
• Адресна книга
• Організаційні представництва
• Відстеження ресурсів
• Телефонний інформаційний склад
• Управління ресурсами користувачів
• Пошук електронної адреси
• Магазин налаштувань програми
• Склад конфігурацій телефонної станції АТС
• тощо ...

Існує декілька розподілених файлів схем -Файли розподілених схем- на основі стандартів. Однак ми завжди можемо створити власну специфікацію схеми ... коли ми експерти LDAP. 🙂

Коли ми не повинні використовувати LDAP?

Коли ми усвідомлюємо, що є скручування або примушуючи наш LDAP робити те, що нам потрібно. У такому випадку його, можливо, доведеться переробити. Або якщо нам потрібна одна програма для використання та управління нашими даними.

Які послуги та програмне забезпечення ми плануємо встановити та налаштувати?

• Служба каталогів або Служба каталогів на основі OpenLDAP
• послуги NTP, DNS y DHCP незалежний
• Інтегрувати Самба до LDAP
• Можливо, ми будемо розвивати інтеграцію LDAP y Керберос
• Керуйте Директорією за допомогою веб-програми Менеджер облікових записів Ldap.

І це все на сьогодні, друзі!

Джерела консультацій:

• https://wiki.debian.org/LDAP
• Посібник адміністратора для програмного забезпечення OpenLDAP 2.4
• Серверний посібник Ubuntu 12.04