LDAP: Giới thiệu

Xin chào các bạn!. Chúng tôi đang bắt đầu một loạt bài viết mới mà chúng tôi hy vọng sẽ hữu ích. Chúng tôi đã quyết định viết chúng cho những người muốn biết chúng làm việc với cái gì và tự triển khai mà không phụ thuộc vào phần mềm hoàn toàn độc quyền hoặc những phần mềm nửa miễn phí và một nửa thương mại.

Đọc bắt buộc là Phần mềm OpenLDAP 2.4 Hướng dẫn dành cho quản trị viên. Có, bằng tiếng Anh, vì chúng tôi đang sử dụng phần mềm được thiết kế và viết bằng ngôn ngữ của Shakespeare. 🙂 Chúng tôi thực sự khuyên bạn nên đọc Hướng dẫn Máy chủ Ubuntu 12.04., mà chúng tôi cung cấp để tải xuống.

Tài liệu hiện có bằng tiếng Anh. Tôi không tìm thấy bản dịch tiếng Tây Ban Nha của một trong hai bản được đề xuất trước đó.

Mọi thứ được viết trong phần giới thiệu này đều được lấy từ Wikipedia hoặc được dịch tự do sang tiếng Tây Ban Nha từ các tài liệu được đề cập ở trên.

Chúng ta sẽ thấy:

• Định nghĩa tóm tắt
• Các tính năng chính của LDAP từ quan điểm của người dùng
• Khi nào chúng ta nên sử dụng LDAP?
• Khi nào thì không nên sử dụng LDAP?
• Chúng tôi dự định cài đặt và cấu hình những dịch vụ và phần mềm nào?

Định nghĩa tóm tắt

Từ Wikipedia:

LDAP là từ viết tắt của Lightweight Directory Access Protocol, dùng để chỉ một giao thức ở cấp ứng dụng cho phép truy cập vào một dịch vụ thư mục được sắp xếp và phân tán để tìm kiếm các thông tin khác nhau trong môi trường mạng. LDAP cũng được coi là một cơ sở dữ liệu (mặc dù hệ thống lưu trữ của nó có thể khác) có thể được truy vấn.

Thư mục là một tập hợp các đối tượng có các thuộc tính được tổ chức một cách hợp lý và có thứ bậc. Ví dụ phổ biến nhất là danh bạ điện thoại, bao gồm một loạt các tên (cá nhân hoặc tổ chức) được sắp xếp theo thứ tự bảng chữ cái, với mỗi tên có một địa chỉ và một số điện thoại kèm theo. Để hiểu rõ hơn, nó là một cuốn sách hoặc thư mục, trong đó tên, số điện thoại và địa chỉ của mọi người được viết và nó được sắp xếp theo thứ tự bảng chữ cái.

Cây thư mục LDAP đôi khi phản ánh các ranh giới chính trị, địa lý hoặc tổ chức khác nhau, tùy thuộc vào mô hình được chọn. Các triển khai LDAP hiện tại có xu hướng sử dụng tên Hệ thống tên miền (DNS) để cấu trúc các cấp cao hơn của hệ thống phân cấp. Khi bạn cuộn xuống thư mục, các mục nhập có thể xuất hiện đại diện cho mọi người, đơn vị tổ chức, máy in, tài liệu, nhóm người hoặc bất cứ thứ gì đại diện cho một mục nhập nhất định trong cây (hoặc nhiều mục nhập).

Thông thường, nó lưu trữ thông tin xác thực (người dùng và mật khẩu) và được sử dụng để xác thực, mặc dù có thể lưu trữ các thông tin khác (dữ liệu liên hệ của người dùng, vị trí của các tài nguyên mạng khác nhau, quyền, chứng chỉ, v.v.). Tóm lại, LDAP là một giao thức truy cập thống nhất vào một tập hợp thông tin trên mạng.

Phiên bản hiện tại là LDAPv3 và nó được định nghĩa trong RFCs RFC 2251 và RFC 2256 (tài liệu cơ sở LDAP), RFC 2829 (phương thức xác thực cho LDAP), RFC 2830 (phần mở rộng cho TLS) và RFC 3377 (đặc điểm kỹ thuật).

Một số triển khai LDAP:

active Directory: là tên được Microsoft (kể từ Windows 2000) sử dụng làm kho thông tin tập trung cho một trong các miền quản lý của hãng. Dịch vụ thư mục là một kho lưu trữ thông tin có cấu trúc về các đối tượng khác nhau có trong Active Directory, trong trường hợp này chúng có thể là máy in, người dùng, máy tính ... Nó sử dụng các giao thức khác nhau (chủ yếu, LDAP, DNS, DHCP, Kerberos...).

Dưới tên này thực sự có một lược đồ (định nghĩa của các trường có thể tham khảo) LDAP phiên bản 3, cho phép tích hợp các hệ thống khác hỗ trợ giao thức. LDAP này lưu trữ thông tin về người dùng, tài nguyên mạng, chính sách bảo mật, cấu hình, phân quyền, v.v.

Dịch vụ thư mục NovellCòn được gọi là eDirectory là triển khai Novell được sử dụng để quản lý quyền truy cập vào tài nguyên trên các máy chủ và máy tính khác nhau trên mạng. Về cơ bản, nó bao gồm cơ sở dữ liệu phân cấp và hướng đối tượng, đại diện cho từng máy chủ, máy tính, máy in, dịch vụ, con người, v.v. Giữa các quyền kiểm soát truy cập được tạo ra, thông qua kế thừa. Ưu điểm của việc triển khai này là nó chạy trên nhiều nền tảng, vì vậy nó có thể dễ dàng thích ứng với các môi trường sử dụng nhiều hơn một hệ điều hành.

Nó là tiền thân về cấu trúc Thư mục, vì nó đã được giới thiệu vào năm 1990 với phiên bản Novell Netware 4.0. Mặc dù Microsoft AD đã trở nên phổ biến nhưng nó vẫn không thể sánh được với độ tin cậy và chất lượng của eDirectory cũng như các khả năng đa nền tảng của nó.

OpenLDAP: Đây là một triển khai miễn phí của giao thức hỗ trợ nhiều lược đồ để nó có thể được sử dụng để kết nối với bất kỳ LDAP nào khác. Nó có giấy phép riêng, Giấy phép Công cộng OpenLDAP. Là một giao thức độc lập với nền tảng, một số bản phân phối GNU / Linux và BSD bao gồm nó, cũng như AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) và z / OS.

OpenLDAP có bốn thành phần chính:

• tátd - daemon LDAP độc lập.
• slurpd - daemon nhân bản cập nhật LDAP độc lập.
• Quy trình thư viện hỗ trợ giao thức LDAP
• Tiện ích, công cụ và máy khách.

Các tính năng chính của LDAP từ quan điểm của người dùng

Chúng ta có thể lưu trữ loại thông tin nào trong Thư mục?. Mô hình thông tin trong thư mục LDAP dựa trên Vé. Mục nhập là tập hợp các thuộc tính có Tên phân biệt duy nhất hoặc "Tên phân biệt (DN)". DN được sử dụng để chỉ mục nhập duy nhất.

Mỗi thuộc tính của một mục nhập có một loại và một hoặc nhiều Valores. Các loại thường là chuỗi dễ nhớ như cn o "Tên chung" cho các tên thông thường, hoặc thư cho các địa chỉ email. Cú pháp của các giá trị phụ thuộc vào loại thuộc tính.

Ví dụ, một thuộc tính cn có thể chứa giá trị của Bánh bagins Frodo. Một thuộc tính thư có thể có can đảm fredobagins@amigos.cu. Một thuộc tính jpgeẢnh có thể chứa một bức ảnh ở định dạng nhị phân JPEG.

Thông tin được tổ chức như thế nào?. Trong LDAP, các mục nhập thư mục được tổ chức theo cấu trúc phân cấp dưới dạng cây đảo ngược. Theo truyền thống, cấu trúc này phản ánh ranh giới hoặc giới hạn về địa lý và / hoặc tổ chức.

Các mục đại diện cho các quốc gia xuất hiện ở trên cùng của cây. Bên dưới chúng sẽ là các mục đại diện cho các bang và tổ chức quốc gia.

Sau đó, có thể có các mục đại diện cho đơn vị tổ chức, con người, máy in, tài liệu hoặc bất kỳ thứ gì khác mà chúng tôi có thể nghĩ ra.

Hình dưới đây là một ví dụ về cây thư mục LDAP trong đó các tên truyền thống được sử dụng.

LDAP cho phép kiểm soát các thuộc tính mà chúng tôi cần cho một mục nhập bằng cách sử dụng một thuộc tính đặc biệt được gọi là lớp đối tượng. Giá trị của thuộc tính lớp đối tượng xác định Quy tắc lược đồ o Quy tắc lược đồ mà đầu vào phải tuân theo.

Làm thế nào để chúng tôi tham khảo thông tin?. Chúng tôi đề cập đến một mục nhập bằng Tên phân biệt của nó hoặc Tên phân biệt, được xây dựng từ chính tên của mục nhập (được gọi là Tên tương đối phân biệt hoặc Tên phân biệt tương đối o RDN), được nối với tên của các mục nhập của tổ tiên hoặc tổ tiên của nó.

Ví dụ, trong hình trên, mục Frodo Bagins có RDN cn = Frodo Bagins và DN hoàn thành là cn = Frodo Bagins, ou = Rings, o = Friends, st = Havana, c = cu.

Làm thế nào để chúng tôi truy cập thông tin?. LDAP đã xác định các thao tác cần thiết để thẩm vấn và cập nhật thư mục. Chúng bao gồm các thao tác thêm và xóa mục nhập, sửa đổi mục nhập hiện có và đổi tên mục nhập.

Tuy nhiên, hầu hết thời gian LDAP được sử dụng để tìm kiếm thông tin được lưu trữ trong thư mục. Thao tác tìm kiếm cho phép một phần của thư mục được tìm kiếm các mục nhập đáp ứng một số tiêu chí được chỉ định trong bộ lọc tìm kiếm. Bằng cách đó, chúng tôi có thể tìm kiếm từng mục nhập đáp ứng tiêu chí tìm kiếm.

Làm cách nào để chúng tôi bảo vệ thông tin khỏi bị truy cập trái phép?. Một số dịch vụ danh bạ không được bảo vệ và cho phép bất kỳ ai xem thông tin của bạn.

LDAP cung cấp một cơ chế để khách hàng xác thực hoặc xác nhận danh tính của họ đối với một dịch vụ thư mục, nhằm đảm bảo kiểm soát truy cập để bảo vệ thông tin mà máy chủ chứa.

LDAP cũng hỗ trợ các dịch vụ bảo mật dữ liệu, cả về tính toàn vẹn và bảo mật.

Khi nào chúng ta nên sử dụng LDAP?

Đây là một câu hỏi rất hay. Nói chung, chúng ta nên sử dụng Dịch vụ Thư mục khi chúng ta cần thông tin được lưu trữ và quản lý tập trung, và có thể truy cập được thông qua các phương pháp dựa trên tiêu chuẩn.

Một số ví dụ về loại thông tin mà chúng tôi tìm thấy trong môi trường kinh doanh và công nghiệp:

• Xác thực máy
• Xác thực Người dùng
• Người dùng hệ thống và nhóm
• Sổ địa chỉ
• Đại diện tổ chức
• Theo dõi tài nguyên
• Kho thông tin điện thoại
• Quản lý tài nguyên người dùng
• Tìm kiếm địa chỉ email
• Cửa hàng cấu hình ứng dụng
• Kho cấu hình nhà máy điện thoại tổng đài
• Vân vân…

Có một số tệp lược đồ phân tán -Tệp lược đồ phân tán- dựa trên tiêu chuẩn. Tuy nhiên, chúng tôi luôn có thể tạo Đặc tả lược đồ của riêng mình ... khi chúng tôi là Chuyên gia LDAP. 🙂

Khi nào thì không nên sử dụng LDAP?

Khi chúng ta nhận ra rằng chúng ta đang xoắn hoặc bằng cách buộc LDAP của chúng tôi làm những gì chúng tôi cần. Trong trường hợp đó, nó có thể cần được thiết kế lại. Hoặc nếu chúng ta cần một ứng dụng duy nhất để sử dụng và thao tác dữ liệu của mình.

Những dịch vụ và phần mềm nào chúng tôi định cài đặt và cấu hình?

• Dịch vụ thư mục hoặc Dịch vụ thư mục dựa trên OpenLDAP
• DỊCH VỤ NTP, DNS y DHCP độc lập
• Tích hợp Samba sang LDAP
• Có thể chúng tôi sẽ phát triển việc tích hợp LDAP y Kerberos
• Quản lý Thư mục bằng ứng dụng web Trình quản lý tài khoản Ldap.

Và đây là nó cho ngày hôm nay, các bạn!

Nguồn đã tham khảo:

• https://wiki.debian.org/LDAP
• Phần mềm OpenLDAP 2.4 Hướng dẫn dành cho quản trị viên
• Hướng dẫn máy chủ Ubuntu 12.04