Amit mindig is tudni akartál az LDAP-ról, de sosem merted megkérdezni

  • 1,230 views
Uploaded on

2006

2006

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,230
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Amit mindig is tudni akartál az LDAP-ról,de sosem merted megkérdezni Szalai Ferenc szferi@gluon.hu http://www.gluon.hu
  • 2. Bevezető● Mi szösz az az LDAP?● OpenLDAP szerver – adatbázis felépítése – szerver beállítása● Mire jó az LDAP – központosított felhasználó kezelés● Ízelítő egyéb felhasználásból http://www.gluon.hu
  • 3. Mi a szösz az az LDAP?● LDAP: Lightweight Directory Access Protocol● Mi az szösz az a Directory?: Információ tárolása hierarchikus szerkezetben – Példák: állományrendszer, DNS – valójában: speciális szerkezetű adatbázis – fő szempontok: gyors keresés, objektum orientált szemlélet, egyszerű adatfrissítés tranzakciók nélkül – speciális protokoll rendszer: DAP http://www.gluon.hu
  • 4. DAP alapok● DAP: Directory Access Protocol – Kliens, szerver modell olyan megkötéssel, hogy egy kliens csak egy szerverrel beszélget a többit a szerverek oldják meg – szerver: információt tárolja – kliens: lekérdezéseket végez a szerveren – szerver is tud kapcsolódni a klienshez – bármilyen formátumú adat bármilyen hierarhikus formátumban történő kezelése, alapvetően elosztott tervezési modell● Bajok: bonyolult, egyszerűsítés: LDAP http://www.gluon.hu
  • 5. LDAP● Információs modell: ASCII alapú● TCP/IP felett működik● egyszerű kliens-szerver modell● flexibilis azonosítási mechanizmus● elosztott műveletek● protokoll és információs modell bővíthető speciális feladatokra● de facto standard C API http://www.gluon.hu
  • 6. LDAP Információs modell● X.500 alapok● Adatot elemi bejegyzések sora alkotja● A bejegyzéseket fába rendezzük: Directory Information Tree (DIT)● Fa minden csomópontjának van neve (Relative Distinguished Name): cn=Feri● Fa minden csomópontjának a helye az RDN-ek sorával adható meg (DN): – DN: cn=Feri,o=gluon,c=hu http://www.gluon.hu
  • 7. DIT http://www.gluon.hu
  • 8. Adat a DIT-ben● Adatbázis bejegyzés: Objektum● Objektum: attribútumok halmaza● Attribútumok: név, érték párok● Attribútum: azonosító, típus, összehasonlítási szabály (séma)● Lehetséges attribútumok osztályokba (ObjectClass) szervezendők (séma)● Egyszerű öröklődés● Külön séma leíró nyelv http://www.gluon.hu
  • 9. Példa● Person objectclass: – attribútumok: cn, surname, postoffice, etc.● CN attribútum: Common Name (általános név), string tipusú,● OrganizationalPerson objectclass: a Person-ból öröklődik – attribútumok: ua. mint People + pl.: RoomNumber http://www.gluon.hu
  • 10. ObjectClass típusok● Öröklődés szabályozása● ABSTRACT: csak az öröklődési hierarchia felépítésére használjuk● STRUCTURAL: általános leírása a dolgoknak, egy osztály csak egy ilyen objectclass-ot valósíthat meg (öröklődési fát is figyelembe véve)● AUXILIARY: kiegészítő attribútumok http://www.gluon.hu
  • 11. LDIF – LDAP DataInterchange Fromat● RFC 2849 http://www.gluon.hu
  • 12. LDIF – LDAP DataInterchange Fromat ● RFC 2849 Értékek dn: cn=Feri,o=Gluon,c=hu ObjectClass: top ObjectClass: person ObjectClass: posixAccount cn: Feri mail: szferi@niif.hu mail: szferi@gluon.hu telefphonNumber: 12345678 userPassword:: e2NyeXB0fUNwLkyUi9G33UUU=Attribútumok http://www.gluon.hu
  • 13. LDAP szerverek● Microsoft AD, Netscape DS, Sun JDS, IBM stb. Számos ezek közül ingyenes● Nyílt forrású LDAP szerverek: – OpenLDAP – Fedora DS● OpenLDAP: egyszerű, bővíthető a legfontosabb tulajdonságokkal rendelkezik, kis- és közepes szervezetek számára http://www.gluon.hu
  • 14. OpenLDAP architektúra http://www.gluon.hu
  • 15. OpenLDAP telepítés éskonfiguráció● apt­get install slapd● Fő konfigurációs állomány /etc/ldap/slapd.conf● Sémák: /etc/ldap/schema/● Adatbázis backendek: – ldbm, bdb, shell, ldap, sql http://www.gluon.hu
  • 16. slapd.conf# This is the main slapd configuration file.include         /etc/ldap/schema/core.schemaschemacheck     onmodulepath /usr/lib/ldapmoduleload back_bdbdatabase        bdbsuffix          "o=gluon,c=hu"directory       "/var/lib/ldap"index           objectClass eqaccess to attrs=userPassword        by dn="cn=admin,o=gluon,c=hu" write        by anonymous auth        by self write        by * none        by * read http://www.gluon.hu
  • 17. ldap-utils● Parancssori ldap kliensek: – ldapsearch: kereses lekérdezés – ldapadd: adatbetöltés – ldapmodify: adatmódosításldapseach ­x ­LLL ­w  ­b ou=People,o=gluon,c=hu  ­D uid=admin,o=gluon,c=hu  (uid=bela*) cn(&(uid=*)(|(AuthorizedService=ssh)(role=admin)))  http://www.gluon.hu
  • 18. Mire jó az LDAP?● Röviden: sokmindenre● Hosszabban: – Sok felhasználó: sok gép – Egységes adminisztráció egyedi jelszó (passwd) állományok helyett – Ún. felhasználói profil kezelése – virtuális felhasználók (nincs home könyvtár, írási jog): levelezés, web hozzáférés http://www.gluon.hu
  • 19. Linux felhasználói azonosításmechanizmusa● NSS (Name Service Switch): névfeloldás – uid, gid, DNS, /etc/services, /etc/porotocols stb. – glibc része get*byname jellegű függvények – username -> uid (ha sikerül létezik)● PAM: Plugable Authentication Module – /etc/pam.d, /etc/pam.conf – azonosítás (pl.: jelszóellenőrzés) elvégzése – felhasználói környezet kialakítása belépés után http://www.gluon.hu
  • 20. PAM● alkalmazásokat (login, ssh stb.) fel kell készíteni a használatára● modulok: azonosítási adatbázisok kezelése pl.: unix, ldap, sql● minen alkalmazás azonosítási mechanizmusa külön konfigurálható● több modult is lehet egyszerre haszálni (pl.: először megpróbálom az LDAP-ot, ha nem megy, akkor a passwd állományt) http://www.gluon.hu
  • 21. LDAP: NSS, PAM ● apt-get install libnss-ldap, pam-ldap ● /etc/pam_ldap.conf ● /etc/libnss-ldap.conf, ● /etc/nsswitch.confcat /etc/nsswitch.confpasswd: compat ldapgroup: compat ldapshadow: compat ldap http://www.gluon.hu
  • 22. Felhasználói azonosításOpenLDAP szerveren● BIND parancs: DN, titok pár üzenet● Titok: jelszó, kódolt jelszó stb.● Módszerek: sima jelszó, SASL, TLS● Miden DIT belei elemhez lehet UserPassword attribútumot rendelni● Azonosítás lépései: – SSH (felhaszáló név, jelszó) – LDAP keresés, LDAP bind – Sikeres bind után engedélyezzük a belépést http://www.gluon.hu
  • 23. LDAP adatbázis kezelése● ldap-utils● phpldapadmin● gq● Egyedi megoldások http://www.gluon.hu
  • 24. Mit tud LDAP-ot haszálni?● ssh, login● levelező kliens: címadatbázis● levelező szerver: felhasználó adatbázis● IMAP/POP szerverek● Web szerver: azonosítás, virtuális domainek stb.● FTP szerver, Samba (gépek is)● DNS szerver (pl.: PowerDNS) http://www.gluon.hu