Your SlideShare is downloading. ×
Amit mindig is tudni akartál az LDAP-ról, de sosem merted megkérdezni
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Amit mindig is tudni akartál az LDAP-ról, de sosem merted megkérdezni

1,299
views

Published on

2006

2006

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,299
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Amit mindig is tudni akartál az LDAP-ról,de sosem merted megkérdezni Szalai Ferenc szferi@gluon.hu http://www.gluon.hu
  • 2. Bevezető● Mi szösz az az LDAP?● OpenLDAP szerver – adatbázis felépítése – szerver beállítása● Mire jó az LDAP – központosított felhasználó kezelés● Ízelítő egyéb felhasználásból http://www.gluon.hu
  • 3. Mi a szösz az az LDAP?● LDAP: Lightweight Directory Access Protocol● Mi az szösz az a Directory?: Információ tárolása hierarchikus szerkezetben – Példák: állományrendszer, DNS – valójában: speciális szerkezetű adatbázis – fő szempontok: gyors keresés, objektum orientált szemlélet, egyszerű adatfrissítés tranzakciók nélkül – speciális protokoll rendszer: DAP http://www.gluon.hu
  • 4. DAP alapok● DAP: Directory Access Protocol – Kliens, szerver modell olyan megkötéssel, hogy egy kliens csak egy szerverrel beszélget a többit a szerverek oldják meg – szerver: információt tárolja – kliens: lekérdezéseket végez a szerveren – szerver is tud kapcsolódni a klienshez – bármilyen formátumú adat bármilyen hierarhikus formátumban történő kezelése, alapvetően elosztott tervezési modell● Bajok: bonyolult, egyszerűsítés: LDAP http://www.gluon.hu
  • 5. LDAP● Információs modell: ASCII alapú● TCP/IP felett működik● egyszerű kliens-szerver modell● flexibilis azonosítási mechanizmus● elosztott műveletek● protokoll és információs modell bővíthető speciális feladatokra● de facto standard C API http://www.gluon.hu
  • 6. LDAP Információs modell● X.500 alapok● Adatot elemi bejegyzések sora alkotja● A bejegyzéseket fába rendezzük: Directory Information Tree (DIT)● Fa minden csomópontjának van neve (Relative Distinguished Name): cn=Feri● Fa minden csomópontjának a helye az RDN-ek sorával adható meg (DN): – DN: cn=Feri,o=gluon,c=hu http://www.gluon.hu
  • 7. DIT http://www.gluon.hu
  • 8. Adat a DIT-ben● Adatbázis bejegyzés: Objektum● Objektum: attribútumok halmaza● Attribútumok: név, érték párok● Attribútum: azonosító, típus, összehasonlítási szabály (séma)● Lehetséges attribútumok osztályokba (ObjectClass) szervezendők (séma)● Egyszerű öröklődés● Külön séma leíró nyelv http://www.gluon.hu
  • 9. Példa● Person objectclass: – attribútumok: cn, surname, postoffice, etc.● CN attribútum: Common Name (általános név), string tipusú,● OrganizationalPerson objectclass: a Person-ból öröklődik – attribútumok: ua. mint People + pl.: RoomNumber http://www.gluon.hu
  • 10. ObjectClass típusok● Öröklődés szabályozása● ABSTRACT: csak az öröklődési hierarchia felépítésére használjuk● STRUCTURAL: általános leírása a dolgoknak, egy osztály csak egy ilyen objectclass-ot valósíthat meg (öröklődési fát is figyelembe véve)● AUXILIARY: kiegészítő attribútumok http://www.gluon.hu
  • 11. LDIF – LDAP DataInterchange Fromat● RFC 2849 http://www.gluon.hu
  • 12. LDIF – LDAP DataInterchange Fromat ● RFC 2849 Értékek dn: cn=Feri,o=Gluon,c=hu ObjectClass: top ObjectClass: person ObjectClass: posixAccount cn: Feri mail: szferi@niif.hu mail: szferi@gluon.hu telefphonNumber: 12345678 userPassword:: e2NyeXB0fUNwLkyUi9G33UUU=Attribútumok http://www.gluon.hu
  • 13. LDAP szerverek● Microsoft AD, Netscape DS, Sun JDS, IBM stb. Számos ezek közül ingyenes● Nyílt forrású LDAP szerverek: – OpenLDAP – Fedora DS● OpenLDAP: egyszerű, bővíthető a legfontosabb tulajdonságokkal rendelkezik, kis- és közepes szervezetek számára http://www.gluon.hu
  • 14. OpenLDAP architektúra http://www.gluon.hu
  • 15. OpenLDAP telepítés éskonfiguráció● apt­get install slapd● Fő konfigurációs állomány /etc/ldap/slapd.conf● Sémák: /etc/ldap/schema/● Adatbázis backendek: – ldbm, bdb, shell, ldap, sql http://www.gluon.hu
  • 16. slapd.conf# This is the main slapd configuration file.include         /etc/ldap/schema/core.schemaschemacheck     onmodulepath /usr/lib/ldapmoduleload back_bdbdatabase        bdbsuffix          "o=gluon,c=hu"directory       "/var/lib/ldap"index           objectClass eqaccess to attrs=userPassword        by dn="cn=admin,o=gluon,c=hu" write        by anonymous auth        by self write        by * none        by * read http://www.gluon.hu
  • 17. ldap-utils● Parancssori ldap kliensek: – ldapsearch: kereses lekérdezés – ldapadd: adatbetöltés – ldapmodify: adatmódosításldapseach ­x ­LLL ­w  ­b ou=People,o=gluon,c=hu  ­D uid=admin,o=gluon,c=hu  (uid=bela*) cn(&(uid=*)(|(AuthorizedService=ssh)(role=admin)))  http://www.gluon.hu
  • 18. Mire jó az LDAP?● Röviden: sokmindenre● Hosszabban: – Sok felhasználó: sok gép – Egységes adminisztráció egyedi jelszó (passwd) állományok helyett – Ún. felhasználói profil kezelése – virtuális felhasználók (nincs home könyvtár, írási jog): levelezés, web hozzáférés http://www.gluon.hu
  • 19. Linux felhasználói azonosításmechanizmusa● NSS (Name Service Switch): névfeloldás – uid, gid, DNS, /etc/services, /etc/porotocols stb. – glibc része get*byname jellegű függvények – username -> uid (ha sikerül létezik)● PAM: Plugable Authentication Module – /etc/pam.d, /etc/pam.conf – azonosítás (pl.: jelszóellenőrzés) elvégzése – felhasználói környezet kialakítása belépés után http://www.gluon.hu
  • 20. PAM● alkalmazásokat (login, ssh stb.) fel kell készíteni a használatára● modulok: azonosítási adatbázisok kezelése pl.: unix, ldap, sql● minen alkalmazás azonosítási mechanizmusa külön konfigurálható● több modult is lehet egyszerre haszálni (pl.: először megpróbálom az LDAP-ot, ha nem megy, akkor a passwd állományt) http://www.gluon.hu
  • 21. LDAP: NSS, PAM ● apt-get install libnss-ldap, pam-ldap ● /etc/pam_ldap.conf ● /etc/libnss-ldap.conf, ● /etc/nsswitch.confcat /etc/nsswitch.confpasswd: compat ldapgroup: compat ldapshadow: compat ldap http://www.gluon.hu
  • 22. Felhasználói azonosításOpenLDAP szerveren● BIND parancs: DN, titok pár üzenet● Titok: jelszó, kódolt jelszó stb.● Módszerek: sima jelszó, SASL, TLS● Miden DIT belei elemhez lehet UserPassword attribútumot rendelni● Azonosítás lépései: – SSH (felhaszáló név, jelszó) – LDAP keresés, LDAP bind – Sikeres bind után engedélyezzük a belépést http://www.gluon.hu
  • 23. LDAP adatbázis kezelése● ldap-utils● phpldapadmin● gq● Egyedi megoldások http://www.gluon.hu
  • 24. Mit tud LDAP-ot haszálni?● ssh, login● levelező kliens: címadatbázis● levelező szerver: felhasználó adatbázis● IMAP/POP szerverek● Web szerver: azonosítás, virtuális domainek stb.● FTP szerver, Samba (gépek is)● DNS szerver (pl.: PowerDNS) http://www.gluon.hu