Autor. Potřeba aplikací sdílet a udržovat informace o službách, uživatelích nebo jiných objektech

Podobné dokumenty
Windows Server 2003 Active Directory

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007

Osnova dnešní přednášky

PDS. Obsah. protokol LDAP. LDAP protokol obecně. Modely LDAP a jejich funkce LDIF. Software pro LDAP. Autor : Petr Štaif razzor_at

Poslední aktualizace: 1. srpna 2011

Informační systémy 2008/2009. Radim Farana. Obsah. Obsah předmětu. Požadavky kreditového systému. Relační datový model, Architektury databází

Adresářové služby, DNS

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Serverové systémy Microsoft Windows

Databázové systémy. Doc.Ing.Miloš Koch,CSc.

POKROČILÉ POUŽITÍ DATABÁZÍ

Instalace Active Directory

RBAC (ROLE BASED ACCESS CONTROL) Martin Zukal

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Překlad jmen, instalace AD. Šimon Suchomel

Relační DB struktury sloužící k optimalizaci dotazů - indexy, clustery, indexem organizované tabulky

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

financnasprava.sk Portál Technologie Microsoft zjednodušují komunikaci občanů s Finanční správou SR a činí výběr daní transparentnějším.

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

VYSOKÁ ŠKOLA BÁŇSKÁ TECHNICKÁ UNIVERZITA OSTRAVA FAKULTA STROJNÍ DATABÁZOVÉ SYSTÉMY ARCHITEKTURA DATABÁZOVÝCH SYSTÉMŮ. Ing. Lukáš OTTE, Ph.D.

The Lightweight Directory Access Protocol version 3 (LDAPv3) is specified by this set of eleven RFCs:

PHOTO-ON Profesionální on-line správa fotografií

Enterprise Identity Mapping

Identifikátor materiálu: ICT-3-10

DNS, DHCP DNS, Richard Biječek

8.2 Používání a tvorba databází

Vyšší odborná škola a Střední škola,varnsdorf, příspěvková organizace. Šablona 1 VY 32 INOVACE

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Souborové systémy a logická struktura dat (principy, porovnání, příklady).

POPIS STANDARDU CEN TC278/WG7. 1 z 5. draft prenv Geografická silniční databáze. Oblast: ZEMĚPISNÁ DATA V SILNIČNÍ DOPRAVĚ ( GRD)

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o.

Tovek Server. Tovek Server nabízí následující základní a servisní funkce: Bezpečnost Statistiky Locale

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ. MEIV Windows server 2003 (seznámení s nasazením a použitím)

Úvod do informatiky 5)

Filozofie systému. Verze 2.0.x

Téma 2 - DNS a DHCP-řešení

Metody tvorby ontologií a sémantický web. Martin Malčík, Rostislav Miarka

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Radim Dolák Gymnázium a Obchodní akademie Orlová

FreeIPA a SSSD. Správa uživatelů pomocí Free Software. LinuxAlt 2009 Jakub Hrozek Martin Nagy 30. listopadu 2009

Případová studie: Adresářové řešení pro webhosting pomocí ApacheDS. Lukáš Jelínek

Integrovaná střední škola, Sokolnice 496

TÉMATICKÝ OKRUH Softwarové inženýrství

DOPLNĚK. Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj.

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

3.13 Úvod do počítačových sítí

Active Directory organizační jednotky, uživatelé a skupiny

PŘÍRUČKA SÍŤOVÝCH APLIKACÍ

DATABÁZOVÉ SYSTÉMY. Metodický list č. 1

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

A5M33IZS Informační a znalostní systémy. O čem předmět bude? Úvod do problematiky databázových systémů

Použití databází na Webu

Základní informace o co se jedná a k čemu to slouží

Po ukončení tohoto kurzu budete schopni:

Databáze Bc. Veronika Tomsová

Technologie počítačových sítí 5. cvičení

Souborové služby. Richard Biječek

Modely datové. Další úrovní je logická úroveň Databázové modely Relační, Síťový, Hierarchický. Na fyzické úrovni se jedná o množinu souborů.

1 Administrace systému Moduly Skupiny atributů Atributy Hodnoty atributů... 4

Průzkumník IS DP. Návod k obsluze informačního systému o datových prvcích (IS DP) vypracovala společnost ASD Software, s. r. o.

Západočeská univerzita v Plzni,

PŘÍLOHA C Požadavky na Dokumentaci

Identifikátor materiálu: ICT-3-03

Téma 3 - řešení s obrázky

PRŮZKUMNÍK ISDP NÁVOD K OBSLUZE INFORMAČNÍHO SYSTÉMU O DATOVÝCH PRVCÍCH (ISDP)

Relační databáze a povaha dat

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

Federační politika eduid.cz

10. Datové sklady (Data Warehouses) Datový sklad

Objektově orientované databáze. Miroslav Beneš

Replikace je proces kopírování a udržování databázových objektů, které tvoří distribuovaný databázový systém. Změny aplikované na jednu část jsou

Obrázek 1: Struktura programu z hlediska zapojení

Domain Name System (DNS)

APS Administrator.ST

WEBFILTR živě. přímo na svém počítači. Vyzkoušejte KERNUN CLEAR WEB. Připojte se přes veřejně dostupnou WiFi síť KERNUN.

Webové rozhraní pro datové úložiště. Obhajoba bakalářské práce Radek Šipka, jaro 2009

Inovace výuky prostřednictvím šablon pro SŠ

Primární klíč (Primary Key - PK) Je právě jedna množina atributů patřící jednomu z kandidátů primárního klíče.

Příručka nastavení funkcí snímání

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Databázové systémy. Datová integrita + základy relační algebry. 4.přednáška

EXTRAKT z mezinárodní normy

Ukládání a vyhledávání XML dat

E-NABÍDKA PARTNER.REDA.CZ

Využití informačních technologií v cestovním ruchu P1

Postup instalace služby ČSOB BusinessBanking 24 pro Oracle

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Kapitola 1: Úvod. Systém pro správu databáze (Database Management Systém DBMS) Účel databázových systémů

Jak efektivně ochránit Informix?

Bezpečnostní aspekty informačních a komunikačních systémů KS2

CAD pro. techniku prostředí (TZB) Počítačové sítě

1. Aplikační architektura

CAL (CAN Application Layer) a CANopen

Maturitní témata Školní rok: 2015/2016

Transkript:

Adresářová služba X.500 a LDAP Autor Martin Lasoň Abstrakt Potřeba aplikací sdílet a udržovat informace o službách, uživatelích nebo jiných objektech vedla ke vzniku specializovaných databází adresářů. Adresářová služba může být například seznam lidí ve firmě, jejich přihlašovací jména, osobní informace nebo čísla telefonů. Díky ní může mít uživatel například jen jedno heslo pro více systémů. Standard X.500 byl navržen proto, aby všechny tyto objekty popsal. Je však velmi obecný a jeho implementace je náročná. Proto byl navržen protokol LDAP, který definuje způsoby, jak přistupovat k adresáři a upravovat v něm informace. Klíčová slova X.500, Adresářová služba, LDAP. Obsah 1 Adresářová služba 2 2 LDAP 2 3 Informační model LDAP 3 3.1 Uspořádání informací.............................. 3 3.2 Přístup k informacím.............................. 4 3.3 Ochrana proti neautorizovanému přístupu.................. 4 1

1 Adresářová služba Adresář je specializovaná databáze optimalizovaná pro čtení a vyhledávání [2]. Adresáře obsahují informace popisující objekt pomocí atributů. Na rozdíl od relačních databází, operace čtení se v adresářích používá mnohem častěji než operace zápisu. Takže zatímco adresáře poskytují rychlou odezvu při čtení informací, relační databáze jsou výkonnější při častých aktualizacích. Adresáře nepodporují komplikované transakce ani náročné dotazy jako je spojování tabulek. Mají ovšem lepší podporu vyhledávání podřetězců a umožňují široce replikovat informace na více strojů pro zvládnutí větší zátěže, zvýšení spolehlivosti a zkrácení doby odezvy. Adresáře navíc většinou používají předdefinovaná schémata a není tedy nutné schéma definovat, jako v případě relačních databází. Adresářové protokoly se navíc více hodí pro provoz v rozsáhlých sítích. Je mnoho metod, jak ukládat informace do adresáře, jak se na tyto informace odkazovat, aktualizovat je, chránit proti neautorizovanému přístupu, atd. Z hlediska rozsahu platnosti informací mohou být adresářové služby lokální nebo globální. Zatímco lokální poskytují služby omezenému kontextu, globální služby slouží mnoha nadřízeným kontextům (například celému Internetu). Globální služby jsou obvykle distribuované, což znamená, že data, která obsahují, jsou rozložena na mnoha strojích, které spolupracují na poskytování adresářové služby. Globální služba typicky definuje jednotný namespace, který poskytuje stejný pohled na data, aniž by záleželo na umístění dat. Internetová služba DNS je příkladem globálně distribuované adresářové služby. 2 LDAP V roce 1988 byl vytvořen protokol X.500, který byl přijat jako standard ISO 9594 [1] pro adresářové služby. X.500 uspořádává položky v adresáři do hierarchického jmenného prostoru, který umožňuje spravovat velké množství informací. Tento standard definuje, že ke komunikaci mezi adresářovým klientem a adresářovým serverem bude použit Directory Access Protokol (DAP). Tento protokol je však příliš náročný a nehodí se pro malá zařízení. Proto byla snaha vyvinout méně náročný protokol. Lightweight Directory Access Protocol (LDAP) byl vyvinut jako odlehčená verze protokolu DAP. Jeho výhodou je, že běží nad protokolem TCP/IP a nevyžaduje, na rozdíl od DAP, protokoly definované v rámci síťového modelu OSI. LDAP také zjednodušuje některé operace protokolu X.500 a vynechává těžko srozumitelné funkce. LDAP definuje komunikační protokol, ale nedefinuje adresář samotný. Pojmy jako LDAP adresář a LDAP databáze označují server, jehož služby lze využívat prostřednictvím protokolu LDAP. Adresářová služba LDAP je založena na modelu klient server. Data uložená v adresáři mohou být distribuována mezi několik LDAP serverů. LDAP klient se připojí k LDAP serveru a zašle mu dotaz. Server vrátí odpověď a/nebo ukazatel, kde může klient získat další informace (obvykle jiný LDAP server). Nezáleží na který LDAP server se klient připojí, vždy se jedná o stejný pohled na adresář. Jméno poskytnuté jednomu LDAP serveru ukazuje na stejný záznam, který může být na jiném serveru. 2

Obrázek 1: LDAP adresářový strom (tradiční pojmenování) 3 Informační model LDAP Informační a jmenný model je odvozen z X.500. V LDAP jsou data uložena ve formě položek (anglicky entries). Položka je skupina atributů, které mají globálně jedinečné tak zvané význačné jméno (anglicky distinguished name), dále jen DN. DN slouží k jednoznačnému určení záznamu. Každý atribut záznamu má svůj typ a jednu nebo více hodnot. Typy jsou typicky mnemotechnické řetězce jako cn pro jméno (anglicky common name) nebo mail pro e-mailovou adresu. Syntaxe hodnoty závisí na typu atributu. Například atribut mail může obsahovat hodnotu martin.lason.fei@vsb.cz. Atribut jpegphoto může obsahovat fotografii v binárním JPEG formátu. Atributy v záznamu mohou být povinné a volitelné. Definujeme je pomocí speciálního atributu nazvaného objectclass. Hodnoty atributu objectclass vymezují pravidla schématu, která musí záznam splňovat. Schéma definuje typ objektů, které mohou být v adresáři uloženy a u každého objektu určuje jeho atributy a jejich vlastnosti. 3.1 Uspořádání informací V LDAP adresáři jsou záznamy uspořádány v hierarchické stromové struktuře. Tato struktura obvykle odráží geografické nebo organizační hranice. Záznamy reprezentující země jsou na vrcholu stromu. Pod nimi mohou být záznamy reprezentující státy a národní organizace. Pod nimi mohou být záznamy reprezentující organizační jednotky, lidi, tiskárny, dokumenty nebo cokoli jiného, na co si vzpomenete. Na obrázku 1 je příklad takového LDAP adresářového stromu. Strom může být uspořádán také na základě doménových jmen Internetu. Tento způsob 3

Obrázek 2: LDAP adresářový strom (Internetové pojmenování) pojmenovávání se stává čím dál více populárnější, protože adresářové služby berou v úvahu umístění podle DNS (Domain Name System). Na obrázku 2 je příklad adresářového stromu LDAP využívající jména založená na doménách. Jak již bylo řečeno, každý záznam je přístupný pomocí svého jedinečného jména Distinguished Name (DN), které je vytvořeno ze jména samotného záznamu (nazývaného Relative Distinguished Name nebo také RDN) a zřetězením jmen záznamů jeho předků. Například záznam Barbory Jenson v příkladu Internetového pojmenování uvedeného na obrázku má RDN uid=babs a DN uid=babs,ou=people,dc=example,dc=com. 3.2 Přístup k informacím LDAP definuje operace pro dotazování a aktualizace adresáře. Jsou poskytovány operace pro přidávání a mazání záznamů z adresáře, změnu existujícího záznamu a změnu jména záznamu. Většinu času ovšem zabere vyhledávání informace v adresáři. Vyhledávací operace umožňují vyhledávat záznamy v části stromu, která splňuje kritéria uvedené ve filtru. Informaci můžeme požadovat z každého záznamu, který splňuje kritéria. Například můžeme chtít vyhledat v adresářovém podstromu záznamy lidí, jejichž jméno je František Koudelka. Stejně tak LDAP umožňuje prohledat záznamy organizací ve státě California, jejichž záznamy vyhovují zadaným kritériím. 3.3 Ochrana proti neautorizovanému přístupu Některé adresářové služby neposkytují ochranu přístupu k informacím a kdokoli si je může prohlížet. LDAP poskytuje mechanismy pro autentizaci klienta nebo pro ověření jeho identity u adresářového serveru a využívá bohatou přístupovou kontrolu, aby chránil informace na serveru. Nabízí také možnost velmi efektivně nastavovat přístupová práva a to i na jednotlivé atributy objektů. LDAP servery nabízejí autentizaci přes SSL a je také možné 4

využívat silné autentizační služby poskytované systémem Kerberos. Jeho výhodou je oddělení komponent autentizace a identifikace. Reference [1] JOHNER, Heinz; BROWN, Larry; HINNER, Franz-Stefan; REIS, Wolfgang; WEST- MAN, Johan. Understanding LDAP [online]. 1998 [cit. 14.3.2003]. Dostupný na WWW: <http://www.redbooks.ibm.com>. [2] OpenLDAP Foundation. OpenLDAP 2.1 Administrator s Guide [online]. 2003 [cit. 16.3.2003]. Dostupný na WWW: <http://www.openldap.org/doc/admin21/>. 5

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář