PDS Adresářov ové služby a protokol LDAP Autor : Petr Štaif e-mail : razzor_at at_tiscali.czcz Obsah Adresářov ové služby LDAP protokol obecně Modely LDAP a jejich funkce LDIF Software pro LDAP Závěr
Adresářov ové služby statické a dynamické adresáře další rozdělen lení adresářů aplikační adresáře e operačních systémů účelové standardizované použit ití adresářových služeb efektivní uložen ení velkého množstv ství informací autentizace a správa uživatelu ivatelů ověř ěřování přístupových práv propojení s poštovn tovním m serverem a k čemu to tedy vlastně je? LDAP protokol obecně Lightweight Directory Access Protocol RFC 2251 komunikace na portu 389 nebo 636 (SSL) přenos informací pomocí zpráv pro přenos p se používá protokol TCP LDAP vs. X.500 jednodušší varianta, ale v praxi použiteln itelnější dostupné operace v LDAP dotazovací,, aktualizační, autentizační a řídící komunikace klient-server kódování přenosu
Modely LDAP informační Definuje datové typy a jednotky informací,, které lze v adresáři i ukládat Identifikátory tory objektů 1.3.6.1.4.1.11433.x.y.z http://www.iana iana.org/assignments/enterprise-numbersnumbers Záznamy základní jednotka informace o objektech záznamy znamy mají unikátn tní jména DN (distinguished name) Atributy popis vlastností objektu uživatelské,, operační Syntaxe datový typ atributu Modely LDAP jmenný Definuje organizaci a odkazování se na uložen ená data Stromová struktura podobná např.. struktuře UNIXu Význam jmenného modelu reference dat aliasy,, atributy organizace dat uložen ení podle specifíck ckého znaku rozdělen lení dat více serverů replikace dat zálohování na jiné servery přístupová práva konrétn tní člověk, konkrétn tní práva
Modely LDAP jmenný Struktura jmenných prostorů přípustné a nepřípustn pustné tvary jmenných prostorů LDAP vs. X.500 kontext Aliasy odkazy na uložený záznamz znam jako symbolické linky v UNIXu řeší vazby m:n, ale porušuj ují strukturu stromu lze použít t i pro záznamy z znamy na jiných serverech Modely LDAP funkční Definuje operace, které je možno provádět nad protokolem Dotazovací operace search prohledávání adresářov ového stromu, 8 vstupních parametrů výchozí bod hledání určen ení pomocí DN oblast prohledávání base, one level, sub dereference zástupcz stupců práce s aliasy imit navrácených záznamz znamů časový limit hledání pouze atributy bez hodnot vyhledávac vací filtry RFC 2254 seznam atributů pro navrácen cení
Modely LDAP funkční compare porovnání testované hodnoty atributu s uloženou hodnotou Aktualizační operace add přidání záznamu znamu do adresářov ového stromu delete smaže e záznamz znam rename přejmenování RDN nebo přesun p záznamu z znamu mezi větvemi v stromu modify změna hodnot atributů v záznamechz znamech Autentizační a řídící operace bind navázání spojení a autentizace uživatele unbind ukončen ení spojení abandon náhlé ukončen ení komunikace (při i aktivitě) Modely LDAP bezpečnostn nostní Zajišťuje zabezpečen ení přístupu k záznamz znamům uložených v adresářov ovém m serveru Autentizace anonymní při bind se nezasílaj lají žádné identifikační údaje o klientovi jednoduchá identifikace uživatele u (pomocí DN a hesla) se posílá po nechráněném m spojení ldapsearch b o= o=zcu,, c=cz cz \ > -D uid=novak, ou=users, o=zcu zcu,, c=cz cz w w password jenoduchá přes SSL/TSL před spojením m proběhne výměna certifikátů a naváže e se spojení přes SSL; poté následuje identifikace uživateleu proxi autentizace jednoho uživatele u pomocí jiného PKI autentizace na principu digitáln lních certifikátů
LDIF LDAP Data Interchange Format je standardní textový formát t pro popisování LDAP záznamz znamů LDIF RFC 2849 kódování RFC 2253 ASCII UTF-8 při i použit ití diakritiky base64 - obrázky, certifikáty ty DSML - podobné XML, přenos p pomocí HTTP Software pro LDAP Adresářov ové servery OpenLDAP Linux, FreeBSD, Solaris HW nenáro ročný, ale pomalejší podpora SSL, Kerberos,, TSL s knihovnami OpenSSL TinyLDAP velmi odlehčen ená verze OpenLDAP (bez replikací) malý a rychlý, ale ukládá pouze do textových souborů Sun Java Enterprise Directory Server původně Netscape Directory Server, nyní součást st JES plně podporuje LDAPv3 používá např. www.mojebanka mojebanka.cz pro autentizaci uživatelů MS Active Directory není typický LDAP server podporuje PKI provázanost s Win2003 server
Software pro LDAP Prohlížeče e a editory Softerra Softerra freevarový LDAP prohlížec pro Windows podpora OpenLDAP, Netscape,, Novell edirectory, Oracle Internet Directory,, MS Access Directory LDIF import/export GQ určen pro Linux široké možnosti editace podpora vkládání obrázk zků a digitáln lních certifikátů poslední verze 2002 Luma podpora schémat Debian, Gentoo, Mandriva, FreeBSD přehledný a funkčně vybavený GQ Luma Závěr Pokud se chcete na něco n zeptat, tak teď je ten správný čas Děkuji za pozornost