-h	LDAP server, ktorému sa položí otázka
-b	base otázky, teda podstrom v ktorom sa má vyhľadávat
-x	použije sa jednoduchá autentizácia namiesto SASL
-LLL	výpis bude v LDIFv1 formáte bez komentárov a verzie LDIFu
'uid=xgregus'	vyhľadávací filter

LDAP (ďalšie metódy autentizácie)

Peter Greguš, xgregus1@fi.muni.cz

Obsah

LDAP (Lightweight Directory Access Protocol)

Keď sa užívateľ autentifikuje v systéme, niektoré aplikácie stále potrebujú prístup k informáciám o užívateľovi. Tieto informácie sú tradične uložené v textových súboroch (/etc/passwd, /etc/shadow a etc/group), ale môžu byť poskytnuté inýmy mennými službami (name services), napríklad LDAP [RFC2251].
LDAP je založený na štruktúre klient-server a dáta sú vo vnútri uložené do stromu s adresárovou štruktúrou. Keď sa klient na niečo spýta, tak server odpovie, alebo povie, kto toho vie viac. Napr. iný LDAP server. (Pozn. Podadresár štruktúry dát môže byť uložený aj na inom serveri)

Directory services (Adresárové služby) - je to špecializovaná služba na čítanie, prehľadávanie veľkého množstva dát a ich organizáciu. Umožňuje jednoduché operácie vkladania, mazania a modifikácie v jednoduchej forme. Najjednoduchšia predstava je taká, že dáta sú uložené vo forme položiek, pričom každá položka obsahuje niekoľko atribútov. Atribút uchováva hodnotu, tzn. je nositeľom dát. (obr. 1)

obr. 1

LDAP strom, LDAP schéma - databáza LDAP má tvar stromu, kde základnou jednotkou je objekt (entry), alebo aj uzol daného stromu. Objekt je jednoznačne pomenovaný, tzv. DN (Dinstinguished Name). Každý atribút objektu má typ a jednu alebo viac hodnôt. Napr. typ CN (Common Name), gecos (záznam v /etc/passwd) a hodnoty cn= "Administrator". LDAP strom nemá predom danú štruktúru, ale s pravidla vieme ako má vyzerať. Zvyčajne zobrazuje štruktúru organizácie a jednotlivé úrovne stromu zodpovedajú organizačným jednotkám v danej organizácii. Druhou možnosťou je usporiadať strom podľa hierarchie domén danej organizácie v DNS. obr. 2,3.


obr. 2	obr. 3

uid=babs,ou=People,dc=example,dc=com

RDN

uid= babs.

LDAP schéma

posixAccount

shadowAccount

/etc/passwd

/etc/shadow

OpenLDAP

Existujú dve volne šíriteľné verzie LDAP serveru:

OpenLDAP server (posledná verzia openldap-stable-20031217)
University of Michigan LDAP server

Poslednú verziu OpenLDAP serveru je možné stiahnuť z http://www.openldap.org/, prípadne University of Michigan LDAP server ftp://terminator.rs.itd.umich.edu/ldap. V našom prípade sa zmienime o OpenLDAP serveri.

Inštalácia

Rozbalíme .tgz súbor a skompilujeme tradične

$ ./configure
$ make depend
$ make
$ make test #(testujeme či kompilácia prebehla úspešne)
$ make install

Konfigurácia

/etc/slapd.conf- skladá sa z globálnej konfigurácie, konfigurácie backendu a konfigurácie databázy.Ukážková konfigurácia je v adresári /usr/local/etc/openldap, ukážková schéma adresárového stromu v/usr/local/etc/openldap/schema.Podrobné informácie [LDAP LinuxHOWTO].

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/redhat/rfc822-MailMember.schema
include         /etc/openldap/schema/redhat/autofs.schema
include         /etc/openldap/schema/redhat/kerberosobject.schema

TLSCertificateFile    /usr/share/ssl/certs/slapd.pem
TLSCertificateKeyFile /usr/share/ssl/certs/slapd.pem
TLSCACertificateFile  /usr/share/ssl/certs/slapd.pem

database        ldbm
suffix          "dc=organizacia, dc=korporacia, dc=com"
rootdn          "cn=admin, dc=organizacia, dc=korporacia, dc=com"
rootpw          {MD5}HESLO
directory       /var/lib/ldap
index   objectClass,uid,uidNumber,gidNumber     eq
index   cn,mail,surname,givenname               eq,subinitial
defaultaccess   none
sizelimit       100000

replica host=ldap.organizacia.korporacia.com
	    binddn="cn=replicator,dc=organizacia,dc=korporacia,dc=com"
	    bindmethod=simple credentials=""XXXXXXX"
replogfile /var/lib/ldap/ldap.replog

access to dn=".*ou=group,dc=organizacia,dc=korporacia,dc=com"
	by dn="cn=backup,ou=admins,dc=organizacia,dc=korporacia,dc=com" read
	by domain=.* read 
access to dn=".*ou=people,dc=organizacia,dc=korporacia,dc=com"
	by dn="cn=backup,ou=admins,dc=organizacia,dc=korporacia,dc=com" read
	by domain=.* read
access to "dn=.*ou=admins,dc=organizacia,dc=korporacia,dc=com"
	by dn="cn=backup,ou=admins,dc=organizacia,dc=korporacia,dc=com" read
	by * compare
access to "dn=.*"
	by dn="cn=backup,ou=admins,dc=organizacia,dc=korporacia,dc=com" read
	by * read

{typ}hash

access

dn=".*ou=group,dc=organizacia,dc=korporacia,dc=com"

dn="cn=backup,ou=admins,dc=organizacia,dc=korporacia,dc=com"

domain=.*

/etc/nsswitch.conf - definuje akým spôsobom sa majú pre rôzne systémové tabuľky vyhľadávať informácie. To znamená napr. pre databázu užívateľov alebo preklad mien (DNS) či pre dtb. služieb (/etc/services).

passwd:     files nisplus
shadow:     files nisplus
group:      files nisplus

hosts:      files nisplus dns

ethers:     files
netmasks:   files
networks:   files
protocols:  nisplus [NOTFOUND=return] files
rpc:        files
services:   files nisplus

automount:  files nisplus
aliases:    files nisplus

hosts: files nisplus ldap dns

/etc/nscd a nscd.conf

server-user             nscd
debug-level             0

enable-cache            passwd          yes
positive-time-to-live   passwd          600
negative-time-to-live   passwd          20
suggested-size          passwd          211
check-files             passwd          yes

enable-cache            hosts           yes
positive-time-to-live   hosts           3600
negative-time-to-live   hosts           20
suggested-size          hosts           211
check-files             hosts           yes

Práca s LDAP

Na prácu s LDAPom nám slúži mnoho nástrojov základom je balík ldap-clients, obsahujúci programy ako ldapsearch, ldapadd, ldapmodify a podobne. Všetky tieto programy používajú formát LDIF (LDAP Data Interchange Format, vid. ldif(5)), ktorý vyzerá napríklad takto:

dn:uid=xgregus,ou=People,dc=fi,dc=muni,dc=cz
uid: xgregus
cn: xgregus
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword:: e2NyeXB0fXg=
loginShell: /bin/zsh
uidNumber: 13644
gidNumber: 10100
homeDirectory: /home/xgregus
gecos: Peter Gregus
host: aisa
host: anxur
host: atys
host: erigona
host: erinys
host: nereus
host: nymfe
host: oreias
host: pyrrha

LDIF obsahuje jednu dvojicu atribút: hodnota na jednom riadku. Tento výpis sme získali príkazom:

$ ldapsearch -h ldap.fi.muni.cz -b 'dc=fi,dc=muni,dc=cz' -x -LLL 'uid=xgregus'

Parametre znamenajú:

-h LDAP server, ktorému sa položí otázka

-b base otázky, teda podstrom v ktorom sa má vyhľadávat

-x použije sa jednoduchá autentizácia namiesto SASL

-LLL výpis bude v LDIFv1 formáte bez komentárov a verzie LDIFu

'uid=xgregus' vyhľadávací filter

Tento príkaz teda nájde na serveri ldap.fi.muni.cz v podstrome 'dc=fi,dc=muni,dc=cz' všetky objekty, ktoré majú hodnotu atribútu uid rovnú 'xgregus'.

Príklad modifikácie LDAP databázy:

Vytvoríme súbor vo formáte LDIF v ktorom popíšeme požadované zmeny, napr.:

dn: uid=xgregus,ou=People,dc=fi,dc=muni,dc=cz
changetype: modify
add: description
description: ahoj

Príkazom ldapmodify zmeny aplikujeme:

ldapmodify -H ldaps://ldap.organizacia.korporacia.com -W -x \
     -D 'cn=user,ou=organizacia,dc=korporacia,dc=com' -f xgregus.ldif 
Enter LDAP Password: XXXXXXX

Prístupové práva, autentizácia pomocou SASL a PAM

LDAP poskytuje mechanizus autentizácie klienta, umožnuje popísať kto má aké práva k danému objektu, pričom poskytuje okrem tradičných práv na čítanie zápis, prehľadávanie aj právo na porovnanie, kedy jedinou informáciu, ktorú dotazujúci sa klient dostane je áno/nie podľa výsledku porovnania. Implementácia OpenLDAP podporuje natívne SSL alebo spoluprácu so SASL.

SASL (Simple Authentication and Security Layer (RFC 2222)) špecifikuje challenge-response protokol pre výmenu dát medzi serverom a klientom za účelom autentizácie a zabezpečenie bezpečného kanálu pre ďalšiu komunikáciu. Balík Cyrus-SASL je možné nájsť na http://asg.web.cmu.edu/sasl/sasl-library.html.

LDAP je možné využiť aj pri autentizácii pomocou PAM (Pluggable Authentication Module). Zdrojové súbory príslušného modulu nájdeme na: http://www.padl.com/OSS/pam_ldap.html.

Replikácia