Sdílení uživatelů (LDAP)

Štěpán Cenek, stepan@geek.cz

Obsah

• Directory services
• LDAP
• Struktura informací, LDAP schema
• OpenLDAP
• Konfigurace OpenLDAP
• Příklady práce s LDAP
• Unixoví uživatelé v LDAP
• Jak na LDAP v Unixu
• Zabezpečení
• Jednorázová hesla
• Replikace
• LDAP a firewally
• Migrace

Directory services

• directory service (adresářová službou) je specializovaná aplikace pro ukládání dat, jejich organizaci a přístup k nim
• data jsou ukládána do adresáře: hierarchické kolekce objektů a jejich atributů
• objekty mohou mít proměnlivé atributy (není to klasická databáze s pevnou strukturou), není podpora transakcí a ref. integrity
• optimalizovány pro časté dotazy a pro nízký počet změn
• podpora replikací pro zvýšení dostupnosti
• daty např.: seznamy zaměstnanců (přihlašovací jména, osobní informace, emaily, telefonní čísla...), nastavení programů, zdroje (tiskárny, kopírky, přístupové body, včetně topologie), číselníky...

LDAP

• LDAP = Lightweight Directory Access Protocol
• standardizovaný protokol pro přístup k adresářovým službám, definuje komunikaci mezi serverem a klientem
• běží nad transportními protokoly jako je TCP/IP
• message-oriented protokol: klient pošle serveru zprávu obsahující žádost, ten ji zpracuje a výsledek pošle zpět jako sérii jedné nebo více zpráv
• komunikace mezi serverem a klientem nemusí být synchronní a klient i server musí být schopni pracovat i v asynchronním módu
• je to jednodušší alternativa k protokolu X.500 Directory Access Protocol (DAP), slouží i jako brána pro přístup k tomuto protokolu
• obsahuje definice prostorů jmen (namespaces) a protokoly pro vyhledávání a aktualizace adresáře

Struktura informací, LDAP schema

• podobné schématům klasických relačních db
• databáze LDAP má podobu stromu (DIT, Directory Information Tree), který obsahuje záznamy (entries, uzly stromu)
• každý záznam je jednoznačně pojmenován (DN (Distinguished Name), cesta k záznamu ve stromu, např. uid=xcenek1,ou=People,dc=fi,dc=muni,dc=cz) a musí mít definovány povinné a volitelné atributy (attributes) pomocí tříd objektů (objectClass)
• každý záznam musí mít přiřazenu alespoň jednu třídu, výsledná definice záznamu vznike sloučením definic ze všech jeho tříd
• atributy záznamu jsou pojmenované (cn (Common Name), c (Country), o (Organization), mail, jpegPhoto
• schémata se nacházejí v /etc/ldap/schema/
• příklad definic tříd objektů a atributů

OpenLDAP

• http://www.openldap.org/
• open source implementace LDAP
• obsahuje démony slurp, slapd (LDAP server, replikační server), knihovny a nástroje pro práci s LDAP

Konfigurace OpenLDAP

• základní konfigurace serveru se provádí v souboru /etc/ldap/slapd.conf
• pro jednoduché pokusy jsou nejdůležitější řádky

  suffix          "dc=my-domain, dc=com"
  rootdn          "cn=Manager, dc=my-domain, dc=com"
  rootpw          HESLO
  directory       /var/lib/openldap-data
  index           uid,uidNumber,gidNumber     eq
  access to dn=".*ou=group,dc=my-domain,dc=com"
          by dn="cn=backup,ou=admins,dc=my-domain,dc=com" read
          by domain=.* read
  access to attrs=userPassword
          by dn="cn=admin,o=example,dc=net" write
          by anonymous auth
          by self write
          by * none

  
  suffix - nejvrchnější místo celého ldap stromu
  rootdn - pozice administrátora v DIT
  rootpw - heslo adminstrátora v podobě {typ}hash
  directory - db úložiště
  index - nastevení indexů (pres, eq, approx, sub, none)
  access - definice přístupových práv

Příklady práce s LDAP

• balík ldap-utils (ldapsearch, ldapadd, ldapmodify, ldapdelete...), existují i grafické nástroje (např. gq nebo lumo)
• používá se formát LDIF (LDAP Data Interchange Format), na jednom řádku obsahuje jednu dvojici atribut: hodnota

Vyhledání záznamu

• pro vyhledávání slouží ldapsearch

  ldapsearch -h <server> -b <báze> <filtr>

• Např.:

  ldapsearch -h ldap://ldap.fi.muni.cz -b ou=People,dc=fi,dc=muni,dc=cz uid=zlatuska
  
  dn: uid=zlatuska,ou=People,dc=fi,dc=muni,dc=cz
  uid: zlatuska
  cn: zlatuska
  objectClass: account
  objectClass: posixAccount
  objectClass: shadowAccount
  userPassword:: e2NyeXB0fXg=
  loginShell: /bin/ksh
  uidNumber: 206
  gidNumber: 10000
  homeDirectory: /home/zlatuska
  gecos: Jiri Zlatuska
  host: aisa
  host: anxur
  host: erinys
  host: gorgo
  host: nymfe
  host: oreias
  host: pandora
  host: pyrrha

Přidání záznamu

• vytvoříme soubor např. newpers s LDIF obsahem

  cn=Jirina Bohdalova, ou=dep1, ou=group, dc=dc=my-domain, c=com
  objectClass: account
  gecos: Jirina Bohdalova
  homeDirectory: /home/bohdalka
  ...

• a pomocí ldapadd záznam přidáme

  ldapadd -h ldap://ldap.my-domain.com -D ou=dep1,ou=group,dc=dc=my-domain,c=com -f newpers

  -h adresa serveru
  -D jméno/přípojný bod adminstratora LDAP stromu
  -f soubor s daty

Úprava záznamu

• vytvoříme soubor např. modpers s LDIF obsahem

  dn: uid=bohdalka,ou=dep1,ou=group,dc=dc=my-domain,c=com
  changetype: modify
  add: mail
  mail: bohdalka@bohdalka.cz

• a pomocí ldapmodify změny provedeme

  ldapmodify -h ldap://ldap.my-domain.com -D ou=dep1,ou=group,dc=dc=my-domain,c=com -f modpers

Unixoví uživatelé v LDAP

• třídy objektů posixAccount a shadowAccount, které jsou definované tak, aby bylo možné autentizovat uživatele
• uživatelé jsou reprezentováni objekty těchto tříd, atributy objektů odpovídají záznamům v /etc/passwd, resp. /etc/shadow

objectclass ( 1.3.6.1.1.1.2.0 NAME 'posixAccount' SUP top AUXILIARY
        DESC 'Abstraction of an account with POSIX attributes'
        MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )
        MAY ( userPassword $ loginShell $ gecos $ description ) )

objectclass ( 1.3.6.1.1.1.2.1 NAME 'shadowAccount' SUP top AUXILIARY
        DESC 'Additional attributes for shadow passwords'
        MUST uid
        MAY ( userPassword $ shadowLastChange $ shadowMin $
              shadowMax $ shadowWarning $ shadowInactive $
              shadowExpire $ shadowFlag $ description ) )

attributetype ( 1.3.6.1.1.1.1.2 NAME 'gecos'
        DESC 'The GECOS field; the common name'
        EQUALITY caseIgnoreIA5Match
        SUBSTR caseIgnoreIA5SubstringsMatch
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

attributetype ( 1.3.6.1.1.1.1.3 NAME 'homeDirectory'
        DESC 'The absolute path to the home directory'
        EQUALITY caseExactIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

attributetype ( 1.3.6.1.1.1.1.4 NAME 'loginShell'
        DESC 'The path to the login shell'
        EQUALITY caseExactIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
...

Jak na LDAP v Unixu

• Instalace (Debian)

  apt-get install slapd libnss-ldap ldap-utils libpam-ldap nscd

  Během instalace budeme vyzváni k zadání informací o doméně a LDAP superuživateli.
  
  slapd - stand-alone LDAP daemon (server, OpenLDAP)
  libnss-ldap - NSS module for using LDAP as a naming service
  ldap-utils - OpenLDAP utilities
  libpam-ldap - Pluggable Authentication Module allowing LDAP interfaces
  nscd - GNU C Library: Name Service Cache Daemon
  (případně ke stažení slapd, ldap-utils, pam_ldap, nss_ldap)
• Základní nastavení LDAP daemona

  /etc/ldap/slapd.conf

• Nastavení LDAP jako zdroje informací (NSSWITCH):

  /etc/nsswitch.conf

  Např.:

  passwd:     files ldap
  shadow:     files ldap
  group:      files ldap
  
  hosts:      files ldap dns
  
  ethers:     files
  netmasks:   files
  networks:   files
  protocols:  nisplus [NOTFOUND=return] files

• Nastavení NSCD (Name Service Cache Daemon) - démona, který cachuje dotazy na systémové tabulky. Je dobré jej zapnout pro snížení zátěže způsobené dotazy na jednotlivé tabulky.

  /etc/nscd.conf

  Konfigurace může vypadat například takto:

  server-user             nscd
  debug-level             0
  
  enable-cache            passwd          yes
  positive-time-to-live   passwd          600
  negative-time-to-live   passwd          20
  suggested-size          passwd          211
  check-files             passwd          yes
  
  enable-cache            hosts           yes
  positive-time-to-live   hosts           3600
  negative-time-to-live   hosts           20
  suggested-size          hosts           211
  check-files             hosts           yes

• Nastavení PAM_LDAP

  /etc/pam_ldap.conf

  Např.:

  host localhost
  dc=users,ou=group,dc=my-domain,dc=com

  Soubor obsahuje několik vzorových konfigurací pro různé LDAP.
• Úprava konfigurace PAM
  Soubory v /etc/pam.d/
  
  Např.:

  auth        required      pam_nologin.so
  auth        sufficient    pam_ldap.so
  auth        sufficient    pam_unix.so shadow use_first_pass
  auth        required      pam_deny.so

Zabezpečení

• autentizace je zajištěna operací bind
• LDAPv3 podporuje 3 způsoby autentizace klientů:
  • anonymní - požadavek bez bind
  • jednoduchá - klient posílá DN uživatele (klienta) s heslem v plaintextové podobě; volitelně přes zabezpečený kanál (SSL)
  • SASL (Simple Authentication and Security Layer (RFC 2222)) - specifikuje protokol výměny dat mezi serverem a klientem pro účely autentizace a vytvoření zabezpečeného spojení. Použitím SASL může LDAP podporovat jakýkoliv způsob autentizace domluvený mezi klientem a serverem.
    Ve zkratce:
    • nainstalovat balík Cyrus SASL z http://ftp.andrew.cmu.edu/pub/cyrus-mail/
    • vytvořit SASL databázi pomocí saslpasswd2 -c admin (je potřeba zadat rootovské heslo k LDAP, uživatelská jména nesmějí být DN!)
    • v slapd.conf nastavit direktivu

      authz-regexp   <search pattern>   <replacement pattern>

      pomocí které (je to regulární výraz) proběhne převod ze SASL uživatele na LDAP, např.:

      authz-regexp
         uid=([^,]*),cn=digest-md5,cn=auth
         ldap:///dc=customers,dc=example,dc=com??one?(&(uid=$1)(objectClass=person))

      (pozn. v OpenLDAP v2.2 se direktiva jmenuje sasl-regexp)
    • direktiva může být uvedena vícekrát - pro různé případy; pokud dotaz vyhoví více reg. výrazům, použije se první z nich
    • příklad dotazu a autentizace:

      ldapsearch -U ... -b ... '...'
      SASL/DIGEST-MD5 authentication started
      Please enter your password:
      SASL username: ...
      SASL SSF: 128
      SASL installing layers
      ...
      výsledek
      ...

    Více informací o SASL v OpenLDAP je možné najít na http://www.openldap.org/doc/admin23/sasl.html

Jednorázová hesla

• pro situace s rizikem odposlechu komunikace na síti je možné nastavit použití jednorázových hesel (OPT, One-Time Password)
• jedním ze správců jednorázových hesel je například OPIE (One-Time Passwords In Everything), jehož databázi může využívat Cyrus SASL (direktivou opie_keys v konfiguraci SASL, která musí ukazovat na databázi OPIE, defaultně /etc/opiekeys; SASL musí být schopný soubor číst)
• další správce OPT je např. S/Key

Replikace

• slurpd - stand-alone LDAP update replication daemon
• používá se pro vypropagování změn z jedné slapd instance na další
• slurpd čte replikační log a posílá změny na podřízené (slave) slapd instance pomocí LDAP protokolu
• nastavení replikace v slap.conf na master LDAP

  replogfile /var/lib/ldap/ldap.replog
  replica uri=ldaps://slave.my-domain.com:636
          binddn="cn=Replicator,dc=my-domain,dc=com"
          bindmethod=simple credentials=secret

• nastavení replikace v slap.conf na slave LDAP
  • nesmí obsahovat direktivy replica a replogfile
  • direktivou uptdatedn nastavit nastavit vazbu na master (odpovídá binddn= v deriktivě replica na masteru)
• překopírování databáze (všech souborů z adresáře určených direktivou directory) na slave
• ukázka podoby replikačního logu vytvořeného slad

  replica: slave.my-domain.com:389
  time: 809618633
  dn: uid=bjensen,dc=my-domain,dc=com
  changetype: modify
  replace: multiLineDescription
  description: A dreamer...
  -
  replace: modifiersName
  modifiersName: uid=bjensen,dc=my-domain,dc=com
  -
  replace: modifyTimestamp
  modifyTimestamp: 20000805073308Z
  -

LDAP a firewally

• pro přístup k LDAP z okolí je potřeba povolit porty 389 (ldap) anebo 636 (ldaps)

Migrace

• sadu užitečných skiptů najdete na http://www.padl.com/OSS/MigrationTools.html