LDAP (Lightweight Directory Access Protocol)

Radovan Štancel, xstancel@fi.muni.cz

Obsah

• LDAP
• Directory services
• Strom objektů, DIT (Directory Information Tree)
• LDAP Schema
• Nástroje na práci s LDAP
• OpenLDAP
• Unixovi uživatelé v LDAPu
• Spolupráce se SASL
• Replikace
• Jednorázová hesla - OPIE, S/Key
• Odkazy

LDAP

• LDAP (Lightweight Directory Access Protocol) - odľachčená varianta DAP pre prístup k X.500 adresárom
• protokol pre prístup k adresárovým službám definujúci komunikáciu klient-server
• beží nad TCP/IP
• dáta sú uložené na servri v adresárovej štruktúre
• obsahuje definíciu namespaces a protokoly pre vyhladávanie a aktualizáciu adreára
• komunikácia medzi servrom a klientem nemusí byť synchronná a klient aj server musia byť schopný pracovať aj v asynchronnom móde
• komunikácia: klient pošle servru správu obsahujúcu žiadosť:
  • ak server vie odpovedať, tak žiadosť spracuje a pošle späť výsledok
  • ak nevie tak ho odkáže na iný server

Directory services (Adresárová služba)

• špecializovaná databáza, určená pre ukladanie dat, ich organizáciu a prístup k nim
• optimalizovaná pre vyhladávanie a nie príliš časté zmeny (vyhladávanie je rýchle, vkladanie/mazanie pomalé)
• adresáre sú ľahko replikovateľné (môže vzniknúť krátkodobá nekonzistencia!)
• bez podpory transkacií a referenčnej integrity
• objekty môžu mať premenlivé atributy

Strom objektů, DIT (Directory Information Tree)

• základná štruktúra s ktorou pracuje LDAP
• uzly stromu - objekty
• záznamy (entry)
  • pomenovanie - DN (Distinguished Name) - cesta od uzlu ku koreňu - uid=Janko,ou=People,dc=fi,dc=muni,dc=cz (jednoznačné pomenovanie)
  • atribúty - povinné/nepovinné - závisi na tom ako si ich nastavíme (ObjectClasses)

                  dc cz
                    |
                  dc muni
                    |
                  dc fi
                /       \
           ou People    ou Group
            /               \
        uid Janko         gid Student

LDAP Schema

• sada pravidiel popisujúca, aké typy atribútov môžu byť použité v rámci DIT, aké triedy záznamov môžeme použiť a aké majú triedy záznamov vlastnosti
• každý záznam má priradený aspoň jeden ObjectClass, ich sada určuje aké bude mať záznam atribúty
• ObjectClass sú založené na dedičnosti -> záznamy dedia atribúty od nadradených tried
• schémy sú uložené v /etc/ldap/schema/

Nástroje na práci s LDAP

• balík ldap-utils (ldapsearch, ldapadd, ldapmodify, ldapdelete...)
• používa sa formát LDIF (LDAP Data Interchange Format)
• ldapsearch -h <server> -b <báze> <filtr>
• Príklad:

  ldapsearch -x -h ldap://ldap.fi.muni.cz -b uid=zlatuska,ou=People,dc=fi,dc=muni,dc=cz
  
  	dn: uid=zlatuska,ou=People,dc=fi,dc=muni,dc=cz
  	uid: zlatuska
  	cn: zlatuska
  	objectClass: account
  	objectClass: posixAccount
  	objectClass: shadowAccount
  	userPassword:: e2NyeXB0fXg=
  	loginShell: /bin/ksh
  	uidNumber: 206
  	gidNumber: 10000
  	homeDirectory: /home/zlatuska
  	gecos: Jiri Zlatuska
  	host: aisa
  	host: anxur
  	host: erinys
  	host: gorgo
  	host: nymfe
  	host: oreias
  	host: pandora
  	host: pyrrha
  			 

• pridanie záznamu: vytvoríme subor.ldif vo formáte LDIF

  cn=xhrasko,ou=People,dc=fi,dc=muni,dc=cz
  objectClass: account
  gecos: Janko Hraško
  homeDirectory: /home/xhrasko

• spustíme príkaz: ldapadd -h ldap://ldap.fi.muni.cz -f subor.ldif
• ostatné príkazy (ldapdelete, ldapmodify...) obdobne, bližšie info man stránky:)
• GQ - klientský software postavý na GTK

OpenLDAP, základní nastavení

• jedna z dvoch voľne šíriteľných verzií LDAP serveru (druhá je University of Michigan LDAP server)
• http://www.openldap.org/
• využíva dvoch démonov:
  • slapd - implementácia LDAPu
  • slurpd - replikačný démon
• základné nastavenie v /etc/openldap/slapd.conf
• Príklad konfigurácie:

  # definícia schémat
  include     /etc/openldap/schema/core.schema
  include     /etc/openldap/schema/cosine.schema
  include     /etc/openldap/schema/nis.schema
  include     /etc/openldap/schema/inetorgperson.schema
  
  #definície LDAP servru
  suffix          "dc=fi,dc=muni,dc=cz" # najvrchnejšie miesto celého ldap stromu
  rootdn          "cn=root,dc=fi,dc=muni,dc=cz" # pozícia administrátora v DIT  
  rootpw          PASSWD # heslo adminstrátora v podobe {typ}hash (typ={MD5, SHA..})
  directory       /var/lib/openldap-data # db úložište
  index           uid,uidNumber,gidNumber     eq
  
  # definície prístupových práv
  access to dn=".*ou=People,dc=fi,dc=muni,dc=cz" 
          by dn="cn=backup,ou=admins,dc=fi,dc=muni,dc=cz" read
          by domain=.* read
  access to attrs=userPassword
          by dn="cn=admin,dc=fi,dc=muni,dc=cz" write # osobami z domény admin sa môže heslo meniť
          by anonymous auth # anonymný užívateľ sa môže ako záznam prihlásiť (nič iné) 
          by self write # záznam môže sám v sebe meniť data
          by * none # ostatný užívatelia si môžu pískať
  

• /etc/nsswitch.conf - nastevenie spôsobu vyhľadávania informácii v LDAPu
• každý riadok určuje poradie vyhľadávania, napr. pri host sa najskôr prehľadávajú lokálne súbory, potom LDAP a nakoniec DNS databáza
• Príklad:

  		 passwd:     files ldap
  		 shadow:     files ldap
  		 group:      files ldap
  
  		 hosts:      files ldap dns
  
  		 ethers:     files
  		 netmasks:   files
  		 networks:   files
  		 protocols:  nisplus [NOTFOUND=return] files
  

• /etc/nscd.conf - Name Service Cache Daemon - démon vytvárajúci cache pre dotazy na rôzne systémové tabuľky - znižuje záťaž spôsobenú dotazmi na jednotlivé tabuľky
• Príklad:

  	server-user             nscd
  	debug-level             0
  
  	enable-cache            passwd          yes
  	positive-time-to-live   passwd          600
  	negative-time-to-live   passwd          20
  	suggested-size          passwd          211
  	check-files             passwd          yes
  
  	enable-cache            hosts           yes
  	positive-time-to-live   hosts           3600
  	negative-time-to-live   hosts           20
  	suggested-size          hosts           211
  	check-files             hosts           yes
  

Unixovi uživatelé v LDAPu

• súbory possixAccount a ShadowAccount
• autentizácia užívatelov prebieha rovnako ako v /etc/passwd a /etc/shadow
• Príklad possixAccount:

  		# povinné atribúty
  		cn: Common Name
  		uid: Uniq ID
  		uidNumber: unixové uid
  		gidNumber: unixové gid
  		homeDirectory: domovský adresář
  		objectClass: posixAccount
  
  		# volitelné atributy: 
  		userPassword: heslo
  		loginShell: shell
  		gecos: GECOS záznam odpovídající záznamu z /etc/passwd
  		description: popis objektu
  		

• Príklad shadowAccount:

  		# povinné atributy: 
  		uid: Uniq ID
  		objectClass: shadowAccount
  
  		# volitelné atributy: 
  		userPassword: heslo
  		shadowLastChange:
  		shadowMin:
  		shadowMax:
  		shadowWarning:
  		shadowInactive:
  		shadowExpire:
  		shadowFlag:
  		description: popis objektu
  		

Spolupráce se SASL

• autentizácia užívatelov: pomocou bind
• 3 druhy:
  • anonýmna - prihlásenie bez mena a hesla (dá sa zakázať disallow bind_anonv slapd.conf)
  • jednoduchá - klient posiela svoje DN a heslo ako plaintext (moze sa vyuzit SSL)
  • SASL (Simple Authentication and Security Layer) - špecifikuje protokol výmeny dat medzi užívatelom a servrom. je možné použiť prakticky akýkolvek protokol
  • viac info o SASL na adrese http://www.openldap.org/doc/admin23/sasl.html

Replikace

• o replikáciu sa stará démon slurpd - zabezpečuje prenos zmien z master serveru na slave server
• o aký typ servru ide sa nastavuje v slap.conf
• nastavenie master servru:

  		replogfile /var/lib/ldap/ldap.replog
  		replica uri=ldaps://slave.my-domain.com:636
  		binddn="cn=Replicator,dc=my-domain,dc=com"
  		bindmethod=simple credentials=secret
  		

• nastavenie slave servra:
  • nesmie obsahovať direktivy replica a replogfile
  • direktivou uptdatedn mus{me nastaviţ vezbu na master (binddn= v derikt{ve replica na masteru)
  • mus{me prekopírovať databázu (všetkých súborov z adresárov určených direktivou directory) na slave

Jednorázová hesla - OPIE, S/Key

• OPT, One-Time Password - je možné nastaviť použitie jednorázových hesiel
• OPIE, S/Key - správcovia jednorázových hesiel

Odkazy

• http://www.openldap.org/
• http://www.openldap.org/doc/admin23/
• http://tldp.org/HOWTO/LDAP-HOWTO/