LDAP

Obsah

• Historie autentizačních systémů
• Adresářové služby - LDAP
• Strom objektů
• LDIF
• Nástroje pro práci s LDAP
• Konfigurace LDAP serveru OpenLDAP
• UNIX jako LDAP klient
• Replikace
• SASL
• Jednorázová hesla
• Literatura

Historie autentizačních systémů

Masové rozšíření výpočetní techniky přineslo problém: v rámci jedné organizace desítky různých systémů (operační, mailový, informační, VPN brána), každý drží svůj zdroj informací o objektech v síti - uživatelích, službách, (/etc/passwd, /etc/hosts, /etc/services, ...). Manuální synchronizace se může dostat svou náročností až na hranice realizovatelnosti, vzniká potřeba jednotného zdroje dat. Asi prvním masově používaným systémem byl YP/NIS:

• klient: technologie nsswitch, systémové tabulky z externího zdroje, démon ypbind
• NIS server publikuje tabulky do sítě klientům, ypserv
• původně textový formát tabulek nahrazen binárním pro rychlejší prohledávaní, makedbn, ypmake
• záložní NIS servery, replikace z primáru yppush, ypxfr
• yppasswd, démon pro změnu hesla

• není distribuovaný, změny jen na masterovi
• plochá struktura, vše je pohromadě bez hierarchie
• chybí řízení přístupu, nelze delegovat práva na určitou skupinu objektů jejich správci
• omezený typ informací, nelze rozšiřovat
• omezená otevřenost - hodně "na míru" UNIXu
• nedostatečná bezpečnost

Adresářové služby - LDAP

• Adresář, Directory je skupina systémů, které se podílejí na držení logické databáze informací o množině objektů reálného světa (lidé, organizace, služby, aplikace a podobně). Adresář si lze představit jeden strom, ve kterém jsou ve formě záznamů hierarchicky uspořádána data. Každý záznam má pak definované povinné nebo nepovinné atributy.
• Na daty lze klást složité dotazy, vkládat, modifikovat a mazat záznamy.
• Přístup k objektu pomocí vlastností - atributů, ne jen pomocí jména.
• V rámci ISO-OSI vznikl DAP X.500, pro složitost vzniklo několik alternativ, ujal se LDAP: Lightweight Directory Access Protocol.
• LDAP je optimalizován pro rychlé vyhledávání, vhodný pokud počet čtení převišuje četnost zápisů.
• Řeší problematiku národních abeced pomocí UNICODE.

• Adresář ve firmě: jména zaměstnanců, telefony, oddělení, maily atd.
• Autentifikace uživatelů ke službám (ftp, telnet, ...).
• PGP - distribuce klíčů.
• LDAP based DNS server
• Někteří www klienti umí do LDAP ukládat záložky.

• OpenLDAP
• Microsoft Active Directory
• Novell NDS/eDirectory

Strom objektů

• strom objektů (Directory Information Tree - DIT) je tvořen uzly/záznamy (entries)
• každý záznam má na jedné úrovni stromu různé relativní jméno (relative distinguished name - RDN)
• každý záznam má v rámci celého stromu jedinečné jméno (distinguished name - DN), to je tvořeno RDN záznamu a posloupností RDN jeho předchůdců ve stromu
• každý záznam má definovány povinné a nepovinné atributy (attributies)
• atributy se definují pomocí tříd objektů (object class)

RND: cn=Barbara Jensen DN: cn=Barbara Jensen,ou=Sales,o=Acme,st=California,c=US c - country st - state o - organization ou - organizational unit cn - common name

LDIF

• LDAP Data Interchange Format
• speciální formát pro zápis záznamů
• záznamy jsou odděleny prázdným řádkem
• příklad LDIF záznamu:

  # LDIF zaznam pro Barbara Jensen
  dn: cn=Barbara Jensen,ou=Sales,o=Acme,st=California,c=US
  objectClass: inetOrgPerson
  telephoneNumber: 512
  mail: jensen@acme.com
  

LDAP schéma

• používají se třídy objektů (object classes)
• definuje strukturu dat
• povinné a nepovinné atributy
• typy atributů
• vícehodnotové atributy
• schémata jsou uložena v adresáři /etc/openldap/schema (SuSE)
• příklad definice třídy:

  objectclass ( 1.1.2.2.2 NAME 'myPerson'
          DESC 'my person'
          SUP inetOrgPerson
          MUST ( myUniqueName $ givenName )
          MAY myPhoto )
  

• příklad definice atributu:

  attributeType ( 2.5.4.41 NAME 'name'
          DESC 'name(s) associated with the object'
          EQUALITY caseIgnoreMatch
          SUBSTR caseIgnoreSubstringsMatch
          SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{32768} )
  attributeType ( 2.5.4.3 NAME ( 'cn' 'commonName' )
          DESC 'common name(s) assciated with the object'
          SUP name )
  

• lze psát vlastní rozšíření

Nástroje pro práci s LDAP

• Příkazová řádka:
  • ldapsearch(1) - prohlédávání adesářového stromu se používá
  • ldapadd(1) - přidávání záznamů (můžete využít LDIF soubory)
  • ldapmodify(1) - modifikace záznamů
  • ldapdelete(1) - odstranění záznamu z adresářového stromu
• LDAP Browser/Editor - grafický nástroj v Javě, přenositelný
• phpLDAPadmin - administrace LDAP serveru, podobné phpmyadmin, pomalé, nestabilní
• yast - SuSE Linux, administrační nástroj, má vestavěného LDAP klienta
• Programátorské rozhraní jazyka C: ldap(3)
• Perl: Net::LDAP(3pm)
• ADSI Edit - jen MS AD

$ ldapsearch -h localhost -x -s sub -D cn=leska,ou=ovt,o=lach -W -b o=LACH '(&(objectclass=inetOrgPerson)(cn=leska))' manager mail telephonenumber
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base  with scope sub
# filter: (&(objectclass=inetOrgPerson)(cn=leska))
# requesting: manager mail telephonenumber
#

# leska, ovt, LACH
dn: cn=leska,ou=ovt,o=LACH
manager: cn=Simecek,ou=ovt,o=LACH
mail: Leska@lachema.cz
telephonenumber: +420 541127-420
telephonenumber: +420 541127-513

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
$

Konfigurace LDAP serveru OpenLDAP

• otevřená implementace LDAP
• zdrojové kódy a dokumentace: www.ldap.org
• instalace balíků openldap2, openldap2-client, openldap2-devel (SuSE)
• LDAP server je démon slapd(8)
• konfigurace je v /etc/openldap/slapd.conf, detailní popis slapd.conf(5)

  
  include         /etc/openldap/schema/core.schema # LDAP schéma
  
  loglevel acl trace # dobré pro odladění
  database bdb
  suffix "o=Acme,st=California,c=US" # kořen stromu
  
  rootdn "cn=admin,ou=stuff,o=Acme,st=California,c=US" # superuživatel
  rootpw  {MD5}R7zlx09Yn0hn29V+nKn4CA== # šifrované heslo superuživatele, generované příkazem slappasswd -h {MD5}
  
  # nastavení práv
  # access to WHAT [ by WHO ACCESS CONTROL ]+
  # authenticate, compare, read, search, write
  
  access to attrs=userPassword,userPKCS12
          by dn="cn=admin,ou=stuff,o=Acme,st=California,c=US" write
          by anonymous auth
          by self write
          by * none
  
  

• posixAccount, shadowAccount a posixGroup jsou třídy pro držení databází uživatelů a skupin pro systémy UNIX, tedy emulují /etc/passwd, /etc/shadow a /etc/group
• Definice najdete v /etc/openldap/schema/rfc2307bis.schema

  
  objectclass ( 1.3.6.1.1.1.2.0 NAME 'posixAccount' SUP top AUXILIARY
    DESC 'Abstraction of an account with POSIX attributes'
    MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )
    MAY ( userPassword $ loginShell $ gecos $
          description ) )
  
  objectclass ( 1.3.6.1.1.1.2.1 NAME 'shadowAccount' SUP top AUXILIARY
    DESC 'Additional attributes for shadow passwords'
    MUST uid
    MAY ( userPassword $ description $
          shadowLastChange $ shadowMin $ shadowMax $
          shadowWarning $ shadowInactive $
          shadowExpire $ shadowFlag ) )
  
  objectclass ( 1.3.6.1.1.1.2.2 NAME 'posixGroup' SUP top AUXILIARY
    DESC 'Abstraction of a group of accounts'
    MUST gidNumber
    MAY ( userPassword $ memberUid $
          description ) )
  
  

• pro import existujících uživatelů můžete využít migrationtools, které vytvoří potřebné LDIF soubory, jenž pomocí ldapadd(1) přidáte do databáze

UNIX jako LDAP klient

• Cílem je databáze uživatelů v LDAPu.
• Konfigurace LDAP klienta - parametry spojení a komunikce s LDAP serverem najdete v /etc/ldap.conf, ldap.conf(5):

  
  host 127.0.0.1                   # adresa LDAP serveru, lze zadat vícero serverů pro fail-over
  base o=Acme,st=California,c=US   # kořen LDAP stromu
  binddn cn=proxyuser,ou=stuff,o=Acme,st=California,c=US  # proxy uživatel pokud není povolen anonymní bind
  bindpw heslo                           # jeho heslo
  scope sub  # prohledávat celý LDAP strom
  pam_password exop  # druh LDAP serveru kvůli změně hesla
  nss_map_attribute uniqueMember member  # mapováni jmen atributů
  ssl start_tls   # použít ssl a jak
  
  

• nssswitch:
  • Aby systém znal uživatele, viděl databázi uživatelů (emulace /etc/passwd), hlavně kvůli mapování loginu na uid
  • Musí být nainstalován balík nss_ldap
  • Konfigurace v /etc/nsswitch.conf:

    passwd: files ldap
    shadow: files ldap
    group:  files ldap
    

  • Test funkčnosti:

    $ id leska
    uid=604(leska) gid=601(unixuser) groups=601(unixuser),603(intranet)
    $
    

• PAM
• Pro vlastní přihlašování
• Nutno nainstalovat balík pam_ldap
• Konfigurace v /etc/pam.d:

  #soubor /etc/pam.d/common-auth:
  
  auth    sufficient      pam_ldap.so
  auth    sufficient      pam_unix.so nullok_secure use_first_pass
  
  #soubor /etc/pam.d/common-account
  
  account sufficient pam_ldap.so
  account sufficient pam_unix.so use_first_pass
  
  #soubor /etc/pam.d/common-password
  
  password   sufficient  pam_ldap.so
  password   sufficient  pam_unix.so use_authok nullok obscure min=6 max=16 md5
  
  #/etc/pam.d/common-session
  
  session required        pam_ldap.so
  session required        pam_unix.so
  session required        pam_mkhomedir.so skel=/etc/skel/ umask=077
  
  

• NSCD
• Name Service Caching Daemon
• kešuje informace získané z NSS zdroje (LDAP server)
• snižuje síťový provoz a zátěž serveru
• Vyžaduje balík nscd
• Konfigurace v /etc/nscd.conf:

    # Ukázka pro passwd, analogicky pro group, hosts
    enable-cache          passwd    yes
    positive-time-to-live passwd    600
    negative-time-to-live passwd    20
    suggested-size        passwd    211
    check-files           passwd    yes
    persistent            passwd    yes
    shared                passwd    yes
    max-db-size           passwd    33554432
    auto-propagate        passwd    yes
  

• Nedoporučuje se používat kešovaní hosts.
• Negativní ttl doporučeno malé.