LDAP

Obsah

• X.500
• LDAP: Základní popis
• LDAP: Instalace a konfigurace
• LDAP: Informační model - schéma
• LDAP: Jmenný model
• LDAP: Funkční model
• LDAP: Bezpečnostní model
• LDAP: Nástroje
• LDAP: LDAP: LDIF formát
• Literatura

X.500

X.500 je série standardů vyvinutých organizací ITU ( International Telecommunication Union ):

Standardy se zabývají adresářovými službami, zahrnují protokoly:

• DAP (Directory Access Protocol)
• DSP (Directory System Protocol)
• DISP (Directory Information Shadowing Protocol)
• DOP (Directory Operational Bindings Management Protocol)

LDAP - základní popis

LDAP (Lightweight Directory Access Protocol) je protokol definovaný pro modifikaci a přístup k datům na adresářovém serveru. Adresářový server využívá hiearchické stromové struktury, která je vhodná zejména pro práci s adresáři, informacemi o uživatelích (např. pro vyhledávání adres konkrétních uživatelů v příslušných adresářích, accounting) nebo například může zastoupit některé sítové informační služby (NIS a podobně). Sám neimplementuje složité transakční mechanismy (na rozdíl od relačních databází) ani funkce pro kontrolu integrity.

Protokol LDAP je odvozen od protokolu DAP ( X.500 ) a je implementován hned v několika verzích:

• OpenLDAP
• Apache Directory Server
• Fedora Directory Server
• Red Hat Directory Server
• Novell eDirectory
• Sun Directory Server Enterprise Edition
• IBM Lotus Domino
• Oracle Internet Directory
• tinyldap
• Windows Server 2003 Active Directory

LDAP: Instalace a konfigurace

Jednotlivé implemetnace LDAPu mají vyvořenou řadu manuálů, nemá proto cenu zabývat se všemi najednou. Zaměříme se tedy na jednu z konktretních verzí a to na OpenLDAP. OpenLDAP je jedna z nejrozšířenějších implementací, je to projekt s otevřeným zdrojovým kódem a má své instalační balíčky ve většině dostupných distribucí.

Balíček OpenLDAP obsahuje:

• slapd - samostatně bežící LDAP démon (server)
• slurpd - samostatně běžící LDAP démon pro replikaci a aktualizaci databáze
• knihovny pro LDAP protokol, pomocné utility a nástroje pro správu

Po instalaci příslušného balíčku nebo instalaci ze zdrojových kódu standadní cestou "./configure, make, make test a make install" nás bude nejprve zajímat konfigurační soubor slapd.conf.

Výchozí nastavení tohoto souboru obsahuje několik atributů a nastavení, ze kterých si popíšeme jen ty základní:

#slapd.conf:
#".shcema" soubory obsahují definice jednotlivých atributů a tříd
#jejich formát je například nasledující:
#attributetype ( 1.3.6.1.1.1.1.17 NAME 'ipProtocolNumber'
#        EQUALITY integerMatch
#        SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema

#soubor pro uchování identifikačního čísla procesu
pidfile         /var/run/slapd/slapd.pid

#soubor s postupem pro spuštení démona slapd
#příklad:
#/usr/sbin/slapd -g openldap -u openldap -f /etc/ldap/slapd.conf
argsfile        /var/run/slapd/slapd.args

loglevel        none

#dynamicky načítané moduly
modulepath      /usr/lib/ldap
moduleload      back_hdb

#maximální počet záznamů, vrácených při hledání
sizelimit 500

#počet procesorů použitých pro indexování
tool-threads 1

#backend - poskytuje rozhraní a funkce
#hdb je návrh hierarchické stromové databáze
backend         hdb

#specifická direktiva databáze
database        hdb

#kořenový adresář v databázi
suffix          "dc=com"


directory       "/var/lib/ldap"
dbconfig set_cachesize 0 2097152 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500
index           objectClass eq
lastmod         on
checkpoint      512 30


#a na závěr přístupová práva
#povolíme číst všem cokoli ( v řadě případů nežádoucí, vhodné pro ladění ) 
access to *
        by * read

#povolíme zápis uživateli "admin"

access to *
        by dn="cn=admin"  write

LDAP: Informační model - schéma

Běžně používané atributy v AD:

Příklad datových typů atributů:

Je vhodné konstatovat, že záznam nemusí být instancí pouze jedné objektové třídy. Třídy jsou ve schématu uspořádány hierarchicky a mohou být trojice různých druhů, od kterých se pak odvíjí možnost jejich využití a kombinace v definici záznamu.

• Abstract:

  samy nemohou být vzorem pro tvorbu záznamu. Slouží pouze jako předloha pro odvození dalších tříd.

• Structural:

  třídy odvozené. Právě ony slouží jako hlavní předloha pro tvorbu záznamu. Každý záznam musí ve své definici obsahovat odkaz alespoň na jednu ze strukturálních tříd. Může se dokonce odvolávat na více než jednu, ale v tomto případě musí být třídy v dědičném vztahu (např. osoba - zaměstnanec). Nelze vytvářet záznam na základě strukturálních tříd ze dvou větví (zaměstnanec - místnost).

• Auxiliary:

  třídy doplňkové. Takové třídy můžeme v libovolném počtu připojovat k definici záznamu. Rozšiřují počet přípustných atributů u daného záznamu.

LDAP: Jmenný model

Na rozdíl od informačního modelu, se jmenný model zabývá uložením záznamu ve stromové struktuře. Každý záznam musí v rámci celého stromu serveru obsahovat svůj jedinečný identifikátor DN ( Distinguished Name ) a také relativní identifikátor RDN (Relative Distinguished Name) v rámci jedné úrovně větve.

Mějme například doménový strom a v něm jedinečný záznam dn="uid=erigona dc=lab dc=fi dc=muni dc=cz", takovýto strom by měl v rámci nejnižší úrovně RDN="uid=erigona"

LDAP: Funkční model

Jedním z dalších modelů LDAPu je funkční model. Ten zajištuje základní operace pro manipulaci a přístup k datům, umožnuje tedy zjistit jejich stav, či měnit jejich obsah.

Pro přístup k databázi jsou určeny operace bind a unbind. Rovněž každý adresářový server podporuje základní operace nad daty a to jak s pomocí základních utilit pro hledání, mazání, porovnávání a modifikování záznamů, tak i za pomocí jednotlivých knihovních funkcí řady programovacích a skriptovacích jazyků (např. NET::LDAP v perlu).

LDAP: Bezpečnostní model

Tento model má za úkol řídit přístup k databázi a to díky implementované autentizaci a autorizaci.

LDAP autentizace

Umožnuje autentizovat uživatele hned několika způsoby a to:

• Anonymní autentizací:

  Kde v rámci operace bind nejsou předávány žádné informace ohledně identity uživatele.

• Jednoduchou autentizací:

  Pomocí DN a hesla. Pokud nehceme posílat heslo v otevřeném tvaru, musíme použít TLS/SLL spojení.

• PKI autentizací:

  PKI kryptografie

• SASL mechanismem:

  OpenLDAP disponuje množstvím zásuvných modulů, které můžeme využít pro autentizaci uživatele.

LDAP autorizace

Proces který nastupuje po uspěšné autentizaci. Nyní už víme o jakého uživatele se jedná, ale to neznamená, že mu povolíme vše. Daný uživatel muže nad databází provádět pouze to, co je mu dovoleno.

Příkladem je třeba povolení administrátoru zapisovat do databáze:

access to *
        by dn="cn=admin"  write

Toto nastavení se provádí v konfiguračním souboru slapd.conf

LDAP: Nástroje

• ldap-utils: ldapsearch, ldapmodify, ldapadd, ldapdelete, ldapcompare, ldapmodrdn (přejmenování), ldappasswd, ldapwhoami

  Sada utilit pro přístup a modifikaci dat v LDAPu.

• slap* utility: slapacl, slapauth, slapd, slapindex, slaptest, slapadd, slapcat, slapdn, slappasswd

  Sada utilit po instalaci slapd

• LUMA

  Grafický nástroj používající PyQt.

• GQ

  GTK LDAP prohlížeč

• JXplorer

  Java LDAP průzkumník.

LDAP: LDIF formát

• textový formát pro import a export záznamů (objektů)
• může obsahovat komentáře
• obsahuje dn záznam, atributy s hodnotami
• příslušnost k třídě vyjadřuje atribut objectClass
• záznamy jsou odděleny prázdným řádkem

Literatura

• Archív referátů
• OpenLDAP administrator's guide
• Adresářové služby a LDAP
• OpenLdap
• X.500
• LDAP twiki EN
• LDAP twiki CZ