Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

PDS Adresářové služby a protokol LDAP Autor : Petr Štaif e-mail : razzor_at_tiscali.cz.

Podobné prezentace


Prezentace na téma: "PDS Adresářové služby a protokol LDAP Autor : Petr Štaif e-mail : razzor_at_tiscali.cz."— Transkript prezentace:

1 PDS Adresářové služby a protokol LDAP Autor : Petr Štaif razzor_at_tiscali.cz

2 Obsah Adresářové službyAdresářové služby LDAP protokol obecněLDAP protokol obecně Modely LDAP a jejich funkceModely LDAP a jejich funkce LDIFLDIF Software pro LDAPSoftware pro LDAP ZávěrZávěr

3 Adresářové služby statické a dynamické adresářestatické a dynamické adresáře další rozdělení adresářůdalší rozdělení adresářů aplikačníaplikační adresáře operačních systémůadresáře operačních systémů účelovéúčelové standardizovanéstandardizované použití adresářových služebpoužití adresářových služeb efektivní uložení velkého množství informacíefektivní uložení velkého množství informací autentizace a správa uživatelůautentizace a správa uživatelů ověřování přístupových právověřování přístupových práv propojení s poštovním serverempropojení s poštovním serverem a k čemu to tedy vlastně je?a k čemu to tedy vlastně je?

4 LDAP protokol obecně Lightweight Directory Access ProtocolLightweight Directory Access Protocol RFC 2251RFC 2251 komunikace na portu 389 nebo 636 (SSL)komunikace na portu 389 nebo 636 (SSL) přenos informací pomocí zprávpřenos informací pomocí zpráv pro přenos se používá protokol TCPpro přenos se používá protokol TCP LDAP vs. X.500LDAP vs. X.500 jednodušší varianta, ale v praxi použitelnějšíjednodušší varianta, ale v praxi použitelnější dostupné operace v LDAPdostupné operace v LDAP dotazovací, aktualizační, autentizační a řídícídotazovací, aktualizační, autentizační a řídící komunikace klient-serverkomunikace klient-server kódování přenosukódování přenosu

5 Modely LDAP – informační Definuje datové typy a jednotky informací, které lze v adresáři ukládatDefinuje datové typy a jednotky informací, které lze v adresáři ukládat Identifikátory objektůIdentifikátory objektů x.y.z x.y.z ZáznamyZáznamy základní jednotka informace o objektechzákladní jednotka informace o objektech záznamy mají unikátní jména – DN (distinguished name)záznamy mají unikátní jména – DN (distinguished name) AtributyAtributy popis vlastností objektupopis vlastností objektu uživatelské, operačníuživatelské, operační SyntaxeSyntaxe datový typ atributudatový typ atributu

6 Modely LDAP – jmenný Definuje organizaci a odkazování se na uložená dataDefinuje organizaci a odkazování se na uložená data Stromová strukturaStromová struktura podobná např. struktuře UNIXupodobná např. struktuře UNIXu Význam jmenného modeluVýznam jmenného modelu reference dat – aliasy, atributyreference dat – aliasy, atributy organizace dat – uložení podle specifíckého znakuorganizace dat – uložení podle specifíckého znaku rozdělení dat – více serverůrozdělení dat – více serverů replikace dat – zálohování na jiné serveryreplikace dat – zálohování na jiné servery přístupová práva – konrétní člověk, konkrétní právapřístupová práva – konrétní člověk, konkrétní práva

7 Modely LDAP – jmenný Struktura jmenných prostorůStruktura jmenných prostorů přípustné a nepřípustné tvary jmenných prostorůpřípustné a nepřípustné tvary jmenných prostorů LDAP vs. X.500LDAP vs. X.500 kontextkontext AliasyAliasy odkazy na uložený záznamodkazy na uložený záznam jako symbolické linky v UNIXujako symbolické linky v UNIXu řeší vazby „m:n“, ale porušují strukturu stromuřeší vazby „m:n“, ale porušují strukturu stromu lze použít i pro záznamy na jiných serverechlze použít i pro záznamy na jiných serverech

8 Modely LDAP – funkční Definuje operace, které je možno provádět nad protokolemDefinuje operace, které je možno provádět nad protokolem Dotazovací operaceDotazovací operace search – prohledávání adresářového stromu, 8 vstupních parametrůsearch – prohledávání adresářového stromu, 8 vstupních parametrů výchozí bod hledání – určení pomocí DNvýchozí bod hledání – určení pomocí DN oblast prohledávání – base, one level, suboblast prohledávání – base, one level, sub dereference zástupců – práce s aliasydereference zástupců – práce s aliasy imit navrácených záznamůimit navrácených záznamů časový limit hledáníčasový limit hledání pouze atributy – bez hodnotpouze atributy – bez hodnot vyhledávací filtry – RFC 2254vyhledávací filtry – RFC 2254 seznam atributů pro navráceníseznam atributů pro navrácení

9 Modely LDAP – funkční compare – porovnání testované hodnoty atributu s uloženou hodnotoucompare – porovnání testované hodnoty atributu s uloženou hodnotou Aktualizační operaceAktualizační operace add – přidání záznamu do adresářového stromuadd – přidání záznamu do adresářového stromu delete – smaže záznamdelete – smaže záznam rename – přejmenování RDN nebo přesun záznamu mezi větvemi stromurename – přejmenování RDN nebo přesun záznamu mezi větvemi stromu modify – změna hodnot atributů v záznamechmodify – změna hodnot atributů v záznamech Autentizační a řídící operaceAutentizační a řídící operace bind – navázání spojení a autentizace uživatelebind – navázání spojení a autentizace uživatele unbind – ukončení spojeníunbind – ukončení spojení abandon – náhlé ukončení komunikace (při aktivitě)abandon – náhlé ukončení komunikace (při aktivitě)

10 Modely LDAP – bezpečnostní Zajišťuje zabezpečení přístupu k záznamům uložených v adresářovém serveruZajišťuje zabezpečení přístupu k záznamům uložených v adresářovém serveru AutentizaceAutentizace anonymní – při bind se nezasílají žádné identifikační údaje o klientovianonymní – při bind se nezasílají žádné identifikační údaje o klientovi jednoduchá – identifikace uživatele (pomocí DN a hesla) se posílá po nechráněném spojeníjednoduchá – identifikace uživatele (pomocí DN a hesla) se posílá po nechráněném spojení ldapsearch –b “o=zcu, c=cz” \ ldapsearch –b “o=zcu, c=cz” \ > -D “uid=novak, ou=users, o=zcu, c=cz” –w password > -D “uid=novak, ou=users, o=zcu, c=cz” –w password jenoduchá přes SSL/TSL – před spojením proběhne výměna certifikátů a naváže se spojení přes SSL; poté následuje identifikace uživatelejenoduchá přes SSL/TSL – před spojením proběhne výměna certifikátů a naváže se spojení přes SSL; poté následuje identifikace uživatele proxi – autentizace jednoho uživatele pomocí jinéhoproxi – autentizace jednoho uživatele pomocí jiného PKI – autentizace na principu digitálních certifikátůPKI – autentizace na principu digitálních certifikátů

11 LDIF LDAP Data Interchange Format je standardní textový formát pro popisování LDAP záznamůLDAP Data Interchange Format je standardní textový formát pro popisování LDAP záznamů LDIF RFC 2849LDIF RFC 2849 kódování – RFC 2253kódování – RFC 2253 ASCIIASCII UTF-8 – při použití diakritikyUTF-8 – při použití diakritiky base64 - obrázky, certifikátybase64 - obrázky, certifikáty DSML - podobné XML, přenos pomocí HTTPDSML - podobné XML, přenos pomocí HTTP

12 Software pro LDAP Adresářové serveryAdresářové servery OpenLDAPOpenLDAP Linux, FreeBSD, SolarisLinux, FreeBSD, Solaris HW nenáročný, ale pomalejšíHW nenáročný, ale pomalejší podpora SSL, Kerberos, TSL s knihovnami OpenSSLpodpora SSL, Kerberos, TSL s knihovnami OpenSSL TinyLDAPTinyLDAP velmi odlehčená verze OpenLDAP (bez replikací)velmi odlehčená verze OpenLDAP (bez replikací) malý a rychlý, ale ukládá pouze do textových souborůmalý a rychlý, ale ukládá pouze do textových souborů Sun Java Enterprise Directory ServerSun Java Enterprise Directory Server původně Netscape Directory Server, nyní součást JESpůvodně Netscape Directory Server, nyní součást JES plně podporuje LDAPv3plně podporuje LDAPv3 používá např. pro autentizaci uživatelůpoužívá např. pro autentizaci uživatelůwww.mojebanka.cz MS Active DirectoryMS Active Directory není typický LDAP servernení typický LDAP server podporuje PKIpodporuje PKI provázanost s Win2003 serverprovázanost s Win2003 server

13 Software pro LDAP Prohlížeče a editoryProhlížeče a editory SofterraSofterra freevarový LDAP prohlížec pro Windowsfreevarový LDAP prohlížec pro Windows podpora OpenLDAP, Netscape, Novell eDirectory, Oracle Internet Directory, MS Access Directorypodpora OpenLDAP, Netscape, Novell eDirectory, Oracle Internet Directory, MS Access Directory LDIF import/exportLDIF import/export GQGQ určen pro Linuxurčen pro Linux široké možnosti editaceširoké možnosti editace podpora vkládání obrázků a digitálních certifikátůpodpora vkládání obrázků a digitálních certifikátů poslední verze 2002poslední verze 2002 LumaLuma podpora schématpodpora schémat Debian, Gentoo, Mandriva, FreeBSDDebian, Gentoo, Mandriva, FreeBSD přehledný a funkčně vybavenýpřehledný a funkčně vybavený

14 Závěr Pokud se chcete na něco zeptat, tak teď je ten správný čas Pokud se chcete na něco zeptat, tak teď je ten správný čas Děkuji za pozornost


Stáhnout ppt "PDS Adresářové služby a protokol LDAP Autor : Petr Štaif e-mail : razzor_at_tiscali.cz."

Podobné prezentace


Reklamy Google