Adresářové služby LDAP SLT2001 Skalský dvůr, 15.-18. února 2001 Michal Mühlpachr.

Slides:



Advertisements
Podobné prezentace
PLAYBOY Kalendar 2007.
Advertisements

© 2000 VEMA počítače a projektování spol. s r. o..
Webové rozhraní pro datové úložiště
Jak se stát miláčkem vyhledávačů
D03 - ORiNOCO RG-based Wireless LANs - Technology
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-02.
SÍŤOVÉ SLUŽBY DNS SYSTÉM
Lego Mindstorms Martin Flusser.
DIGITÁLNÍ UČEBNÍ MATERIÁL Číslo projektuCZ.1.07/1.5.00/ Název projektuEU peníze středním školám Masarykova OA Jičín Název školyMASARYKOVA OBCHODNÍ.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Návrh architektury moderních informačních systémů
Přínosy virtualizace a privátního cloudu
PROGRAMOVACÍ JAZYKY (c) Tralvex Yeap. All Rights Reserved.
Adresářové služby – základní pojmy
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Virtuální učebna aneb „webinář“.
Uživatelé, Role, Schémata
Protokol LDAP autor:Zdeněk Jonáš předmět:PSI un:A01144.
Úvod do databází Databáze.
Vizualizace projektu větrného parku Stříbro porovnání variant 13 VTE a menšího parku.
VY_32_INOVACE_INF_RO_12 Digitální učební materiál
MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA reg. č.: CZ.1.07/1.4.00/ Základní škola, Šlapanice, okres Brno-venkov, příspěvková organizace Masarykovo nám.
Analýza síťového provozu
VY_32_INOVACE_ 14_ sčítání a odčítání do 100 (SADA ČÍSLO 5)
Dělení se zbytkem 5 MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA
Adresářová služba Active directory
Apache, PHP, MySQL Lukáš Masopust Web server Apache Aplikace schopná zpracovat HTTP požadavek Nejpoužívanější Web server Vytváří ho The Apache.
Cvičná hodnotící prezentace Hodnocení vybraného projektu 1.
Internet, WWW, HTML a spol.. Hlavní zásady inženýrství reprodukovatelnost měřitelnost a parametrizovatelnost přenositelnost typizace a standardizace dokumentace.
Návrh a tvorba WWW Přednáška 1
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
E-knihovna pro knihovníky Seminář E-knihy III, NTK,
Metainformační systém založený na XML Autor: Josef Mikloš Vedoucí práce: Ing. Jan Růžička, Ph.D. V/2004.
Protokoly a adresy na internetu
Představení nové verze OPSI Kamil Malinka Martin Lebeda PROJEKT financovaný z Operačního programu Vzdělávání pro konkurenceschopnost ZVYŠOVÁNÍ IT GRAMOTNOSTI.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-15.
Internet.  Celosvětový systém propojených počítačů  Funkce  Sdílení dat  Elektronická pošta.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.1 Lucián Piller Intranet HR.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
DATABÁZOVÉ SYSTÉMY. 2 DATABÁZOVÝ SYSTÉM SYSTÉM ŘÍZENÍ BÁZE DAT (SŘBD) PROGRAM KTERÝ ORGANIZUJE A UDRŽUJE NASHROMÁŽDĚNÉ INFORMACE DATABÁZOVÁ APLIKACE PROGRAM.
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public 1 Application Layer Functionality and Protocols Network Fundamentals – Chapter 3.
Autentizace a účty v AD. Autentizace stanice v AD.
Active Directory Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
Klomfar Petr.  Adresářová služba  specializovaná databáze optimalizovaná pro čtení a vyhledávání.  popisující objekt pomocí atributů. Na rozdíl od.
Internet.
INTERNET.
Aktuální bezpečnostní výzvy … a jak na ně ….. v praxi Dalibor Lukeš Platform and Security Manager Microsoft Czech and Slovak Michal Pechan Production Stream.
DNS a Windows 200x Služba DNS je vyžadována pro vytvoření Active Directory Problémy 1.Dle RFC 1123 lze v DNS použít znaky: ‘A’-’Z’, ‘a’-’z’, ‘0’-’9’, and.
Doména Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Protokol LDAP.
Web services. Co jsou webservices Součinná spolupráce počítačů v síti Technologie pro vzdálené volání procedur (RPC) Nezávislá na platformě Data v XML.
Pavel Olšan & Ondřej Mrzena.  Co je server  Funkce  Verze Windows a instalace  Active Directory  Účty  DNS  DHCP  .
Infrastructure-as-a-Service na platformě OpenStack
Správa MS Windows II Vladimír Pečený.
E- MAIL Ing. Jiří Šilhán. E LEKTRONICKÁ POŠTA NEBOLI vývoj od počátku sítí – původní návrh pouze pro přenos krátkých textových zpráv (ASCII) základní.
Překlad jmen, instalace AD
AS/400 (IBM iSeries) Úvod. Co vlastně je AS/400 (IBM i)? Aplikační systém 400 (AS/400) byl navržen jako počítač obecně použitelný v obchodním prostředí.
FTP-SSL FTP-SSL Martin Dušek Martin Fúsek Josef Vlček.
Univerzitní informační systém II., Lednice 2003 Jednotná autentizace na univerzitě (LDAP) Petr Dadák
Management počítačových sítí
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Seminář 11 DHCP + HTTP + IPTABLES
Číslo projektu OP VK Název projektu Moderní škola Název školy
Web Application Scanning
Application Layer Functionality and Protocols
Distribuovaný systém souborů
Transkript prezentace:

Adresářové služby LDAP SLT2001 Skalský dvůr, února 2001 Michal Mühlpachr

2 Co je to adresářová služba? Databázová aplikace používaná pro správu položek adresáře –zpřístupňuje informace pro uživatele a aplikace Většinou používá architekturu klient-server Může být distribuovaná DNS je příkladem adresářové služby mapující host jména na IP adresy

3 Co je to adresářová služba? Globální adresářová služba zajišťuje centralizovaný sklad informací o organizaci –lidé –počítače –tiskárny –konferenční místnosti –SW –…

4 Co je to LDAP? Standardní protokol pro globální adresářové služby –LDAP server poskytuje služby –LDAP klient využívá služby Začal jako TCP/IP front end k X.500 –zachovává X.500 data model IETF standard

5 Historie ITU-T X DAP RFC 1487 (1993), v2 RFC 1777 v3 RFC 2251 –podpora mezinárodních znaků Unicode UTF-8, jazykové kódy –bezpečnost (SSL, SASL) –distribuovanost (referaly) –extensibilita (např. dávkový import dat) –informace o funkcionalitě a schema

6 LDAP model LDAP Client LDAP Server Databáze požadavky odpovědi Server přijímá na TCP portu: 389 LDAP 636 LDAP over SSL

7 Datový model Základní informační jednotka je záznam Záznam je soubor atributů Každý atribut má jméno, typ a žádnou, jednu nebo více hodnot Typ určuje jaké druhy hodnot mohou být uloženy ASN.1, BER, OID

8 Datové typy cis – case insensitive string ces – case exact string int – integer bin – binary data dn – distinguished name tel – telephone number

9 Třídy záznamů (objektů) Definuje atributy (jména a typy), které záznam musí a může obsahovat LDAP definuje standardní množinu tříd pro zajištění interoperability –person, organizationalPerson, … –country, locality, organization, organizstionalUnit, … –groupOfNames, … –…

10 Třídy objektů Záznam (instance) může patřit současně do více jak jedné třídy Použitelné atributy záznamu jsou množinovým součtem tříd, do kterých záznam patří Atributy se dělí na povinné a volitelné podle definice tříd Definice tříd mohou být děděny

11 Příklad třídy a záznamu objectclass person requires objectclass, sn, cn allows description, seeAlso, telephoneNumber, userPassword TřídaZáznam cn: Michal Muhlpachr cn: Michal Mühlpachr cn: michalm sn: Mühlpachr sn: Muhlpachr description: Consultant userPassword: {crypt}Gb0Rd telephonenumber: objectclass: top objectclass: person

12 Adresářové schema Atributy a objekty známé adresářovému serveru tvoří schema Adresářové schema popisuje typ dat, která mohou být obsažena v adresáři Schema může být rozšiřováno přidáváním nových atributů a tříd objektů

13 Adresářový strom Záznamy jsou organizovány ve struktuře podobné stromu

14 K2 account connService subItf ipSubnet ipAddr route locality router itf resource Hierarchie stromu a reference

15 Namespace Každý záznam je unikátně identifikován svým distinguished name (DN) –analogické k cestě souboru ve file systém Jeden nebo více atributů je použito pro relative distinguished name (RDN) záznamu DN záznamu je tvořen svým RDN a RDN svých předchůdců

16 Namespace ou=people o=firma ou=groups uid=michalmuid=test cn=provozcn=obchod RDN: ou=people DN: ou=people,o=firma RDN: uid=michalm DN: uid=michalm,ou=people,o=firma DN má formát seznamu čárkou oddělených dvojic atribut a hodnota

17 LDAP operace Bind, Unbind – identifikace a autentizace Compare – porovnání hodnoty atributů Search – nalezení záznamu Modify – modifikace záznamu Add – přidání záznamu Delete – vymazání záznamu Modify RDN – modifikace RDN nebo přesun záznamu

18 Přístupová práva LDAP umožňuje řídit přístup k záznamům –přístup k serveru anonymní / user + password / user + certifikát a SK –přístup k datům přístupová práva (search/read/write) mohou být nastavena podle větve, objektu nebo atributu přístup může být řízen podle uživatelů, skupin, IP adres, domén

19 Vyhledávání Base (odkud ve stromě začít hledat) Search string –operátory přítomnost atributu, rovnost hodnoty atributu, menší, větší, substring, „zní jako“ –skládání pomocí and, or, not a závorkování Scope –base, one, subtree Požadované atributy Rychlost vyhledávání závisí na indexování

20 Vyhledávání – Netscape address book Vyhledávání „michal“ Search filter: (cn=*michal*) Požadované atributy: cn, mail, o, telephoneNumber, l, nickname, sn, givenName

21 Vyhledávání – Microsoft Outlook Vyhledávání „michal“ Search filter: (|(mail=michal*)(cn=michal*)(sn=michal*)) Požadované atributy: Display-name, cn, commonName, mail, otherMailBox, givenName, sn, surnaon

22 Distribuované LDAP - referaly

23 Replikace

24 gq client

25

26

27 Netscape client

28 LDIF dn: host=debussy,ou=hosts,dc=debian,dc=org objectclass: top access: all admin: architecture: arm c: at createtimestamp: Z creatorsname: uid=jgg,ou=users,dc=debian,dc=org description: ARM port machine disk: 5G [6G] distribution: potato Debian GNU/Linux host: debussy hostname: debussy.debian.org l: Wien machine: Strong Arm SA110 rev 3 memory: 64M modifiersname: uid=jgg,ou=users,dc=debian,dc=org modifytimestamp: Z …

29 Python API #!/usr/bin/env python import ldap l = ldap.open ('ldap.firma.cz', 389) l.simple_bind_s( 'uid=user,ou=people,dc=firma,dc=cz', 'password') for dn, dict in l.search_s( 'dc=firma,dc=cz', ldap.SCOPE_ONELEVEL, '(objectClass=*)', ['objectClass', 'description']): print dict['objectClass'][0], \ dict['description'][0]

30 Použití LDAP v OS LDAP SIA Plug-in –getpw*(), getgr*() funkce v libc –login –POP/IMAP –zcela transparentní pro uživatele LDAP PAM –pam-ldap –nss-ldap

31 LDAP enabled aplikace MTA – Exim, Qmail-LDAP Courier IMAP/POP Apache Zope PHP Netscape Navigator, mutt, Emacs, MS Explorer, MS Outlook, …

32 OpenLDAP 2.0.x LDAPv2 a LDAPv3, IPv4 a IPv6 Simple Authentication and Security Layer Cyrus SASL - DIGEST-MD5, EXTERNAL a GSSAPI Access control (statický, dynamický) Internacionalizace: Unicode a jazykové tagy Různé DB backendy: LDBM (BerkleyDB, GDBM), shell, simple passwd file, více databází současně, … Generické API pro moduly (SQL, …) Threads Replikace

33 Proč je LDAP zajímavé? Protokol založený na otevřených standardech Může být distribuovaný přes různé platformy, firmu, planetu Univerzální atribut/hodnota adresář, který je rychlý, replikovaný a spolehlivý Škálovatelné na milióny záznamů Centralizovaný management informací Bezpečnost (ACL, SSL) Mnoho API (ANSI C, shell, Python, Perl, Java, …) Jednoduchost ale výkonnost

34 Proč je LDAP zajímavé? Hodně komerčních implementací Netscape (iPlanet) Directory Server Novell NDS Innsoft, Lucent, IBM DSS Oracle DB LDAP storage Microsoft Active Directory Services Meta directory produkty B2B kooperace – DSML = Directory Services Markup Language Open source OpenLDAP

35 LDAP RFC RFC LDAPv3 RFC LDAPv3: syntaxe atributů RFC LDAPv3: UTF-8 reprezentace DN = Disnquished Name RFC reprezentace search filterů RFC LDAP URL format

36 LDAP související RFC RFC souhrn X.500(96) User schema pro LDAPv3 RFC 2307 – přiblížení LDAP pro použití jako Neteork Information Service RFC 1798 connectionless LDAP RFC 1823 The LDAP Application Program Interface

37 URL odkazy OpenLDAP Netscape (iPlanet) SASL - Simple Authentication and Security Layer OpenSSL DSML

38 Knihy Mark Wilcox: Implementing LDAP ISBN Tim Howes, Mark C. Smith, Gordon S. Good, Timothy A. Howes: Understanding and Deploying Ldap Directory Services Network Architecture ISBN Pete Loshin: Big Book of Lightweight Directory Access Protocol (Ldap) Rfcs ISBN Bruce Greenblatt: Internet Directories: How to Build and Manage Applications for LDAP, DNS, and Other Directories ISBN

39 Diskuze Dotazy? Komentáře? Michal Mühlpachr Děkuji za pozornost