Protokol LDAP.

Slides:



Advertisements
Podobné prezentace
Pokroky v technologiích (2)
Advertisements

SÍŤOVÉ PROTOKOLY.
Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.
D03 - ORiNOCO RG-based Wireless LANs - Technology
Aplikační a programové vybavení
 Informací se data a vztahy mezi nimi stávají vhodnou interpretací pro uživatele, která odhaluje uspořádání, vztahy, tendence a trendy  Existuje celá.
SÍŤOVÉ SLUŽBY DNS SYSTÉM
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Architektury a techniky DS Tvorba efektivních příkazů I Přednáška č. 3 RNDr. David Žák, Ph.D. Fakulta elektrotechniky a informatiky
Komunikace v DS Přednášky z distribuovaných systémů Ing. Jiří Ledvina, CSc.
Protokol LDAP autor:Zdeněk Jonáš předmět:PSI un:A01144.
Analýza síťového provozu
Adresářová služba Active directory
Internet, WWW, HTML a spol.. Hlavní zásady inženýrství reprodukovatelnost měřitelnost a parametrizovatelnost přenositelnost typizace a standardizace dokumentace.
Protokol TCP/IP a OSI model
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
CZ.1.07/1.4.00/ VY_32_INOVACE_169_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
Metainformační systém založený na XML Autor: Josef Mikloš Vedoucí práce: Ing. Jan Růžička, Ph.D. V/2004.
Výměna dat s klasifikovanými systémy Bezpečnostní oddělovací blok Libor Kratochvíl ICZ a.s
Dokumentace objektů a zveřejnění funkcí
Internet.  Celosvětový systém propojených počítačů  Funkce  Sdílení dat  Elektronická pošta.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
Autentizace a účty v AD. Autentizace stanice v AD.
Databázové modelování
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Internet.
Klomfar Petr.  Adresářová služba  specializovaná databáze optimalizovaná pro čtení a vyhledávání.  popisující objekt pomocí atributů. Na rozdíl od.
Internet.
Internetové protokoly Autor: Milan Bílek. Internet Internet je celosvětová systém propojených počítačových sítí. Počítače mezi sebou komunikují pomocí.
Protokoly úrovně 3 nad ATM Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Systém souborů. Množina souborů různých typů – Data – Spustitelné programy – Konfigurační a pomocné informace – I/O zařízení Způsob organizace množiny.
Komunikace v DS Přednášky z distribuovaných systémů Ing. Jiří Ledvina, CSc.
Lightweight Directory Access protocol (LDAP) Projektování distribuovaných systémů Lekce 16 Ing. Jiří ledvina, CSc.
Internet Key Exchange Projektování distribuovaných systémů Ing. Jiří ledvina, CSc.
VoIP Voice over IP Ing. Jiří Ledvina, CSc. Projektování distribuovaných systémů.
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
Základní pojmy Standard sítě Důvod vzniku standardů
Správa MS Windows II Vladimír Pečený.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
Vrstvy ISO/OSI  Dvě skupiny vrstev  orientované na přenos  fyzická vrstva  linková vrstva  síťová  orientované na aplikace  relační vrstva  prezentační.
E- MAIL Ing. Jiří Šilhán. E LEKTRONICKÁ POŠTA NEBOLI vývoj od počátku sítí – původní návrh pouze pro přenos krátkých textových zpráv (ASCII) základní.
Lightweight Directory Access protocol (LDAP) Projektování distribuovaných systémů Lekce 16 Ing. Jiří ledvina, CSc.
Bezpečnostní popisovače ACL. Popisovač zabezpečení  Popisovač zabezpečení – sada informací o řízení přístupu - zabezpečení, spojené se zabezpečeným objektem.
Internet. je celosvětový systém navzájem propojených počítačových sítí („síť sítí“), ve kterých mezi sebou počítače komunikují pomocí rodiny protokolů.
© 2016 InterSystems Corporation. All rights reserved. Integrace OAuth 2.0 a OpenID Connect.
 = jedná se o vzájemné propojení lokálních počítačových sítí pomocí vysokorychlostních datových spojů  vznikl spojením mnoha menších sítí  v každé.
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Unix a Internet 9. Samba © Milan Keršlágerhttp:// Obsah: ●
Databáze ● úložiště dat s definovaným přístupem ● typy struktury – strom, sekvence, tabulka ● sestává z uspořádaných záznamů ● databáze – struktura – záznam.
Odborný výcvik ve 3. tisíciletí Tato prezentace byla vytvořena v rámci projektu.
FTP-SSL FTP-SSL Martin Dušek Martin Fúsek Josef Vlček.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
Management počítačových sítí
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Virtuální privátní sítě
Tato prezentace byla vytvořena
Informatika pro ekonomy přednáška 8
Číslo projektu OP VK Název projektu Moderní škola Název školy
Propojování sítí (1) Propojování sítí je možné realizovat, např. pomocí: Repeater: zesilovač, který předává veškeré informace z jedno-ho síťového segmentu.
Web Application Scanning
TELNET, FTP.
Přednášky z distribuovaných systémů
Algoritmizace a datové struktury (14ASD)
Transkript prezentace:

Protokol LDAP

Agenda Motivace Pochopení LDAP Informační struktura Jména Funkce a operace Bezpečnost Model protokolu Mapování na transportní služby Protokol kódování Diskuse

Motivace a vývoj Zvyšování spolehlivosti síťových zařízení Potřeby v informacích Funkčnost Jednoduchost použití Administrace Konzistentní organizace Integrita Důvěrnost

X.500 X.500 standard. CCITT 1988 Refer ISO 9594 – X.500-X.521 of 1990

X.500 Organizace položek adresáře do hierarchického stromu Výkonné prostředky pro vyhledávání Často používán pro propojení nekompatibilních systémů Používá DAP pro komunikaci klientů a serverů DAP (App. Layer) požaduje celý OSI zásobník Příliš obtížné pro malé aplikace

Co je to LDAP? Lightweight Directory Access Protocol Používá se pro přístup k informaci a pro její úpravu v adresářích budovaných na X.500 model Specifikace definuje obsah zpráv přenášených mezi klientem a serverem. Zahrnuje operace pro vytváření a ukončování spojení se serverem

LDAP Server

Pochopení LDAP Zjednodušená varianta k DAP Používá TCP/IP zásobník místo zásobníku ISO/OSI Některé funkce zjednodušuje a jiné vynechává … K reprezentaci dat používá řetězce místo DAP notace ASN.1

LDAP Informační struktura Jmenná struktura Funkční struktura a operace Struktura informace uložená v LDAP adresáři Jmenná struktura Jak je informace uložena a pojmenována. Funkční struktura a operace Popisuje jak mohou být operace prováděny nad informacemi uloženými v LDAP adresáři Bezpečnost Popisuje jak může být informace chráněna před neautorizovaným přístupem

LDAP uložení informace

LDAP uložení informace Každý atribut je popsán typem/syntaxí a hodnotou Může definovat jak se budou hodnoty chovat během operací prohledávání adresářů Syntax může být: bin, ces, cis, tel, dn, atd. bin – binární informace ces – case exact string (directory string), při porovnávání rozlišuje malá/velká písmena tel – telefonní číslo, reprezentace jako řetězec, mezery jsou ignorovány dn – rozlišující jméno (distinguished name) Generalized time – rok, měsíc, den a čas reprezentovány jako tisknutelný řetězec Postal address – poštovní adresa s řádky oddělenými znakem ‘$’

Obecné atributy LDAP Atribut, alias syntax popis příklad commonName, cn cis Obecné jméno položky John Smith Surname, sn Příjmení osoby Smith telephoneNumber tel Telefonní číslo 123-456-789 organizationalUnitName, ou Jméno organizace UWB owner dn DN osoby vlastnící položku cn=John Smith, o=UWB, c=cz organization, o jpegPhoto bin Foto v JPEG formátu Smithova fotografie

LDAP uložení informace Každá položka popisuje objekt (Class) Osobu, server, zařízení, atd. Příklad položky: InetOrgPerson(cn, sn, ObjectClass) Příklad atributů: cn (cis), sn (cis), telephoneNumber (tel), ou (cis), owner (dn), jpegPhoto (bin)

LDAP jména DN skládá se ze sekvence relativních DN cn=John Smith,ou=Austin,o=IBM,c=US Directory Information Tree (DIT) Vytváří se podle geografických nebo organizačních schémat Aliases: podobné stromům Aliases mohou odkazovat na uzly stromu, které nejsou listy

LDAP jména Schema LDAP schema musí být čitelné klientem Definuje povolené třídy objektů Definuje kde jsou uloženy Definuje jaké mají atributy (objectClass) Definuje které atributy jsou volitelné (objectClass) Definuje typ/syntaxi každého atributu (objectClass) LDAP schema musí být čitelné klientem

LDAP příklady jmen atribut alias CommonName CN LocalityName L StateorProvinceName ST OrganizationName O OrganizationalUnitName OU CountryName C StreetAddress STREET domainComponent DC Userid UID

LDAP funkce a operace Ověřování Dotazování Opravy BIND/UNBIND – připojení/odpojení ABANDON – opuštění – zrušení operace Dotazování Search - vyhledání Compare entry - porovnání Opravy Add an entry – přidání položky Delete an entry (pouze listy stromu, ne aliasy) – zrušení položky Modify an entry, Modify DN/RDN (jméno, relativní jméno) – modifikace položky nebo jména položky

Komunikace klient/server Klient vytváří relaci se serverem (BIND) Podle DNS jména/IP adresy a portu Bezpečnost Ověřování založené na ID uživatele a heslu Anonymní připojení – implicitní práva přístupu Podpora Kerbera a šifrování Klient provádí operace Read/Update/Search SELECT X,Y,Z FROM PART_OF_DIRECTORY Klient ukončuje relaci (UNBIND) Klient může relaci přerušit (ABANDON)

Operace BIND/UNBIND/ABANDON Požadavek obsahuje verzi LDAP, jméno pod kterým se chce klient připojit, typ ověřování Jednoduché – anonymní, jednoduché nešifrované heslo Kerberos v4 k LDAP serveru (krbv42LDAP) Kerberos v4 k DSA serveru (krbv42DSA) Server odpovídá indikací stavu UNBIND: ukončuje relaci UnbindRequest ::= [APPLICATION 2] NULL ABANDON: MessageID to abandon

Operace vyhledávání a porovnávání Požadavek zahrnuje baseObject: an LDAPDN Scope: kolik úrovní stromu má být prohledáváno derefAliases: zpracování aliasů sizeLimit: max počet vrácených položek timeLimit: max čas prohledávání attrsOnly: vrací typy atributů nebo také jejich hodnoty Filter: podmínky které mají být splněny při prohledávání Attributes: seznam atributů, ke kterým se hledá odpověď Čtení i výpis seznamu je realizován jako vyhledávání Porovnání: podobné vyhledávání, ale vrací true/false

Operace ADD/MODIFY/DELETE Entry: LDAPDN Seznam artributů a jejich hodnot (nebo množina hodnot) Operace MODIFY Používá se k přidání, rušení a modifikaci atributů Požadavek obsahuje Object: LDAPDN Seznam modifikací (atomické provedení) Add, Delete, Replace Operace DELETE Operace MODIFY RDN: LDAPDN, newRDN, DEL_FLAG

LDAP zprávy LDAPMessage (MessageID unique)

LDAP zprávy LDAPString ::= OCTET STRING LDAPDN ::= LDAPString RelativeLDAPDN ::= LDAPString AttributeValueAssertion ::= Sequence { attributeType attributeValue, attributeValue attributeValue } attributeType ::= LDAPString attributeValue ::= OCTET STRING

LDAP zprávy LDAP Result Chyby Truncated DIT RDN sequence is sent noSuchObject aliasProblem invalidDNSyntax isLeaf etc.

Bezpečnost LDAP Současná verze LDAP podporuje Heslo v textové podobě Ověřování KERBEROS v 4 SASL – Simple Authentication and Security Layer (RFC4422) Prostředek pro ověřování a zajištění bezpečných dat v Internetu Odstranění ověřovacích mechanizmů z aplikací Využití libovolného ověřovacího mechanizmu podporovaného SASL v libovolné aplikaci Nabízí též data security layer (integrita a důvěrnost dat)

Mechanizmus SASL Protokol pracující s výzvami a odpověďmi Definuje následující mechanizmy: EXTERNAL - ověřování zahrnuto implicitně (IPsec, TLS) ANONYMOUS – neautorizovaný přístup PLAIN – jednoduché ověřování prostým textem – heslem OTP – jednorázové heslo – nahrazen SKEY SKEY – mechanizmus SKEY – rekurzivní generování hesla CRAM-MD5 – jednoduchá výměna výzva-odpověď založená na HMAC-MD5 DIGEST-MD5 - jednoduchá výměna výzva-odpověď pomocí HTTP založená na MD5, podpora bezpečného přenosu dat NTLM – ověřovací mechanizmus NT LAN Manager GSSAPI – ověřování Kerberos V prostřednictvím GSSAPI, podpora bezpečného přenosu dat.

Mechanizmus GSSAPI Generic Security Services Application Program Interface API pro přístup k bezpečnostním službám IETF standard Poskytuje 45 knihovních volání Podpora C, Java, C# Předpokládá architekturu klient/server

Bezpečnost LDAP Bezpečnost založená na modelu připojování (BIND) LDAPv1 - heslo LDAPv1,2,3 – Kerberos LDAPv3 - SASL Navrhováno TLS (Transport Layer Security) Založeno na SSL v3 (Netscape)

Bezpečnost LDAP Bez ověřování Základní ověřování SASL (RFC 4422) DN a heslo Otevřený text nebo kódování BASE64 SASL (RFC 4422) Parametry: DN, mechanism, credentials Zajišťuje vzájemné ověřování Případné dohadování o šifrování dat ldap_sasl_bind() (ver3 call) Ldap://<ldap_server>/?supportedsaslmechanisms

Bezpečnost LDAP LDAP a SASL s SSL/TLS

Bezpečnost LDAP Ověřování SSL/TLS

LDAP protokol (klient/server) Klient aktivuje komunikaci se serverem Klient posílá serveru požadavek Server požadavek zpracuje Server vrací odpověď nebo chybu Server zpracovává požadavky asynchronně

Spolupráce klient/server

Mapování na transportní služby LDAP používá spolehlivý přenos dat (TCP) TCP LDAPMessage PDU mapována na TCP stream LDAP naslouchá na portu 389 Connection Oriented Transport Service (COTS) LDAP PDU mapováno přímo na T-Data

Kódování protokolových prvků Pro kódování zpráv se používá BER (Basic Encoding Rules) BER definováno v Abstract Syntax Notation One (ASN.1) BER má velkou režii Omezení na zvýšení efektivity Pevná délka kódovaných položek Bitové řetězce i řetězce oktetů jsou kódovány pouze v základní podobě.

Implementace LDAP C Library API Java JNDI LDAPv2 - RFC 1823 ‘The LDAP API’ LDAPv3 – RFC Java JNDI LDAP v3 používá UTF-8 kódování Existuje brána LDAP  HTTP Existuje brána LDAP  X.500 (ldapd)

LDAP v2 RFC 1777: LDAP v1 RFC 1778: The String Representation of Standard Attribute Syntaxes RFC 1779: A String Representation of Distinguished Names RFC 1959: An LDAP URL Format RFC 1960: A String Representation of LDAP Search Filters

Verze 2 versus Verze 3 Referrals Bezpečnost Internacionalizace Server který nemá k dispozici požadovaná data může odkázat klienta na jiný server. Bezpečnost Rozšířené ověřování s využitím Simple Authentication and Security Layer (SASL) Internacionalizace Podpora národních abeced – kódování UTF-8. Rozšiřitelnost Nové typy objektů a operací mohou být definovány dynamicky a schémata publikována standardním způsobem