LDAP. Grzegorz Bandur, Jakub Stasiński



Podobne dokumenty
LDAP. Grzegorz Bandur Jakub Stasiński

A co to jest LDAP. Dariusz Żbik Remigiusz Górecki

Lightweight Directory Access Protocol (LDAP) Krzysztof Boryczko Remigiusz Górecki

Serwery LDAP w środowisku produktów w Oracle

Instytut Teleinformatyki

LDAP to protokół Usługi katalogowe Zakończenie LDAP. Łukasz Zubkowicz. 25 listopada 2009

11. Sesja Linuksowa. Usªuga katalogowa na przykªadzie. Jakub Juszczakiewicz. 1 / 20 Jakub Juszczakiewicz Usªuga katalogowa na przykªadzie OpenLDAP

NIS/YP co to takiego?

Samba 3.x + LDAP. Filip Piękniewski 2004

Problemy techniczne SQL Server. Zarządzanie bazami danych na serwerze SQL

MikroTik Serwer OpenVPN

Problemy techniczne SQL Server. Zarządzanie bazami danych na serwerze SQL

Usługi sieciowe systemu Linux

Instrukcja obsługi programu CMS Dla rejestratorów HANBANG

DLA DREAMBOX & FLASHWIZARD

Instrukcja instalacji v2.0 Easy Service Manager

pasja-informatyki.pl

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Laboratorium - Poznawanie FTP

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

us lugi katalogowe? Czym różni si e serwer katalogowy od serwera bazy danych:

Inżynier na miarę XXI wieku

Problemy techniczne SQL Server

Instalacja i konfiguracja serwera IIS z FTP

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Active Directory

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Rys. 1. Widok uruchomienia polecenia apt-get install build-essential. Rys. 2. Widok uruchomienia polecenia apt-get install apache2

Problemy techniczne SQL Server

INSTRUKCJA INSTALACJI DATAMOBILE. Ver. 1.3

Zalecana instalacja i konfiguracja Microsoft SQL Server 2016 Express Edition dla oprogramowania Wonderware

AKTYWNY SAMORZĄD. Instrukcja instalacji, aktualizacji i konfiguracji.

Praca w sieci równorzędnej

Wprowadzenie do Active Directory. Udostępnianie katalogów

Rozwiązanie Zadania egzaminacyjnego egzamin praktyczny z kwalifikacji e13 styczeń 2015

Windows Server Active Directory

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Jest logiczną grupą komputerów w sieci współdzielących zasoby takie jak pliki, foldery czy drukarki. Jest określana mianem równoprawnej, gdyż

Instrukcja instalacji Control Expert 3.0

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

INFORMATOR TECHNICZNY WONDERWARE

Migracja bazy danych Microsoft Access *.mdb do Microsoft SQL 2008 Server R2 SP1 dla oprogramowania Płatnik

oprogramowania F-Secure

LOTUS DOMINO 7. Użycie certyfikatów niekwalifikowanych w oprogramowaniu LOTUS DOMINO 7 serwer WWW / pocztowy

Data modyfikacji:

11. Autoryzacja użytkowników

INFORMATOR TECHNICZNY WONDERWARE

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Sun Web Server SSL. Użycie certyfikatów niekwalifikowanych w oprogramowaniu Sun Web Server

Instalacja i konfiguracja serwera SSH.

Sieciowe systemy operacyjne

System operacyjny Linux

Użycie pakietów instalacyjnych.msi w oprogramowaniu WYWIAD Plus

Samba, instalacja i konfiguracja

Instalacja Active Directory w Windows Server 2003

Systemy Operacyjne. Zarządzanie/Administracja Systemem. Zarządzanie użytkownikami. autor: mgr inż. Andrzej Woźniak

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

Krótka instrukcja instalacji

INFORMATOR TECHNICZNY WONDERWARE

Program Rabator dla Microsoft Windows.

Zapoznanie się z konfiguracją i zarządzaniem serwerem Samba.

4. Podstawowa konfiguracja

Instrukcja instalacji i konfiguracji bazy danych SQL SERVER 2008 EXPRESS R2. Instrukcja tworzenia bazy danych dla programu AUTOSAT 3. wersja 0.0.

Konfiguracja serwera DNS w systemie Windows Server 2008 /2008 R2

Zastępstwa Optivum. Jak przenieść dane na nowy komputer?

Tomasz Greszata - Koszalin

Programowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Wstęp. Skąd pobrać program do obsługi FTP? Logowanie

Serwer SAMBA UDOSTĘPNIANIE UDZIAŁÓW SIECIOWYCH PIOTR KANIA

mysql> UPDATE user SET Password=PASSWORD('pass') WHERE user='root'; Query OK, 2 rows affected (0.05 sec) Rows matched: 2 Changed: 2 Warnings: 0

Instalacja (GM) AMXBans #1.5.1/ #1.6.1 na serwerze gry/stronie WWW. Wymagania

WPROWADZENIE DO BAZ DANYCH

Instalacja programu Warsztat 3 w sieci

Problemy techniczne SQL Server

onfiguracja serwera DNS w systemie Windows Server 2008 /2008 R2

Zarządzanie Infrastrukturą IT. Jak ręcznie utworzyć instancję EAUDYTORINSTANCE na SQL Serwerze

Copyright 2012 COIG SA Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek

Przewodnik technologii ActivCard

Sprawozdanie. (notatki) Sieci komputerowe i bazy danych. Laboratorium nr.3 Temat: Zastosowanie protokołów przesyłania plików

Zadanie1: Wykorzystując serwis internetowy Wikipedii odszukaj informacje na temat usługi WINS.

Zasady współpracy programu Doradca Handlowy z Symfonią

Wykład 5: PHP: praca z bazą danych MySQL

Problemy techniczne SQL Server

Pracownia internetowa w szkole ZASTOSOWANIA

PROGRAM RETROKONWERSJI ZDALNEJ

Archiwizowanie nagrań i naprawa bazy danych

Windows Server 2012 Active Directory

LDAP. Cezary Sobaniec

Tomasz Greszata - Koszalin

Serwer SMB. Udostępnienie zasobów systemowych w sieci. Jakub Stasiński, Jędrzej Chruściel, Michał Wojciechowski

Problemy techniczne SQL Server

Wprowadzenie do sieciowych systemów operacyjnych. Moduł 1

Przebieg instalacji NKP

T: Zabezpieczenie dostępu do komputera.

Windows Server Serwer RADIUS

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Transkrypt:

LDAP Grzegorz Bandur, Jakub Stasiński Historia W 1980 roku Międzynarodowy Związek Telekomunikacyjny (ITU) w 1980 rok stowrzył specyfikacje X500. Usługi katalogowania X.500 używały X.500 Directory Access Protocol (DAP), wymagała ona protokołów Open Systems Interconnection (OSI). LDAP był pączątkowo lekkim protokołem alternatywnym korzystającym z TCP/IP. Został nazwany lekkim z powodu mniejszych wymagań sieciowych niż jego poprzednicy(dap). Wstęp LDAP to skrót od terminu Lighweight Directory Access Protocol, czyli Lekki Protokół Dostępu do Usług Katalogowych. LDAP można potraktować jak zwykłą bazę danych: Są w niej rekordy, w rekordach są pola z danymi, można dopisywać i kasować rekordy oraz wyszukiwać rekordy spełniające podane kryteria. Są jednak spore róznice miedzy zwykłą bazą a LDAPem: Otóż klasyczne bazy danych (Relational Database, RDB) mają dwie podstawowe cechy: baza jest homogeniczna, czyli wszystkie rekordy mają tą samą strukturę (kolejność, nazwy i typy pól) baza jest płaska czyli można ją zapisać rekord za rekordem jako tablicę wszystkie rekordy są równorzędne i w podejściu klasycznym nieuporządkowane. baza LDAP jest heterogeniczna, czyli każdy rekord może mieć inną strukturę co więcej, budowa rekordu może się zmieniać w czasie baza LDAP jest hierarchiczna (drzewiasta), czyli jedne rekordy mogą być rekordami podrzędnymi dla innych. Dodatkowo zamiast rekodu można umieścić odnośnik do zupełnie innego miejsca w drzewie. O protokole Client startuje sesje z LDAPem łącząć się z servem LDAP Directory System Agent (DSA), bazowo na porcie TCP port 389. Zwykle klient nie musi czekać na odpowiedzi miedzy kolejnymi żądaniami do serwera, a serwer moze zwracac wyniki w dowolnej kolejnosci.

Wszystkie informacje są transmitowane użwyająć BER(Basic Encoding Rules). Klient może wykonać następujące operacje: StartTLS Użwyać LDAPv3 Transport LAyer Security (TLS) dla bezpiecznego połączenia. bind uwierzytelnienie użytkownika, czyli powiązanie jego tożsamości (i obiektu LDAP) z połączeniem sieciowym i sesją. Wymaga potwierdzenia odbioru od serwera, w którym znajduje status żądania klienta. Operacja ta może też przestawić sesję w stan anonimowy jeśli podany zostanie pusty DN i hasło. W ramach jednej sesji można wielokrotnie dokonywać operacji bind, zmieniając w ten sposób kontekst uwierzytelniania. unbind zakończenie sesji i połączenia sieciowego LDAP. Nie potrzebuje potwierdzenia. Nie jest (wbrew popularnemu przekonaniu) odwrotnością operacji bind. search zgłoszenie żądania poszukiwanego zasobu, które będzie realizowane przez serwer, co pozwala na pobieranie oraz wyszukiwanie informacji modify umożliwia klientowi modyfikowanie, wprowadzanie nowych pozycji oraz ich usuwanie z bazy danych znajdującej się na serwerze add daje klientowi możliwość zgłoszenia żądania dodania wpisów do katalogu, zmiany istniejącego wpisu oraz zmiany nazwy wpisu. delete umożliwia klientowi żądanie usunięcia wpisów z katalogu. Compare testuje czy wpis o podanej nazwie posiada atrybut o danej wartości Abandon abortowanie poprzedniego żądania Extended Operation operacja służąca do definiowanie innych operacji Dodatkowo serwer moze zwracać notyfikacje nie bedace odpowiedziami na żądania. OpenLDAP to, należąca do Wolnego Oprogramowania, implementacja protokołu LDAP (wersji 2 i 3). Zawiera serwer usług katalogowych, biblioteki oraz klientów do komunikacji z serwerem. Oprogramowanie przeznaczone jest na Linuksa oraz systemy uniksopodobne, można też użwyać na Microsoft Windows (2000, XP). Rozwijany jest przez OpenLDAP Project (projekt założony w 1998 roku przez Kurt D. Zeilenga), OpenLDAP wywodzi się z U M LDAP rozwijanego na początku przez Uniwersytet Michigan.

AD a LDAP Active Directory jest usługą katalogową (hierarchiczna baza danych) dla systemów Windows. Zapewnia mozliwość uwierzytelniania, autoryzacji obiektów (np. użytkowników, komputerów), którzy mają prawo lub nie dostępu do innych obiektów Active Directory (dowolnych, np. kontenera lub obiektu użytkownika) oraz do zasobów innych, w tym dyskowych, sieciowych itd. LDAP (Lightweight Directory Access Protocol) jest protokołem używaym przez usługi takie jak AD do komunikacji. LDAP jest znacznie starszy od Active Directory i nie jest rozwiązaniem należącym jakiejkolwiek firmy. Ogromna część Active Directory pochodzi z LDAP. Adresowanie rekordów W LDAP tak jak w klasycznych bazach można zasymulować klucz główny: Można zrobić pole rekordu z unikalnym numerem i według niego szukać. LDAP do wskazania rekordów wykorzystuje ścieżkę do rekordu(distinguished name, DN). W obrębie jednego poziomu hierarchii (jednego rekordu nadrzędnego) stosowany jest skrót, nazwa rekordu (relative distinguished name, RDN). Bardziej obrazowo: LDAP zachowuje się jak dysk: rekordy to pliki, DN to absolutna ścieżka do pliku a RDN to względna ścieżka do pliku. Adresy rekordów LDAP są dłuższe od kluczy RDB, jednak sa bardziej obrazowe: cn=jarek,ou=people,dc=asl,dc=com Podana zazwa składa się tutaj z 4 części, czytanych od prawej do lewej i oddzielonych przecinkami. Każda część ma postać typ=nazwa. Typ określa charakter danej opisanej nazwą: cn nazwa rekordu (od common name) to jest najbliższe kluczowi głównemu. dc fragment adresu DNS podmiotu opisanego DN, czyli firma.pl staje się dc=asl,dc=com (od directory context) o nazwa firmy (od organization) ou oddział firmy (od organizational unit) c kraj (od country) l miasto (od locality) Ostatnia część DN, wspólna dla wszystkich rekordów w bazie LDAP to tzw adres bazowy (base distingushed name). Może być konstruowany na kilka sposobów: od adresu DNS firmy: dc=asl,dc=com (forma preferowana) bądź o=asl.com (forma przestarzała)

od nazwy : o=super asl,c=com Przykład Rozwiązanie z przykładem faktuy VAT. jest drzewo ogólnych danych firmy dc=firma,dc=pl jest tam poddrzewo faktury ou=faktury,dc=firma,dc=pl każda faktura jest rekordem zawierającym dane faktury datę, numer, dane kontrahenta, itd. cn=fv01/13,ou=faktury,dc=firma,dc=pl szczegóły faktury są podrekordami danej faktury: zawierają towar, ilość, cenę, podatek cn=1,cn=fv01/13,ou=faktury,dc=firma,dc=pl Instalacja Instalujemy: apt get install slapd Konfiguracja: dpkg reconfigure plow slapd Omit OpenLDAP server configuration? No DNS domain name: asl.com Organization name? asl.com Administrator password: password Confirm password: password Database backend to use: HDB Do you want the database to be removed when slapd is purged? yes Move old database:yes, wazne jesli istnieje juz backup całość sie nie powiedzie Allow LDAPv2 protocol? No już przestarzałe Instalujemy ldap utils: apt get install ldap utils Ldap utils zawiera szereg narzędzi, które mogą być używane do wykonywania zapytań na serwerze LDAP. Podstawowe komendy: ldapsearch wyszukiwanie i wyświetlanie wpisów ldapmodify zmodyfikować wpis ldapadd dodać nowy wpis

ldapdelete usuń wpis ldapmodrdn zmień wpis ldappasswd zmienić hasło do wejścia * Uwaga: To nie jest zamiennikiem dla passwd Inne operacje ldapwhoami: wyświetlacz z którym wpis jestem związany z serwerem ldapcompare porównanie pola w wejściu do pewnej wartości Instalacja cd Dodać następujące linie do " /etc/ldap/ldap.conf" tworząc plik jesli nie istnieje: " ldap_version 3 URI ldap://localhost:389 SIZELIMIT 0 TIMELIMIT 0 DEREF never BASE dc=asl, dc=com " Jeśli chcemy postawić LDAP nie na localhost, wpisujemy inny adres należy wtedy również skonfigurować dnsa. Sprawdzenie czy działa: Przykład search: ldapsearch b'dc=asl,dc=com x powinieśmy dostać zwrot w stylu: # extended LDIF # # LDAPv3 # base <dc=asl,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # asl.com dn: dc=asl,dc=com objectclass: top objectclass: dcobject

objectclass: organization o: asl.com dc: asl # admin, asl.com dn: cn=admin,dc=asl,dc=com objectclass: simplesecurityobject objectclass: organizationalrole cn: admin description: LDAP administrator # search result search: 2 result: 0 Success # numresponses: 3 # numentries: 2 w przypadku błednego działania warto spróbowac: Restart ldapa: /etc/init.d/slapd restart lub Stopuje serwer ldapa: /etc/init.d/slapd stop Startuje serwer ldapa: /etc/init.d/slapd start Tworzymy organization unit: W pliku /var/tmp/ou.ldif : dn: ou=people,dc=asl,dc=com ou: People objectclass: organizationalunit dn: ou=group,dc=asl,dc=com ou: Group objectclass: organizationalunit invoke rc.d slapd stop

slapadd c v l /var/tmp/ou.ldif invoke rc.d slapd start ldapsearch b'ou=people,dc=asl,dc=com' x Pierwszy użytkownik /var/tmp/user1.ldif plik: dn: cn=students,ou=group,dc=asl,dc=com cn: students gidnumber: 20000 objectclass: top objectclass: posixgroup dn: uid=jarek,ou=people,dc=asl,dc=com uid:jarek uidnumber: 10000 gidnumber: 20000 cn: Jarek sn: Jarek objectclass: top objectclass: person objectclass: posixaccount objectclass: shadowaccount loginshell: /bin/bash homedirectory: /home/jarek dn: uid=zbyszek,ou=people,dc=asl,dc=com uid:zbyszek uidnumber: 10001 gidnumber: 20000 cn: Zbyszek sn: Zbyszek objectclass: top objectclass: person objectclass: posixaccount objectclass: shadowaccount loginshell: /bin/bash homedirectory: /home/zbyszek "

Wgrywamy do bazy poleceniem: ldapadd c x D cn=admin,dc=asl,dc=com W f /var/tmp/user1.ldif Wybieramy Hasło dla Jarka ldappasswd x D cn=admin,dc=asl,dc=com W S uid=jarek,ou=people,dc=asl,dc=com Sprawdzenie, czy jest z nami Jarek? ldapsearch b'dc=asl,dc=com' x 'uid=jarek' tak samo zbyszek. NSS Gdy mamy utworzonego użytkownika w LDAP, powinniśmy pozwolić, aby system go zobaczył. Na przykład, załóżmy przetestujmy czy istnieje Jarek. id root uid=0(root) gid=0(root) groups=0(root) id Jarek id: Jarek: No such user Aby system zobaczył konta LDAP, należy zainstalować i skonfigurować libnss ldap. apt get install libnss ldap nscd Odpowiedzi na debconf LDAP server Uniform Resource Identifier: ldap://localhost/ (Note the "ldap://", NOT "ldapi://"!) Distinguished name of the search base: dc=asl,dc=com LDAP version to use: 3 Does the LDAP database require login? No Special LDAP privileges for root? No Make the configuration file readable/writeable by its owner only? No Make local root Database admin. No Does the LDAP database require login? No Local crypt to use when changing passwords. crypt W pliku :/etc/libnss ldap.conf.

base dc=asl,dc=com uri ldap://localhost/ Oraz w /etc/nsswitch.conf podmieniamy na: passwd: files ldap group: files ldap shadow: files ldap hosts: networks: files dns ldap files ldap Zatrzymaj nscd, demona buforowania Name Service, ale zostaw uruchamianie przy następnym starcie systemu: invoke rc.d nscd stop W konću Jarek jest widoczny: id jarek uid=10000(jarek) gid=20000(students) groups=20000(students)

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres