Введение в службы каталогов OpenLDAP

Содержание

 

Введение

. Введение в службы каталогов OpenLDAP

Служба каталогов

Что такое LDAP

Для чего можно использовать LDAP

Как работает LDAP

X.500

Отличие между LDAPv2 и LDAPv3

. Что такое slapd и на что он способен

Непростые взаимоотношения LDAP и реляционных СУБД

. Варианты конфигурации

Локальная служба каталогов

Локальная служба каталогов с отсылками

Реплицируемая служба каталогов

Распределённая локальная служба каталогов

. Сборка и установка программного обеспечения OpenLDAP

Распаковка программного обеспечения

Программное обеспечение, от которого зависит OpenLDAP

3.2.1 Transport Layer Security

Simple Authentication and Security Layer

Сервис аутентификации Kerberos

TCP Wrappers

Запуск configure

3.4 Сборка программного обеспечения

Тестирование программного обеспечения

Установка программного обеспечения

. Основные (функциональные) выпуски OpenLDAP

Заключение

Список использованных источников

 

 

Введение

- открытая реализация LDAP, разработанная проектом OpenLDAP Project. Распространяется под собственной лицензией, называемой OpenLDAP Public License. LDAP - платформенно-независимый протокол. В числе прочих есть реализации для различных модификаций BSD, а также Linux, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (NT и наследники - 2000, XP, Vista, Windows 7) и z/OS.

Начало OpenLDAP Project было положено в 1998 Куртом Зейленгой (Kurt Zeilenga). Изначальный код OpenLDAP был скопирован с реализации LDAP Мичиганского университета, где в конечном счёте и была продолжена разработка и эволюция протокола LDAP.

В апреле 2006 года главными разработчиками проекта OpenLDAP были: Говард Чу (Howard Chu) (Главный архитектор), Пиеранджело Масарати (Pierangelo Masarati) и Курт Зейленга. Свой немаловажный вклад в проект осуществили также и другие многочисленные активные разработчики, включая Люка Говарда (Luke Howard), Холларда Фьюрусета (Hallvard Furuseth), Куанаха Гибсон-Маунта (Quanah Gibson-Mount) и Гэвина Хенри (Gavin Henry).

 

 

Введение в службы каталогов OpenLDAP

 

Данный документ рассказывает о том, как собрать, настроить и эксплуатировать программное обеспечение OpenLDAP для организации службы каталогов. В ней детально описаны конфигурирование и запуск автономного демона LDAP (Standalone LDAP Daemon), slapd. Документация предназначена как для новичков, так и для опытных системных администраторов. В данном разделе дается базовое введение в службы каталогов и, в частности, в службы каталогов, построенные на slapd.

 

Служба каталогов

 

Каталог - это специализированная база данных, предназначенная для поиска и просмотра информации, а также поддерживающая наполнение данными и их обновление в качестве дополнительных функций.

Каталоги имеют тенденцию содержать описательную информацию, основанную на атрибутах, и поддерживать сложные способы фильтрации. Каталоги обычно не поддерживают механизмы транзакций и откатов (roll-back), применяемые в СУБД, ориентированных на комплексные обновления большого объема данных. Обновления в каталогах (если они вообще разрешены), обычно происходят по простой схеме: "изменить всё или ничего". Каталоги обычно оптимизируются на скорейшую выдачу результата при поиске среди больших объемов информации. Они также могут иметь возможность репликации информации, то есть создания удалённых копий каталога с целью повышения доступности информации, надёжности её хранения и снижения времени отклика. В процессе репликации, до полного её окончания, допустимо временное рассогласование информации между репликами.

Что такое LDAP

- это аббревиатура от Lightweight Directory Access Protocol. Как следует из названия, это облегчённый, предназначенный для доступа к службам каталогов на основе X.500. LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов.выстраиваются в виде иерархической древовидной структуры. Традиционно, эта структура отражает географическое или организационное устройство хранимых данных. В вершине дерева располагаются записи, представляющие собой страны. Под ними располагаются записи, представляющие области стран и организации. Еще ниже располагаются записи, отражающие подразделения организаций, людей, принтеры, документы, или просто всё то, что Вы захотите включить в каталог. На рисунке 1.1 показан пример дерева каталога LDAP, использующего традиционное именование записей.

 

Рисунок 1.1: Дерево каталога LDAP (традиционное именование записей)

 

Построение дерева может быть также основано на доменных именах Internet. Этот подход к именованию записей становится всё более популярным, поскольку позволяет обращаться к службам каталогов по аналогии с доменами DNS. На рисунке 1.2 показан пример дерева каталога LDAP, использующего именование записей на основе доменов.

 

Рисунок 1.2: Дерево каталога LDAP (Internet-именование записей)

 

Кроме того, LDAP, посредством специального атрибута objectClass, позволяет контролировать, какие атрибуты обязательны и какие допустимы в той или иной записи. Значения атрибута objectClass определяются правилами схемы, которым должны подчиняться записи.

 

Как работает LDAP

использует клиент-серверную модель. Один или несколько серверов LDAP содержат информацию, образующую информационное дерево каталога (directory information tree, DIT). Клиент подключается к серверу и делает запрос. В ответ сервер отправляет результаты обработки запроса или указатель на то, где клиент может получить дополнительные сведения (обычно, на другой сервер LDAP). Независимо от того, к какому серверу LDAP подключается клиент, он увидит одинаковое представление каталога; на записи, расположенные на одном сервере LDAP, будут указывать правильные ссылки при обращении к другому серверу LDAP, и наоборот.

X.500

 

Технически, LDAP - это протокол доступа к службе каталогов X.500, то есть службе каталогов OSI. Изначально, клиенты использовали LDAP для получения доступа к шлюзам службы каталогов X.500. Такие шлюзы использовали LDAP для общения с клиентом, а для обращения к серверу X.500 использовали протокол доступа к каталогам (Directory Access Protocol, DAP). DAP - весьма тяжеловесный протокол, функционирующий поверх полного стека протоколов OSI и требующий значительного количества вычислительных ресурсов. LDAP разработан для функционирования поверх TCP/IP, и обеспечивает большую часть функциональности DAP по гораздо более низкой цене.

Хотя LDAP по-прежнему используется для доступа к службе каталогов X.500 через шлюзы, сейчас он чаще непосредственно встраивается в программное обеспечение серверов X.500.

Автономный демон LDAP, или slapd, можно рассматривать как легковесный сервер службы каталогов X.500. Он не реализует X.500 DAP и не поддерживает полные информационные модели X.500.

Если Вы уже используете службу X.500 и DAP и планируете продолжать, Вам, скорее всего, можно не читать это руководство дальше, поскольку оно целиком посвящено работе LDAP с использованием slapd, без запуска X.500 DAP. Существует возможность переноса данных из службы каталогов LDAP в X.500 DAP DSA. Для этого нужен шлюз LDAP/DAP. В состав программного обеспечения OpenLDAP такой шлюз не входит.

Варианты конфигурации

 

В этом разделе даётся краткий обзор возможных вариантов конфигурации каталога LDAP, а также того, как Ваш Автономный демон LDAP slapd(8) может вписаться в остальной мир.

программный обеспечение каталог

Локальная служба каталогов

В таком варианте конфигурации Вы запускаете slapd, который будет предоставлять службу каталога только Вашему локальному домену. Он никогда не будет взаимодействовать с другими серверами службы каталогов. Этот вариант конфигурации показан на рисунке 2.1.

 

Рисунок 2.1: Локальная служба каталогов.

 

Данная конфигурация применима, если Вы только начинаете знакомиться со службами каталогов (это как раз то, что у Вас получится после воплощения в жизнь руководства по быстрому развёртыванию и запуску), или если Вам нужна только локальная служба каталогов, а связь с остальным миром Вас не интересует.

Transport Layer Security

Клиенты и серверы OpenLDAP требуют установки библиотек OpenSSL, GnuTLS, или MozNSS TLS для предоставления сервисов Transport Layer Security. Хотя некоторые операционные системы могут предоставлять эти библиотеки как часть основной системы или как дополнительный программный компонент, OpenSSL, GnuTLS, и Mozilla NSS часто требуют отдельной установки.

Программное обеспечение OpenLDAP не будет полностью совместимо с LDAPv3, если его скрипт configure не определит доступность какой-либо библиотеки TLS.

 

TCP Wrappers

slapd поддерживает TCP Wrappers (фильтры контроля доступа уровня IP), если они предустановлены. Рекомендуется использование TCP Wrappers или других фильтров доступа уровня IP (например таких, которые предоставляются IP-фаерволами) на серверах, содержащих информацию ограниченного распространения.

Запуск configure

 

Пришло время запустить скрипт configure с опцией --help. В результате Вы получите список опций, которые можно поменять при сборке OpenLDAP. С помощью этого метода можно включить или отключить многие функции OpenLDAP.

./configure --help

Скрипт configure также обращает внимание на некоторые переменные, задаваемые как в командной строке, так и в окружении. Эти переменные включают в себя:

 

Таблица 4.1: Переменные

Переменная	Описание
CC	Указывает альтернативный компилятор C
CFLAGS	Указывает дополнительные флаги компилятора
CPPFLAGS	Указывает флаги препроцессора C
LDFLAGS	Указывает флаги компоновщика
LIBS	Указывает дополнительные библиотеки

 

Теперь запустите скрипт configure с любыми желаемыми опциями конфигурации или переменными.

./configure [опции] [переменная=значение...]

В качестве примера, предположим, что мы хотим установить OpenLDAP с механизмом манипуляции данными BDB и поддержкой TCP Wrappers. По умолчанию, поддержка BDB включена, а TCP Wrappers - нет. Поэтому нам нужно указать только --enable-wrappers, чтобы добавить поддержку TCP Wrappers:

./configure --enable-wrappers

Однако, выполнение данной команды закончится неудачей, если программное обеспечение, от которого зависит OpenLDAP, не установлено в системных директориях. Например, если заголовочные файлы и библиотеки TCP Wrappers установлены соответственно в /usr/local/include и /usr/local/lib, скрипт configure обычно следует запускать таким образом:

./configure --enable-wrappers \="-I/usr/local/include" \="-L/usr/local/lib -Wl,-rpath,/usr/local/lib"

Чаще всего, скрипт configure сам определяет соответствующие настройки. Если на этом этапе Вы столкнулись с трудностями, проконсультируйтесь с документацией по Вашей платформе и проверьте Ваши опции configure, если Вы их устанавливали.

Заключение

 

В результате: что вам может дать LDAP? Практически то, для чего он предназначен,- быстрый и согласованный доступ к адресной информации, включая телефоны и адреса электронной почты, будь то ваши сотрудники, партнеры или клиенты. Если ваша компания нуждается в единой адресной книге и вы хотите сделать ее доступной из стандартных почтовых клиентов - то вам нужно поднимать LDAP-сервер.

Кроме того, как вы можете убедиться, многие системные утилиты воспринимают LDAP как хранилище собственных настроек - и это тоже можно использовать.

Остаются лишь вопросы: на какой платформе ставить сервер (Linux), какой именно (OpenLDAP), как организовать администрирование и делать ли его доступным извне вашей локальной сети. Но это уже не технические, а организационные проблемы, решение которых вам подскажет элементарный здравый смысл.

 

Содержание

 

Введение

. Введение в службы каталогов OpenLDAP

Служба каталогов

Что такое LDAP

Для чего можно использовать LDAP

Как работает LDAP

X.500

Отличие между LDAPv2 и LDAPv3

. Что такое slapd и на что он способен

Непростые взаимоотношения LDAP и реляционных СУБД

. Варианты конфигурации

Локальная служба каталогов

Локальная служба каталогов с отсылками

Реплицируемая служба каталогов

Распределённая локальная служба каталогов

. Сборка и установка программного обеспечения OpenLDAP

Распаковка программного обеспечения

Программное обеспечение, от которого зависит OpenLDAP

3.2.1 Transport Layer Security

Simple Authentication and Security Layer

Сервис аутентификации Kerberos

TCP Wrappers

Запуск configure

3.4 Сборка программного обеспечения

Тестирование программного обеспечения

Установка программного обеспечения

. Основные (функциональные) выпуски OpenLDAP

Заключение

Список использованных источников

 

 

Введение

- открытая реализация LDAP, разработанная проектом OpenLDAP Project. Распространяется под собственной лицензией, называемой OpenLDAP Public License. LDAP - платформенно-независимый протокол. В числе прочих есть реализации для различных модификаций BSD, а также Linux, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (NT и наследники - 2000, XP, Vista, Windows 7) и z/OS.

Начало OpenLDAP Project было положено в 1998 Куртом Зейленгой (Kurt Zeilenga). Изначальный код OpenLDAP был скопирован с реализации LDAP Мичиганского университета, где в конечном счёте и была продолжена разработка и эволюция протокола LDAP.

В апреле 2006 года главными разработчиками проекта OpenLDAP были: Говард Чу (Howard Chu) (Главный архитектор), Пиеранджело Масарати (Pierangelo Masarati) и Курт Зейленга. Свой немаловажный вклад в проект осуществили также и другие многочисленные активные разработчики, включая Люка Говарда (Luke Howard), Холларда Фьюрусета (Hallvard Furuseth), Куанаха Гибсон-Маунта (Quanah Gibson-Mount) и Гэвина Хенри (Gavin Henry).

 

 

Введение в службы каталогов OpenLDAP

 

Данный документ рассказывает о том, как собрать, настроить и эксплуатировать программное обеспечение OpenLDAP для организации службы каталогов. В ней детально описаны конфигурирование и запуск автономного демона LDAP (Standalone LDAP Daemon), slapd. Документация предназначена как для новичков, так и для опытных системных администраторов. В данном разделе дается базовое введение в службы каталогов и, в частности, в службы каталогов, построенные на slapd.

 

Служба каталогов

 

Каталог - это специализированная база данных, предназначенная для поиска и просмотра информации, а также поддерживающая наполнение данными и их обновление в качестве дополнительных функций.

Каталоги имеют тенденцию содержать описательную информацию, основанную на атрибутах, и поддерживать сложные способы фильтрации. Каталоги обычно не поддерживают механизмы транзакций и откатов (roll-back), применяемые в СУБД, ориентированных на комплексные обновления большого объема данных. Обновления в каталогах (если они вообще разрешены), обычно происходят по простой схеме: "изменить всё или ничего". Каталоги обычно оптимизируются на скорейшую выдачу результата при поиске среди больших объемов информации. Они также могут иметь возможность репликации информации, то есть создания удалённых копий каталога с целью повышения доступности информации, надёжности её хранения и снижения времени отклика. В процессе репликации, до полного её окончания, допустимо временное рассогласование информации между репликами.

Что такое LDAP

- это аббревиатура от Lightweight Directory Access Protocol. Как следует из названия, это облегчённый, предназначенный для доступа к службам каталогов на основе X.500. LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов.выстраиваются в виде иерархической древовидной структуры. Традиционно, эта структура отражает географическое или организационное устройство хранимых данных. В вершине дерева располагаются записи, представляющие собой страны. Под ними располагаются записи, представляющие области стран и организации. Еще ниже располагаются записи, отражающие подразделения организаций, людей, принтеры, документы, или просто всё то, что Вы захотите включить в каталог. На рисунке 1.1 показан пример дерева каталога LDAP, использующего традиционное именование записей.

 

Рисунок 1.1: Дерево каталога LDAP (традиционное именование записей)

 

Построение дерева может быть также основано на доменных именах Internet. Этот подход к именованию записей становится всё более популярным, поскольку позволяет обращаться к службам каталогов по аналогии с доменами DNS. На рисунке 1.2 показан пример дерева каталога LDAP, использующего именование записей на основе доменов.

 

Рисунок 1.2: Дерево каталога LDAP (Internet-именование записей)

 

Кроме того, LDAP, посредством специального атрибута objectClass, позволяет контролировать, какие атрибуты обязательны и какие допустимы в той или иной записи. Значения атрибута objectClass определяются правилами схемы, которым должны подчиняться записи.