Linux, X.500, LDAP, NIS Bilicki Vilmos

Tartalom Linux operációs rendszer X.500 NIS LDAP

Linux Richard M. Stallman (198X FSF) Linux Szabad terjesztésű UNIX GNU C, . . . GNU GPL Linux Szülőapja: Linus Tovards (Kernel) Szülőanyja: Internet (GNU, FSF) Eric S. Raymond (Cathedral vs. Bazaar ) http://www.firstmonday.dk/issues/issue3_3/raymond/index.html Cathedral óvatos fejlesztés kicsi csoportok akik csak ezzel foglalkoznak csak a végső verzió publikus Bazaar rövid debug (nyílt forrás, sok felhasználó, programozó) gyakori frissítés korai kibocsájtás okos adatszerkezetek és csúnya kódok jobban működnek mint fordítva

Linux kernel virtuális interfész a process-ek számára elfedi a hardvert moduláris kernel dinamikusan betöltődő modulok statikus modulok kernel forrás letölthető, saját kernelt készíthetünk felelős: process memória hardver

A Linux kernel összetevői Process Scheduler szabályozza a process-ek hozzáférését a CPU-hoz Memory Manager lehetővé teszi a process-ek számára a memória biztonságos, egymástól független elérését lehetővé teszi a virtuális memória kezelését Virtual File System elrejti a különböző hardver erőforrásokat egy szabványos felületet nyújtva (több fájlrendszert is támogat) Network Interface hozzáférést biztosít több hálózati interfészhez több hálózati protokollt támogat Inter Process Communication lehetőséget biztosít a process-process kommunikációra (több különböző módon)

Időzítő (Scheduler) egyszerű prioritás alapú időzítés task_struct (process tábla, az első az init process) prioritás priority rt_priority számláló (counter) az adott process számára engedélyezett futási idő időzítés szabály (Scheduling policy) normal real time (ha van akkor ez fut elsőnek) round robin fifo process ID

Szálak kezelése User-space threads Kernel-space threads nem a kernel menedzseli kooperatív multitaszking a szál maga hívja meg a szálváltó eljárást (kiéhezés) gyorsabb mint a kernel szál váltás Kernel-space threads időosztásos

Virtuális fájl rendszer Hardver eszközök Logikai fájl rendszerek Futtatható formátumok (a.out ,ELF, java ) Homogenitás (egységes felületet nyújt) Sebesség Adatbiztonság Biztonság

Virtuális fájlrendszer szolgáltatásai system call interface fájlok (open/close/read/write/seek/tell) könyvtárak (readdir/creat/unlink/chmod/stat) POSIX kompatibilis internal interface (a kernel egyéb részeinek nyújt szolgáltatásokat) inode interface create() lookup() link() / symlink() / unlink() / readlink() / follow_link() … file interface open() / release() read() / write() select(),lseek()

Fájl alrendszer

IPC jelek várakozó sorok (sleep - scheduler) fájl zárolások (egész, részleges) csövek, nevesített csövek (kapcsolatorientált kétirányú adatkapcsolat process-ek között) System V IPC szemaforok üzenet sorok (kapcsolatmentes) osztott memória UNIX domain sockets (kapcsolatorientált adatátvitel)

Hálózati interfész INET socket (inet_write(), …) alacsonyabb szintű a TCP, UDP protokollokra épül BSD socket (sock_write(), …) Unix, Windows magas szintű az INET socket-re épül stream/data connected/unconnected

Directory (Könyvtár) objektumok listája mely az objektumok részletes tulajdonságait tárolja (telefonkönyv) speciális adatbázis - adattárház mely típusos és rendezett információt tárol objektumokról adatbázisok – könyvtárszolgáltatások: az adatbázisokkal ellentétben sokkal gyakrabban történnek keresések mint frissítések olvasásra van optimalizálva nem feltétlenül támogatják a tranzakciókat a könyvtárban tárolt információ nem követel meg erős konzisztenciát egyszerű hozzáférési protokoll (SQL, LDAP)

Könyvtár elérés, hozzáférés kliens\szerver modell

Elosztott könyvtárak lokális, globális információ könyvtár szolgáltatás: központosított (talán egyszerűbb a karbantartása) elosztott (gyorsabb) az információ tagolható replikálható

X.500 telefonkönyv elosztott adminisztráció a számítógép és a humán adatok egy adatbázisban tárolódnak X.400, OSI name server minden helynek saját könyvtára lehet másolatok tárolhatók

Az X.500 könyvtár felépítése Directory Information Model (helyi szemszögből nézi a rendszert, az információ elosztása nem lényeges): Directory User Information Model Directory Operation Administrative Information Model a könyvtár használhatósága érdekében létezik egy rögzített információ típus több nézetet biztosít (administrator, user) DSA Information Model leírja, hogyan kell egy számítógépnek tárolnia az adatokat ahhoz, hogy mások is hozzáférhessenek Directory Administrative Authority Model az elosztott adatbázis elosztott adminisztrálását írja le

Objektumok és egyedek Directory Information Base hierarchikus felépítés a hasonló tulajdonságokkal rendelkező objektumok Objektum osztályokba sorolhatóak minden objektum legalább egy objektum osztály tagja az adatok a tulajdonságokban vannak tárolva Directory Information Tree levél bejegyzések ág bejegyzések megkülönböztető név (distinguished name DN) (a szülő ág neve is) relatív megkülönböztető név (relative distinguished name RDN)

Példa

Objektumok és egyedek alias kollektív tulajdonság (közös telefonszám) gyakran fontos, hogy egy objektumra több mint egy néven hivatkozzunk egy bejegyzés a DIT-ben mely egy mutatót tartalmaz az objektumra saját objektum osztályuk van: alias alias dereferencing kollektív tulajdonság (közös telefonszám)

Adminisztrációs modell a DIT különböző részei különböző szervezetek által menedzselhetőek AAA (Autonomous Administrative Areas) AAP (Autonomous Administrative Point) ettől kezdődik és a másik AAP-ig tart IAA (Inner Administrative Areas) IAP (Inner Administrative Point) az AAA-n belül helyezkedik el

Adminisztratív körzetek Feladatuk: Schema administration Access controll administration Collective attribute administration az AAA mindhárom feladathoz külön osztható

NIS (Network Information Services) problémát okozott a közös felhasználói adatbázis karbantartása (kié a jó verzió) 1985 SUN -> Yellow Pages -> NIS RPC hívások UDP felett a rendszerhívásokat átirányítja a szerverre DBM fájlokat használ az információ tárolására (indexelt fájlok) kulcs alapján könnyen kereshető az információ probléma a DBM fájlok binárisak -> nehezen érthető  megoldás ASCII fájlokból időnként átkonvertáljuk DBM-be az adatokat

NIS elemei NIS domain név Master Slave Client egy lehet belőle működhetnek szerverként azonban az információt a master-től kapják Client egy IP álhálózatban kell lennie a szerverrel a kliensek üzenetszórással keresik a szervert

A leggyakrabban megosztott információ lehetnek lokálisak és globálisak /etc/passwd - User account information /etc/group - UNIX group definitions /etc/hosts - Maps hostnames and ip addresses /etc/services - Lists port numbers for well-known network services /etc/protocols - Maps text names to protocol numbers /etc/ethers* - Maps hostnames and ethernet addresses /etc/aliases - Mail alias definitions, including postmaster /etc/rpc - Lists id numbers for rpc services /etc/netgroup - Defines collections of hosts, users and networks

A NIS részletei a következő helyeken tárolja információit: /var/yp, /usr/etc/yp or /etc/yp az adatok átmásolása mastre, slave között ypxfr, yppush démonok ypserv (csak szerveren) ypbind (minden gépen szerver kereső)

NIS parancsok I. ypserv NIS server daemon started at boot time by master/slave servers ypbind NIS client daemon started at boot time by all domainname Sets NIS domain machine belongs to at boot time ypxfr Downloads current version of a map from master server ypxfrd Serves requests from ypxfr (runs on master) yppush Makes slave servers update their map versions makedbm Builds a ndbm map from a flat file ypmake* Rebuilds ndbm maps from flat files that have changed (IRIX) ypinit Configures a host as a master or slave server ypset Makes ypbind connect to a particular server

NIS parancsok II. ypwhich Finds out which server the current host is using yppoll Finds out what version of a map a server is using ypcat Prints the values contained in an NIS map ypmatch Prints map entries for a specified key yppasswd Changes a password on the NIS master server ypchfn Changes GECOS info on the NIS master server ypchsh Changes a login shell on NIS master server yppasswdd Server for yppasswd, ypchsh and ypchfn ypupdated Server for updating NIS maps (managed by inetd)

A NIS előnyei, hátrányai egyszerűen karbantartható, egyszerű szöveges fájlokat kell módosítgatnunk sok felhasználó és számítógép könnyen menedzselhető időnként nagy a sávszélesség igénye nem biztonságos (véletlen domain név)!

NIS+ adattitkosítás RPC hitelesítés névmodell: fa struktúra minden levél egy NIS+ objektum könyvtár bejegyzés csoport hivatkozás tábla privát org_dir – adminisztrációs táblák groups_dir – hozzáférés vezérlés táblák

LDAP (Lightweight Directory Access Protocol) nyílt ipari szabvány a könyvtárak elérésének szabvánnyá vált a DAP alternatívája LDAP szerver jelenleg független az X.500-tól

LDAP architektúra A következő nézetek lehetnek: Információs modell (Information) Elnevezései modell (Naming) Funkcionális modell (Functional) Biztonsági modell (Security)

Információs modell az információ alapegysége a bejegyzés (entry) a bejegyzések valós objektumokat reprezentálnak a bejegyzések tulajdonságok halmazából állnak a tulajdonság típusa definiálja szintaxisát mely megadja milyen értékek tárolhatóak benne a szintaxis megadja a tárolt érték viselkedését keresés közben is. Telefonszám esetében : lexikografikus sorrend szóköz, vessző kihagyandó az érték karakterekből állhat

Néhány LDAP tulajdonság szintaxis bin – bináris információ ces – érzékeny a kis és a nagy betűkre cis – nem érzékeny a kis és nagy betűkre tel – telefonszám dn – megkülönböztető név

LDAP Információs modell I. sémák (schema) segítségével írják le a könyvtárban tárolható objektumok típusát, megadva a használható tulajdonságokat az együttműködést elősegítendő sok séma van szabványosítva

LDAP információs modell II. objektumokat tudunk objektumokból származtatni minden könyvtár bejegyzés tartalmaz egy objectClass nevű tulajdonságot mely kettő vagy több sémát sorol fel

Elnevezési Modell (Naming Model) a bejegyzések azonosítását és szervezését definiálja a bejegyzések fa struktúrában vannak elrendezve (DIT) a fa struktúrán belül a megkülönböztető nevük alapján szerveződnek (DN - egyedi név) DN (RDN,RDN,RDN, . . .) elsődleges kulcsként működik RDN (<tulajdonság név>=<érték>)

Példa cn=John Smith,o=IBM,c=DE

Tulajdonságok

Toldalékok, Hivatkozások Egy LDAP szerver nem feltétlenül tárolja az egész hierarchiát az általa tárolt legfelső elemet toldaléknak (suffix) nevezzük a szerverek közötti kapcsolatot a hivatkozások teremtik meg (referrals) amikor egy kliens kérést küld és egy hivatkozást kap akkor ezt követnie kell

Funkcionális modell az LDAP műveletek definiál az információk elérésére módosítására lekérdezés (query) frissítés (update) – add, delet, modify, modify RDN azonosítás (authentication) – bind, unbind,

Lekérdezés alap (base) – a DN amely a start pontot azonosítja hatókör (scope) – a mélységet azonosítja (baseObject, singleLevel, wholeSubtree) kereső szűrő (search filter) – a szűrési kritériumot definiálja visszatérési tulajdonság – a visszaadott tulajdonságokat adhatjuk meg határok – idő, méret

Példa

Biztonsági modell Azonosítás (Authentication) Intergritás (Integrity) bizonyosság a másik oldal azonosságáról Intergritás (Integrity) bizonyosság arról, hogy az információ amely megérkezik valóban amelyet elküldtek Bizalmasság (Confidentality) az információ titkosítása Engedélyezés (Authorization) bizonyosság arról, hogy a másik oldal valóban jogosult arra amit tenni szeretne

Megvalósítási módok nincs azonosítás Basic Authentication (HTTP Basic Authentication) DN, jelszó clear text (Base64) Simple Authentication and Security Layer (SASL) egy általános azonosítási keretrendszer melyet az LDAP V3-as verziójában vezettek be. Több azonosítási módszert ismer, ezek közül egy a Kerberos, használható a TLS is (SSL)

SSL/TLS a kliens TLS kapcsoltra kéri a szervert a szerver visszaküldi a TLS paramétereket, egy bizonyítványt, mely többek között magába foglalja a szerver publikus kulcsát a kliens a publikus kulccsal kódolva küld egy teszt adatot a szerver ezt dekódolja és visszaküldi a kliens és a szerver megegyezik a a használandó szimmetrikus kulcsban

Az LDAP jövője LDAP kliensek megtalálják az LDAP szervereket DCE (Distributed Computing Environment): szálak támogatása DCE RPC (kódolást is támogat) biztonság könyvtár szolgáltatás (központi információ az elosztott rendszer erőforrásairól) Distributed Time Service Distributed File Service lehetséges, hogy az LDAP integrálva lesz a DCE-be