1 Hálózati Operációs Rendszerek LDAP, OpenLDAP Előadó: Bilicki Vilmos

Slides:



Advertisements
Hasonló előadás
„Esélyteremtés és értékalakulás” Konferencia Megyeháza Kaposvár, 2009
Advertisements

Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Hálózati és Internet ismeretek
© Kozsik Tamás Adatbáziskezelés •Relációs adatbáziskezelők •Noha a Java objektum-elvű, egyelőre nem az objektum-elvű adatbáziskezelőket támogatja.
Weblap szerkesztés HTML oldal felépítése Nyitó tag Záró tag Nyitó tag Záró tag oldalfej tözs.
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Mailbox Server szerepkör - alapozás
Az Exchange/Outlook rendszer n Ebben a részben az olvasó megismerkedik – Az Exchange serverrel – Az Outlook 97 csoportmunka szoftverrel.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
Címtár szolgáltatások
Hálózati architektúrák Novell Netware. Történet 1983/85: Netware első fájl-szerver LAN OS saját hálózati protokoll: IPX/SPX 1986: Netware v2.x telepítőkészlet.
1 Hálózati Operációs Rendszerek Sun ONE Directory Server, Active Directory Előadó: Bilicki Vilmos
Mérés és adatgyűjtés laboratóriumi gyakorlat Virtuális méréstechnika levelező Mingesz Róbert 5. Óra MA-DAQ – Műszer vezérlése November 26.
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán
1 Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Címtár szolgáltatások Szatmári Zoltán Tóth Dániel Intelligens.
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán
Táblázat kezelő programok
1 Hálózati Operációs Rendszerek X.500, Címtárak, NIS, NIS+ Előadó: Bilicki Vilmos
Mérés és adatgyűjtés Kincses Zoltán, Mingesz Róbert, Vadai Gergely 10. Óra MA-DAQ – Műszer vezérlése November 12., 15. v
1 Hálózati Operációs Rendszerek gyakorlat Bevezető Előadó: Bilicki Vilmos
Virtuális méréstechnika MA-DAQ műszer vezérlése 1 Mingesz Róbert V
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Pandora felhasználók Active Directory migrációja.
Oracle Database 10g szoftver telepítése
Active Directory, a Windows 2000 új címtára
Önleíró adatok: XML INFO ÉRA, Békéscsaba
A KFKI AFS szolgáltatás Hernáth Szabolcs MTA KFKI RMKI
SOAP alapismeretek A SOAP egy egyszerű XML alapú protokoll, ami lehetővé teszi, hogy az alkalmazások információt cseréljenek a HTTP-én keresztül. Forrás:
WEB Technológiák ISAPI ME Általános Informatikai Tsz. dr. Kovács László.
Active Directory alapozás. Kommunikáció Kommunikáció.
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Exchange Server 2007 Client Access Role
1 A beszerzett szoftverek bemutatása és alkalmazásuk a gyakorlatban József Attila – Jankó Zoltán Somogy Megyei Katasztrófavédelmi Igazgatóság.
Webes Információs Rendszerek fejlesztése
1 Hálózati Operációs Rendszerek Sun ONE Directory Server, Active Directory Előadó: Bilicki Vilmos
Anyagadatbank c. tárgy gyakorlat Féléves tematika Adatbázis alapfogalmak, rendszerek Adatmodellek, adatbázis tervezés Adatbázis műveletek.
szakmérnök hallgatók számára
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán
4. Feladat (1) Foci VB 2006 Különböző országok taktikái.
2007. május 22. Debrecen Digitalizálás és elektronikus hozzáférés 1 DEA: a Debreceni Egyetem elektronikus Archívuma Karácsony Gyöngyi DE Egyetemi és Nemzeti.
Készítette: Gocsál Ákos, Gocsál Klára, Fehér Péter 1 A program megvalósulását az Apertus Közalapítvány támogatta. Internet az oktatásban – taneszközök.
1 Hernyák Zoltán Web: Magasszintű Programozási Nyelvek I. Eszterházy.
2006. Peer-to-Peer (P2P) hálózatok Távközlési és Médiainformatikai Tanszék.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
Műszer vezérlő - kezelő program GPI-745A teszterhez.
1 Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Címtár szolgáltatások Szatmári Zoltán Tóth Dániel Intelligens.
XML Mi az XML?  Extensible Markup Language  Kiterjeszthető jelölő nyelv  Adatok, adatstruktúrák leírására szolgál  A HTML és az SGML tapasztalataira.
Objektum orientált programozás
Hálózat menedzsment Óravázlat Készítette: Toldi Miklós.
Webprogramozó tanfolyam
Hálózati operációs rendszerek
Adamkó Attila UML2 Adamkó Attila
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
DNS Domain Name System. DNS - WINS WINSDNS Barátságos NetBIOS nevek LAN-okonBarátságos DNS nevek WAN-okonSík névtér, 15 karakteres névHierarchikus névtér,
Algoritmizálás, adatmodellezés
Webes MES keretrendszer fejlesztése Kiss Miklós Dániel G-5S8 Tervezésvezető: Dr. Hornyák Olivér.
DNS. Az interneten használt osztott név adatbázis, a DNS (Domain Name Service) folyton használatos: –minden web lap letöltésnél, –levél közvetítésnél.
Bevezetés az informatikába 11. előadás Internet. Egyetlen nagy egységes elveken működő világhálózat hálózatok összekapcsolása nagy világhálóvá csomagkapcsolt.
.NET FRAMEWORK Röviden Krizsán Zoltán 1.0. Tulajdonságok I Rövidebb fejlesztés 20 támogatott nyelv (nyílt specifikáció) 20 támogatott nyelv (nyílt specifikáció)
X.500 Directory System LDAP
Címtár szolgáltatások
Hálózati Operációs Rendszerek
Hálózati Operációs Rendszerek
Hálózati architektúrák
Hálózati Operációs Rendszerek
Adatbázis-kezelés.
Előadás másolata:

1 Hálózati Operációs Rendszerek LDAP, OpenLDAP Előadó: Bilicki Vilmos

2 Forrás Brian Arkils: LDAP directories explained

3 Tartalom/1 LDAP LDAP névtér LDAP objektum struktúra LDAP objektum elnevezés Kliens LDAP műveletek Cimtárképes alkalmazások Keresés LDAP protokol LDAP séma Objektum osztályok Attribútumok Szintakszisok Egyezési szabályok OID-k Séma ellenőrzés Cimtár menedzsment

4 Tartalom/2 OpenLDAP Névtér Műveletek és kliensek Séma Menedzsment Biztonság

5 LDAP – könnyűsúlyú X.500 DAP Működő kód (jobb mint a rideg szabványok) Több éve fejlesztik (RFC 1487 (1993): LDAPv1; RFC 1777 (1995): LDAPv2; RFC 2251 (1997): LDAPv3) Csak könyvtár-hozzáférési protokoll nem teljes címtár Csak azt specifikálja hogyan társalogjon a kliens és a szerver Nem specifikálja a címtár működését

6 LDAP általános hozzáférési protokoll

7 LDAP v3 RFC3377RFC3377 RFC2251 (LDAP a vezetéken) RFC2251 RFC2252 (Attribútum szintakszis definiálás) RFC2252 RFC2253 (UTF-8) RFC2253 RFC2254 (LDAP kereső kulcsszavak) RFC2254 RFC2255 (LDAP URL) RFC2255 RFC2256 (X500-ból átvett felhasználói séma) RFC2256 RFC2829 (Azonosítási módszerek) RFC2829 RFC2830 (Bővítmények TLS számára) RFC2830

8 LDAP objektum struktúra Csak fa struktúra – DIT Minden elem lehet tároló elem Struktúra szabályok korlátozhatják ezt X.500 c –country l –locale o –organization ou –organization unit Névterek (Naming contexts) Lapos névtér gyors növekedés Nem skálázható Gyakorlatban: Politikai/funkció Földrajzi Erőforrás alapú Felhasználó alapú

9 LDAP objektum elnevezés(1) RDN – relativ megkülönböztető név Elnevezési attribútum (nincs definiálva az LDAP-ban) Több attribútum is lehet Mit érdemes RDN-nek választani? DN – megkülönböztető név OID - Objektum azonositó Minden attribútum tipusnak van egy OID-je Egyértelmű azonositás Gyakoribb attribútumok: cn – common name l – locality name st – state or province name c – country name dc – domain component uid – user identity Speciális karakterek \, Kód beszúrás ?

10 LDAP objektum elnevezés(2) URL elnevezés RFC 2255 ldap://[hostname][/dn[?[attributes]?][?[scope][?[filter]?][?[ extensions]] 389-es port scope Base One Sub Filter – (objectclass=*) ldap://wanda.cab.u-szeged.hu:389/cn=Vilmos Bilicki,ou=Staff,dc=cab,dc=u-szeged,dc=hu?sn LDAPv2, szóköz ‘

11 LDAP kliens műveletek(1) LDAP kliens – amit a felhasználó lát a cimtárból Cimtár képes alkalmazások szerverek Sendmail Exchange Csoportmunak támogató alkalmazások klinesek Netscape mail Pine Outlook Tanúsitvány szolgáltatók

12 LDAP kliens műveletek(2) Keresés Nincs olvasás -> keresni kell Kötelező paraméterek Alap DN, legalább a gyökeret ismernünk kell (dc=cab,dc=u-szeged,dc=hu) A keresés hatóköre  Base – csak egy bejegyzést  One – mindent egy szinten  Subtree – minden DN alatti Kereső szűrő, attribótum tipus+összehasonlitó operátor+érték (cn=Bilicki Vilmos)  =, =, ~= Lehet szűrőket kombinálni &, |, ! (|(cn=Vilmos Bilicki)(cn=Bilicki Vilmos)) Opcionális paraméterek Mit szeretnénk visszakapni derefAliases sizeLimit timeLimit typesOnly

13 LDAP protokol (RFC2251) Címtár hozzáférési protkoll írás/olvasás Egyszerűsített DAP (egyszerűbb kliensek) Hivatkozások használata (Referral) SASL (Simple Authentication and Security Layer) Bővíthető Publikált séma

14 LDAP protokol (RFC2251) Kliens – szerver LDAP, CLAPD Minimalizálja a kliens feladatait Aszinkron működés a szerver nem köteles sorrendben válaszolni, a kliens nem köteles megvárni a választ Adatmodell: X.500 adatmodell Egy vagy több szerver DIT RDN DN

15 LDAP kommunikációs minta 1. Kliens kapcsolódik a szerverhez - bind művelet 2. A szerver visszaadja a bind ereményét 3. Kliens keresés művelet 4. Szever válasz (találatok) 5. Szerver válasz eredménykód 6. Kliens lekapcsolódás – unbind művelet 7. Szerver unbind üzenet

16 LDAP műveletek Bind Üres string anonym Search Compare Add Delete Modify ModifyRDN, Rename Megtarthatja az átnevezettet is Unbind Abandon Extend

17 LDAP vezérlők A kliens kérheti a szervert, hogy a normál művelete egy kicsit máshogy hajtsa végre root DSE – supportedControl tulajdonság Példák paged search – egységenként kapja az erdményt nem egyszerre, sizeLimit server-side sort – a szerver sorbarendezve adja át persistent search – a szűrüben eső tartalom változáskor értesiti a klienset

18 LDAP séma (1) A felhasználók elől rejtve van Megadja a tárolható információ leirását Módositásával a cimtár kiterjeszthető Objektum osztály – definiálja a megengedett bejegyzéseket Tartalom szabályok Struktúra szabályok Név formátum Tulajdonság tipus – tipust definiál Szintakszis Egyezési szabályok Alapételmezett séma: RFC 2252 Felhasználói séma: RFC 2256 X.500 definiciók érvényesek Nincs kötelező séma LDAPv3 – minden bejegyzés alséma bejegyzésbe kell a séma helyét publikálni subschemaSubentry

19 LDAP séma(2) Objektum osztályok Bejegyzések tipusai objectclass tulajdonság Tipusai Absztrakt – a hierarchia alapja Kiegészitő – nem lehet hierarchiába rendezni Strukturális - származtatott Függőségi hierarchiába rendezhetőek (öröklés, nincs szűkités) Elemei: OID Név Leirás Inaktiv állapot Alap osztály Kategória Kötelező tulajdonságok Opcionális tulajdonságok Gyakran – Elnevezési attribútum, Tartalmazó szabályok Szövegfájlban vagy cimtárban tárolják

20 LDAP séma(3) Tulajdonságok RFC 2252, RFC 2251 Tulajdonság tipus Szintakszis Egyezési szabályok Elemei:  OID  Név – több is lehet  Leirás – opciók pl. bináris  Inaktiv állapot  Alap osztály  Egyezőség szabály  Sorbarendezés szabály  Részegyezés szabály  Szintakszis  Megengedett értékek száma – többnyelvű bejegyzések  Kollektiv  Módositható  Használata

21 LDAP séma(4) Tulajdonságok Működési tulajdonságok createTimestamp modifyTimestamp creatorsName modifiersName subschemaSubentry attributeTypes altServer Alséma

22 LDAP séma(5) Szintakszisok ASN.1 RFC alap szintakszis Binary vagy 1 Nincs szabvány Összehasonlitási szabályok OID Garantálja az egyediségét? IANA Bővithető

23 LDAP séma(6) Bővitmények DNS dc - tulajdonság domain, dcObject – kiegészitő objektum osztály dynamicObject – kiegészitő osztály lejár – pl. gyűlés, ideiglenes dolgozó time-to-live – tulajdonság Java DHCP KDC

24 OpenLDAP (1) University of Michigan Nyilt forráskódú szoftver Gyakori kibocsátás (heti, havi) Minőséges szoftver Operációs rendszer független Általános cimtár szerepkörre törekszik Szigorúan követi az LDAP RFC-ket Moduláris felépités Biztonság Adatbázis … Két process: slapd – szöveges konfig. fájlok slurpd – log fájl mentén replikáció

25 OpenLDAP (2) Névtér Egyszerű névtér Az LDAP szabványokat követi Használhatja DNS-t a névterében (RFC 2247) dc=inf, dc=u-szeged, dc=hu Támogatja DNS SRV rekordokat Az OpenLDAP működtet egy gyökér szervert (RFC 3088) root.openldap.org LDAP URL-t ad vissza a DN lekérdezésekre (SRV) specifikáció  _ldap._tcp.mycompany.com  ldap://server1. mycompany.com

26 Névtér: Egy szerveren több névtér is tárolható Ajánlott külön-külön adatbázis minden névtérnek Nagyobb tervezési szabadság  Replikációs topológia  Konfiguráció  Indexelés… Hivatkozások (referrals) Tipusai:  Felső (superior) – slurpd szövegfájlában !  Alsó (subordinate)  Külső (extrenal) class=referral ManageDsaIT támogatva van Replikáció Single Master ajánlott Multimaster van de kisérleti Slapd replog fájl Slurpd LDAP műveletek OpenLDAP (3)

27 Névtér: Adatbázis támogatás LDBM az alapértelmezett Más adatbázis is használható  Shell háttér – az LDAP parancsokat le kell kódolnunk  Proxy használat Indexelés  LDBM támogatja, slapd ckonfig. fájl  Komolyabb hangolást igényel mint más termékeknél  Minden hagyományos operátor alapján indexelhetünk index st eq index userCretificate pres OpenLDAP (4)

28 Működés, kliensek: Szabványos de kevés plussz szolgáltatás Parancssoros kliens: ldapadd ldapdelete ldap.. Kevés integrált alkalmazás sendmail Terméktámogatás mint más open source projektnél, levelezőlista Vezérlők Password Modify Control ManageDsaIT OpenLDAP (5)

29 Séma: Minden RFC –ben leirt definiciót tartalmaz néhány kisérletivel kiegészitve BNF formátumú Zárójel opcionális elem Nagybetű kötelező elem (oid NAME ‘objectclassname’ SUP superclass objectclasskind MUST (attribute1 $ atribute2) MAY (attribute3 $ atribute4)) ( NAME ‘person’ SUP top STRUCTURAL MUST (sn $ cn) MAY (userPassword $ telephoneNumber) ) Slapd konfig. fájlban + 9 séma fájl További fájlokat lehet hozzáadnunk OpenLDAP (6)

30 Séma: 58 szintaxis (bővithető) 33 egyezési szabály (bővithető) schema_init.c-ben tehetjük meg ezt 81 osztályt támogat (igyekszik a szabványokat követni) Többszörös öröklődés Alias támogatás (cimtáron belüli hivatkozás) 192 tulajdonság Altipusok Opciók (nyelvi változatok) Néhány működési tulajdonság (modifiersName, …) ezeket autómatikusan használja OpenLDAP (7)

31 Menedzselés: LDIF támogatás slapadd slapcat Indexelés Slapindex (változáskor ójra kell épiteni az indexet) OpenLDAP (8)

32 Biztonság: RFC 2829 RFC 2830 Cyrus SASL (Simple Authentication and Secutity Layer) modul ANONYMOUS CRAM-MD5 KERBEROS_V4 PLAIN GSSAPI DIGEST-MD5 LOGIN SRP OpenLDAP (9)

33 Biztonság: Azonositás SASL id -> OpenLDAP id uid=bilicki, cn= mycompany.com, cn=KERBEROS_V4, cn= AUTH slapd konfig. fájl hozzárendelés saslRegexp saslRegexp uid=(.*),cn=MYCOMPANY.COM,cn=KERBEROS_V4, cn=auth uid=$1,ou=People,dc=Mycompany,dc=com OpenLDAP (10)

34 Biztonság: Személytelenités (impersonation) Web szerver -> cimtár Trükkös ACL slapd konfig. Fájl saslAuthzTo saslAuthzFrom saslAuthzTo=uid.*,ou=People,dc=Mycompany,dc=com OpenLDAP (11)

35 Biztonság: Engedélyezés slapd konfig. Fájl dirketivák  Adatbázis szintű  Globális szintű acces to by acces to dn=_.*,ou=People,dc=Mycompany,dc=com by dn=_cn=Han Solo,ou=Peolpe,dc=Mycompany,dc=com write dn=_.*,ou=Peolpe,dc=Mycompany,dc=com read Módositás után újra kell inditani !!!!!!!!!!! OpenLDAP (12)

36 Áttekintés/1 LDAP LDAP névtér LDAP objektum struktúra LDAP objektum elnevezés Kliens LDAP műveletek Cimtárképes alkalmazások Keresés LDAP protokol LDAP séma Objektum osztályok Attribútumok Szintakszisok Egyezési szabályok OID-k Sáma ellenőrzés Cimtár menedzsment

37 Áttekintés/2 OpenLDAP Névtér Műveletek és kliensek Séma Menedzsment Biztonság

38 A következő előadás tartalma Directory Server Active Directory