Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Linux, X.500, LDAP, NIS Bilicki Vilmos.

Hasonló előadás


Az előadások a következő témára: "Linux, X.500, LDAP, NIS Bilicki Vilmos."— Előadás másolata:

1 Linux, X.500, LDAP, NIS Bilicki Vilmos

2 Tartalom Linux operációs rendszer X.500 NIS LDAP

3 Linux Richard M. Stallman (198X FSF) Linux
Szabad terjesztésű UNIX GNU C, . . . GNU GPL Linux Szülőapja: Linus Tovards (Kernel) Szülőanyja: Internet (GNU, FSF) Eric S. Raymond (Cathedral vs. Bazaar ) Cathedral óvatos fejlesztés kicsi csoportok akik csak ezzel foglalkoznak csak a végső verzió publikus Bazaar rövid debug (nyílt forrás, sok felhasználó, programozó) gyakori frissítés korai kibocsájtás okos adatszerkezetek és csúnya kódok jobban működnek mint fordítva

4 Linux kernel virtuális interfész a process-ek számára
elfedi a hardvert moduláris kernel dinamikusan betöltődő modulok statikus modulok kernel forrás letölthető, saját kernelt készíthetünk felelős: process memória hardver

5 A Linux kernel összetevői
Process Scheduler szabályozza a process-ek hozzáférését a CPU-hoz Memory Manager lehetővé teszi a process-ek számára a memória biztonságos, egymástól független elérését lehetővé teszi a virtuális memória kezelését Virtual File System elrejti a különböző hardver erőforrásokat egy szabványos felületet nyújtva (több fájlrendszert is támogat) Network Interface hozzáférést biztosít több hálózati interfészhez több hálózati protokollt támogat Inter Process Communication lehetőséget biztosít a process-process kommunikációra (több különböző módon)

6 Időzítő (Scheduler) egyszerű prioritás alapú időzítés
task_struct (process tábla, az első az init process) prioritás priority rt_priority számláló (counter) az adott process számára engedélyezett futási idő időzítés szabály (Scheduling policy) normal real time (ha van akkor ez fut elsőnek) round robin fifo process ID

7 Szálak kezelése User-space threads Kernel-space threads
nem a kernel menedzseli kooperatív multitaszking a szál maga hívja meg a szálváltó eljárást (kiéhezés) gyorsabb mint a kernel szál váltás Kernel-space threads időosztásos

8 Virtuális fájl rendszer
Hardver eszközök Logikai fájl rendszerek Futtatható formátumok (a.out ,ELF, java ) Homogenitás (egységes felületet nyújt) Sebesség Adatbiztonság Biztonság

9 Virtuális fájlrendszer szolgáltatásai
system call interface fájlok (open/close/read/write/seek/tell) könyvtárak (readdir/creat/unlink/chmod/stat) POSIX kompatibilis internal interface (a kernel egyéb részeinek nyújt szolgáltatásokat) inode interface create() lookup() link() / symlink() / unlink() / readlink() / follow_link() file interface open() / release() read() / write() select(),lseek()

10 Fájl alrendszer

11 IPC jelek várakozó sorok (sleep - scheduler)
fájl zárolások (egész, részleges) csövek, nevesített csövek (kapcsolatorientált kétirányú adatkapcsolat process-ek között) System V IPC szemaforok üzenet sorok (kapcsolatmentes) osztott memória UNIX domain sockets (kapcsolatorientált adatátvitel)

12 Hálózati interfész INET socket (inet_write(), …)
alacsonyabb szintű a TCP, UDP protokollokra épül BSD socket (sock_write(), …) Unix, Windows magas szintű az INET socket-re épül stream/data connected/unconnected

13 Directory (Könyvtár) objektumok listája mely az objektumok részletes tulajdonságait tárolja (telefonkönyv) speciális adatbázis - adattárház mely típusos és rendezett információt tárol objektumokról adatbázisok – könyvtárszolgáltatások: az adatbázisokkal ellentétben sokkal gyakrabban történnek keresések mint frissítések olvasásra van optimalizálva nem feltétlenül támogatják a tranzakciókat a könyvtárban tárolt információ nem követel meg erős konzisztenciát egyszerű hozzáférési protokoll (SQL, LDAP)

14 Könyvtár elérés, hozzáférés
kliens\szerver modell

15 Elosztott könyvtárak lokális, globális információ
könyvtár szolgáltatás: központosított (talán egyszerűbb a karbantartása) elosztott (gyorsabb) az információ tagolható replikálható

16 X.500 telefonkönyv elosztott adminisztráció
a számítógép és a humán adatok egy adatbázisban tárolódnak X.400, OSI name server minden helynek saját könyvtára lehet másolatok tárolhatók

17 Az X.500 könyvtár felépítése
Directory Information Model (helyi szemszögből nézi a rendszert, az információ elosztása nem lényeges): Directory User Information Model Directory Operation Administrative Information Model a könyvtár használhatósága érdekében létezik egy rögzített információ típus több nézetet biztosít (administrator, user) DSA Information Model leírja, hogyan kell egy számítógépnek tárolnia az adatokat ahhoz, hogy mások is hozzáférhessenek Directory Administrative Authority Model az elosztott adatbázis elosztott adminisztrálását írja le

18 Objektumok és egyedek Directory Information Base
hierarchikus felépítés a hasonló tulajdonságokkal rendelkező objektumok Objektum osztályokba sorolhatóak minden objektum legalább egy objektum osztály tagja az adatok a tulajdonságokban vannak tárolva Directory Information Tree levél bejegyzések ág bejegyzések megkülönböztető név (distinguished name DN) (a szülő ág neve is) relatív megkülönböztető név (relative distinguished name RDN)

19 Példa

20 Objektumok és egyedek alias kollektív tulajdonság (közös telefonszám)
gyakran fontos, hogy egy objektumra több mint egy néven hivatkozzunk egy bejegyzés a DIT-ben mely egy mutatót tartalmaz az objektumra saját objektum osztályuk van: alias alias dereferencing kollektív tulajdonság (közös telefonszám)

21 Adminisztrációs modell
a DIT különböző részei különböző szervezetek által menedzselhetőek AAA (Autonomous Administrative Areas) AAP (Autonomous Administrative Point) ettől kezdődik és a másik AAP-ig tart IAA (Inner Administrative Areas) IAP (Inner Administrative Point) az AAA-n belül helyezkedik el

22

23 Adminisztratív körzetek
Feladatuk: Schema administration Access controll administration Collective attribute administration az AAA mindhárom feladathoz külön osztható

24 NIS (Network Information Services)
problémát okozott a közös felhasználói adatbázis karbantartása (kié a jó verzió) 1985 SUN -> Yellow Pages -> NIS RPC hívások UDP felett a rendszerhívásokat átirányítja a szerverre DBM fájlokat használ az információ tárolására (indexelt fájlok) kulcs alapján könnyen kereshető az információ probléma a DBM fájlok binárisak -> nehezen érthető  megoldás ASCII fájlokból időnként átkonvertáljuk DBM-be az adatokat

25 NIS elemei NIS domain név Master Slave Client egy lehet belőle
működhetnek szerverként azonban az információt a master-től kapják Client egy IP álhálózatban kell lennie a szerverrel a kliensek üzenetszórással keresik a szervert

26 A leggyakrabban megosztott információ
lehetnek lokálisak és globálisak /etc/passwd - User account information /etc/group - UNIX group definitions /etc/hosts - Maps hostnames and ip addresses /etc/services - Lists port numbers for well-known network services /etc/protocols - Maps text names to protocol numbers /etc/ethers* - Maps hostnames and ethernet addresses /etc/aliases - Mail alias definitions, including postmaster /etc/rpc - Lists id numbers for rpc services /etc/netgroup - Defines collections of hosts, users and networks

27 A NIS részletei a következő helyeken tárolja információit:
/var/yp, /usr/etc/yp or /etc/yp az adatok átmásolása mastre, slave között ypxfr, yppush démonok ypserv (csak szerveren) ypbind (minden gépen szerver kereső)

28 NIS parancsok I. ypserv NIS server daemon started at boot time by master/slave servers ypbind NIS client daemon started at boot time by all domainname Sets NIS domain machine belongs to at boot time ypxfr Downloads current version of a map from master server ypxfrd Serves requests from ypxfr (runs on master) yppush Makes slave servers update their map versions makedbm Builds a ndbm map from a flat file ypmake* Rebuilds ndbm maps from flat files that have changed (IRIX) ypinit Configures a host as a master or slave server ypset Makes ypbind connect to a particular server

29 NIS parancsok II. ypwhich Finds out which server the current host is using yppoll Finds out what version of a map a server is using ypcat Prints the values contained in an NIS map ypmatch Prints map entries for a specified key yppasswd Changes a password on the NIS master server ypchfn Changes GECOS info on the NIS master server ypchsh Changes a login shell on NIS master server yppasswdd Server for yppasswd, ypchsh and ypchfn ypupdated Server for updating NIS maps (managed by inetd)

30 A NIS előnyei, hátrányai
egyszerűen karbantartható, egyszerű szöveges fájlokat kell módosítgatnunk sok felhasználó és számítógép könnyen menedzselhető időnként nagy a sávszélesség igénye nem biztonságos (véletlen domain név)!

31 NIS+ adattitkosítás RPC hitelesítés névmodell:
fa struktúra minden levél egy NIS+ objektum könyvtár bejegyzés csoport hivatkozás tábla privát org_dir – adminisztrációs táblák groups_dir – hozzáférés vezérlés táblák

32 LDAP (Lightweight Directory Access Protocol)
nyílt ipari szabvány a könyvtárak elérésének szabvánnyá vált a DAP alternatívája LDAP szerver jelenleg független az X.500-tól

33 LDAP architektúra A következő nézetek lehetnek:
Információs modell (Information) Elnevezései modell (Naming) Funkcionális modell (Functional) Biztonsági modell (Security)

34 Információs modell az információ alapegysége a bejegyzés (entry)
a bejegyzések valós objektumokat reprezentálnak a bejegyzések tulajdonságok halmazából állnak a tulajdonság típusa definiálja szintaxisát mely megadja milyen értékek tárolhatóak benne a szintaxis megadja a tárolt érték viselkedését keresés közben is. Telefonszám esetében : lexikografikus sorrend szóköz, vessző kihagyandó az érték karakterekből állhat

35 Néhány LDAP tulajdonság szintaxis
bin – bináris információ ces – érzékeny a kis és a nagy betűkre cis – nem érzékeny a kis és nagy betűkre tel – telefonszám dn – megkülönböztető név

36 LDAP Információs modell I.
sémák (schema) segítségével írják le a könyvtárban tárolható objektumok típusát, megadva a használható tulajdonságokat az együttműködést elősegítendő sok séma van szabványosítva

37 LDAP információs modell II.
objektumokat tudunk objektumokból származtatni minden könyvtár bejegyzés tartalmaz egy objectClass nevű tulajdonságot mely kettő vagy több sémát sorol fel

38 Elnevezési Modell (Naming Model)
a bejegyzések azonosítását és szervezését definiálja a bejegyzések fa struktúrában vannak elrendezve (DIT) a fa struktúrán belül a megkülönböztető nevük alapján szerveződnek (DN - egyedi név) DN (RDN,RDN,RDN, . . .) elsődleges kulcsként működik RDN (<tulajdonság név>=<érték>)

39 Példa cn=John Smith,o=IBM,c=DE

40 Tulajdonságok

41 Toldalékok, Hivatkozások
Egy LDAP szerver nem feltétlenül tárolja az egész hierarchiát az általa tárolt legfelső elemet toldaléknak (suffix) nevezzük a szerverek közötti kapcsolatot a hivatkozások teremtik meg (referrals) amikor egy kliens kérést küld és egy hivatkozást kap akkor ezt követnie kell

42 Funkcionális modell az LDAP műveletek definiál az információk elérésére módosítására lekérdezés (query) frissítés (update) – add, delet, modify, modify RDN azonosítás (authentication) – bind, unbind,

43 Lekérdezés alap (base) – a DN amely a start pontot azonosítja
hatókör (scope) – a mélységet azonosítja (baseObject, singleLevel, wholeSubtree) kereső szűrő (search filter) – a szűrési kritériumot definiálja visszatérési tulajdonság – a visszaadott tulajdonságokat adhatjuk meg határok – idő, méret

44 Példa

45 Biztonsági modell Azonosítás (Authentication) Intergritás (Integrity)
bizonyosság a másik oldal azonosságáról Intergritás (Integrity) bizonyosság arról, hogy az információ amely megérkezik valóban amelyet elküldtek Bizalmasság (Confidentality) az információ titkosítása Engedélyezés (Authorization) bizonyosság arról, hogy a másik oldal valóban jogosult arra amit tenni szeretne

46 Megvalósítási módok nincs azonosítás
Basic Authentication (HTTP Basic Authentication) DN, jelszó clear text (Base64) Simple Authentication and Security Layer (SASL) egy általános azonosítási keretrendszer melyet az LDAP V3-as verziójában vezettek be. Több azonosítási módszert ismer, ezek közül egy a Kerberos, használható a TLS is (SSL)

47 SSL/TLS a kliens TLS kapcsoltra kéri a szervert
a szerver visszaküldi a TLS paramétereket, egy bizonyítványt, mely többek között magába foglalja a szerver publikus kulcsát a kliens a publikus kulccsal kódolva küld egy teszt adatot a szerver ezt dekódolja és visszaküldi a kliens és a szerver megegyezik a a használandó szimmetrikus kulcsban

48 Az LDAP jövője LDAP kliensek megtalálják az LDAP szervereket
DCE (Distributed Computing Environment): szálak támogatása DCE RPC (kódolást is támogat) biztonság könyvtár szolgáltatás (központi információ az elosztott rendszer erőforrásairól) Distributed Time Service Distributed File Service lehetséges, hogy az LDAP integrálva lesz a DCE-be


Letölteni ppt "Linux, X.500, LDAP, NIS Bilicki Vilmos."

Hasonló előadás


Google Hirdetések