Da Ldap: що це таке і для чого використовується цей протокол

Протокол LDAP широко використовується сьогодні компаніями, які роблять ставку на вільне програмне забезпечення, використовуючи дистрибутиви Linux для здійснення функцій активного каталогу, в якому керуються обліковими даними та дозволами працівників та робочих станцій у корпоративних мережах LAN підключення клієнт / сервер.

Зміст індексу

У цій статті ми якнайповніше побачимо, з чого складається цей протокол та відповідний інструмент, а також структуру та терміни, які в ньому найбільш використовуються.

Що таке LDAP?

LDAP короткий для легкого протоколу доступу до каталогу). Це набір відкритих ліцензійних протоколів, які використовуються для доступу до інформації, що зберігається централізовано в мережі. Цей протокол використовується на рівні програми для доступу до віддалених служб каталогів.

Віддалений каталог - це сукупність об'єктів, які ієрархічно організовані, такі як імена, адреси тощо. Ці об'єкти стануть доступними низкою клієнтів, підключених через мережу, як правило, внутрішню або локальну мережу, і надаватимуть ідентичності та дозволи тим користувачам, які ними користуються.

LDAP заснований на протоколі X.500 для спільного використання каталогів, і він містить цю інформацію в ієрархічному та категоризованому вигляді, щоб забезпечити нам інтуїтивну структуру з точки зору управління адміністраторами. Це, так би мовити, телефонна книга, але з більшою кількістю атрибутів та повноважень. У цьому випадку ми використовуємо термін каталог для позначення організації цих об'єктів.

Загалом ці каталоги в основному використовуються для вмісту віртуальних даних користувачів, щоб інші користувачі отримували доступ та мали інформацію про контакти, які зберігаються тут. Але це набагато більше, ніж це, оскільки він здатний віддалено спілкуватися з іншими каталогами LDAP, розташованими на серверах, які можуть знаходитися з іншого боку світу для доступу до наявної інформації. Таким чином створюється децентралізована і повністю доступна інформаційна база даних.

Поточна версія називається LDAPv3 і визначається в загальнодоступному аркуші документації RFC 4511.

Операція LDAP

LDAP - це протокол, заснований на з'єднанні між клієнтом і сервером. Дані, пов’язані з каталогом, будуть зберігатися на сервері LDAP, який зможе використовувати широкий спектр баз даних для цього сховища, стаючи дуже великими.

Операція доступу та адміністрування дуже схожа на Windows Active Directory. Коли клієнт LDAP підключається до сервера, ви можете виконати дві основні дії: запит і отримання інформації каталогів, або змінення його.

• Якщо клієнт звертається до інформації, сервер LDAP може безпосередньо підключити її, якщо в ній розміщений каталог, або перенаправити запит на інший сервер, який фактично має цю інформацію. Це може бути локальний або віддалений. Якщо клієнт хоче змінити інформацію про каталог, сервер перевірить, чи має користувач, який отримує доступ до цього каталогу, права адміністратора чи ні. Потім інформацію та управління каталогом LDAP можна здійснювати віддалено.

Портом підключення для протоколу LDAP є TCP 389, хоча, звичайно, він може бути змінений користувачем і встановити його на той, який він бажає, якщо він вказав його на сервер.

Як зберігається інформація в LDAP

У каталозі LDAP ми можемо зберігати в основному ту саму інформацію, що і в Windows Active Directory. Система базується на такій структурі:

• Записи, що називаються об'єктами в Active Directory. Ці записи - це набір атрибутів з виділеним іменем (DN). Це ім'я використовується для надання унікального та неповторного ідентифікатора для запису каталогу. Записом може бути назва організації, а атрибути будуть висіти з неї. Також людина може бути учасником. Атрибути: які мають тип ідентифікатора та відповідні значення. Типи використовуються для ідентифікації назв атрибутів, наприклад "mail", "name", "jpegPhoto" тощо. Деякі атрибути, що належать до запису, повинні бути обов'язковими, а інші - необов’язковими. LDIF: Формат обміну даними LDAP - це текстове представлення ASCII записів LDAP. Це має бути формат файлів, які використовуються для імпорту інформації в каталог LDAP. Коли написано порожній рядок, це означає кінець запису.

дн: :::

Дерева: Це ієрархічна організація записів. Наприклад, у структурі дерева ми можемо знайти країну вгорі і як основну, і всередині цього ми матимемо різні держави, що складають країну. У межах кожної держави ми зможемо перелічити райони, громадяни та адреси, де вони живуть тощо.

Якби ми застосували це до Інтернету та обчислювальної техніки, ми могли б організувати каталог LDAP за допомогою доменного імені, яке виконуватиме функції дерева, і з нього буде вивішуватися різні відділи чи організаційні підрозділи компанії, співробітники тощо. І саме таким чином каталоги формуються в даний час, завдяки використанню служби DNS, ми можемо пов’язати IP-адресу з каталогом LDAP, щоб мати доступ до неї через доменне ім’я.

Як отримати доступ до інформації в LDAP

Прикладом запису для каталогу LDAP може бути:

dn: cn = Jose Castillo, dc = profesionalreview, dc = com cn: Jose Castillo задано ім'я: Jose sn: Castillo telephoneNumber: +34 666 666 666 пошта: [email protected] objectClass: inetOrgPerson objectClass: organizationPerson objectClass: person objectClass

• dn (ім'я домену): ім'я входу, але не частина самого запису. dc: компонент домену для ідентифікації частин домену, де зберігається каталог LDAP. cn (загальне ім'я): ім'я атрибута для ідентифікації імені користувача, наприклад sn (прізвище): прізвище телефону користувачаNombre , пошта…: ідентифікація імені для атрибута, телефон та електронна пошта. objectClass: різні входи для визначення властивостей атрибутів

Сервер LDAP, крім зберігання дерева, може містити підрядок, який включає записи, характерні для основного домену. Також ви можете зберігати посилання на інші сервери каталогів, щоб поділити вміст, якщо це необхідно.

Структура URL-адреси доступу в LDAP

Під час встановлення віддалених з'єднань з сервером LDAP нам знадобиться використання URL-адрес для отримання інформації з нього. Основна структура

ldap: // server: port / DN? атрибути? область? фільтри? розширення

• сервер або хост: це IP-адреса або доменне ім'я порту сервера LDAP: порт підключення до сервера, за замовчуванням це буде 389 DN: виділене ім'я для використання в пошуку Атрибути: це список полів, для повернення яких розділені комами Область застосування або область застосування: це область пошуку Фільтри пошуку: фільтрувати пошук відповідно до ідентифікатора об'єкта, наприклад. Розширення: будуть розширеннями рядків символів URL-адреси в LDAP.

Наприклад:

ldap: //ldap.profesionalreview.com/cn=Jose%20Castillo, dc=profesionalreview, cd=com

Ми шукаємо всіх користувачів із записом Жозе Кастільо на profesionalreview.com.

Окрім цього позначення, ми також матимемо версію LADP із сертифікатом безпеки SSL, ідентифікатором якої буде "ldaps:".

Найважливіші інструменти, які використовують протокол LDAP

В даний час існують різні інструменти, які використовують цей протокол для спілкування клієнт-сервер служби каталогів. Найголовніше, що навіть Windows Active Directory використовує цей протокол зв'язку.

• OpenLDAP: це безкоштовна реалізація протоколу LDAP. Він має свою ліцензію і сумісний з іншими серверами, які використовують той же протокол. Він використовується різними дистрибутивами Linux та BSD. Active Directory: це сховище даних каталогів з ліцензією Microsoft і впроваджене в його серверні операційні системи з Windows 2000. Власне, в структурі Active Directory є схема LDAPv3, тому вона сумісна і з іншими системами, що реалізують цей протокол. у своїх довідниках. Сервер каталогів Red Hat: це сервер, який також заснований на LDAP, подібному до Active Directory, але використовує інструмент з відкритим кодом. У цьому каталозі ми можемо зберігати такі об'єкти, як ключові користувачі, групи, поліси дозволів тощо. Сервер каталогів Apache: Ще одна чудова реалізація за допомогою LDAP - це ліцензований каталог програмного забезпечення Apache. Крім того, він реалізує інші протоколи, такі як Kerberos і NTP, і має інтерфейс переглядів, типових для реляційних баз даних. Novell Directory Services - це власний сервер каталогів Novell для управління доступом до сховища ресурсів на одному або декількох мережевих серверах. Він складається з ієрархічної об'єктно-орієнтованої структури бази даних, в якій зберігаються всі типові цілі каталогів. Відкрити DS: Ми закінчуємо цей список каталогом на базі Java SUN Microsystems, який згодом буде випущений для всіх користувачів. Звичайно, він розроблений в JAVA, нам буде потрібен пакет Java Runtime Environmentmet, щоб він працював.

Це найцікавіші функції та найрелевантніша інформація про протокол LDAP. Звичайно, ми спробуємо розширити інформацію підручниками, які ми випускаємо з цієї теми.

Тим часом вас може зацікавити ця інформація:

Ми сподіваємось, що ця інформація була корисною. Щоб щось додати або сказати, що ви думаєте про LDAP, напишіть нам у коментарях.