D Ldap: что это такое и для чего используется этот протокол

Протокол LDAP в настоящее время широко используется компаниями, которые делают ставку на бесплатное программное обеспечение, используя дистрибутивы Linux для выполнения функций активного каталога, в котором будут управляться учетные данные и разрешения рабочих и рабочих станций в корпоративных сетях LAN. соединения клиент / сервер.

Указатель содержания

В этой статье мы рассмотрим в максимально возможной степени, из чего состоит этот протокол и соответствующий инструмент, а также структуру и термины, наиболее часто используемые в нем.

Что такое LDAP?

LDAP - сокращение от Облегченный протокол доступа к каталогам). Это набор протоколов открытых лицензий, которые используются для доступа к информации, которая хранится централизованно в сети. Этот протокол используется на уровне приложений для доступа к удаленным службам каталогов.

Удаленный каталог - это набор иерархически организованных объектов, таких как имена, адреса и т. Д. Эти объекты будут доступны ряду клиентов, подключенных через сеть, обычно внутреннюю или через локальную сеть, и будут предоставлять идентификаторы и разрешения тем пользователям, которые их используют.

LDAP основан на протоколе X.500 для общего доступа к каталогам и содержит эту информацию иерархически и по категориям, чтобы предоставить нам интуитивно понятную структуру с точки зрения управления администраторами. Это, так сказать, телефонная книга, но с большим количеством атрибутов и полномочий. В этом случае мы используем термин каталог для обозначения организации этих объектов.

Как правило, эти каталоги в основном используются для хранения информации о виртуальных пользователях, так что другие пользователи получают доступ к информации о контактах, хранящихся здесь. Но это намного больше, чем это, поскольку он может удаленно взаимодействовать с другими каталогами LDAP, расположенными на серверах, которые могут находиться на другом конце света, для доступа к доступной информации. Таким образом, создается децентрализованная и полностью доступная информационная база данных.

Текущая версия называется LDAPv3 и определена в общедоступном листе документации RFC 4511.

Операция LDAP

LDAP - это протокол, основанный на соединении между клиентом и сервером. Данные, относящиеся к каталогу, будут храниться на сервере LDAP, который сможет использовать самые разные базы данных для этого хранилища, становясь очень большим.

Операции доступа и администрирования очень похожи на Windows Active Directory. Когда клиент LDAP подключается к серверу, вы можете выполнить два основных действия: либо запросить и получить информацию о каталоге, либо изменить ее.

• Если клиент обращается к этой информации, сервер LDAP может подключить ее напрямую, если в нем размещен каталог, или перенаправить запрос на другой сервер, который фактически имеет эту информацию. Это может быть локальным или удаленным. Если клиент хочет изменить информацию каталога, сервер проверит, имеет ли пользователь, который обращается к этому каталогу, разрешения администратора или нет. Затем информация и управление каталогом LDAP могут выполняться удаленно.

Порт подключения для протокола LDAP - TCP 389, хотя, конечно, он может быть изменен пользователем и установить его на тот, который он желает, если он указывает это на сервер.

Как информация хранится в LDAP

В каталоге LDAP мы можем хранить в основном ту же информацию, что и в Windows Active Directory. Система основана на следующей структуре:

• Записи, называемые объектами в Active Directory. Эти записи представляют собой наборы атрибутов с отличительным именем (DN). Это имя используется для предоставления уникального и неповторимого идентификатора записи каталога. Запись может быть названием организации, а атрибуты будут зависеть от нее. Также человек может быть записью. Атрибуты: которые имеют тип идентификатора и соответствующие значения. Типы используются для идентификации имен атрибутов, например, «mail», «name», «jpegPhoto» и т. Д. Некоторые атрибуты, которые принадлежат записи, должны быть обязательными, а другие необязательными. LDIF: формат обмена данными LDAP является текстовым представлением записей LDAP в формате ASCII. Это должен быть формат файлов, используемых для импорта информации в каталог LDAP. Когда пишется пустая строка, это означает конец записи.

дп: :::

Деревья: это иерархическая организация записей. Например, в древовидной структуре мы можем найти страну наверху и в качестве основной, и в рамках этого у нас будут различные государства, которые составляют страну. В пределах каждого штата мы сможем перечислить районы, граждан и адреса, где они живут, и так далее.

Если бы мы применили это к Интернету и вычислениям, мы могли бы организовать каталог LDAP с помощью доменного имени, которое выполняло бы функции дерева, и из него висели бы различные отделы или организационные единицы компании, сотрудников и т. Д. И именно таким образом каталоги в настоящее время формируются, благодаря использованию службы DNS, мы можем связать IP-адрес с каталогом LDAP, чтобы иметь возможность доступа к нему через доменное имя.

Как информация доступна в LDAP

Пример записи для каталога LDAP может быть:

dn: cn = Хосе Кастильо, dc = профессиональный обзор, dc = com cn: Хосе Кастильо данное имя: Jose sn: Castillo telephoneNumber: +34 666 666 666 mail: [email protected] objectClass: inetOrgPerson objectClass: organizPerson objectClass: person objectClass: top

• dn (имя домена): имя записи, но не часть самой записи. dc: компонент домена для идентификации частей домена, в котором хранится каталог LDAP. cn (общее имя): имя атрибута для идентификации имени пользователя, например, sn (фамилия): фамилия пользователя phoneNombre, mail…: указать имя для атрибута phone и email. objectClass: различные входные данные для определения свойств атрибутов

Сервер LDAP, помимо хранения дерева, может содержать поддеревья, которые включают записи, относящиеся к первичному домену. Кроме того, вы можете хранить ссылки на другие серверы каталогов, чтобы разделить контент при необходимости.

Структура URL доступа в LDAP

При выполнении удаленных подключений к серверу LDAP нам потребуется использование URL-адресов для получения информации с него. Основная структура

ldap: // сервер: порт / DN? атрибуты? область? фильтры? расширения

• сервер или хост: это IP-адрес или доменное имя порта сервера LDAP: порт подключения к серверу, по умолчанию это будет 389 DN: отличительное имя для использования в атрибутах поиска: это список полей для возврата, разделенных запятыми Область или область действия: область поиска Фильтры: например, для фильтрации поиска по идентификатору объекта. Расширения: будут расширениями строк символов URL в LDAP.

Например:

ldap: //ldap.profesionalreview.com/cn=Jose%20Castillo, dc=profesionalreview, cd=com

Мы ищем всех пользователей в записи Хосе Кастильо на profesionalreview.com.

В дополнение к этой записи у нас также будет версия LADP с сертификатом безопасности SSL, идентификатор которого для URL будет «ldaps:».

Самые важные инструменты, которые используют протокол LDAP

В настоящее время существуют различные инструменты, которые используют этот протокол для связи клиент-сервер службы каталогов. Самое главное, что даже Windows Active Directory использует этот протокол связи.

• OpenLDAP: это бесплатная реализация протокола LDAP. Он имеет собственную лицензию и совместим с другими серверами, использующими тот же протокол. Он используется в разных дистрибутивах Linux и BSD. Active Directory: это хранилище данных каталога с лицензией Microsoft и внедрено в его серверных операционных системах начиная с Windows 2000. Фактически, в структуре Active Directory находится схема LDAPv3, поэтому она также совместима с другими системами, которые реализуют этот протокол. в своих каталогах. Red Hat Directory Server: это сервер, который также основан на LDAP, аналогичном Active Directory, но использует инструмент с открытым исходным кодом. В этом каталоге мы можем хранить такие объекты, как ключевые пользователи, группы, политики разрешений и т. Д. Сервер каталогов Apache: Еще одна отличная реализация, использующая LDAP, - это лицензионный каталог Apache Software. Кроме того, он реализует другие протоколы, такие как Kerberos и NTP, и имеет интерфейс представлений, типичный для реляционных баз данных. Novell Directory Services - это собственный сервер каталогов Novell для управления доступом к хранилищу ресурсов на одном или нескольких сетевых серверах. Он состоит из иерархической объектно-ориентированной структуры базы данных, в которой хранятся все типичные цели каталога. Open DS: мы заканчиваем этот список каталогом на основе Java SUN Microsystems, который впоследствии будет доступен всем пользователям. Конечно, он разработан в JAVA, для работы нам потребуется пакет Java Runtime Environmet.

Это самые интересные функции и самая актуальная информация о протоколе LDAP. Конечно, мы постараемся дополнить информацию учебниками по этой теме.

А пока вас может заинтересовать эта информация:

Мы надеемся, что эта информация была полезна. Чтобы добавить что-то или рассказать нам, что вы думаете о LDAP, напишите нам в комментариях.