Da Ldap: какво представлява и за какво се използва този протокол

Протоколът LDAP се използва широко днес от компании, които залагат на безплатен софтуер, когато използват Linux дистрибуции, за да упражняват функциите на активна директория, в която идентификационните данни и разрешенията на работниците и работните станции ще се управляват в корпоративните LAN мрежи в връзки клиент / сървър.

Индекс на съдържанието

В тази статия ще видим възможно най-пълно от какво се състои този протокол и съответния инструмент, заедно със структурата и термините, които най-често се използват в него.

Какво е LDAP?

LDAP е кратък за лек протокол за достъп до директория). Това е набор от отворени лицензионни протоколи, които се използват за достъп до информацията, която се съхранява централно в мрежа. Този протокол се използва на ниво приложение за достъп до отдалечени услуги на директория.

Отдалечената директория е набор от обекти, които са йерархично организирани, като имена, адреси и т.н. Тези обекти ще бъдат предоставени от поредица от клиенти, свързани чрез мрежа, обикновено вътрешна или локална мрежа, и ще предоставят идентичностите и разрешенията на тези потребители, които ги използват.

LDAP се основава на протокола X.500 за споделяне на директория и съдържа тази информация по йерархичен и категоризиран начин, за да ни предостави интуитивна структура от гледна точка на управление от администраторите. Това е, така да се каже, телефонен указател, но с повече атрибути и идентификационни данни. В този случай използваме термина директория, за да се отнасяме до организацията на тези обекти.

По принцип тези директории се използват основно за съдържане на информация за виртуални потребители, така че другите потребители да имат достъп и да имат информация за контактите, които се съхраняват тук. Но това е много повече от това, тъй като е в състояние да комуникира дистанционно с други LDAP директории, разположени на сървъри, които може да са от другата страна на света за достъп до наличната информация. По този начин се създава децентрализирана и напълно достъпна информационна база данни.

Текущата версия се нарича LDAPv3 и е дефинирана в публично достъпен документационен лист RFC 4511.

LDAP операция

LDAP е протокол, основан на връзката между клиент и сървър. Данните, свързани с директорията, ще се съхраняват в LDAP сървъра, който ще може да използва голямо разнообразие от бази данни за това съхранение, ставайки много голям.

Операцията за достъп и администриране е много подобна на Windows Active Directory. Когато LDAP клиентът се свърже със сървъра, можете да извършите две основни действия, или да запитвате и получавате информация в директорията, или да я променяте.

• Ако клиент се консултира с информацията, LDAP сървърът може да го свърже директно, ако има директория, хоствана в нея, или да пренасочи заявката към друг сървър, който всъщност има тази информация. Това може да е локално или отдалечено. Ако клиентът иска да промени информацията в директорията, сървърът ще провери дали потребителят, който осъществява достъп до тази директория, има разрешения за администратор или не. След това информацията и управлението на LDAP директория може да се извърши дистанционно.

Портът за връзка за LDAP протокола е TCP 389, въпреки че, разбира се, той може да бъде променен от потребителя и да го зададе на желания, ако го посочи на сървъра.

Как се съхранява информацията в LDAP

В LDAP директория можем да съхраняваме основно същата информация, както в Windows Active Directory. Системата се базира на следната структура:

• Записи, наречени обекти в Active Directory. Тези записи са колекции от атрибути с разграничено име (DN) Това име се използва за даване на уникален и неповторим идентификатор на запис в директория. Запис може да бъде името на организация и атрибутите ще висят от нея. Също така човек може да бъде вход. Атрибути: които имат тип идентификатор и съответните стойности. Типовете се използват за идентифициране на имената на атрибути, например "поща", "име", "jpegPhoto" и т.н. Някои от атрибутите, които принадлежат на запис, трябва да бъдат задължителни, а други незадължителни. LDIF: Форматът за обмен на данни LDAP е ASCII текстово представяне на LDAP записи. Това трябва да е форматът на файловете, използвани за импортиране на информация в LDAP директория. Когато е написан празен ред, това означава края на записа.

DN: :::

Дървета: Това е йерархичната организация на записите. Например в дървовидна структура можем да намерим държава на върха и като основна, и в рамките на това ще имаме различните държави, които съставят страната. Във всяка държава ще можем да изброяваме областите, гражданите и адресите на това къде живеят и т.н.

Ако приложихме това към интернет и изчислителните технологии, бихме могли да организираме LDAP директория с помощта на име на домейн, което да изпълнява функциите на дървото и от него да окачва различните отдели или организационни звена на фирма, служители и т.н. И точно по този начин директориите се формират в момента, благодарение на използването на DNS услуга, можем да свържем IP адрес с LDAP директория, за да имаме достъп до него чрез името на домейна.

Как се осъществява достъп до информация в LDAP

Примерен запис за LDAP директория може да бъде:

dn: cn = Jose Castillo, dc = profesionalreview, dc = com cn: Jose Castillo зададено име: Jose sn: Castillo telephoneNumber: +34 666 666 666 поща: [email protected] objectClass: inetOrgPerson objectClass: organizationPerson objectClass: person objectClass

• dn (име на домейн): име на вписване, но не е част от самия запис. dc: компонент на домейн за идентифициране на частите от домейна, където се съхранява LDAP директория. cn (общо име): име на атрибут за идентифициране на потребителското име, например sn (фамилия): фамилия на потребителя telephoneNombre, поща…: идентифициране на име на атрибута телефон и имейл. objectClass: различни входове за определяне на свойствата на атрибутите

LDAP сървърът, освен да съхранява дърво, може да съдържа подкраски, които включват записи, специфични за основния домейн. Също така можете да съхранявате препратки към други сървъри на директории, за да разделите съдържанието, ако е необходимо.

Структура на URL адрес за достъп в LDAP

Когато осъществяваме отдалечени връзки към LDAP сървър, ще се нуждаем от използването на URL адреси, за да получим информация от него. Основната структура

ldap: // сървър: port / DN? атрибути? обхват? филтри? разширения

• сървър или хост: това е IP адрес или име на домейн на пристанището на LDAP сървъра: пристанището за връзка със сървъра, по подразбиране ще бъде 389 DN: разграничено име, което да се използва в търсенето Атрибути: това е списък от полета, които трябва да се върнат разделени със запетаи Обхват или обхват: е обхватът на филтрите за търсене: за филтриране на търсенето според идентификатора на обекта, например. Разширения: ще бъдат разширенията с символни низове на URL адреса в LDAP.

Например:

ldap: //ldap.profesionalreview.com/cn=Jose%20Castillo, dc=profesionalreview, cd=com

Търсим всички потребители в записа на Жозе Кастило в profesionalreview.com.

В допълнение към тази нотация ще имаме и версия на LADP със SSL сертификат за сигурност, чийто идентификатор за URL адреса ще бъде „ldaps:“.

Най-важни инструменти, които използват LDAP протокола

В момента съществуват различни инструменти, които използват този протокол за комуникация клиент-сървър на услуга на директория. Най-важното е, че дори Windows Active Directory използва този протокол за комуникация.

• OpenLDAP: е безплатната реализация на LDAP протокола. Той има собствен лиценз и е съвместим с други сървъри, които използват същия протокол. Използва се от различни Linux и BSD дистрибуции. Active Directory: това е магазин за данни на директория с лиценз на Microsoft и се реализира в сървърните му операционни системи от Windows 2000. Всъщност под структурата на Active Directory е LDAPv3 схема, така че е съвместима и с други системи, които прилагат този протокол. в техните директории. Red Hat Directory Server: Това е сървър, който също се основава на LDAP, подобен на Active Directory, но използва инструмент с отворен код. В тази директория можем да съхраняваме обекти като ключови потребители, групи, правила за разрешения и т.н. Apache Directory Server: Друга голяма реализация, използваща LDAP, е лицензираната директория на Apache Software. В допълнение, той реализира други протоколи като Kerberos и NTP и има интерфейс от изгледи, типични за релационни бази данни. Novell Directory Services - Това е собственият директория сървър на Novell за управление на достъпа до хранилище на ресурси на един или повече мрежови сървъри. Тя е съставена от йерархична обектно-ориентирана структура на базата данни, в която се съхраняват всички типични цели на директорията. Отворете DS: Завършваме този списък с директорията на базата на Java на SUN Microsystems, която по-късно ще бъде пусната на всички потребители. Разбира се, той е разработен в JAVA, ще ни трябва пакетът Runtime Environmentmet, за да работи.

Това са най-интересните функции и най-подходящата информация за LDAP протокола. Разбира се, ще се опитаме да разширим информацията с уроци, които извеждаме по тази тема.

Междувременно тази информация може да ви интересува:

Надяваме се тази информация да е била полезна. За да добавите нещо или да ни кажете какво мислите за LDAP, пишете ни в коментарите.