Проект OpenLDAP

 

Содержание


Введение

. Введение в службы каталогов OpenLDAP

.1 Служба каталогов

.2 Что такое LDAP

.3 Для чего можно использовать LDAP

.4 Как работает LDAP

.5 X.500

.6 Отличие между LDAPv2 и LDAPv3

.7. Что такое slapd и на что он способен

.8 Непростые взаимоотношения LDAP и реляционных СУБД

. Варианты конфигурации

.1 Локальная служба каталогов

.2 Локальная служба каталогов с отсылками

.3 Реплицируемая служба каталогов

.4 Распределённая локальная служба каталогов

. Сборка и установка программного обеспечения OpenLDAP

.1 Распаковка программного обеспечения

.2 Программное обеспечение, от которого зависит OpenLDAP

3.2.1 Transport Layer Security

.2.2 Simple Authentication and Security Layer

.2.3 Сервис аутентификации Kerberos

.2.4 TCP Wrappers

.3 Запуск configure

3.4 Сборка программного обеспечения

.5Тестирование программного обеспечения

.6 Установка программного обеспечения

. Основные (функциональные) выпуски OpenLDAP

Заключение

Список использованных источников



Введение

- открытая реализация LDAP, разработанная проектом OpenLDAP Project. Распространяется под собственной лицензией, называемой OpenLDAP Public License. LDAP - платформенно-независимый протокол. В числе прочих есть реализации для различных модификаций BSD, а также Linux, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (NT и наследники - 2000, XP, Vista, Windows 7) и z/OS.

Начало OpenLDAP Project было положено в 1998 Куртом Зейленгой (Kurt Zeilenga). Изначальный код OpenLDAP был скопирован с реализации LDAP Мичиганского университета, где в конечном счёте и была продолжена разработка и эволюция протокола LDAP.

В апреле 2006 года главными разработчиками проекта OpenLDAP были: Говард Чу (Howard Chu) (Главный архитектор), Пиеранджело Масарати (Pierangelo Masarati) и Курт Зейленга. Свой немаловажный вклад в проект осуществили также и другие многочисленные активные разработчики, включая Люка Говарда (Luke Howard), Холларда Фьюрусета (Hallvard Furuseth), Куанаха Гибсон-Маунта (Quanah Gibson-Mount) и Гэвина Хенри (Gavin Henry).



1. Введение в службы каталогов OpenLDAP


Данный документ рассказывает о том, как собрать, настроить и эксплуатировать программное обеспечение OpenLDAP для организации службы каталогов. В ней детально описаны конфигурирование и запуск автономного демона LDAP (Standalone LDAP Daemon), slapd. Документация предназначена как для новичков, так и для опытных системных администраторов. В данном разделе дается базовое введение в службы каталогов и, в частности, в службы каталогов, построенные на slapd.


1.1Служба каталогов


Каталог - это специализированная база данных, предназначенная для поиска и просмотра информации, а также поддерживающая наполнение данными и их обновление в качестве дополнительных функций.

Каталоги имеют тенденцию содержать описательную информацию, основанную на атрибутах, и поддерживать сложные способы фильтрации. Каталоги обычно не поддерживают механизмы транзакций и откатов (roll-back), применяемые в СУБД, ориентированных на комплексные обновления большого объема данных. Обновления в каталогах (если они вообще разрешены), обычно происходят по простой схеме: "изменить всё или ничего". Каталоги обычно оптимизируются на скорейшую выдачу результата при поиске среди больших объемов информации. Они также могут иметь возможность репликации информации, то есть создания удалённых копий каталога с целью повышения доступности информации, надёжности её хранения и снижения времени отклика. В процессе репликации, до полного её окончания, допустимо временное рассогласование информации между репликами.



1.2 Что такое LDAP

- это аббревиатура от Lightweight Directory Access Protocol. Как следует из названия, это облегчённый, предназначенный для доступа к службам каталогов на основе X.500. LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов.выстраиваются в виде иерархической древовидной структуры. Традиционно, эта структура отражает географическое или организационное устройство хранимых данных. В вершине дерева располагаются записи, представляющие собой страны. Под ними располагаются записи, представляющие области стран и организации. Еще ниже располагаются записи, отражающие подразделения организаций, людей, принтеры, документы, или просто всё то, что Вы захотите включить в каталог. На рисунке 1.1 показан пример дерева каталога LDAP, использующего традиционное именование записей.


Рисунок 1.1: Дерево каталога LDAP (традиционное именование записей)


Построение дерева может быть также основано на доменных именах Internet. Этот подход к именованию записей становится всё более популярным, поскольку позволяет обращаться к службам каталогов по аналогии с доменами DNS. На рисунке 1.2 показан пример дерева каталога LDAP, использующего именование записей на основе доменов.


Рисунок 1.2: Дерево каталога LDAP (Internet-именование записей)


Кроме того, LDAP, посредством специального атрибута objectClass, позволяет контролировать, какие атрибуты обязательны и какие допустимы в той или иной записи. Значения атрибута objectClass определяются правилами схемы, которым должны подчиняться записи.


1.3 Для чего можно использовать LDAP


В общем случае, службу каталогов можно использовать, когда Вам требуется надёжное хранение информации с возможностью централизованного управления и доступа к ней, с использованием стандартизированных методов.

Самые распространённые примеры промышленного использования служб каталогов:

Аутентификация пользователей

Адресные книги

Учет закрепления имущества организации за сотрудниками

Телефонные справочники

Управление пользовательскими ресурсами

Справочники адресов электронной почты

Хранение конфигурации приложений

Хранение конфигурации АТС

и т.д...


.4 Как работает LDAP

использует клиент-серверную модель. Один или несколько серверов LDAP содержат информацию, образующую информационное дерево каталога (directory information tree, DIT). Клиент подключается к серверу и делает запрос. В ответ сервер отправляет результаты обработки запроса или указатель на то, где клиент может получить дополнительные сведения (обычно, на другой сервер LDAP). Независимо от того, к какому серверу LDAP подключается клиент, он увидит одинаковое представление каталога; на записи, расположенные на одном сервере LDAP, будут указывать правильные ссылки при обращении к другому серверу LDAP, и наоборот.


.5 X.500


Технически, LDAP - это протокол доступа к службе каталогов X.500, то есть службе каталогов OSI. Изначально, клиенты использовали LDAP для получения доступа к шлюзам службы каталогов X.500. Такие шлюзы использовали LDAP для общения с клиентом, а для обращения к серверу X.500 использовали протокол доступа к каталогам (Directory Access Protocol, DAP). DAP - весьма тяжеловесный протокол, функционирующий поверх полного стека протоколов OSI и требующий значительного количества вычислительных ресурсов. LDAP разработан для функционирования поверх TCP/IP, и обеспечивает большую часть функциональности DAP по гораздо более низкой цене.

Хотя LDAP по-прежнему используется для доступа к службе каталогов X.500 через шлюзы, сейчас он чаще непосредственно встраивается в программное обеспечение серверов X.500.

Автономный демон LDAP, или slapd, можно рассматривать как легковесный сервер службы каталогов X.500. Он не реализует X.500 DAP и не поддерживает полные информационные модели X.500.

Если Вы уже используете службу X.500 и DAP и планируете продолжать, Вам, скорее всего, можно не читать это руководство дальше, поскольку оно целиком посвящено работе LDAP с использованием slapd, без запуска X.500 DAP. Существует возможность переноса данных из службы каталогов LDAP в X.500 DAP DSA. Для этого нужен шлюз LDAP/DAP. В состав программного обеспечения OpenLDAP такой шлюз не входит.


.6 Отличие между LDAPv2 и LDAPv3

был разработан в конце 90-х годов для замены LDAPv2. LDAPv3 добавил в LDAP следующие возможности:

·Строгая аутентификация и сервисы безопасности данных с помощью SASL

·Аутентификация с использованием сертификатов и сервисы безопасности данных с помощью TLS (SSL)

·Интернационализация посредством использования Unicode

·Поддержка ссылок и продолжений

·Развёртывание в соответствии со схемой данных

·Расширяемость (средствами контроля, дополнительными операциями, и другими возможностями)

Сейчас LDAPv2 является историческим (RFC3494 <#"justify">программный обеспечение каталог

2.1 Локальная служба каталогов


В таком варианте конфигурации Вы запускаете slapd, который будет предоставлять службу каталога только Вашему локальному домену. Он никогда не будет взаимодействовать с другими серверами службы каталогов. Этот вариант конфигурации показан на рисунке 2.1.


Рисунок 2.1: Локальная служба каталогов.


Данная конфигурация применима, если Вы только начинаете знакомиться со службами каталогов (это как раз то, что у Вас получится после воплощения в жизнь руководства по быстрому развёртыванию и запуску), или если Вам нужна только локальная служба каталогов, а связь с остальным миром Вас не интересует.


.2 Локальная служба каталогов с отсылками


В таком варианте конфигурации Вы запускаете slapd, который будет предоставлять службу каталога Вашему локальному домену, и настраиваете его так, чтобы он мог возвращать отсылки на другие серверы, способные обрабатывать запросы. Вы можете сами запустить такую службу (или службы), либо воспользоваться какой-нибудь сторонней. Этот вариант конфигурации показан на рисунке 2.2.


Рисунок 2.2: Локальная служба каталогов с отсылками


Данная конфигурация применима, если Вы хотите организовать локальную службу каталога и принимать участие в Глобальном Каталоге, либо Вы хотите делегировать ответственность за обслуживание нижестоящих записей другому серверу.


.3 Реплицируемая служба каталогов

поддерживает репликацию, основанную на LDAP Sync, называемую syncrepl, которая может использоваться для поддержания теневых копий информации каталога на нескольких серверах службы каталога. В наиболее общем варианте такой конфигурации присутствует основной сервер-поставщик syncrepl и один или несколько подчинённых (или теневых) серверов-потребителей syncrepl. Пример конфигурации с основным и подчинённым серверами показан на рисунке 2.3. Возможна также конфигурация с несколькими главными серверами.



Рисунок 2.3: Реплицируемая служба каталогов


Эта конфигурация может быть использована в сочетании с любой из двух предыдущих в тех ситуациях, когда одиночный сервер slapd не может обеспечить требуемой надежности или доступности.


2.4 Распределённая локальная служба каталогов


В таком варианте конфигурации локальная служба каталогов поделена на более мелкие службы, каждая из которых может быть реплицирована, и эти службы связаны между собой с помощью вышестоящих и нижестоящих отсылок.



3. Сборка и установка программного обеспечения OpenLDAP


Сбобрка и установка пакета программного обеспечения OpenLDAP, включая slapd, Автономный демон LDAP. Сборка и установка ПО OpenLDAP проходит в несколько этапов: установка ПО, от которого зависит OpenLDAP, конфигурирование самого ПО OpenLDAP, сборка, и, наконец, установка.


3.1 Распаковка программного обеспечения


Для общего использования проект предоставляет два вида пакетов. Проект выпускает релизы (releases), в которых доступны новые функции и исправления ошибок. Хотя проект заботится о том, чтобы повысить стабильность этих релизов, проблемы, как обычно, обнаруживаются только после выпуска релиза. Стабильным (stable) релизом считается последний релиз, который продемонстрировал стабильность во время общего использования.

Пользователи программного обеспечения OpenLDAP могут выбирать по своему желанию между новыми возможностями и продемонстрированной стабильностью, и устанавливать наиболее подходящий им вид пакета.

После скачивания программного обеспечения OpenLDAP, Вам нужно распаковать дистрибутив из архива и сменить рабочую директорию на корневую директорию дистрибутива:

gunzip -c openldap-VERSION.tgz | tar xf -

cd openldap-VERSION

Замените VERSION на версию Вашего дистрибутива.

Просмотрите идущие с дистрибутивом документы COPYRIGHT, LICENSE, README и INSTALL. Документы COPYRIGHT и LICENSE дают информацию о разрешениях на использование и копирование, а также об ограниченной гарантии пакета OpenLDAP. В документах README и INSTALL представлена детальная информация о требованиях, предъявляемых пакетом OpenLDAP к установленному на сервере программному обеспечению, и о процедуре установки.


3.2 Программное обеспечение, от которого зависит OpenLDAP


Программное обеспечение OpenLDAP использует для своей работы ряд пакетов, предоставляемых третьими лицами.


3.2.1 Transport Layer Security

Клиенты и серверы OpenLDAP требуют установки библиотек OpenSSL, GnuTLS, или MozNSS TLS для предоставления сервисов Transport Layer Security. Хотя некоторые операционные системы могут предоставлять эти библиотеки как часть основной системы или как дополнительный программный компонент, OpenSSL, GnuTLS, и Mozilla NSS часто требуют отдельной установки.

Программное обеспечение OpenLDAP не будет полностью совместимо с LDAPv3, если его скрипт configure не определит доступность какой-либо библиотеки TLS.


3.2.2 Simple Authentication and Security Layer

Клиенты и серверы OpenLDAP требуют установки библиотеки Cyrus SASL для предоставления сервисов Simple Authentication and Security Layer. Хотя некоторые операционные системы могут предоставлять эту библиотеку как часть основной системы или как дополнительный программный компонент, Cyrus SASL часто требует отдельной установки.

Программное обеспечение OpenLDAP не будет полностью совместимо с LDAPv3, если его скрипт configure не определит доступность установленной Cyrus SASL.



3.2.3 Сервис аутентификации Kerberos

Клиенты и серверы OpenLDAP поддерживают сервисы аутентификации Kerberos. В частности, OpenLDAP поддерживает механизм аутентификации SASL Kerberos V GSS-API, известный как механизм GSSAPI. Чтобы это работало, кроме библиотек Cyrus SASL, требуются библиотеки либо Heimdal, либо MIT Kerberos V.

Настоятельно рекомендуется использовать сервисы строгой аутентификации, такие, как предоставляет Kerberos.


3.2.4 TCP Wrappers

slapd поддерживает TCP Wrappers (фильтры контроля доступа уровня IP), если они предустановлены. Рекомендуется использование TCP Wrappers или других фильтров доступа уровня IP (например таких, которые предоставляются IP-фаерволами) на серверах, содержащих информацию ограниченного распространения.


.3 Запуск configure


Пришло время запустить скрипт configure с опцией --help. В результате Вы получите список опций, которые можно поменять при сборке OpenLDAP. С помощью этого метода можно включить или отключить многие функции OpenLDAP.

./configure --help

Скрипт configure также обращает внимание на некоторые переменные, задаваемые как в командной строке, так и в окружении. Эти переменные включают в себя:


Таблица 4.1: Переменные

ПеременнаяОписаниеCCУказывает альтернативный компилятор CCFLAGSУказывает дополнительные флаги компилятораCPPFLAGSУказывает флаги препроцессора CLDFLAGSУказывает флаги компоновщикаLIBSУказывает дополнительные библиотеки

Теперь запустите скрипт configure с любыми желаемыми опциями конфигурации или переменными.

./configure [опции] [переменная=значение ...]

В качестве примера, предположим, что мы хотим установить OpenLDAP с механизмом манипуляции данными BDB и поддержкой TCP Wrappers. По умолчанию, поддержка BDB включена, а TCP Wrappers - нет. Поэтому нам нужно указать только --enable-wrappers , чтобы добавить поддержку TCP Wrappers:

./configure --enable-wrappers

Однако, выполнение данной команды закончится неудачей, если программное обеспечение, от которого зависит OpenLDAP, не установлено в системных директориях. Например, если заголовочные файлы и библиотеки TCP Wrappers установлены соответственно в /usr/local/include и /usr/local/lib, скрипт configure обычно следует запускать таким образом:

./configure --enable-wrappers \="-I/usr/local/include" \="-L/usr/local/lib -Wl,-rpath,/usr/local/lib"

Чаще всего, скрипт configure сам определяет соответствующие настройки. Если на этом этапе Вы столкнулись с трудностями, проконсультируйтесь с документацией по Вашей платформе и проверьте Ваши опции configure, если Вы их устанавливали.


.4 Сборка программного обеспечения


При удачном окончании работы скрипта configure, последней строкой вывода будет:

Please "make depend" to build dependencies

Если последняя строка отличается, значит выполнение configure окончилось неудачей, и Вам нужно просмотреть вывод скрипта, чтобы определить, что пошло не так. Пока configure не завершится удачно, продолжать дальше не следует.

Чтобы построить зависимости, запустите:depend

Теперь соберём программное обеспечение. На этом этапе происходит фактическая компиляция OpenLDAP.

Вам нужно внимательно изучить вывод этой команды, чтобы убедиться, что всё собрано правильно. Обратите внимание, что эта команда, кроме самого slapd, собирает также библиотеки LDAP и соответствующее клиентское программное обеспечение.


.5 Тестирование программного обеспечения


Когда программное обеспечение было правильно сконфигурировано и успешно собрано, нужно выполнить набор тестов для проверки сборки.test

Будут запущены тесты, применимые к Вашей конфигурации, и они должны успешно пройти. Некоторые тесты, такие, как тест репликации, могут быть пропущены, если они не поддерживаются Вашей конфигурацией.


3.6 Установка программного обеспечения


После того, как Вы успешно протестировали программное обеспечение, пора его установить. Для этого Вам понадобятся права на запись в директории установки, которые Вы указали при запуске configure. По умолчанию, программное обеспечение OpenLDAP устанавливается в /usr/local. Если Вы поменяли эту настройку опцией --prefix при запуске configure, ПО будет установлено в то место, которое Вы указали.

Обычно, установка требует прав администратора. Находясь в корне каталога с исходным кодом OpenLDAP, выполните:root -c 'make install'

и введите соответствую



4. Основные (функциональные) выпуски OpenLDAP

Version 1 был генеральной чисткой кода последнего выпуска LDAP Мичиганского университета (версия 3.3) и объединением дополнительных изменений.

OpenLDAP Version 2.0, выпущенный в августе 2000, содержал значительные улучшения включая поддержку LDAP версии 3 (LDAPv3), протокол интернета версии 6 (IPv6) и многие другие.

OpenLDAP Version 2.1, выпущенный в июне 2002, включал модуль транзакционной базы данных (основанной на базе данных университета Беркли или BDB), Simple Authentication and Security Layer (SASL; уровень простой аутентификации и безопасности), а также экспериментальные модули Meta, Monitor и Virtual .

OpenLDAP Version 2.2, появившийся в декабре 2003, включал движок «sync», поддерживающий репликацию (syncrepl), интерфейс оверлеев и многочисленные функциональные улучшения касающиеся базы данных и стандартов RFC.

OpenLDAP Version 2.3, выпущенный в июне 2005, содержал Конфигуратор (инструмент динамической конфигурации), дополнительные оверлеи, включая соответствующее стандартам RFC ПО политики управления паролями и многие другие улучшения.

OpenLDAP Version 2.4, выпущенный в октябре 2007 года, предоставил механизм репликации «N-way MultiMaster», «ожидающий мастер» и возможность удалять и модифицировать элементы схемы.



Заключение


В результате: что вам может дать LDAP? Практически то, для чего он предназначен,- быстрый и согласованный доступ к адресной информации, включая телефоны и адреса электронной почты, будь то ваши сотрудники, партнеры или клиенты. Если ваша компания нуждается в единой адресной книге и вы хотите сделать ее доступной из стандартных почтовых клиентов - то вам нужно поднимать LDAP-сервер.

Кроме того, как вы можете убедиться, многие системные утилиты воспринимают LDAP как хранилище собственных настроек - и это тоже можно использовать.

Остаются лишь вопросы: на какой платформе ставить сервер (Linux), какой именно (OpenLDAP), как организовать администрирование и делать ли его доступным извне вашей локальной сети. Но это уже не технические, а организационные проблемы, решение которых вам подскажет элементарный здравый смысл.


Список использованных источников


1. <http://pro-ldap.ru/tr/admin24/index.html>

. <http://ru.wikipedia.org/wiki/OpenLDAP>

. http://citforum.ru/operating_systems/linux/ldap_cat/


Содержание Введение . Введение в службы каталогов OpenLDAP .1 Служба каталогов .2 Что такое LDAP .3 Для чего можно использовать LDAP .4 Ка

Больше работ по теме:

КОНТАКТНЫЙ EMAIL: [email protected]

Скачать реферат © 2017 | Пользовательское соглашение

Скачать      Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ