1 / 37

Metadirectory Services

Metadirectory Services. 04.05.2005. Mathias Schindler. Inhaltsübersicht. Definition Metadirectory Services LDAP Einsatz an der HTWK. I. Metadirectories. Motivation: - Zugriff von Anwendungen ist nicht mehr auf lokale Ressourcen oder LAN beschränkt

eithne
Download Presentation

Metadirectory Services

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Metadirectory Services 04.05.2005 Mathias Schindler

  2. Inhaltsübersicht • Definition Metadirectory Services • LDAP • Einsatz an der HTWK

  3. I. Metadirectories Motivation: - Zugriff von Anwendungen ist nicht mehr auf lokale Ressourcen oder LAN beschränkt → führt zu einer Vielzahl an bereitzustellenden Informationen - im Alltag ablage von häufig benötigten Informationen in Verzeichnissen (Gelbe Seiten, Bibliotheksverzeichnisse, ...) → daran angelehnt entstanden Verzeichnisdienste wie NIS, DNS, WhoIs, ... - für einfachere Durchsuchbarkeit können Informationen hierarchisch Strukturiert werden

  4. I. Metadirectories Eigenschaften: • für lesenden Zugriff optimierter Datenspeicher→ einfaches Durchsuchen und Finden von Informationen • Inhaltstyp eher statisch • nicht geeignet für Daten die sich häufig ändern • standortunabhängig • ermöglichen Datenreplikation und Partitionierung • ein Verzeichnis muss keine sicheren Transaktionen unterstützen

  5. I. Metadirectories Struktur: • Informationen werden in Entries abgelegt, diese können Attribute besitzen • starke Beschränkung in der Wahl der Datentypen→ Verzeichnisdienst Kundenkontakte enthält nur Namen, Adressen, etc. • oft vereinfachte Zugangsprotokolle die kaum Anwendungslogik in den Anfragen zulassen

  6. I. Metadirectories Typen: • anwendungsspezifische[alias Datei für sendmail, config Files von Anwendungen, ...] • anwendungsunabhängige zweckgebundene(nicht veränderbare oder erweiterbare Datentypen)[lokale hosts-Datei, DNS - Verzeichnis] • (netzwerk-)betriebssystemspezifische[lokale passwd-, group - Datei, NIS, ADS, Novell NDS] • standardisierte allgemeine (anwendungsunabhängige)[X.500, DAP - Varianten, LDAP]

  7. I. Metadirectories Was können Verzeichnisse nicht leisten: • ein Verzeichniss ist keine Allzweckdatenbank • ein Verzeichnis ist kein Dateisystem • ein Verzeichnis ist kein Ersatz für eine lokale Dateiablage • ein Verzeichnis ist kein 'Netzwerkmanagement-Tool'

  8. I. Metadirectories Bei der Verwendung von Verzeichnissen ist zu beachten: • Allgemeinheit und Erweiterbarkeit/Veränderbarkeit • Zentralisierung • Interoperabilität • Standardisierung

  9. II. LDAP Entstehung: • LDAP ist als „leichtgewicht“ - Ersatz zum DAP von X.500 gedacht • X.500 ist von OSI Spezifizierter Verzeichnisdienst (1985) • X.500 setzt auf einen kompletten ISO/OSI Stack auf→ rechenintensiv, schwierige Implementierung • X.500 Zugriffsprotokoll DAP besitzt mächtigen Funktions- und Kontrollumfang • X.500 konnte sich nie richtig etablieren

  10. II. LDAP Entstehung: • LDAP wurde 1995 entwickelt • LDAP stellt vereinfachte Form von DAP dar • das Ziel von LDAP ist, Verzeichnisdienste einfacher und somit populärer zu machen • LDAP setzt auf einen TCP/IP Stack auf • LDAP implementiert nur einige DAP - Funktionen und Datentypen, trotzdem können die fehlenden emuliert werden

  11. II. LDAP Entstehung:

  12. II. LDAP Struktur: • Struktur wird durch ein Schema bestimmt • Scheme definiert Objektklassen • jeder Verzeichniseintrag gehört zu einer Klasse • ein Verzeichniseintrag ist ein eigenständiges aus Attributen zusammengesetztes Objekt, eindeutig identifiziert durch Distinguished Name (DN) • Attribute haben einen bestimmten Typ und einen oder mehrere Werte, Typenbezeichnungen meist Kürzel(cn = common name), erlaubte Werte vom Typ abhängig

  13. II. LDAP Funktionales Modell: • Authentifizieren • Suchen • Vergleichen • Modifizieren

  14. II. LDAP Authentifizieren: • unverschlüsselte anonyme Sitzung (kein Benutzername, kein Passwort) • unverschlüsselte authentifizierte Sitzung (Benutzername, Passwort) • verschlüsselte authentifizierte Sitzung

  15. II. LDAP Suchen: • es ist möglich nur einen Teil des DIT zu durchsuchen • Startpunkt der Suche spezifizierbar • Angabe eines Suchbereichs (scope) möglich • Attribute die ein zu suchender Eintrag besitzen muss, sowie welche zurückgegeben werden, kann angegeben werden • Suchfilter (Bedingungen) sind definierbar

  16. II. LDAP Suchparameter: • base: DN für den Suchstartpunkt • scope: Suchbereich, mögliche Werte: • base: nur Startobjekt selbst wird untersucht • one: direkte Kindobjekte von base, jedoch nicht es selbst • sub: base und gesamter Teilbaum darunter • Suchfilter: (Attribut-)Bedingungen, die ein Treffer erfüllen muß; Boolean-Kombinationen von Bedingungen sind möglich • Limits: Zeit- und Mengenbeschränkungen für Suchoperationen

  17. II. LDAP Vergleichen: • überprüft ob ein Eintrag ein Attribut mit einem bestimmten Wert hat • == → true • != → false • nicht vorhanden → 'not found'

  18. II. LDAP Modifizieren: • folgende Befehle sind vorhanden: • add Hinzufügen von Objekten • delete Löschen von Objekten • modifyDN Umbenennen/Verschieben von Objekten • modify Ändern/Hinzufügen/Löschen von Attributen • entsprechende Befehle auch in LDIF Dateien einfügbar

  19. II. LDAP LDIF: • da LDAP nur Protokoll, interne Darstellung der Daten nicht spezifiziert→ Bedarf eines einheitliches Austauschformates zw. heterogenen Systemen (LDIF) • textuelle Darstellung der Daten eines Verzeichnisses • menschenlesbare Darstellung und einfach interpretierbar • mehrere LDIF - Zeilen beschreiben ein LDAP Objekt

  20. II. LDAP LDIF: dn: dc=structure-net, dc=de - am Anfang steht der DN (absolute Position im LDAP Baum) objectclass: organization - es folgen ein oder mehrere Objektklassen (zulässige oder objectclass: top vorgeschriebene Attribute) o: Structure Net - Attribut - Wert Paare stellen den eigenltichen Inhalt dar l: Hamburg postalcode: 21033 streetadress: Billwiese 22 - eine Leerzeile schließt den Eintrag ab dn: uid=admin, dc=structure-net, dc=de objectclass: person objectclass: organizationalperson objectclass: inetorgperson cn: admin cn: Systemverwalter cn: Thomas Bendler sn: Bendler uid: admin mail: tbendler@structure-net.de l: Hamburg postalcode: 21033 streetadress: billwiese 22 telephonenumber: 040-7654321 facsmiletelephonenumber: 040-7654321

  21. II. LDAP Sicherheit: • 2 Arten der Sicherheit: • Zugrifsssicherung auf Objekte mittels ACLs • Verbindungssicherung (s. Nutzerauthentifizierung) • Verbindungssicherung: • neben unverschlüsselter Authentifizierung unterstützt LDAP auch SASL (somit sind Digest, Keberos, MD5, u.a. verfahren Nutzbar) • zusätzliche Sicherung der Verbindung mit SSL/TLS möglich • Zugriffssicherung: • mittels ACLs können Rechte jedes Objektes spezifiziert werden

  22. II. LDAP Replikation: • Gründe für Replikation: • Ausfallsicherheit • Lastverteilung, Zugriffe verteilbar • unterscheidung zw. Master und Replica • Replica ist READ-ONLY-Kopie des Masters • Clients die am Replica angemeldet sind und Änderungen vollziehen wollen, werden an Master weitergeleitet • Replica gleicht Daten regelmäßig mit Master ab • inkrementelle und komplette Synchronisation zw. Master und Replica möglich • Synchronisation kann kaskadieren (z.B. Replica ist Datenquelle für weiter Replicas)

  23. II. LDAP Partitionierung: • Gründe für Partitionierung: • Verzeichnis enthält zuviele Daten (Serverkapazität erschöpft) • kleinere Verzeichnisse haben besser Zugriffsgeschwindigkeit • hoher Repklikationsaufwand durch die Menge der Daten • Partitionierung ist die Aufteilung des Baumes in mehrere Teilbäume auf mehreren Servern • Partitiononierung erfolgt an grenzen von Containerobjekten • Verlinkung von Partitionen mittels Verweise (Anfragen werden weitergeleitet) • Replizierung von Partitionen möglich

  24. II. LDAP Verwendung von LDAP:

  25. II. LDAP Folgende Verzeichnisserver unterstützen LDAP: * Apple (durch Open Directory), * AT&T, * Banyan, * Critical Path, * HP, * GONICUS, * IBM/Lotus, * Microsoft (durch ADS), * Novell (durch NDS), * Oracle (durch Oracle Internet Directory), * SGI, * Siemens (durch Siemens DirX Directory Server), * Sun (durch Sun ONE Directory Server).

  26. II. LDAP Anwendungen: • Verwalten von Benutzerinformationen • Verwaltung von Gruppen • Verwalten von Netzwerkkonfigurationen • Konfigurieren und Verwalten von Anwendungen (z.B. sendmail, apache, samba, OS-login) • Verwendung als Zertifikatsserver (Aufbau einer PKI) • Nachbildung eines NT-Servers, mit weiteren OpenSource Tools ist somit ein zentral verwaltbares Win/Unix Netzwerk mit Single-Sign-On möglich

  27. II. LDAP LDAP Entwicklung: • durch einfache Befehle leicht in vorhanden Anwendungen integrierbar • LDAP-APIs für viele Programmiersprachen verfügbar • Extensions (Request - Response Paar, z.B. Start TLS) • Controls (ermöglicht das Hinzufügen eigener Funktionalitäten) • demnächst auch XML zur Datenspeicherung und Datenübertragung

  28. III. Einsatz an der HTWK Einsatzmöglichkeiten: • Abbilden von Organisationsstrukturen • Gruppenverwaltung • Benutzerverwaltung • single-sign-on für bestehende Lösungen

More Related