Privacy & Cookies
tento web používá cookies. Pokračováním souhlasíte s jejich použitím. Další informace, včetně toho, jak ovládat soubory cookie.
UPDATE: dnes jsem si uvědomil, že jsem napsal to stejné téma dvakrát, ve dvou různých míst., Tento by měl být považován za kombinované úsilí, ale může číst trochu jako blog Frankenstein. Originál druhého zůstává zde:
tento příspěvek je součástí 5 nové řady LDAP, kterou jsem začal pomáhat lidem, aby si více uvědomili, co je LDAP a jak to funguje.
první část byla zveřejněna zde:
Co je sakra LDAP?
tento příspěvek se zaměří na LDAP servery a klienty.,
Servery vs klienty
V říši zvířat, budete často vidět symbotic vztahy, jako údajný vztah mezi krokodýly a mořský pták, který žere mrtvé věci z krokodýlí zuby.
vztah LDAP klient / server je také symbiotický. Server potřebuje klient na něco ptát a klient potřebuje server aby ho krmit informace.,
Pokud příroda není vaše věc, je to pořád Spider-Man/Jed symbiotický vztah:
V případě, že LDAP klient bude ptát na věci, jako jsou uživatelská jména, domovské adresáře umístění, členství ve skupině, atd. Server by byl zodpovědný za poskytování těchto informací.
LDAP není na rozdíl od jiných protokolů, jako je HTTP, NFS atd. Existuje vztah klienta a serveru. A stejně jako každý úspěšný vztah, musí být někdo mluvit a někdo poslouchat.
mám dvouletého syna. Mluví, ale většina z toho je jen praxe pro něj., Řekne věci jako “ dada, bird truck.“A já řeknu“ pták? Náklaďák? Super!“Je to většinou jednostranný rozhovor, kde jsem v podstatě ACK jeho SYNs. (Musím se dostat ven více)
někdy je to “ dada read book.“A já vyhovím.
konverzace klienta / serveru LDAP se příliš neliší. Klient je můj dvouletý. LDAP server jsem já.
„LDAP, najít informace o uživateli“
“ informace o uživateli? Super! Tady máš!“
na své základně nejsou konverzace LDAP ničím jiným než TCP SYNs a ACKs. Takže při konfiguraci nebo odstraňování problémů by se s nimi mělo zacházet jako s takovými.,
kde se věci zamotají, je, když začnete uvažovat o tom, co je zapotřebí, aby byl vztah klient/server úspěšný. To není dobrý nápad nechat komunikační kanály otevřené pro každého na světě vidět, takže tam jsou některé pravidla následovat, když klienti chtějí mluvit servery.
klient/server configuration
LDAP klienti mohou být cokoliv běží software, který může dotaz LDAP přes RFC-2307 standardy. Windows, Linux, úložný systém OSes atd., Některé operační systémy obsahují vestavěné funkce LDAP (například Windows), které nevyžadují instalaci nic zvláštního. Některé úložné systémy, jako je například NetApp seskupená Data ONTAP, plně podporují LDAP, který dodržuje standard RFC – 2307. Další informace naleznete v části TR-4073: Secure Unified Authentication.
základní informace o síti.
pamatujte, že na jeho základně je to jednoduchá konverzace TCP.
- názvy serverů LDAP, adresy URI nebo IP (je server v DNS? Existují záznamy SRV pro LDAP?,)
- LDAP port (výchozí porty jsou 389 pro LDAP, 636 pro LDAP přes SSL, 3268 pro globální katalog; změnili jste port serveru?)
- může klient mluvit se serverem (směrování?)
než klient může zahájit konverzaci se serverem, musí být nakonfigurován s informacemi o tomto serveru. Konfigurace bude následovat základy modelu OSI, počínaje několika prvními vrstvami zásobníku a zahájí TCP konverzaci se serverem.
běžní klienti LDAP
LDAP mají také tendenci dodržovat stejné standardy jako servery. Proč?, Protože to dává smysl. Klienti mohou stát samostatně z operačního systému, ale některé operační systémy integrují LDAP do své konfigurace ve výchozím nastavení. Windows je příkladem toho, jak integral LDAP je Active Directory.
mezi Další klienty patří (ale jsou rozhodně nejsou omezeny na):
- SSSD
- OpenLDAP
Doufejme, že informace v tomto příspěvku pomohl vyjasnit záměny na LDAP klienty a servery.
některé servery LDAP vám dokonce umožní provést úpravy portu, na kterém poslouchá komunikaci LDAP., To má pomoci zabezpečit servery LDAP tím, že nevyužijete dobře známé porty. U běžných serverů LDAP, jako je Active Directory, je však obtížné používat různé porty než běžné. Při konfiguraci klientů je vždy nutné zkontrolovat konfiguraci serveru LDAP.
poté, co se dostaneme přes připojení TCP, trávíme čas v aplikační vrstvě modelu OSI.
Bind / Login information.
nejprve se musíme starat o ověření serveru LDAP. To je také známé jako vazba., Úroveň autentizace bude záviset na tom, co byl server nastaven tak, aby to umožnil. Nejnižší možná úroveň autentizace je „anonymní“, ale žádný moderní server LDAP ve výchozím nastavení neumožňuje anonymní vazby. Obecně platí, že účet pouze pro čtení na serveru LDAP je vyžadován k ověření serveru k vydání dotazů LDAP.
potřebné informace o vázání jsou součástí konfigurace klienta. Pro nejbezpečnější konfiguraci je preferováno použití ověřovacího systému založeného na lístku nebo klíči před použitím hesel.,
LDAP informace o vyhledávání
po navázání vazby se dotazy provádějí. Povaha dotazů bude záviset na konfiguraci klienta. Jaké schéma používáme? Jaké informace potřebujeme? Nakonfigurovali jsme klienta, aby se ujistil, vyzkoušet LDAP pro informace po celou dobu (přes nsswitch.conf konfigurace)? Řekli jsme klientovi, kde začít hledat informace o serveru LDAP poskytnutím základního DN?
to řekne klientovi, kde začít hledat informace na serveru LDAP.,Formát pro tyto informace jsou rozlišeny názvy (DNs), které pokrývám v části 4. Můžete nastavit základní DN a pak konkrétní DNs pro uživatele, skupiny, netgroups atd. Můžete dokonce určit více míst pro vyhledávání. Myšlenka je zde filtrovat naše vyhledávání, aby se věci urychlily pro klienty.
Fun fact: Apple auto-opravuje DNs na DNS. To není v pohodě, Apple. To není v pohodě.
jakmile má klient LDAP potřebné informace, měl by se uvolnit – Nechceme zůstat přihlášeni neomezeně dlouho. To je prase na zdroje.
LDAP schema information
i cover schemas in detailly on part 3., Mnoho klientů ví o výchozích schématech LDAP, jako jsou RFC-2307, RFC-2307bis atd. Ve většině případů se schémata na Serveru z toho nebudou zbloudit. Ale v některých případech, například prostřednictvím ručního zásahu nebo 3rd party nástroje, jako je Dell Vintela (také známý jako Centrify, Quest, atd.), může být nutné provést úpravy. To lze provést na klientovi. To umožňuje klientovi požádat o správné informace ze serveru, což pak umožňuje serveru najít informace a reagovat na klienta.,
možnosti specifické pro klienta
mnoho klientů nabízí specifické možnosti, jako je ukládání do mezipaměti uživatelů/skupin, pověření, konfigurace Kerberos atd. Ty jsou obecně volitelné, ale měly by být zkoumány na základě dodavatele podle klienta.
Ukázka konfigurace klienta
následující text je příklad toho, co clustered Data ONTAP LDAP klient by vypadat takto:
Toto je to, co můj klient konfiguraci běží SSSD vypadá takto:
Servery
Pokud chcete někde pro klienty se zeptat na informace, budete potřebovat server., Server musí mít platné schéma RFC – 2307, aby obsahovalo potřebné objekty LDAP. Pokud děláte UNIX-based LDAP a chcete používat Microsoft Active Directory slouží UNIX-based authentication, pak musíte zajistit, že server má UNIX atributy ve schématu. Zatímco Microsoft Active Directory běží na LDAP backend, není to pravda UNIX-založené LDAP serveru, dokud se rozšířit schéma. Mluvím trochu o tom ve svém blogu na IDMU.
jak je uvedeno v sekci klient, potřebujete spoustu informací pro konfiguraci klientů. Server je místo, odkud tyto informace pocházejí., Zde jsou věci, které musíte zkontrolovat na serveru, abyste zajistili správnou konfiguraci vašich klientů:
- informace o síti serveru (IP adresa, název hostitele, položky DNS, záznamy SRV, porty serveru LDAP atd.)
- Podporované vázat úroveň (použijte nejsilnější dostupné, pokud je to možné)
- Platný vázat uživatele nebo SPN
- DN informací
- Schéma typ/atributy
LDAP servery lze uspořádat spoustu informací. UNIX creds, Windows creds, netgroups, IP adresy, SPNs, pravidla mapování názvů…. Záleží jen na tom, co klienti podporují, což určuje, co můžete použít.,
běžné LDAP servery
LDAP servery mají tendenci dodržovat společný soubor norem definovaných IETF. To má zajistit širokou škálu podpory pro klienty., Některé z více společné LDAP servery zahrnují (ale nejsou omezeny na):
- Active Directory
- OpenLDAP
- RedHat Adresáře Server/389 Directory Server
- Apple Open Directory
- Oracle Internet Directory
- ApacheDS
LDAP Doporučení
Pokud používáte více serverů LDAP a je klient není schopen najít objekt v zadaném serveru LDAP domény, může pokus o použití LDAP postoupení podívejte se i na ostatní servery., V podstatě bere informace na serveru LDAP o jiných serverech, o kterých víme, a pokouší se k nim připojit přes LDAP URI, dokud buď a) nenajde objekt nebo b) vyčerpá servery, aby to zkusil. To se může stát jak na serverech Windows, tak na serverech LDAP bez Windows. Někteří klienti LDAP nepodporují „nahánění doporučení“, takže je důležité vědět, zda se to děje ve vašem prostředí a zda je váš klient schopen pronásledovat doporučení.,
vyhledávání v globálním katalogu
V Active Directory je možné uložit kopii atributů z více domén v lese na lokálních řadičích domén působících jako globální katalogové servery. Ve výchozím nastavení se atributy Unixu neopakují do globálního katalogu, ale podle potřeby můžete toto chování změnit. Zabývám se tím, jak to udělat v TR-4073. Potřebujete-li dotaz více domén ve stejné doménové struktuře a chcete se vyhnout LDAP doporučení, můžete jednoduše replikovat potřebné atributy a změnit LDAP port 3268 nechat se servery používat Globální Katalog místo!,
Moje prostředí
ve svém prostředí používám Active Directory LDAP se správou Identity. Ale bylo mi známo, že používám služby OpenLDAP a RedHat Directory. Oba jsou dokonale platné k použití. Nicméně, pokud máte v úmyslu dělat multiprotocol NAS (CIFS/SMB a NFS), důrazně doporučuji používat Microsoft Active Directory pro autentizaci pro uživatele UNIX a Windows. Dělá život nekonečně jednodušší.
Pokud již používáte LDAP založený na Linuxu, je to v pořádku. Pokud je to možné, zkuste zajistit, aby uživatelská jména UNIX (atribut UID LDAP) odpovídala uživatelským jménům systému Windows (atribut sAMAccount)., Tímto způsobem, pokud používáte multiprotocol NAS, nemusíte se starat o mapování jmen.
Pokud chcete vidět něco přidaného k tomuto příspěvku, pokud jde o servery a klienty LDAP, neváhejte komentovat nebo mě sledovat na Twitteru @NFSDudeAbides!
Wrap-up
podrobnější informace o konfigurace LDAP (zejména s NetApp clustered Data ONTAP), viz TR-4073: Zajistit Jednotné Autentizace.
také zůstaňte naladěni na více v řadě základů LDAP na tomto blogu!,
odkazy na další sekce naleznete na prvním příspěvku v této sérii:
Co to sakra je LDAP?