<

privatliv& Cookies

dette .ebsted bruger cookies. Ved at fortsætte accepterer du deres brug. Få flere oplysninger, herunder hvordan du kontrollerer cookies.

fik det!

Reklamer

OPDATERING: jeg indså i dag, at jeg skrev det samme spørgsmål to gange, i to forskellige stillinger., Denne skal betragtes som den kombinerede indsats, men kan læse lidt som en blog Frankenstein. Original af den anden forbliver her oppe:

dette indlæg er del 5 af den nye LDAP-serie, jeg er begyndt at hjælpe folk med at blive mere opmærksomme på, hvad LDAP er, og hvordan det fungerer.første del blev sendt her:

hvad pokker er en LDAP alligevel?

dette indlæg vil fokusere på LDAP-servere og klienter.,

Servere vs klienter

I dyreriget, vil du ofte se symbotic relationer, som det påståede forhold mellem krokodiller og plover fugl, der spiser døde ting fra croc ‘ s tænder.

LDAP klient / server forholdet er også symbiotisk. Serveren har brug for klienten til at stille det spørgsmål, og klienten har brug for serveren til at fodre den information.,

Hvis naturen ikke er din ting, er der altid Spider-Man/Venom symbiotisk forhold:

i tilfælde af LDAP vil en klient bede om ting som brugernavne, hjemmekatalogplaceringer, gruppemedlemskaber osv. Serveren ville være ansvarlig for at levere disse oplysninger.

LDAP er ikke i modsætning til andre protokoller, såsom HTTP, NFS osv. Der er en klient og server forhold. Og ligesom enhver vellykket forhold, der skal være nogen taler og nogen lytter.

Jeg har en to år gammel søn. Han taler, men det meste er bare praksis for ham., Han vil sige ting som “far, fugl lastbil.”Og jeg vil sige” fugl? Lastbil? Fedt!”Det er for det meste en ensidig samtale, hvor jeg i det væsentlige ACK hans SYNs. (Jeg har brug for at komme ud mere)

Nogle gange er det “dada læse bog.”Og jeg overholder.

LDAP klient / server samtaler er ikke meget forskellige. Klienten er min to år gammel. LDAP-serveren er mig.

“LDAP, find brugeroplysninger”

“brugeroplysninger? Fedt! Værsgo!”

i sin meget base er LDAP-samtaler intet andet end TCP SYNs og ACKs. Så når du konfigurerer eller fejlfinding, skal de behandles som sådan.,

hvor tingene bliver forvirrede er, når du begynder at overveje, hvad det kræver for et klient / serverforhold at være vellykket. Det er ikke en god ide at lade kommunikationskanalerne være åbne for alle i verden at se, så der er nogle regler, vi skal følge, når klienter vil tale med servere.

klient/serverkonfiguration

LDAP-klienter kan være alt, hvad der kører soft .are, der kan forespørge LDAP via RFC-2307-standarder. Windowsindo .s, Linu., storage system OS ‘ er osv. kan alle fungere som klienter., Nogle operativsystemer indeholder indbygget LDAP-funktionalitet (såsom Windowsindo .s), der ikke kræver, at du installerer noget specielt. Nogle lagringssystemer, såsom NetApps grupperede data ONTAP, understøtter fuldt ud LDAP, der overholder RFC-2307-standarden. For mere information, se TR-4073: sikker Unified Authentication.

grundlæggende netværksoplysninger.

husk, på sin base er det en simpel TCP-samtale.

  • LDAP-servernavne, URI eller IP-adresser (er serveren i DNS? Er der SRV-poster for LDAP?,
  • LDAP-port (standardporte er 389 for LDAP, 636 for LDAP over SSL, 3268 for globalt katalog; ændrede du serverporten?)
  • kan klienten tale med serveren (routing?)

før en klient kan starte en samtale med en server, skal den konfigureres med oplysninger om den server. Konfigurationen følger det grundlæggende i OSI-modellen, der starter ved de første par lag i stakken for at starte en TCP-samtale med serveren.

almindelige LDAP-klienter

LDAP-klienter har også en tendens til at overholde de samme standarder som serverne. Hvorfor?, Fordi det giver mening. Klienter kan stå alene fra et operativsystem, men nogle operativsystemer integrerer LDAP som standard i deres konfiguration. Windowsindo .s er et eksempel på dette på grund af, hvordan integreret LDAP er til Active Directory.

andre klienter inkluderer (men er bestemt ikke begrænset til):

  • SSSD
  • OpenLDAP

forhåbentlig har oplysningerne i dette indlæg hjulpet med at fjerne enhver forvirring på LDAP-klienter og servere.

nogle LDAP-servere giver dig endda mulighed for at foretage ændringer i den port, den lytter til for LDAP-kommunikation., Dette er for at hjælpe med at sikre LDAP-servere ved ikke at udnytte velkendte porte. Med almindelige LDAP-servere som Active Directory er det imidlertid vanskeligt at bruge forskellige porte end de almindelige. Når du konfigurerer klienterne, skal LDAP-serverkonfigurationen altid gennemgås.

når vi kommer forbi TCP-forbindelsen, bruger vi vores tid i applikationslaget i OSI-modellen.

Bind / Login-oplysninger.

først skal vi bekymre os om godkendelse til LDAP-serveren. Dette er også kendt som bindende., Godkendelsesniveauet afhænger af, hvad serveren er indstillet til at tillade. Det lavest mulige godkendelsesniveau er “anonymt”, men ingen moderne LDAP-server tillader anonyme bindinger som standard. Generelt kræves en skrivebeskyttet konto på LDAP-serveren for at godkende til en server for at udstede LDAP-forespørgsler.

de nødvendige bindingsoplysninger er inkluderet i klientkonfigurationen. For den mest sikre konfiguration foretrækkes brug af et billet-eller nøglebaseret godkendelsessystem frem for brug af adgangskoder.,

LDAP-søgeoplysninger

Når en binding finder sted, udføres forespørgslerne. Arten af forespørgslerne afhænger af klientkonfigurationen. Hvilket skema bruger vi? Hvilke oplysninger har vi brug for? Har vi konfigureret klienten til at sørge for at prøve LDAP for information til enhver tid (via NSS .itch.conf konfiguration)? Fortalte vi klienten, hvor vi skulle begynde at lede efter oplysninger på LDAP-serveren ved at levere basen DN?

dette fortæller klienten, hvor man skal begynde at lede efter oplysninger i LDAP-serveren.,Formatet for denne information er Distinguished Names( DNs), som jeg dækker i del 4. Du kan indstille en base DN og derefter specifik DNs for brugere, grupper, netgrupper osv. Du kan endda angive flere steder at søge. Ideen her er at filtrere vores søgninger for at fremskynde tingene for kunderne.

sjovt faktum: Apple korrigerer automatisk DNs til DNS. Ikke cool, Apple. Ikke cool.

Når LDAP – klienten har de nødvendige oplysninger, skal den løsnes-vi ønsker ikke at forblive logget ind på ubestemt tid. Det er en ressource hog.

LDAP schema information

Jeg dækker skemaer i detaljer på Del 3., Mange kunder kender til STANDARDSKEMAERNE LDAP bruger, såsom RFC-2307, RFC-2307bis osv. I de fleste tilfælde vil skemaerne på serveren ikke afvige fra det. Men i nogle tilfælde, såsom gennem manuel indgriben eller 3.parts værktøjer som Dell Vintela (også kendt som Centrify, Questuest osv.), kan der være behov for at foretage justeringer. Dette kan gøres på klienten. Dette giver klienten mulighed for at bede om de rigtige oplysninger fra serveren, som derefter giver serveren mulighed for at finde oplysningerne og svare på klienten.,

Klientspecifikke indstillinger

mange klienter tilbyder specifikke muligheder som caching af brugere / grupper, legitimationsoplysninger, Kerberos-konfiguration osv. Disse er generelt valgfri, men bør undersøges på en per-klient leverandør basis.

Prøve klient konfiguration

følgende er et eksempel på, hvad en grupperet Data ONTAP LDAP-klient, der ville se sådan ud:

Dette er, hvad min klient konfiguration kører AUTOPROJECT ser sådan ud:

Servere

Hvis du ønsker et sted for de kunder, til at bede om information, du har brug for en server., Serveren skal have et gyldigt RFC-2307-skema for at indeholde de nødvendige LDAP-objekter. Hvis du laver UNI.-baseret LDAP og vil bruge Microsoft Active Directory til at betjene UNI. – baseret godkendelse, skal du sikre dig, at serveren har UNI. – attributter i skemaet. Mens Microsoft Active Directory kører på en LDAP-backend, er det ikke sandt UNI.-baseret LDAP-server, før du udvider skemaet. Jeg taler lidt om dette i mit blogindlæg på IDMU.

som nævnt i klientafsnittet har du brug for en masse information for at konfigurere klienter. Serveren er, hvor disse oplysninger kommer fra., Her er de ting, du skal kontrollere på serveren for at sikre, at du konfigurerer dine klienter korrekt:

  • Servernetværksinfo (IP-adresse, værtsnavn, DNS-poster, SRV-poster, LDAP-serverporte osv.)
  • understøttet bindingsniveau (brug det stærkeste tilgængelige, hvis muligt)
  • gyldig bind bruger eller SPN
  • DN information
  • Schema type/attributter

LDAP-servere kan være vært for tonsvis af information. UNI. bruger creds, Windowsindo .s creds, netgroups, IP-adresser, SPN ‘ er, navn kortlægning regler…. Det afhænger bare af, hvad klienterne understøtter, der bestemmer, hvad du kan bruge.,

almindelige LDAP-servere

LDAP-servere har alle en tendens til at overholde et fælles sæt standarder som defineret af IETF. Dette er for at sikre en bred vifte af support til kunder., Nogle af de mere almindelige LDAP-servere, kan omfatte (men er ikke begrænset til):

  • Active Directory
  • OpenLDAP
  • RedHat Directory Server/389 Directory-Server
  • Apple Åben Mappe
  • Oracle Internet Directory
  • ApacheDS

LDAP-Henvisninger

Hvis du anvender flere forskellige LDAP-servere og klient ikke i stand til at finde et objekt i den angivne LDAP-serverens domæne, det kan forsøge at bruge en LDAP-henvisning til at se på de andre servere., I det væsentlige tager det information i LDAP-serveren om andre servere, vi kender til, og forsøger at oprette forbindelse til dem via LDAP URI, indtil det enten A) finder objektet eller b) løber tør for servere at prøve. Dette kan ske i både LDINDO .s og ikke-LDINDO .s LDAP-servere. Nogle LDAP-klienter understøtter ikke “henvisningsjagt”, så det er vigtigt at vide, om dette sker i dit miljø, og om din klient er i stand til at jage henvisninger.,

Global Catalog-Søgninger

I Active Directory, er det muligt at gemme en kopi af attributter fra flere domæner i en skov på lokale domæne controllere der fungerer som Global Catalog-servere. Som standard kopieres UNI. – attributter ikke til det globale katalog, men du kan ændre denne adfærd efter behov. Jeg dækker, hvordan man gør dette i tr-4073. Hvis du har brug for at forespørge flere domæner i den samme skov og vil undgå LDAP-henvisninger, kan du blot gentage de nødvendige attributter og ændre LDAP-porten til 3268 for at lade serverne vide at bruge det globale katalog i stedet!,

mit miljø

i mit miljø bruger jeg Active Directory LDAP med Identity Management. Men jeg har været kendt for at bruge OpenLDAP og RedHat Directory Services. Begge er helt gyldige at bruge. Men hvis du er opsat på at gøre multiprotocol NAS (CIFS/SMB og NFS), jeg foreslår kraftigt at bruge Microsoft Active Directory til godkendelse for UNIX-og Windows-brugere. Gør livet uendeligt lettere.

Hvis du allerede bruger Linu.-baseret LDAP, er det fint. Prøv om muligt at sikre, at UNI. – brugernavne (UID LDAP-attribut) matcher userindo .s-brugernavne (sAMAccount-attribut)., På den måde, hvis du bruger multiprotocol NAS, behøver du ikke bekymre dig om navnekortlægning.

Hvis du vil se noget tilføjet til dette indlæg vedrørende LDAP-servere og klienter, er du velkommen til at kommentere eller følge mig på T !itter @nfsdudeabides!

Wrap-up

For mere detaljerede oplysninger om LDAP-opsætningen (især med NetApp grupperet Data ONTAP), se TR-4073: Secure Samlet Godkendelse.

også, stay tuned for mere i serien af LDAP basics på denne blog!,links til andre sektioner kan findes på det første indlæg i denne serie:

hvad pokker er en LDAP alligevel?

annoncer

Articles

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *