LDAP::Servidores LDAP y Clientes – Parte 5

ACTUALIZACIÓN: me di cuenta hoy que escribí en este mismo tema dos veces, en dos puestos diferentes., Este debe considerarse el esfuerzo combinado, pero puede leerse un poco como un blog Frankenstein. Original de la otra permanece aquí arriba:

Este post es parte 5 de la nueva serie LDAP he comenzado a ayudar a la gente a ser más consciente de lo que es LDAP y cómo funciona.

La primera parte se publicó aquí:

¿Qué diablos es un LDAP de todos modos?

esta publicación se centrará en servidores y clientes LDAP.,

servidores vs clientes

en el reino animal, a menudo verá relaciones simbóticas, como la supuesta relación entre los cocodrilos y el chorlito, que come cosas muertas de los dientes del cocodrilo.

la relación cliente / servidor LDAP también es simbiótica. El servidor necesita que el cliente le haga preguntas y el cliente necesita que el servidor le proporcione información.,

si la naturaleza no es lo tuyo, siempre está la relación simbiótica Spider-Man/Venom:

en el caso de LDAP, un cliente pedirá cosas como nombres de usuario, ubicaciones de directorios personales, membresías de grupos, etc. El servidor sería responsable de entregar esa información.

LDAP no es diferente de otros protocolos, como HTTP, NFS, etc. Existe una relación cliente-servidor. Y al igual que cualquier relación exitosa, tiene que haber alguien hablando y alguien escuchando.

tengo un hijo de dos años. Él habla, pero la mayor parte es solo práctica para él., Dirá cosas como » papá, camión pájaro.»Y yo diré» Bird? Camión? ¡Órale!»Es sobre todo una conversación unilateral donde esencialmente ACK su SYNs. (Necesito salir más)

a veces, es » dada leer libro.»Y obedezco.

Las conversaciones cliente / servidor LDAP no son muy diferentes. El cliente es mi hijo de dos años. El servidor LDAP soy yo.

«LDAP, buscar información del usuario»

«información del Usuario? ¡Órale! ¡Aquí tienes!»

en su base, las conversaciones LDAP no son más que SYNs y ACKs TCP. Por lo tanto, al configurar o solucionar problemas, deben tratarse como tales.,

donde las cosas se confunden es cuando empiezas a considerar lo que se necesita para que una relación cliente/servidor tenga éxito. No es una buena idea dejar los canales de comunicación abiertos para que todos en el mundo los vean, por lo que hay algunas reglas que tenemos que seguir cuando los clientes quieren hablar con los servidores.

configuración de cliente / servidor

los clientes LDAP pueden ser cualquier cosa que ejecute software que pueda consultar LDAP a través de los estándares RFC-2307. Windows, Linux, Sistemas Operativos del sistema de almacenamiento, etc todos pueden actuar como clientes., Algunos sistemas operativos contienen funcionalidad LDAP incorporada (como Windows) que no requiere que instale nada especial. Algunos sistemas de almacenamiento, como el clustered Data ONTAP de NetApp, son totalmente compatibles con LDAP que se adhiere al estándar RFC-2307. Para obtener más información, consulte TR-4073: autenticación unificada segura.

información básica de red.

recuerde, en su base, es una simple conversación TCP.

• nombres de servidor LDAP, URI o direcciones IP (¿el servidor está en DNS? ¿Hay registros SRV para LDAP?,)
• puerto LDAP (los puertos predeterminados son 389 para LDAP, 636 para LDAP sobre SSL, 3268 para catálogo Global; ¿ha cambiado el puerto del servidor?)
• Puede el cliente hablar con el servidor (enrutamiento?)

antes de que un cliente pueda iniciar una conversación con un servidor, debe configurarse con información sobre ese servidor. La configuración seguirá los conceptos básicos del modelo OSI, comenzando en las primeras capas de la pila para iniciar una conversación TCP con el servidor.

clientes LDAP comunes

los clientes LDAP también tienden a adherirse a los mismos estándares que los servidores. ¿Por qué?, Porque tiene sentido. Los clientes pueden independizarse de un sistema operativo, pero algunos sistemas operativos integran LDAP en su configuración de forma predeterminada. Windows es un ejemplo de esto debido a lo integral que es LDAP para Active Directory.

otros clientes incluyen (pero ciertamente no se limitan a):

• SSSD
• OpenLDAP

esperemos que la información en este post haya ayudado a aclarar cualquier confusión en los clientes y servidores LDAP.

algunos servidores LDAP incluso le permitirán realizar modificaciones en el puerto en el que escucha para la comunicación LDAP., Esto es para ayudar a proteger los servidores LDAP al no aprovechar puertos bien conocidos. Sin embargo, con servidores LDAP comunes como Active Directory, es difícil usar puertos diferentes de los Comunes. Al configurar los clientes, siempre es necesario revisar la configuración del servidor LDAP.

después de pasar la conexión TCP, pasamos nuestro tiempo en la capa de aplicación del modelo OSI.

Bind / información de inicio de sesión.

primero tenemos que preocuparnos de autenticarnos en el servidor LDAP. Esto también se conoce como unión., El nivel de autenticación dependerá de lo que el servidor ha sido configurado para permitir. El nivel de autenticación más bajo posible es «anónimo», pero ningún servidor LDAP moderno permite enlaces anónimos de forma predeterminada. Generalmente, se requiere una cuenta de solo lectura en el servidor LDAP para autenticarse en un servidor para emitir consultas LDAP.

la información de enlace necesaria se incluye en la configuración del cliente. Para la configuración más segura, se prefiere usar un sistema de autenticación basado en tickets o claves en lugar de usar contraseñas.,

información de búsqueda LDAP

después de que se realiza un enlace, se realizan las consultas. La naturaleza de las consultas dependerá de la configuración del cliente. ¿Qué esquema estamos usando? ¿Qué información necesitamos? Hemos configurado el cliente para asegurarnos de probar LDAP para obtener información en todo momento (a través de nsswitch.conf configuración)? ¿Le dijimos al cliente dónde empezar a buscar información en el servidor LDAP proporcionando el DN base?

esto le indica al cliente dónde empezar a buscar información en el servidor LDAP.,El formato para esta información es nombres distinguidos (DNs), que cubro en la parte 4. Puede establecer un DN base y luego un DNs específico para usuarios, grupos, netgroups, etc. Incluso puede especificar varias ubicaciones para buscar. La idea aquí es filtrar nuestras búsquedas para acelerar las cosas para los clientes.

dato curioso: Apple corrige automáticamente DNs A DNS. No está bien, Apple. No mola.

una vez que el cliente LDAP tiene la información necesaria, debe des – enlazar-no queremos permanecer conectado indefinidamente. Es un cerdo de recursos.

información del esquema LDAP

cubro esquemas en detalle en la parte 3., Muchos clientes conocen los esquemas predeterminados que utiliza LDAP, como RFC-2307, RFC-2307bis, etc. En la mayoría de los casos, los esquemas en el servidor no se desviarán de eso. Pero en algunos casos, como a través de la intervención manual o herramientas de terceros como Dell Vintela (también conocido como Centrify, Quest, etc.), puede haber necesidad de hacer ajustes. Esto se puede hacer en el cliente. Esto permite que el cliente solicite la información correcta del servidor, lo que permite que el servidor encuentre la información y responda al cliente.,

opciones específicas del cliente

muchos clientes ofrecen opciones específicas como el almacenamiento en caché de usuarios / grupos, credenciales, configuración de Kerberos, etc. Estos son generalmente opcionales, pero deben ser considerados en una base de Proveedor por cliente.

ejemplo de configuración de cliente

el siguiente es un ejemplo de cómo se vería un cliente LDAP de clustered Data ONTAP:

así es como se ve mi configuración de cliente ejecutando SSSD:

servidores

Si desea un lugar para que los clientes soliciten información, necesita un servidor., El servidor necesita tener un esquema RFC-2307 válido para contener los objetos LDAP necesarios. Si está haciendo LDAP basado en UNIX y desea usar Microsoft Active Directory para servir la autenticación basada en UNIX, debe asegurarse de que el servidor tenga Atributos UNIX en el esquema. Mientras que Microsoft Active Directory se ejecuta en un backend LDAP, no es verdadero servidor LDAP basado en UNIX hasta que extienda el esquema. Hablo un poco sobre esto en mi entrada de blog en IDMU.

como se mencionó en la sección cliente, necesita un montón de información para configurar los clientes. El servidor es de donde viene esta información., Estas son las cosas que debe verificar en el servidor para asegurarse de configurar sus clientes correctamente:

• Información de la red del servidor (dirección IP, Nombre de host, entradas DNS, registros SRV, puertos del servidor LDAP, etc.)
• nivel de enlace compatible (use el más fuerte disponible, si es posible)
• usuario de enlace válido o SPN
• información de DN
• Tipo de esquema/atributos

los servidores LDAP pueden alojar toneladas de información. Credenciales de usuario UNIX, credenciales de Windows, netgroups, direcciones IP, SPN, reglas de asignación de nombres…. Solo depende de lo que el soporte de los clientes que determina lo que puede utilizar.,

servidores LDAP comunes

los servidores LDAP tienden a adherirse a un conjunto común de estándares definidos por IETF. Esto es para garantizar una amplia gama de soporte para los clientes., Algunos de los servidores LDAP más comunes incluyen (pero no se limitan a):

• Active Directory
• OpenLDAP
• RedHat Directory Server/389 Directory Server
• Apple Open Directory
• Oracle Internet Directory
• ApacheDS

LDAP Referrals

Si está utilizando varios servidores LDAP y un cliente no puede encontrar un objeto en el dominio del servidor LDAP especificado, puede intentar usar una referencia LDAP para buscar en los otros servidores., Esencialmente, toma información en el servidor LDAP sobre otros servidores que conocemos e intenta conectarse a ellos a través de LDAP URI hasta que a) encuentra el objeto o b) se queda sin servidores para probar. Esto puede suceder tanto en servidores LDAP de Windows como en servidores que no son de Windows. Algunos clientes LDAP no admiten la «búsqueda de referencias», por lo que es importante saber si esto está sucediendo en su entorno y si su cliente puede perseguir referencias.,

búsquedas de catálogo Global

en Active Directory, es posible almacenar una copia de atributos de varios dominios en un bosque en controladores de dominio locales que actúan como servidores de catálogo Global. De forma predeterminada, los Atributos UNIX no se replican en el catálogo Global, pero puede cambiar ese comportamiento según sea necesario. Cubro cómo hacer esto en TR-4073. Si necesita consultar varios dominios en el mismo bosque y desea evitar referencias LDAP, simplemente puede replicar los atributos necesarios y cambiar el puerto LDAP a 3268 para que los servidores sepan que deben usar el catálogo Global en su lugar.,

mi entorno

en mi entorno, uso LDAP de Active Directory con administración de identidades. Pero he sido conocido por usar los servicios de directorio OpenLDAP y RedHat. Ambos son perfectamente válidos para usar. Sin embargo, si tiene la intención de hacer NAS multiprotocolo (CIFS/SMB y NFS), le sugiero encarecidamente que use Microsoft Active Directory para la autenticación de usuarios de UNIX y Windows. Hace la vida infinitamente más fácil.

si ya está utilizando LDAP basado en Linux, está bien. Si es posible, intente asegurarse de que los nombres de usuario de UNIX (atributo UID LDAP) coincidan con los nombres de usuario de Windows (atributo sAMAccount)., De esta manera, si está utilizando un NAS multiprotocolo, no tiene que preocuparse por la asignación de nombres.

si quieres ver algo añadido a este post sobre servidores y clientes LDAP, no dudes en comentar o seguirme en Twitter @NFSDudeAbides!

Wrap-up

para obtener información más detallada sobre la configuración de LDAP (en particular con NetApp clustered Data ONTAP), consulte TR-4073: autenticación unificada segura.

Además, estad atentos para más información en la serie de conceptos básicos de LDAP en este blog!,

enlaces a otras secciones se pueden encontrar en el primer post de esta serie:

¿Qué diablos es un LDAP de todos modos?