Tietosuoja & Evästeet
Tämä sivusto käyttää evästeitä. Jatkamalla hyväksyt niiden käytön. Lue lisää, myös evästeiden hallinta.
PÄIVITYS: tajusin tänään, että olen kirjoittanut tämän saman aiheen kaksi kertaa, kahdessa eri virkaa., Tätä pitäisi pitää yhteisenä ponnistuksena, mutta saattaa lukea vähän kuin blogia Frankenstein. Alkuperäinen ja toinen jää tänne:
Tämä viesti on osa 5 uusi LDAP-sarjan olen alkanut auttaa ihmisiä tulemaan enemmän tietoinen siitä, mitä LDAP on ja miten se toimii.
Part one was posted here:
What the heck is an LDAP anyway?
tämä viesti keskittyy LDAP-palvelimiin ja asiakkaisiin.,
Palvelimet vs asiakkaita
eläinkunnassa, näet usein symbotic suhteita, kuten väitetty suhde krokotiilit ja kahlaaja lintu, joka syö kuolleita juttuja croc hampaat.
LDAP client/server-suhde on myös symbioottinen. Palvelin tarvitsee asiakkaan esittämään kysymyksiä ja asiakas tarvitsee palvelimen syöttämään tietoja.,
Jos luonto ei ole sinun juttusi, siellä on aina Spider-Man/Myrkky symbioottinen suhde:
jos LDAP-asiakas voi pyytää asioita, kuten käyttäjätunnuksia, home-hakemiston paikoissa, ryhmä jäsenyydet, jne. Palvelin olisi vastuussa tietojen toimittamisesta.
LDAP ei poikkea muista protokollista, kuten HTTP, NFS jne. On asiakas-ja palvelinsuhde. Ja kuten kaikissa onnistuneissa parisuhteissa, pitää olla joku puhumassa ja joku kuuntelemassa.
minulla on kaksivuotias poika. Hän puhuu, mutta suurin osa on hänelle vain harjoittelua., Hän sanoo asioita, kuten ” dada, bird truck.”Ja minä sanon” Bird? Kuorma-auto? Siistiä!”Se on lähinnä yksipuolinen keskustelu, jossa lähinnä ACK hänen SYNs. (I need to get out more)
joskus, se on ”dada read book.”Ja Minä tottelen.
LDAP client/server-keskustelut eivät ole paljon erilaisia. Asiakas on kaksivuotias. LDAP-palvelin olen minä.
”LDAP, find user information”
”User information? Siistiä! Ole hyvä!”
sen hyvin pohjan, LDAP-keskustelut eivät ole mitään muuta kuin TCP SYNs ja Pannukakkuja. Niin, kun konfigurointi tai vianmääritys, ne olisi käsiteltävä sellaisenaan.,
missä asiat menevät sekaisin, kun alkaa miettiä, mitä asiakas-palvelinsuhteen onnistuminen vaatii. Ei ole hyvä ajatus jättää viestintäkanavia kaikkien nähtäväksi, joten on joitakin sääntöjä, joita meidän on noudatettava, kun asiakkaat haluavat puhua palvelimille.
Client/Server configuration
LDAP client can be anything running software that can query LDAP via RFC-2307 standards. Windows, Linux, storage system OSes, jne voivat kaikki toimia asiakkaina., Joissakin käyttöjärjestelmissä on LDAP-toimintoja (kuten Windows), jotka eivät vaadi minkään erityisen asentamista. Jotkin tallennusjärjestelmät, kuten NetAppin clustered Data ONTAP, tukevat täysin RFC-2307-standardia noudattavaa LDAP: tä. Lisätietoja, Katso TR-4073: Secure Unified Authentication.
perusverkkotiedot.
muista, että sen pohjalla on yksinkertainen TCP-keskustelu.
- LDAP-palvelimen nimet, URI-tai IP-osoitteet (onko palvelin DNS: ssä? Onko LDAP: n SRV-tietoja?,)
- LDAP-portti (oletus-portit ovat 389 LDAP -, 636 LDAP over SSL, 3268 Global Catalog; tiesitkö, muuttaa palvelimen portti?)
- Voiko asiakas puhua palvelimelle (reititys?)
Ennen kuin asiakas voi aloittaa keskustelun palvelimen kanssa, se on määritetty tiedot, jotka palvelin. Kokoonpano noudattaa OSI-mallin perusteita, alkaen pinon ensimmäisistä kerroksista aloittaakseen TCP-keskustelun palvelimen kanssa.
myös yleiset LDAP-asiakkaat
LDAP-asiakkaat noudattavat yleensä samoja standardeja kuin palvelimet. Miksi?, Koska siinä on järkeä. Asiakkaat voivat olla yksin käyttöjärjestelmästä, mutta jotkut OSes integroivat LDAP: n oletusarvoisesti konfiguraatioonsa. Windows on esimerkki tästä, koska miten integral LDAP on Active Directory.
Muut asiakkaat ovat (mutta eivät todellakaan ole rajoitettu):
- HARDINFO
- OpenLDAP
Toivottavasti tiedot tämä viesti on auttanut siivota tahansa sekaannusta LDAP-asiakkaat ja palvelimet.
Jotkut LDAP-palvelimia on jopa voit tehdä muutoksia portti se kuuntelee LDAP viestintä., Näin autetaan suojaamaan LDAP-palvelimia siten, ettei hyödynnetä tunnettuja portteja. Tavallisilla LDAP-palvelimilla, kuten Active Directorylla, on kuitenkin vaikea käyttää eri portteja kuin tavallisilla. Kun määrität asiakkaita, LDAP-palvelinasetukset on aina tarkistettava.
kun pääsemme TCP-yhteyden ohi, vietämme aikaamme OSI-mallin sovelluskerroksessa.
sido / Kirjaudu tiedot.
ensin on syytä huolestua LDAP-palvelimen aitoudesta. Tätä kutsutaan myös sitovaksi., Tunnistautumisen taso riippuu siitä, mitä palvelin on asetettu sallimaan. Pienin mahdollinen tunnistustaso on ”anonyymi”, mutta mikään moderni LDAP-palvelin ei salli anonyymejä sidoksia oletusarvoisesti. Yleensä LDAP-palvelimen lukutililtä vaaditaan tunnistautuminen palvelimelle LDAP-kyselyjen antamiseksi.
tarvittavat sidontatiedot sisältyvät asiakaskokoonpanoon. Kaikkein turvallisimmassa määrityksessä käytetään mieluummin lippu-tai avainpohjaista tunnistusjärjestelmää kuin salasanoja.,
LDAP-hakutiedot
kun sidos tapahtuu, kyselyt suoritetaan. Kyselyjen luonne riippuu asiakkaan kokoonpanosta. Mitä skeemaa käytämme? Mitä tietoja tarvitsemme? Olemmeko konfiguroineet asiakkaan varmista kokeilla LDAP tietoja koko ajan (kautta nsswitch.conf-kokoonpano)? Kerroimmeko asiakkaalle, mistä alkaa etsiä tietoja LDAP-palvelimelta tarjoamalla tukikohdan DN?
Tämä kertoo asiakkaalle, mistä alkaa etsiä tietoa LDAP-palvelimesta.,Tämän tiedon muoto on Distinguished Names (DNs), jonka peitän osassa 4. Voit asettaa pohja DN ja sitten erityinen DNs käyttäjille, ryhmille, netgroups, jne. Voit jopa määrittää useita paikkoja etsiä. Ideana tässä on suodattaa meidän hakuja nopeuttaa asioita asiakkaille.
hauska fakta: Apple korjaa DNs: n DNS: ksi. Ei siistiä, Apple. Ei siistiä.
Kun LDAP-asiakas on tarvittavat tiedot, se olisi irti – emme halua pysyä kirjautuneena loputtomiin. Se on resurssiporukka.
LDAP schema information
i cover schemas in detail on part 3., Monet asiakkaat tietävät LDAP: n oletuskaavioista, kuten RFC-2307, RFC-2307bis jne. Useimmissa tapauksissa, schemas palvelimella ei harhaudu siitä. Mutta joissakin tapauksissa, kuten kautta manuaalista tai 3. osapuolen työkaluja, kuten Dell Vintela (tunnetaan myös nimellä Centrify, Pyrkimys, jne.), voi olla tarvetta tehdä muutoksia. Tämä voidaan tehdä asiakkaalle. Tämän avulla asiakas pyytää tietoa palvelimelta, joka sitten mahdollistaa palvelimen löytää tietoa ja vastata asiakkaalle.,
asiakaskohtaiset vaihtoehdot
monet asiakkaat tarjoavat erityisiä vaihtoehtoja, kuten käyttäjien / ryhmien välimuistin, valtakirjojen, Kerberos-kokoonpanon jne. Nämä ovat yleensä valinnaisia, mutta niitä on tarkasteltava asiakaskohtaisesti.
Näyte asiakas kokoonpano
seuraavassa on esimerkki siitä, mitä on ryhmitelty Data ONTAP LDAP client näyttäisi:
Tämä on mitä minun client configuration käynnissä HARDINFO näyttää:
Palvelimet
Jos haluat jonnekin asiakkaat voivat pyytää tietoja, tarvitset palvelimen., Palvelimella on oltava voimassa oleva RFC-2307-skeema, joka sisältää tarvittavat LDAP-objektit. Jos teet UNIX-based LDAP ja haluat käyttää Microsoft Active Directory palvella UNIX-based authentication, sitten sinun täytyy varmistaa, että palvelin on UNIX-attribuutteja skeema. Vaikka Microsoft Active Directory toimii LDAP backend, se ei ole totta UNIX-pohjainen LDAP-palvelin, kunnes laajennat skeema. Puhun tästä hieman IDMUN blogikirjoituksessani.
kuten asiakasosiossa mainitaan, tarvitset joukon tietoja asiakkaiden määrittämiseen. Tämä tieto tulee palvelimelta., Tässä on tavaraa sinun täytyy tarkistaa-palvelin, jotta voit määrittää asiakkaasi oikein:
- Palvelimen network info (IP-osoite, isäntänimi, DNS-asetukset, SRV kirjaa, LDAP-palvelimen portit, jne.)
- Tuetut sitoa tasolla (käyttää vahvinta käytettävissä, jos mahdollista)
- Voimassa sitoa käyttäjä tai SPN
- DN tietoa
- Skeema tyyppi/ominaisuudet
LDAP-palvelimet voivat isäntä tonnia tietoa. UNIX-käyttäjän creds, Windows creds, netgroups, IP-osoitteet, SPNs nimi kartoitus säännöt…. Se vain riippuu siitä, mitä asiakkaat tukevat, joka määrittää, mitä voit käyttää.,
Yleiset LDAP-palvelimet
LDAP-palvelimet kaikki noudattavat yleensä IETF: n määrittelemiä yhteisiä standardeja. Näin varmistetaan laaja asiakastuki., Jotkut enemmän yhteistä LDAP-palvelimet ovat (mutta eivät rajoitu):
- Active Directory
- OpenLDAP
- RedHat Directory Server/389 Directory Server
- Apple Open Directory
- Oracle Internet Directory
- ApacheDS
LDAP-Lähetteet
Jos käytät useita LDAP-palvelimia ja asiakas ei löydä esine määritelty LDAP-palvelimen verkkotunnuksen, se voi yrittää käyttää LDAP-asian katso muut palvelimet., Pohjimmiltaan, se vie tiedot LDAP-palvelimelle tietoa muiden palvelimien tiedämme ja yrittää yhdistää ne kautta LDAP URI, kunnes se joko a) löytää kohteen tai b) loppuu palvelimet kokeilla. Tämä voi tapahtua sekä Windows-että ei-Windows LDAP-palvelimissa. Jotkut LDAP-asiakkaat eivät tue ”referral chasingia”, joten on tärkeää tietää, tapahtuuko tämä ympäristössäsi ja pystyykö asiakkaasi jahtaamaan lähetteitä.,
Global Catalog-Haut
Active Directory, se on mahdollista tallentaa kopion määritteet useita verkkotunnuksia metsässä paikallisen toimialueen ohjauskoneet toimivat kuin Global Catalog-palvelimet. Oletusarvoisesti UNIX-attribuutteja ei monisteta maailmanlaajuiseen kuvastoon, mutta voit muuttaa tuota käyttäytymistä tarpeen mukaan. Kerron miten tämä tehdään TR-4073: ssa. Jos haluat kyselyn useita verkkotunnuksia samaan metsä-ja haluavat välttää LDAP-lähetteet, voit yksinkertaisesti kopioida tarvittavat ominaisuudet ja muuttaa LDAP-portti 3268 antaa palvelimet osaavat käyttää Global Catalog sijaan!,
ympäristöni
omassa ympäristössäni käytän Active Directory LDAP: tä identiteetin hallinnan kanssa. Mutta olen käyttänyt OpenLDAP-ja RedHat-hakemistopalveluja. Molemmat ovat täysin kelvollisia käytettäväksi. Kuitenkin, jos olet vakaasti päättänyt tehdä multiprotocol NAS (CIFS/SMB ja NFS), suosittelen käyttämällä Microsoft Active Directory-todennus, UNIX-ja Windows-käyttäjille. Tekee elämästä äärettömän helpompaa.
Jos käytät jo Linux-pohjaista LDAP: tä, se sopii. Jos mahdollista, yritä varmistaa, että UNIX-käyttäjänimet (uid LDAP-attribuutti) vastaavat Windowsin käyttäjänimiä (sAMAccount-attribuutti)., Näin, Jos käytät multiprotocol NAS, sinun ei tarvitse huolehtia nimikartoitus.
Jos haluat nähdä jotain lisätty, tämä viesti koskee LDAP-palvelimia ja asiakkaita, vapaasti kommentoida tai seuraa minua Twitterissä @NFSDudeAbides!
Wrap-up
tarkemmat tiedot LDAP-määrityksen (erityisesti NetApp ryhmitelty Data ONTAP), ks. TR-4073: Turvallinen Yhtenäinen Todennus.
myös, pysy kuulolla lisää sarjassa LDAP perusasiat tässä blogissa!,
linkit muihin osioihin löytyvät tämän sarjan ensimmäisestä postauksesta:
mikä ihme on LDAP muutenkin?