Confidentialité& Cookies
Ce site utilise des cookies. En continuant, vous acceptez leur utilisation. En savoir plus, y compris comment contrôler les cookies.
mise à JOUR: j’ai réalisé aujourd’hui que j’ai écrit ce même sujet deux fois, dans deux différents postes., Celui-ci devrait être considéré comme l’effort combiné, mais peut lire un peu comme un blog Frankenstein. L’Original de l’autre reste ici:
Cet article fait partie 5 de la nouvelle série LDAP que j’ai commencée pour aider les gens à devenir plus conscients de ce QU’est LDAP et de son fonctionnement.
la première partie a été publiée ici:
qu’est-ce qu’un LDAP de toute façon?
Cet article se concentrera sur les serveurs et les clients LDAP.,
serveurs vs clients
dans le règne animal, vous verrez souvent des relations symbotiques, telles que la relation présumée entre les crocodiles et le pluvier, qui mange des choses mortes des dents du croco.
la relation client/serveur LDAP est également symbiotique. Le serveur a besoin du client pour lui poser des questions et le client a besoin du serveur pour lui fournir des informations.,
Si la nature n’est pas votre truc, il y a toujours la relation symbiotique Spider-Man/Venom:
dans le cas de LDAP, un client demandera des choses comme des noms d’Utilisateur, des emplacements d’annuaire personnel, des adhésions à des groupes, etc. Le serveur serait responsable de fournir ces informations.
LDAP n’est pas différent d’autres protocoles, tels que HTTP, NFS, etc. Il existe une relation client et serveur. Et comme toute relation réussie, il doit y avoir quelqu’un qui parle et quelqu’un qui écoute.
j’ai un fils de deux ans. Il parle, mais la plupart de ce n’est que de la pratique pour lui., Il dira des choses comme » dada, bird truck. »Et je dirai » oiseau? Camion? Super! »C’est surtout une conversation unilatérale où j’ai essentiellement ACK ses SYNs. (J’ai besoin de sortir plus)
parfois, c’est « Dada lire le livre.” Et j’y conformer.
Les conversations client / serveur LDAP ne sont pas très différentes. Le client est mon enfant de deux ans. Le serveur LDAP est moi.
« LDAP, trouver des informations sur l’utilisateur”
« informations de l’Utilisateur? Super! Ici ya go!”
à sa base, les conversations LDAP ne sont rien de plus que des SYN TCP et des ACK. Ainsi, lors de la configuration ou du dépannage, ils doivent être traités comme tels.,
là où les choses se brouillent, c’est lorsque vous commencez à considérer ce qu’il faut pour qu’une relation client / serveur réussisse. Ce n’est pas une bonne idée de laisser les canaux de communication ouverts à tout le monde dans le monde, donc il y a des règles que nous devons suivre lorsque les clients veulent parler aux serveurs.
Configuration Client/Serveur
Les clients LDAP peuvent être n’importe quel logiciel en cours d’exécution qui peut interroger LDAP via les normes RFC-2307. Windows, Linux, Systèmes D’exploitation de système de stockage, etc. peuvent tous agir en tant que clients., Certains systèmes d’exploitation contiennent des fonctionnalités LDAP intégrées (telles que Windows) qui ne vous obligent pas à installer quelque chose de spécial. Certains systèmes de stockage, tels que NetApp clustered Data ONTAP, prennent pleinement en charge LDAP qui adhère à la norme RFC-2307. Pour plus d’informations, consultez TR-4073: authentification unifiée sécurisée.
informations réseau de Base.
rappelez-vous, à sa base, c’est une simple conversation TCP.
- noms de serveur LDAP, adresses URI ou IP (le serveur est-il dans DNS? Existe-t-il des enregistrements SRV pour LDAP?,)
- port LDAP (les ports par défaut sont 389 pour LDAP, 636 pour LDAP sur SSL, 3268 Pour Le Catalogue Global; avez-vous changé le port du serveur?)
- le client Peut-il parler au serveur (routage?)
Avant qu’un client peut initier une conversation avec un serveur, il doit être configuré avec les informations sur ce serveur. La configuration suivra les bases du modèle OSI, en commençant par les premières couches de la pile pour initier une conversation TCP avec le serveur.
clients LDAP courants
Les clients LDAP ont également tendance à adhérer aux mêmes normes que les serveurs. Pourquoi?, Parce que c’est logique. Les Clients peuvent être autonomes à partir d’un système d’exploitation, mais certains systèmes d’exploitation intègrent LDAP dans leur configuration par défaut. Windows en est un exemple en raison de L’intégration de LDAP dans Active Directory.
les autres clients incluent (mais ne sont certainement pas limités à):
- SSSD
- OpenLDAP
espérons que les informations contenues dans cet article ont aidé à dissiper toute confusion sur les clients et les serveurs LDAP.
certains serveurs LDAP vous permettront même d’apporter des modifications au port sur lequel il écoute la communication LDAP., Il s’agit d’aider à sécuriser les serveurs LDAP en ne tirant pas parti des ports bien connus. Avec les serveurs LDAP communs tels Qu’Active Directory, cependant, il est difficile d’utiliser des ports différents des ports communs. Lors de la configuration des clients, la configuration du serveur LDAP doit toujours être revue.
Après avoir passé la connexion TCP, nous passons notre temps dans la couche application du modèle OSI.
lier / informations de connexion.
Nous devons d’abord nous soucier de l’authentification au serveur LDAP. Ceci est également connu sous le nom de liaison., Le niveau d’authentification dépendra de ce que le serveur a été configuré pour autoriser. Le niveau d’authentification le plus bas possible est « anonyme”, mais aucun serveur LDAP moderne n’autorise les liaisons anonymes par défaut. Généralement, un compte en lecture seule sur le serveur LDAP est requis pour s’authentifier auprès d’un serveur afin d’émettre des requêtes LDAP.
Les informations de liaison nécessaires sont incluses dans la configuration du client. Pour la configuration la plus sécurisée, l’utilisation d’un système d’authentification basé sur un ticket ou une clé est préférable à l’utilisation de mots de passe.,
LDAP Search Information
Après une liaison, les requêtes sont effectuées. La nature des requêtes dépendra de la configuration du client. Quel schéma utilisons-nous? De quelles informations avons-nous besoin? Avons-nous configuré le client pour nous assurer d’essayer LDAP pour obtenir des informations à tout moment (via nsswitch.configuration conf)? Avons-nous dit au client par où commencer à rechercher des informations sur le serveur LDAP en fournissant le DN de base?
cela indique au client où commencer à rechercher des informations dans le serveur LDAP.,Le format de cette information est les noms distingués (DNs), que je couvre dans la partie 4. Vous pouvez définir un DN de base, puis un DNs spécifique pour les utilisateurs, les groupes, les netgroups, etc. Vous pouvez même spécifier plusieurs emplacements à rechercher. L’idée ici est de filtrer nos recherches afin d’accélérer les choses pour les clients.
fait amusant: Apple corrige automatiquement DNs En DNS. Pas cool, Apple. Pas cool.
Une fois que le client LDAP a les informations nécessaires, il doit se dissocier – nous ne voulons pas rester connecté indéfiniment. C’est un mangeur de ressources.
informations sur le schéma LDAP
je couvre les schémas en détail sur la partie 3., De nombreux clients connaissent les schémas par défaut utilisés par LDAP, tels que RFC-2307, RFC-2307bis, etc. Dans la plupart des cas, les schémas sur le serveur ne s’en éloigneront pas. Mais dans certains cas, comme par le biais d’une intervention manuelle ou d’outils tiers comme Dell Vintela (également connu sous le nom de Centrify, Quest, etc.), il peut être nécessaire de faire des ajustements. Cela peut être fait sur le client. Cela permet au client de demander les bonnes informations à partir du serveur, ce qui permet alors le serveur pour trouver les informations et répondre au client.,
options spécifiques au Client
de nombreux clients offrent des options spécifiques telles que la mise en cache des utilisateurs / groupes, les informations d’identification, la configuration de Kerberos, etc. Ceux-ci sont généralement facultatifs, mais devraient être examinés sur une base de fournisseur par client.
exemple de configuration client
Voici un exemple de ce à quoi ressemblerait un client LDAP ONTAP de données en cluster:
Voici à quoi ressemble ma configuration client exécutant SSSD:
serveurs
Si vous voulez un endroit où les clients demandent des informations, vous avez besoin d’un serveur., Le serveur doit avoir un schéma RFC-2307 valide pour contenir les objets LDAP nécessaires. Si vous utilisez LDAP basé sur UNIX et que vous souhaitez utiliser Microsoft Active Directory pour servir l’authentification basée sur UNIX, vous devez vous assurer que le serveur a des attributs UNIX dans le schéma. Alors que Microsoft Active Directory s’exécute sur un backend LDAP, ce n’est pas un vrai serveur LDAP basé sur UNIX tant que vous n’avez pas étendu le schéma. J’en parle un peu dans mon blog sur IDMU.
comme mentionné dans la section client, vous avez besoin d’un tas d’informations pour configurer les clients. Le serveur est d’où proviennent ces informations., Voici les éléments que vous devez vérifier sur le serveur pour vous assurer de configurer correctement vos clients:
- informations sur le réseau du serveur (adresse IP, nom d’hôte, entrées DNS, enregistrements SRV, ports de serveur LDAP, etc.)
- niveau de liaison pris en charge (utilisez le plus fort disponible, si possible)
- utilisateur de liaison valide ou SPN
- informations DN
- Type de schéma/attributs
les serveurs LDAP peuvent héberger des tonnes d’informations. Creds utilisateur Unix, creds Windows, netgroups, adresses IP, SPNs, règles de mappage de noms…. Tout dépend de ce que les clients prennent en charge qui détermine ce que vous pouvez utiliser.,
serveurs LDAP communs
les serveurs LDAP ont tous tendance à adhérer à un ensemble commun de normes telles que définies par L’IETF. Ceci afin d’assurer un large éventail de soutien aux clients., Certains des serveurs LDAP les plus courants incluent (mais ne sont pas limités à):
- Active Directory
- OpenLDAP
- RedHat Directory Server/389 Directory Server
- Apple Open Directory
- Oracle Internet Directory
- ApacheDS
références LDAP
Si vous utilisez plusieurs serveurs LDAP et qu’un client un objet dans le domaine du serveur LDAP spécifié, il peut tenter d’utiliser une référence ldap pour rechercher dans les autres serveurs., Essentiellement, il prend des informations dans le serveur LDAP sur les autres serveurs que nous connaissons et tente de se connecter à eux via L’URI LDAP jusqu’à ce qu’il trouve l’objet ou b) manque de serveurs pour essayer. Cela peut se produire dans les serveurs LDAP Windows et non Windows. Certains clients LDAP ne prennent pas en charge la” recherche de références », il est donc important de savoir si cela se produit dans votre environnement et si votre client est capable de rechercher des références.,
recherches de catalogue Global
dans Active Directory, il est possible de stocker une copie des attributs de plusieurs domaines dans une forêt sur des contrôleurs de domaine locaux agissant en tant que Serveurs de catalogue Global. Par défaut, les attributs UNIX ne sont pas répliqués dans le catalogue Global, mais vous pouvez modifier ce comportement si nécessaire. Je couvre comment faire cela dans TR-4073. Si vous devez interroger plusieurs domaines dans la même forêt et que vous souhaitez éviter les références LDAP, vous pouvez simplement répliquer les attributs nécessaires et changer le port LDAP en 3268 pour informer les serveurs d’utiliser le catalogue Global à la place!,
mon environnement
Dans Mon environnement, J’utilise Active Directory LDAP avec la gestion des identités. Mais je suis connu pour utiliser les Services D’annuaire OpenLDAP et RedHat. Les deux sont parfaitement valables à utiliser. Cependant, si vous avez l’intention de faire des NAS multiprotocoles (CIFS/SMB et NFS), je suggère fortement D’utiliser Microsoft Active Directory pour l’authentification des utilisateurs UNIX et Windows. Rend la vie infiniment plus facile.
Si vous utilisez déjà LDAP basé sur Linux, c’est très bien. Si possible, essayez de vous assurer que les noms D’utilisateur UNIX (attribut LDAP uid) correspondent aux noms D’utilisateur Windows (attribut sAMAccount)., De cette façon, si vous utilisez un NAS multiprotocole, vous n’avez pas à vous soucier du mappage de noms.
Si vous voulez voir quelque chose ajouté à ce post concernant les serveurs et les clients LDAP, n’hésitez pas à commenter ou à me suivre sur Twitter @ NFSDudeAbides!
récapitulatif
pour plus d’informations sur la configuration LDAP (en particulier avec NetApp clustered Data ONTAP), voir TR-4073: Secure Unified Authentication.
aussi, restez à l’écoute pour en savoir plus sur la série de bases LDAP sur ce blog!,
des liens vers d’autres sections peuvent être trouvés sur le premier article de cette série:
qu’est-ce qu’un LDAP de toute façon?