Privacy & Cookies
Ez az oldal cookie-kat használ. A folytatással elfogadja a használatukat. Tudjon meg többet, beleértve a cookie-k vezérlését is.
frissítés: ma rájöttem, hogy ezt a témát kétszer írtam, két különböző üzenetben., Ezt kell tekinteni a kombinált erőfeszítés, de lehet olvasni egy kicsit, mint egy blog Frankenstein. A másik eredeti itt marad:
Ez a bejegyzés az új LDAP sorozat 5.része, amelyet elkezdtem segíteni az embereknek abban, hogy jobban megismerjék az LDAP-t, és hogyan működik.
Az első részt itt tették közzé:
mi a fene az LDAP?
Ez a bejegyzés az LDAP szerverekre és kliensekre összpontosít.,
szerverek vs kliensek
az állatvilágban gyakran látszanak olyan szimbolikus összefüggések, mint például a krokodilok és a plover madár állítólagos kapcsolata, amely a krokodil fogaiból halott dolgokat eszik.
az LDAP kliens / szerver kapcsolat is szimbiotikus. A szervernek szüksége van a kliensre, hogy kérdéseket tegyen fel, a kliensnek pedig szüksége van a kiszolgálóra, hogy információt szolgáltasson.,
Ha a természet nem a te dolgod, akkor mindig van a Spider-Man/Venom szimbiotikus kapcsolat:
az LDAP esetében az ügyfél olyan dolgokat kér, mint a felhasználónevek, az otthoni könyvtárhelyek, a csoporttagok stb. A szerver lenne felelős az információk átadásáért.
az LDAP nem különbözik más protokolloktól, például HTTP, NFS stb. Van egy kliens-szerver kapcsolat. És mint minden sikeres kapcsolat, kell, hogy legyen valaki, aki beszél, és valaki, aki hallgat.
van egy kétéves fiam. Beszél, de a legtöbb csak gyakorlat neki., Olyanokat fog mondani, mint a ” dada, bird truck.”És azt mondom:” madár? Teherautó? Frankó!”Ez többnyire egy egyoldalú beszélgetés, ahol lényegében akk ő SYNs. (Azt kell, hogy ki több)
néha, ez ” dada olvasni könyvet.”És engedelmeskedem.
LDAP kliens / szerver beszélgetések nem sokban különbözik. Az ügyfél az én két éves. Az LDAP szerver én vagyok.
“LDAP, felhasználói információk keresése”
” felhasználói információk? Frankó! Tessék!”
alapjában véve az LDAP beszélgetések nem más, mint a TCP SYN-ek és ACKs-ek. Tehát konfiguráláskor vagy hibaelhárításkor ezeket úgy kell kezelni.,
ahol a dolgok összezavarodnak, az az, amikor elkezdi megfontolni, hogy mi szükséges ahhoz, hogy egy ügyfél/szerver kapcsolat sikeres legyen. Nem jó ötlet, hogy a kommunikációs csatornákat mindenki számára nyitva hagyja a világon, ezért vannak olyan szabályok, amelyeket be kell tartanunk, amikor az ügyfelek szerverekkel akarnak beszélni.
Client / Server configuration
LDAP kliensek lehet bármi futó szoftver, amely képes lekérdezni LDAP keresztül RFC-2307 szabványoknak. A Windows, a Linux, a tárolórendszer operációs rendszer stb., Egyes operációs rendszerek beépített LDAP funkciókat tartalmaznak(például Windows), amelyek nem igényelnek semmi különlegeset. Egyes tárolórendszerek, mint például a NetApp fürtözött adatai ONTAP, teljes mértékben támogatják az LDAP-t, amely megfelel az RFC-2307 szabványnak. További információért lásd: TR-4073: biztonságos egységes hitelesítés.
alapvető hálózati információk.
ne feledje, a bázisán ez egy egyszerű TCP beszélgetés.
- LDAP kiszolgálónevek, URI vagy IP címek (a szerver DNS-ben van? Vannak SRV rekordok az LDAP számára?,)
- LDAP port (Az alapértelmezett portok az LDAP esetében 389, az LDAP esetében 636 az SSL felett, a globális katalógus esetében 3268; megváltoztatta a kiszolgáló portját?)
- beszélhet az ügyfél a kiszolgálóval (routing?)
mielőtt az ügyfél beszélgetést kezdeményezhet egy kiszolgálóval, azt a kiszolgálóval kapcsolatos információkkal kell konfigurálni. A konfiguráció az OSI modell alapjait követi, kezdve a verem első néhány rétegétől, hogy TCP beszélgetést kezdeményezzen a kiszolgálóval.
közös LDAP kliensek
LDAP kliensek is hajlamosak betartani ugyanazokat a szabványokat, mint a szerverek. Miért?, Mert van értelme. Az ügyfelek egyedül állhatnak egy operációs rendszertől, de egyes operációs rendszerek alapértelmezés szerint integrálják az LDAP-ot a konfigurációjukba. A Windows erre példa, mivel az integral LDAP az Active Directory-hoz tartozik.
más ügyfelek közé (de természetesen nem kizárólagosan):
- SSD
- OpenLDAP
remélhetőleg az információ ebben a bejegyzésben segített tisztázni minden zavart LDAP kliensek és szerverek.
egyes LDAP-kiszolgálók lehetővé teszik az LDAP-kommunikációra hallgatott port módosítását is., Ez segít az LDAP szerverek biztonságában azáltal, hogy nem használja ki a jól ismert portokat. A közös LDAP-kiszolgálókkal, például az Active Directory-val azonban nehéz a közös portoktól eltérő portokat használni. Az ügyfelek konfigurálásakor az LDAP szerver konfigurációját mindig felül kell vizsgálni.
miután átjutottunk a TCP kapcsolaton, időt töltünk az OSI modell alkalmazási rétegében.
Bind / bejelentkezési adatok.
először aggódnunk kell az LDAP szerver hitelesítése miatt. Ezt kötésnek is nevezik., A hitelesítés szintje attól függ, hogy a kiszolgáló milyen beállítást engedélyez. A lehető legalacsonyabb hitelesítési szint “névtelen”, de egyetlen modern LDAP szerver sem engedélyezi az anonymous kötéseket alapértelmezés szerint. Általában az LDAP-kiszolgálón csak olvasható Fiók szükséges az LDAP-lekérdezések kiadásához.
az ügyfélkonfiguráció tartalmazza a szükséges kötési információkat. A legbiztonságosabb konfiguráció esetén a jegy vagy kulcs alapú hitelesítési rendszer használata előnyben részesítendő a jelszavak használatával szemben.,
LDAP keresési információk
a kötődés után a lekérdezések végrehajtásra kerülnek. A lekérdezések jellege az ügyfél konfigurációjától függ. Milyen sémát használunk? Milyen információra van szükségünk? Konfiguráltuk-e az Ügyfelet, hogy mindenkor megpróbálja kipróbálni az LDAP-ot információért (nsswitch-en keresztül.conf konfiguráció)? Elmondtuk – e az ügyfélnek, hogy hol kezdjen információt keresni az LDAP szerveren a bázis DN biztosításával?
Ez megmondja az ügyfélnek, hogy hol kezdjen információt keresni az LDAP kiszolgálón.,Ennek az információnak a formátuma megkülönböztethető nevek (DNs), amelyeket a 4.részben fedek le. Beállíthat egy bázis DN-t, majd egy adott DNs-t a felhasználók, csoportok, netgroups stb. Még több helyet is megadhat a kereséshez. Az ötlet itt az, hogy kiszűrjük a kereséseket, hogy felgyorsítsuk a dolgokat az ügyfelek számára.
Fun fact: az Apple automatikusan korrigálja a DNs-t DNS-re. Nem király, Apple. Nem menő.
Miután az LDAP kliens rendelkezik a szükséges információkkal, ki kell kapcsolnia-nem akarunk határozatlan ideig bejelentkezni. Ez egy erőforrás disznó.
LDAP séma információ
a 3. részben részletesen kitérek a sémákra., Sok ügyfél ismeri az LDAP alapértelmezett sémáit, például RFC-2307, RFC-2307bis stb. A legtöbb esetben a kiszolgálón lévő sémák nem térnek el ettől. De bizonyos esetekben, például kézi beavatkozással vagy 3rd party eszközökkel, mint például a Dell Vintela (más néven centrifuga, Quest stb.), szükség lehet kiigazításokra. Ezt meg lehet tenni az ügyfél. Ez lehetővé teszi az ügyfél számára, hogy a megfelelő információkat kérje a kiszolgálótól, amely lehetővé teszi a szerver számára, hogy megtalálja az információkat, és válaszoljon az ügyfélre.,
ügyfélspecifikus beállítások
sok ügyfél olyan speciális lehetőségeket kínál, mint a felhasználók/csoportok gyorsítótárazása, hitelesítő adatok, Kerberos konfiguráció stb. Ezek általában nem kötelező, de meg kell vizsgálni a per-ügyfél szállító alapján.
minta kliens konfiguráció
a következő példa arra, hogy néz ki egy fürtözött adat ONTAP LDAP kliens:
így néz ki az SSD-t futtató ügyfélkonfigurációm:
szerverek
Ha azt szeretné, hogy valahol az ügyfelek információt kérjenek, szüksége van egy szerverre., A kiszolgálónak rendelkeznie kell egy érvényes RFC-2307 sémával, hogy tartalmazza a szükséges LDAP objektumokat. Ha UNIX-alapú LDAP-s akarja, hogy a Microsoft Active Directory szolgálni UNIX-alapú hitelesítés, akkor biztosítani kell, hogy a szerver UNIX attribútumok a séma. Míg a Microsoft Active Directory fut egy LDAP backend, ez nem igaz UNIX-alapú LDAP szerver, amíg meg nem hosszabbítja a sémát. Erről egy kicsit beszélek az IDMU blogbejegyzésében.
az ügyfél szakaszban említettek szerint egy csomó információra van szüksége az ügyfelek konfigurálásához. A szerver az, ahonnan ez az információ származik., Itt vannak azok a dolgok, amelyeket ellenőrizni kell a kiszolgálón, hogy biztosítsa az ügyfelek helyes konfigurálását:
- szerver hálózati információk (IP cím, hostname, DNS bejegyzések, SRV rekordok, LDAP szerver portok stb.)
- támogatott kötési szint (ha lehetséges, használja a legerősebb elérhető szintet)
- érvényes kötési felhasználó vagy SPN
- DN információ
- séma típus / attribútumok
LDAP szerverek rengeteg információt tárolhatnak. UNIX felhasználói creds, Windows creds, netgroups, IP címek, SPNs, név mapping szabályok…. Csak attól függ, hogy az ügyfelek milyen támogatást nyújtanak, amely meghatározza, hogy mit használhat.,
közös LDAP szerverek
az LDAP szerverek általában megfelelnek az IETF által meghatározott közös szabványoknak. Ez biztosítja az ügyfelek széles körű támogatását., Néhány a leggyakoribb LDAP szerverek közé (de nem kizárólagosan):
- Active Directory
- OpenLDAP
- RedHat Directory Server/389 Directory Server
- Alma Open Directory
- Oracle Internet Directory
- ApacheDS
LDAP-Áttétel
Ha a több LDAP-szerver vagy a kliens nem képes megtalálni egy objektum a megadott LDAP szerver domain, lehet, hogy kísérletet, hogy egy LDAP elé nézd meg a többi szerver., Lényegében információt vesz az LDAP szerverről más szerverekről, amelyekről tudunk, és megpróbál csatlakozni hozzájuk LDAP URI-n keresztül, amíg meg nem találja az objektumot, vagy B) elfogy a kiszolgálók kipróbálása. Ez történhet mind a Windows, mind a nem Windows LDAP kiszolgálókon. Egyes LDAP-ügyfelek nem támogatják a “referral chasing” – et, ezért fontos tudni, hogy ez történik-e a környezetében, és hogy az ügyfél képes-e üldözni az áttételeket.,
globális Katalóguskeresések
Az Active Directory-ban lehetőség van több domainből származó attribútumok másolatának tárolására egy erdőben a globális Katalógusszerverként működő helyi tartományvezérlőkön. Alapértelmezés szerint a UNIX attribútumok nem replikálódnak a globális katalógusba, de szükség szerint megváltoztathatja ezt a viselkedést. Azt fedezi, hogyan kell ezt a TR-4073. Ha kell lekérdezés több domaint ugyanabban az erdőben, szeretnék elkerülni LDAP-áttétel, egyszerűen lemásolni a szükséges attribútumok megváltoztatni az LDAP port 3268, hogy a szerver tudja használni a Globális Katalógus helyett!,
saját környezetem
a környezetemben az Active Directory LDAP-ot használom Identitáskezeléssel. De én már ismert, hogy használja OpenLDAP és RedHat Directory szolgáltatások. Mindkettő tökéletesen érvényes a használatra. Ha azonban multiprotocol NAS-t (CIFS/SMB és NFS) szeretne csinálni, határozottan javaslom a Microsoft Active Directory használatát UNIX és Windows felhasználók hitelesítéséhez. Teszi az élet végtelenül könnyebb.
Ha már használ Linux-alapú LDAP, ez rendben van. Ha lehetséges, próbálja meg biztosítani, hogy a UNIX felhasználónevek (uid LDAP attribútum) megfeleljenek a Windows felhasználóneveinek (sAMAccount attribútum)., Így, ha multiprotocol NAS-t használ, akkor nem kell aggódnia a név leképezés miatt.
Ha azt szeretné, hogy bármi hozzá ezt a bejegyzést illetően LDAP szerverek és az ügyfelek, nyugodtan megjegyzést, vagy kövessen a Twitteren @NFSDudeAbides!
Wrap-up
az LDAP konfigurációval kapcsolatos részletesebb információkért (különösen a NetApp fürtözött adatokkal ONTAP), lásd TR-4073: biztonságos egységes hitelesítés.
is, maradjanak velünk többet a sorozat LDAP alapjai ebben a blogban!,
más szakaszokra mutató hivatkozások megtalálhatók a sorozat első bejegyzésében:
mi a fene az LDAP?