Personvern & Informasjonskapsler
Dette webområdet bruker cookies. Ved å fortsette, er du samtykker til deres bruk. Lære mer, herunder hvor å kontrollere informasjonskapsler.
OPPDATERING: jeg innså i dag at jeg skrev denne samme tema to ganger, i to forskjellige innlegg., Dette bør vurderes kombinert innsats, men kan lese litt som en blogg Frankenstein. Originalen av det andre en fortsatt opp her:
Dette innlegget er del 5 av den nye LDAP-serien jeg har begynt å hjelpe mennesker til å bli mer bevisst på hva LDAP er og hvordan det fungerer.
Del en ble lagt ut her:
Hva pokker er en LDAP-uansett?
Dette innlegget vil fokusere på LDAP-servere og klienter.,
– Servere vs kunder
I dyreriket, vil du ofte se symbotic relasjoner, for eksempel om forholdet mellom krokodiller og plover fugl, som spiser døde ting fra croc ‘ s tenner.
LDAP-klient/server-forholdet er også lever i symbiose. Serveren trenger klienten til å stille det spørsmål og kundens behov serveren til å mate den informasjonen.,
Hvis arten ikke er din ting, er det alltid Spider-Man/Venom symbiotisk forhold:
I tilfelle av LDAP-klienten vil være å spørre om ting som brukernavn, hjemmekataloger steder, gruppemedlemskap, etc. Serveren vil være ansvarlig for å levere denne informasjonen.
LDAP er ikke i motsetning til andre protokoller, slik som HTTP, NFS, etc. Det er en klient og server forhold. Og akkurat som alle vellykkede forhold, er det behov for å ha noen å snakke og noen lytter.
jeg har en to år gammel sønn. Han snakker, men det meste av det er bare praksis for ham., Han sier ting som «dada, fugl lastebil.»Og jeg sier «Fugl? Lastebil? Kult!»Det er for det meste en ensidig samtale hvor jeg i hovedsak ACK hans SYNs. (Jeg trenger å få ut mer)
noen Ganger, det er «dada lese boken.»Og jeg er i samsvar.
for LDAP-klient/server-samtaler er ikke mye annerledes. Klienten er min to år gamle. LDAP-serveren er meg.
«LDAP, finne brukerinformasjon»
«Bruker informasjon? Kult! Her ya go!»
På selve basen, LDAP samtaler er noe mer enn TCP SYNs og ACKs. Så, når du skal konfigurere eller feilsøke, de bør behandles som sådan.,
Hvor ting blir forvirrende er når du begynner å vurdere hva det tar for en klient/server forhold til å være vellykket. Det er ikke en god idé å la kanaler for kommunikasjon vidåpne for alle i verden for å se, så det er noen regler vi må følge når kundene ønsker å snakke til servere.
Klient/Server-konfigurasjon
LDAP-klienter kan være noe å kjøre programvare som kan LDAP-spørring via RFC-2307 standarder. Windows -, Linux -, lagrings-system Operativsystemer, etc kan alle fungere som kunder., Noen operativsystemer har innebygd LDAP-funksjonalitet (som i Windows) som ikke krever at du installerer noe spesielt. Noen lagring systemer, slik som NetApp er gruppert Data ONTAP, fullstendig støtte for LDAP som fester seg til RFC-2307 standard. For mer informasjon, se TR-4073: Sikre Enhetlig Godkjenning.
Grunnleggende nettverksinformasjon.
Husk, på sin base, det er en enkel TCP samtale.
- LDAP-server navn, URI eller IP-adresser (er serveren i DNS? Er det SRV-oppføringene for LDAP?,)
- LDAP-porten (standard porter er 389 for LDAP, 636 for LDAP over SSL, 3268 for Global Katalog; har du endre server port?)
- Kan klienten snakke til serveren (ruting?)
Før en klient kan starte en samtale med en server, må den være konfigurert med beskjed om at server. Konfigurasjonen vil følge det grunnleggende av OSI-modellen, som starter ved første par lag av stabelen å starte en TCP samtale med serveren.
Vanlige LDAP-klienter
LDAP-klienter også en tendens til å forholde seg til de samme standardene som servere. Hvorfor?, Fordi det er fornuftig. Kunder kan stå alene fra et operativsystem, men noen Operativsystemer integrere LDAP inn i deres konfigurasjon som standard. Windows er et eksempel på dette er på grunn av hvor integrert med LDAP er til Active Directory.
Andre kunder omfatter (men er absolutt ikke begrenset til):
- SSSD
- OpenLDAP
Forhåpentligvis informasjonen i dette innlegget har hjulpet rydde opp i eventuelle misforståelser på LDAP-klienter og servere.
Noen LDAP-servere vil også tillate deg å foreta endringer til port lytter på for LDAP-kommunikasjon., Dette er med på å sikre LDAP-servere ved ikke å utnytte kjente porter. Med felles LDAP-servere, som for eksempel Active Directory, men det er vanskelig å bruke andre porter fra den vanlige. Når du konfigurerer kunder, LDAP server konfigurasjon alltid behov for å være anmeldt.
Når vi kommer forbi TCP-tilkobling, bruker vi i vår tid i programmet lag i OSI-modellen.
Bind/Login informasjon.
Første vi trenger å bekymre deg om godkjenning til LDAP-serveren. Dette er også kjent som bindende., Nivået på godkjenning, vil avhenge av hva serveren har blitt satt til tillat. Lavest mulig godkjenning nivå er «anonym», men ingen moderne LDAP-serveren tillater anonym binder standard. Vanligvis, en skrivebeskyttet konto på LDAP-serveren er nødvendig for å godkjenne en server til å utstede LDAP-spørringer.
Den nødvendige binde informasjon er inkludert i klient konfigurasjon. For mest mulig sikker konfigurasjon, bruker du en billett eller nøkkel basert authentication system er å foretrekke fremfor å bruke passord.,
LDAP-Søk Informasjon
Når en binder foregår, spørringer er utført. Arten av forespørsler avhenger av klient konfigurasjon. Hva skjema er vi bruke? Hvilke opplysninger trenger vi? Vi har konfigurert på klienten til å sørge for å prøve LDAP for informasjon til alle tider (via nsswitch.conf konfigurasjon)? Gjorde vi fortelle kunden hvor du skal begynne å lete etter informasjon på LDAP-serveren ved å gi base DN?
Dette forteller klienten der hvor å begynne å lete etter informasjonen i LDAP-serveren.,Formatet for denne informasjonen er unike Navn (DNs), som dekker jeg i del 4. Du kan angi en base DN og deretter bestemt DNs-for brukere, grupper, netgroups, etc. Du kan også angi flere steder å søke. Ideen her er å filtrere vår søker å sette fart ting opp for klientene.
Fun fact: Apple auto-retter til DNs DNS. Ikke kult, Apple. Ikke kult.
Når LDAP-klienten har den nødvendige informasjonen, bør det unbind – vi ønsker ikke å forbli innlogget på ubestemt tid. Det er en ressurs hog.
LDAP-skjema-informasjon
jeg dekker skjemaer i detalj på del 3., Mange kunder vet om standard skjema LDAP-bruker, slik som RFC-2307, RFC-2307bis, etc. I de fleste tilfeller, skjemaene på serveren, vil ikke vike fra det. Men i noen tilfeller, for eksempel gjennom manuell inngripen eller 3. parts verktøy som Dell Vintela (også kjent som Centrify, Quest, etc), kan det være behov for å gjøre tilpasninger. Dette kan gjøres på klienten. Dette gjør at klienten til å be for riktig informasjon fra server, som deretter lar serveren for å finne informasjon og svare på klienten.,
Klient-spesifikke alternativer
Mange kunder tilbyr spesifikke alternativer som caching av brukere/grupper, legitimasjon, Kerberos-konfigurasjon, etc. Disse er generelt valgfritt, men bør undersøkes på en per-klient leverandør basis.
Eksempel klient konfigurasjon
følgende er et eksempel på hva en samlet Data ONTAP LDAP-klient ville se slik ut:
Dette er hva min klient konfigurasjon kjører SSSD ser ut som:
– Servere
Hvis du ønsker et sted for kunder for å be om informasjon, må du ha en server., Serveren må ha en gyldig RFC-2307 skjema for å inneholde de nødvendige LDAP-objekter. Hvis du gjør en UNIX-basert LDAP-og ønsker å bruke Microsoft Active Directory for å tjene UNIX-basert autentisering, så du vil trenge for å sikre server har UNIX-attributter i skjemaet. Mens Microsoft Active Directory kjører på en LDAP-backend, det er ikke sant UNIX-basert på LDAP-serveren til du utvide skjemaet. Jeg snakker litt om dette i min blogg innlegget på IDMU.
Som nevnt i klient-delen, må du ha en haug av informasjon for å konfigurere klienter. Serveren er hvor denne informasjonen kommer fra., Her er det ting du trenger å sjekke på serveren for å sikre at du konfigurere dine kunder riktig:
- Server nettverk info (IP-adresse, vertsnavn, DNS-oppføringer, SRV-poster, LDAP-server-porter, etc.)
- Støttes binde nivå (bruk de sterkeste tilgjengelige, hvis mulig)
- Gyldig binder brukeren eller SPN
- DN informasjon
- Skjema type/attributter
LDAP-servere kan være vert for tonnevis av informasjon. UNIX user creds, Windows creds, netgroups, IP-adresser, SPNs, navn kartlegging regler…. Det avhenger bare av hva kundene støtte som avgjør hva du kan bruke.,
Vanlige LDAP-servere
LDAP-servere alle har en tendens til å forholde seg til et felles sett av standarder som er definert av IETF. Dette er for å sikre et bredt spekter av støtte for klienter., Noen av de mer vanlige LDAP-servere inkluderer (men er ikke begrenset til):
- Active Directory
- OpenLDAP
- RedHat Directory-Server/389 Directory-Server
- Apple-Open Directory
- Oracle Internet Directory
- ApacheDS
LDAP-Henvisninger
Hvis du bruker flere LDAP-tjenere og en klient er ikke i stand til å finne et objekt i den angitte LDAP-serverens domenenavn, kan det forsøke å bruke en LDAP-henvisning for å se på andre servere., I hovedsak, det tar informasjonen i LDAP-serveren om andre servere vi vet om og forsøk på å koble til dem via LDAP-URI til det enten a) finner objektet eller b) går ut av servere til å prøve. Dette kan skje både på Windows og ikke-Windows-LDAP-servere. Noen LDAP-klienter støtter ikke «henvisning » chasing»,» så det er viktig å vite om dette skjer i miljøet og hvis klienten er i stand til å jage henvisninger.,
Global Katalog Søk
I Active Directory, er det mulig å lagre en kopi av attributter fra flere domener i en skog på lokale domenekontrollere som opptrer som Global Katalog servere. Som standard UNIX-attributtene ikke bli kopiert til den Globale Katalogen, men du kan endre atferd som er nødvendig. Jeg dekker hvordan du gjør dette i TR-4073. Hvis du trenger å søke flere domener i samme skog og ønsker å unngå LDAP henvisninger, du kan ganske enkelt kopiere de nødvendige attributter og endre LDAP-port for å 3268 å la servere vet å bruke den Globale Katalogen i stedet!,
Mine omgivelser
I omgivelsene mine, jeg bruker Active Directory, LDAP med id-behandling. Men jeg har vært kjent for å bruke OpenLDAP og RedHat Directory Services. Begge er helt gyldig til bruk. Imidlertid, hvis du er innstilt på å gjøre multiprotocol NAS (CIFS/SMB og NFS), jeg sterkt anbefaler at du bruker Microsoft Active Directory for godkjenning for UNIX-og Windows-brukere. Gjør livet mye enklere.
Hvis du allerede bruker Linux-basert LDAP, er det fint. Hvis det er mulig, prøve å sikre UNIX-brukernavn (uid LDAP-attributtet) samsvarer med Windows-brukernavn (sAMAccount attributt)., På den måten, hvis du bruker multiprotocol NAS, du trenger ikke å bekymre deg om navn kartlegging.
Hvis du ønsker å se alt lagt til dette innlegget om LDAP-servere og klienter, føl deg fri til å kommentere eller følg meg på Twitter @NFSDudeAbides!
Wrap-up
For mer detaljert informasjon om LDAP-konfigurasjonen (spesielt med NetApp gruppert Data ONTAP), se TR-4073: Sikre Enhetlig Godkjenning.
Også, stay tuned for flere i den serien av LDAP grunnleggende om på denne bloggen!,
Lenker til andre seksjoner kan bli funnet på det første innlegget i denne serien:
Hva pokker er en LDAP-uansett?
– >