metadirectory services
Post on 12-Jan-2016
29 Views
Preview:
DESCRIPTION
TRANSCRIPT
Metadirectory Services
Mathias Schindler04.05.2005
Inhaltsübersicht
I. Definition Metadirectory Services
II. LDAP
III. Einsatz an der HTWK
I. Metadirectories
Motivation:
- Zugriff von Anwendungen ist nicht mehr auf lokale Ressourcen oder LAN beschränkt
→ führt zu einer Vielzahl an bereitzustellenden Informationen
- im Alltag ablage von häufig benötigten Informationen in Verzeichnissen (Gelbe Seiten, Bibliotheksverzeichnisse, ...)
→ daran angelehnt entstanden Verzeichnisdienste wie NIS, DNS, WhoIs, ...
- für einfachere Durchsuchbarkeit können Informationen hierarchisch Strukturiert werden
I. Metadirectories
Eigenschaften:
– für lesenden Zugriff optimierter Datenspeicher→ einfaches Durchsuchen und Finden von Informationen
– Inhaltstyp eher statisch
– nicht geeignet für Daten die sich häufig ändern
– standortunabhängig
– ermöglichen Datenreplikation und Partitionierung
– ein Verzeichnis muss keine sicheren Transaktionen unterstützen
I. Metadirectories
Struktur:
– Informationen werden in Entries abgelegt, diese können Attribute besitzen
– starke Beschränkung in der Wahl der Datentypen→ Verzeichnisdienst Kundenkontakte enthält nur Namen,
Adressen, etc.
– oft vereinfachte Zugangsprotokolle die kaum Anwendungslogik in den Anfragen zulassen
I. Metadirectories
Typen:
– anwendungsspezifische[alias Datei für sendmail, config Files von Anwendungen, ...]
– anwendungsunabhängige zweckgebundene(nicht veränderbare oder erweiterbare Datentypen)
[lokale hosts-Datei, DNS - Verzeichnis]
– (netzwerk-)betriebssystemspezifische[lokale passwd-, group - Datei, NIS, ADS, Novell NDS]
– standardisierte allgemeine (anwendungsunabhängige)[X.500, DAP - Varianten, LDAP]
I. Metadirectories
Was können Verzeichnisse nicht leisten:
– ein Verzeichniss ist keine Allzweckdatenbank
– ein Verzeichnis ist kein Dateisystem
– ein Verzeichnis ist kein Ersatz für eine lokale Dateiablage
– ein Verzeichnis ist kein 'Netzwerkmanagement-Tool'
I. Metadirectories
Bei der Verwendung von Verzeichnissen ist zu beachten:
– Allgemeinheit und Erweiterbarkeit/Veränderbarkeit
– Zentralisierung
– Interoperabilität
– Standardisierung
II. LDAP
Entstehung:
– LDAP ist als „leichtgewicht“ - Ersatz zum DAP von X.500 gedacht
– X.500 ist von OSI Spezifizierter Verzeichnisdienst (1985)
– X.500 setzt auf einen kompletten ISO/OSI Stack auf→ rechenintensiv, schwierige Implementierung
– X.500 Zugriffsprotokoll DAP besitzt mächtigen Funktions- und Kontrollumfang
– X.500 konnte sich nie richtig etablieren
II. LDAP
Entstehung:
– LDAP wurde 1995 entwickelt
– LDAP stellt vereinfachte Form von DAP dar
– das Ziel von LDAP ist, Verzeichnisdienste einfacher und somit populärer zu machen
– LDAP setzt auf einen TCP/IP Stack auf
– LDAP implementiert nur einige DAP - Funktionen und Datentypen, trotzdem können die fehlenden emuliert werden
II. LDAP
Entstehung:
II. LDAP
Struktur:
– Struktur wird durch ein Schema bestimmt
– Scheme definiert Objektklassen
– jeder Verzeichniseintrag gehört zu einer Klasse
– ein Verzeichniseintrag ist ein eigenständiges aus Attributen zusammengesetztes Objekt, eindeutig identifiziert durch Distinguished Name (DN)
– Attribute haben einen bestimmten Typ und einen oder mehrere Werte, Typenbezeichnungen meist Kürzel(cn = common name), erlaubte Werte vom Typ abhängig
II. LDAP
Funktionales Modell:
– Authentifizieren
– Suchen
– Vergleichen
– Modifizieren
II. LDAP
Authentifizieren:
– unverschlüsselte anonyme Sitzung (kein Benutzername, kein Passwort)
– unverschlüsselte authentifizierte Sitzung (Benutzername, Passwort)
– verschlüsselte authentifizierte Sitzung
II. LDAP
Suchen:
– es ist möglich nur einen Teil des DIT zu durchsuchen
– Startpunkt der Suche spezifizierbar
– Angabe eines Suchbereichs (scope) möglich
– Attribute die ein zu suchender Eintrag besitzen muss, sowie welche zurückgegeben werden, kann angegeben werden
– Suchfilter (Bedingungen) sind definierbar
II. LDAP
Suchparameter:
– base: DN für den Suchstartpunkt
– scope: Suchbereich, mögliche Werte:● base:nur Startobjekt selbst wird untersucht● one: direkte Kindobjekte von base, jedoch
nicht es selbst● sub: base und gesamter Teilbaum darunter
– Suchfilter: (Attribut-)Bedingungen, die ein Treffer erfüllen muß; Boolean-Kombinationen
von Bedingungen sind möglich
– Limits: Zeit- und Mengenbeschränkungen für Suchoperationen
II. LDAP
Vergleichen:
– überprüft ob ein Eintrag ein Attribut mit einem bestimmten Wert hat
– == → true
– != → false
– nicht vorhanden → 'not found'
II. LDAP
Modifizieren:
– folgende Befehle sind vorhanden:
● add Hinzufügen von Objekten● delete Löschen von Objekten● modifyDN Umbenennen/Verschieben von
Objekten● modify Ändern/Hinzufügen/Löschen
von Attributen
– entsprechende Befehle auch in LDIF Dateien einfügbar
II. LDAP
LDIF:
– da LDAP nur Protokoll, interne Darstellung der Daten nicht spezifiziert→ Bedarf eines einheitliches Austauschformates zw.
heterogenen Systemen (LDIF)
– textuelle Darstellung der Daten eines Verzeichnisses
– menschenlesbare Darstellung und einfach interpretierbar
– mehrere LDIF - Zeilen beschreiben ein LDAP Objekt
II. LDAP
LDIF:
dn: dc=structure-net, dc=de - am Anfang steht der DN (absolute Position im LDAP Baum)
objectclass: organization - es folgen ein oder mehrere Objektklassen (zulässige oder
objectclass: top vorgeschriebene Attribute)o: Structure Net - Attribut - Wert Paare stellen den
eigenltichen Inhalt darl: Hamburgpostalcode: 21033streetadress: Billwiese 22
- eine Leerzeile schließt den Eintrag abdn: uid=admin, dc=structure-net, dc=deobjectclass: personobjectclass: organizationalpersonobjectclass: inetorgpersoncn: admincn: Systemverwaltercn: Thomas Bendlersn: Bendleruid: adminmail: tbendler@structure-net.del: Hamburgpostalcode: 21033streetadress: billwiese 22telephonenumber: 040-7654321facsmiletelephonenumber: 040-7654321
II. LDAP
Sicherheit:
– 2 Arten der Sicherheit:● Zugrifsssicherung auf Objekte mittels ACLs● Verbindungssicherung (s. Nutzerauthentifizierung)
– Verbindungssicherung:● neben unverschlüsselter Authentifizierung unterstützt
LDAP auch SASL (somit sind Digest, Keberos, MD5, u.a. verfahren Nutzbar)
● zusätzliche Sicherung der Verbindung mit SSL/TLS möglich
– Zugriffssicherung:● mittels ACLs können Rechte jedes Objektes spezifiziert
werden
II. LDAP
Replikation:
– Gründe für Replikation:● Ausfallsicherheit● Lastverteilung, Zugriffe verteilbar
– unterscheidung zw. Master und Replica● Replica ist READ-ONLY-Kopie des Masters● Clients die am Replica angemeldet sind und Änderungen
vollziehen wollen, werden an Master weitergeleitet● Replica gleicht Daten regelmäßig mit Master ab● inkrementelle und komplette Synchronisation zw. Master
und Replica möglich● Synchronisation kann kaskadieren (z.B. Replica ist
Datenquelle für weiter Replicas)
II. LDAP
Partitionierung:
– Gründe für Partitionierung:● Verzeichnis enthält zuviele Daten (Serverkapazität
erschöpft)● kleinere Verzeichnisse haben besser
Zugriffsgeschwindigkeit● hoher Repklikationsaufwand durch die Menge der Daten
– Partitionierung ist die Aufteilung des Baumes in mehrere Teilbäume auf mehreren Servern
– Partitiononierung erfolgt an grenzen von Containerobjekten
– Verlinkung von Partitionen mittels Verweise (Anfragen werden weitergeleitet)
– Replizierung von Partitionen möglich
II. LDAP
Verwendung von LDAP:
II. LDAP
Folgende Verzeichnisserver unterstützen LDAP:
* Apple (durch Open Directory), * AT&T, * Banyan, * Critical Path, * HP, * GONICUS, * IBM/Lotus, * Microsoft (durch ADS), * Novell (durch NDS), * Oracle (durch Oracle Internet Directory), * SGI, * Siemens (durch Siemens DirX Directory Server), * Sun (durch Sun ONE Directory Server).
II. LDAP
Anwendungen:
– Verwalten von Benutzerinformationen
– Verwaltung von Gruppen
– Verwalten von Netzwerkkonfigurationen
– Konfigurieren und Verwalten von Anwendungen (z.B. sendmail, apache, samba, OS-login)
– Verwendung als Zertifikatsserver (Aufbau einer PKI)
– Nachbildung eines NT-Servers, mit weiteren OpenSource Tools ist somit ein zentral verwaltbares Win/Unix Netzwerk mit Single-Sign-On möglich
II. LDAP
LDAP Entwicklung:
– durch einfache Befehle leicht in vorhanden Anwendungen integrierbar
– LDAP-APIs für viele Programmiersprachen verfügbar
– Extensions (Request - Response Paar, z.B. Start TLS)
– Controls (ermöglicht das Hinzufügen eigener Funktionalitäten)
– demnächst auch XML zur Datenspeicherung und Datenübertragung
III. Einsatz an der HTWK
Einsatzmöglichkeiten:
– Abbilden von Organisationsstrukturen
– Gruppenverwaltung
– Benutzerverwaltung
– single-sign-on für bestehende Lösungen
top related