Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS
description
Transcript of Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS
![Page 1: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/1.jpg)
Directory Services fürHeterogene IT Landschaften.
Basierend auf LDAP und OSS
Linuxtag 2001, Stuttgart
http://eckenfels.net/LDAP/
![Page 2: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/2.jpg)
Agenda
LDAP – Eine Begriffsbestimmung OSS Keyplayer Typische Anwendungsfälle Das Protokoll und das Datenmodell Software (Server, Clients, Tools) Linux in Heterogene IT Landschaft Ausblick und Fazit
![Page 3: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/3.jpg)
LDAP – Eine Begriffsbestimmung
L eightweight - leichtgewichtiges D irectory - Verzeichnis A ccess - zugriffs- P rotocol - Protokoll
![Page 4: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/4.jpg)
Und mehr?
Ja natürlich:– Client Implementierungen und SDKs– Schemas– Exportformate (LDIF, DSML)– Server (OpenLDAP, Java LDAP, U-M LDAP)
![Page 5: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/5.jpg)
Agenda
LDAP – Eine Begriffsbestimmung OSS Keyplayer Typische Anwendungsfälle Das Protokoll und das Datenmodell Software (Server, Clients, Tools) Linux in Heterogene IT Landschaft Ausblick und Fazit
![Page 6: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/6.jpg)
Open Source Key Players
Historisch– University of Michigan & Netscape / iPlanet
OpenLDAP Project Mozilla Directory Project PADL.com
![Page 7: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/7.jpg)
Agenda
LDAP – Eine Begriffsbestimmung OSS Keyplayer Typische Anwendungsfälle Das Protokoll und das Datenmodell Software (Server, Clients, Tools) Linux in Heterogene IT Landschaft Ausblick und Fazit
![Page 8: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/8.jpg)
Typische Anwendungsfälle
Debian - die Developer Database Boxed Penguin – Plug and Play & SSO Web Portale – Modulschnittstelle LDAP PKI – Abfrageschnittstelle LDAP AD – das Active Directory von MS
![Page 9: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/9.jpg)
Agenda
LDAP – Eine Begriffsbestimmung OSS Keyplayer Typische Anwendungsfälle Das Protokoll und das Datenmodell Software (Server, Clients, Tools) Linux in Heterogene IT Landschaft Ausblick und Fazit
![Page 10: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/10.jpg)
Das LDAP Datenmodell
cn: eckiSn: Eckenfelsemail: [email protected]
Entry
objectClass: personcn: melaSn: Eckenfelsemail: [email protected]
objectClass: person
ou: Users
RDN
Attribute
DN: cn=ecki,ou=Users,dc=Eckenfels,dc=net
dc: net
ou: Computers
root
dc: Eckenfels
![Page 11: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/11.jpg)
Das LDAPv3 Protokoll
TCP oder TLS/SSL Sockets (auch Unix Domain) Austausch von Nachrichten in ASN.1 Folgende Requests sendet der Client
– Bind/UnBind – An-/Abmelden– Search – Einträge mit Filter suchen– Modify – Attribute für einen Eintrag ändern/erweitern– Delete – Eintrag löschen– ModifyDN – Eintrag umbenennen oder verschieben– Compare – Eintrag vergleichen
![Page 12: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/12.jpg)
OSS Software
Server:– OpenLDAP, Java LDAP Server, U-M LDAP
SDKs– Netscape Directory SDK, Open LDAP Libs
Language Bindings– Perl, Python, PHP, C, Java (JNDI), ...
Mail Clients LDAP Enabled
– (UMS, Web ...)
![Page 13: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/13.jpg)
LDAP Software – Server Evolution
LDAP Server als Gateway zu X.500 DS Stand Alone slapd Backend Module bei OpenLDAP
– Files, DBM, ODBC, Scripts, DNS, Whois, LDAP
Vom Gateway hin zum Meta DirectoryVom Gateway hin zum Meta Directory
![Page 14: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/14.jpg)
Software – LDAP Clients
Neben LDAP enabled Clients gibt es auch generische LDAP Tools zur Verwaltung
– Gq– GNOME LDAP– Web2ldap.de– kldap
![Page 15: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/15.jpg)
Software – LDAP Admin Tools
Unix Account Administration– Directory Administrator– Likken
Enterprise Directory System– Ganymed
Java Client / Server System Verwaltung von LDAP, NT –Domains, sendmail Routing
![Page 16: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/16.jpg)
Software – Internet Server
LDAP Enabled MTAs– Qmail, exim, sendmail, ...
LDAP Gateways– Radius, NIS, ...
Web Server Module– Roxxen, Apache, IIS, ...
![Page 17: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/17.jpg)
Agenda
LDAP – Eine Begriffsbestimmung OSS Keyplayer Typische Anwendungsfälle Das Protokoll und das Datenmodell Software (Server, Clients, Tools) Linux in Heterogene IT Landschaft Ausblick und Fazit
![Page 18: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/18.jpg)
Linux in IT Landschaft
Grundsätzlich gemischte Landschaft– Linux als File Server– Linux als Internet Server (Web, MTA, Cache)– Windows Desktops– NDS/AD als zentrales Directory
Integration?
![Page 19: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/19.jpg)
LDAP Network Information Service
NIS auf Basis LDAP: RFC2307bis Hooks für LDAP?
– Name Service Switch NSS für Lookup Methoden– Plugable Authentication Modules – PAM
![Page 20: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/20.jpg)
nss_ldap
Ermöglicht Linux (Solaris, BSD, ..) Systemen Name Service Lookups per LDAP durchzuführen (insbesondere Accounts)
Performance Steigerung durch nscd Zugriff auf NDS, AD, Netscape Directory,
OpenLDAP Unterstützt TLS/SSL, DNS SRV RR Filter konfigurierbar
![Page 21: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/21.jpg)
pam_ldap
Authorisierung von Usern mittels zentralem LDAP Verzeichnis
Account Informationen (home, uid, shell) können entweder lokal (z.B. /etc/passwd) oder mittels NIS oder libnss_ldap bezogen werden
Unterstützt das ändern von Passwörtern auf gängigen Systemen: AD, NDS, OpenLDAP, Netscape
![Page 22: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/22.jpg)
Linux als Verzeichnisserver
OpenLDAP hat beste Voraussetzungen Bereits geeignet für:
– Portale (Web Server mit LDAP Module)– Kommerzielle Module (UMS, Call Center)– PKI (OpenCA, ...)
Aber? Verzeichnis für Desktop Systeme?
... Es bleibt spannend
![Page 23: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/23.jpg)
Fazit und Ausblick
LDAP besitzt eine breite Unterstützung Im Detail ist die Zusammenarbeit schwer Eventuell liegt die geringe Verbreitung im
komplexen Protokoll, die Anzahl der Implementierungen spricht dagegen
Boxedpenguin könnt interessant werden Das Zusammenspiel mit AD klappt erstaunlich
gut -> PUSH
![Page 24: Directory Services für Heterogene IT Landschaften. Basierend auf LDAP und OSS](https://reader036.fdocument.pub/reader036/viewer/2022070417/568153af550346895dc1b088/html5/thumbnails/24.jpg)
Fragen und Diskussion?
Vielen Dank für Eure Aufmerksamkeit
http://eckenfels.net/LDAP/
Bernd Eckenfels <[email protected]>