LDAP
This presentation is the property of its rightful owner.
Sponsored Links
1 / 31

LDAP PowerPoint PPT Presentation


  • 162 Views
  • Uploaded on
  • Presentation posted in: General

LDAP. von Sebastian Streitberger. Inhalt. Was ist LDAP? Geschichte und Versionen von LDAP Schema und Verzeichniseinträge LDAP Konzepte und Architektur Praktisches Beispiel: Adressbuch Quellen. Was ist LDAP?.

Download Presentation

LDAP

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Ldap

LDAP

von Sebastian Streitberger


Inhalt

Inhalt

  • Was ist LDAP?

  • Geschichte und Versionen von LDAP

  • Schema und Verzeichniseinträge

  • LDAP Konzepte und Architektur

  • Praktisches Beispiel: Adressbuch

  • Quellen


Was ist ldap

Was ist LDAP?

LDAP ist die Abkürzung für das Lightweight Directory Access Protocol. Wie der Name sagt, unterstützt dieses Protokoll einen Verzeichnisdienst (Directory).

Was ist ein Verzeichnis?

Ist eine Auflistung von Informationen über Objekte in einer gewissen Ordnung. Zu jedem Objekt kann man Detailinformationen abfragen.

Beispiel: In einem Telefonbuch sind die Objekte die Personen, die Ordnung ist alphabetisch, und die Detailinformationen, die man bekommen kann, sind Adresse und Telefonnummer.


Ldap

Was ein Verzeichnis nicht ist ...

  • Ein Verzeichnis ist keine

    Allzweckdatenbank

  • Ein Verzeichnis ist kein Dateisystem

  • Ein Verzeichnis ist kein Ersatz

    für eine lokale Dateiablage

  • Ein Verzeichnis ist kein

    'Netzwerkmanagement-Tool'


Wie kann ein ldap verzeichnis die arbeit im netzwerk erleichtern

Wie kann ein LDAP-Verzeichnis die Arbeit im Netzwerk erleichtern?

LDAP ermöglicht einfach und schnell:

  • Normalisierte Datenhaltung

  • Zentrale Verwaltung der Informationen

  • Konsistenz in der Schnittstelle zum User

  • Konsistenz in den Richtlinien für das Netzwerkmanagement

  • Konsistenz in den Security Policies


Wieso habe ich noch nichts von ldap geh rt wenn es so toll ist

Wieso habe ich noch nichts von LDAP gehört, wenn es so toll ist?

  • LDAP ist dann doch nicht ganz das Allheilmittel für alle Netzwerkwehwehchen

  • Fehlende Unterstützung

  • Microsoft stetzt intern auch auf LDAP -> Windows 2000 Active Directory; .net-Server volle LDAP-Kompatibilität

  • Viele Hersteller verzichten auf eine LDAP – Schnittstelle

  • Wenig Support und Dokumentation für Einsteiger


Geschichte und versionen

Geschichte und Versionen

Das alte Problem: Gewachsene Strukturen und

nicht kompatible Systeme. Die Lösung: Standards

X.500 - Der Directory Service Standard

Directory Services - Verzeichnisdienste.

1988 wurde der X.500 Standard verabschiedet

X.500 organisiert Einträge in einem Verzeichnis über einen hierarchisch aufgebauten Namensraum

Als Protokoll für die Kommunikation zwischen dem Directory -Client und dem Directory-Server wurde das so genannte Directory Access Protocol (DAP) spezifiziert.


Ldap

  • Als Protokoll des obersten OSI-Layers, dem Application Layer, ist es auf den vollständigen darunterliegenden Schichtenstapel angewiesen

  • Es musste ein leichtgewichtig-

    eresProtokoll her, eben das

    Lightweight Directory Access Protocol

  • LDAP setzt als 'Light'-Version

    von DAP auf die verbreitete

    TCP/IP-Schicht auf. Außerdem

    vereinfacht LDAP einige

    X.500-Operationen


Versionen

Versionen

  • LDAP v3 wurde im Dezember 1997 von der IETF als 'Proposed Internet Standard' bestätigt und hat LDAP v2 in einigen wichtigen Aspekten verbessert:

  • Globalisierungssupport: Verwendung von Unicode für die interne Repräsentierung für Daten, können Zeichen aller Weltsprachen benutzt werden

  • Sicherheit: LDAP v3 hat nun Standardmechanismen, um Simple Authentication and Security Layer (SASL) und Transport Layer Security (TLS) zu unterstützen. damit bietet LDAP ein umfassende Datensicherheit

  • Erweiterbarkeit

  • Offenlegen von Funktionen und Schemas


Schema und verzeichniseintr ge

Schema und Verzeichniseinträge

  • LDAP-Schema definiert die Liste möglicher Typen von Einträgen (die man als Objektklassen bezeichnet) zusammen mit den mit ihnen verknüpften Attributen. Schema-Definitionen werden in Dateien gespeichert.

  • Jeder LDAP-Server hat ein oder mehrere bekannte Standard-Schemas

  • Beispiel: Durchsuchen eines LDAP Servers!

    öffentliche Suchanfragen akzeptiert der Server -> Objektklasse inetOrgPerson.

    Damit kann ich schon nach den vollen Namen [cn]

    den Nachnamen [sn] die E-Mail Adresse [mail] oder den Vornamen [givenname] suchen!

  • Objektklassen sind hierarchisch angeordnet, wobei die Objektklasse top die Wurzel des Baums bildet

  • Objekte der ersten Ebene (Level) sind Child-Objekte!


Aufbau einer ldif datei

Aufbau einer *ldif Datei

dn: cn=cool-divers,ou=users,dc=lokal,dc=de

cn: cool-divers

givenName: cool-divers

sn: cool-divers

l: Troisdorf

postalCode: 53842

street: Heidegraben 30

facsimileTelephoneNumber: 02246-900695

mobile: 170-2774400

mail: [email protected]

objectClass: top

objectClass: inetOrgPerson

telephoneNumber: 02246-302940


Schema bersicht

Schemaübersicht

/etc/openldap/schema


Ldap architektur

LDAP - Architektur

Bei LDAP ist die Adresse LDAP host-URL + DN weltweit eindeutig.

So wird dann auch eine LDAP-URL zusammengesetzt:

ldap://ldap.canon.com/o=canon,c=us


Ldap adressbuch das praxis beispiel

LDAP AdressbuchDas Praxis Beispiel


Aufbau

Aufbau

Linux Server Linux o. Windows Client

SuSE Linux 9.3 Windows 9x, 2000 o. XP


Linux server ldap installieren

Linux Server: LDAP installieren


Unterschiede zwischen der orginal openldap installation und der suse openldap installation

Unterschiede zwischen der Orginal-OpenLDAP-Installation und der SuSE-OpenLDAP-Installation


Anpassen des ldap servers

Anpassen des LDAP Servers


Ldap

#######################################################

# BDB database definitions

#######################################################

databaseldbm

checkpoint 1024 5

cachesize 10000

suffix"dc=lokal,dc=de"

rootdn"cn=manager,dc=lokal,dc=de"

# Cleartext passwords, especially for the rootdn, should

# be avoid. See slappasswd(8) and slapd.conf(5) for details.

# Use of strong authentication encouraged.

rootpwgeheim

# The database directory MUST exist prior to running slapd AND

# should only be accessible by the slapd and slap tools.

# Mode 700 recommended.

directory/var/lib/ldap

# Indices to maintain

indexobjectClasseq


Client file ldap conf

Client File ldap.conf

#ldap.conf for lokal de

#

# Beachten Sie auch man ldap.conf

#

BASE dc=lokale,dc=de

HOST 127.0.0.1

/etc/openldap/ldap.conf


Container ldif anlegen

„Container *.ldif anlegen“

ldapadd –x –D „cn=Manager,

dc=lokal,dc=de“ –W –f main.ldif

-x -> Simple Authentication

-D -> Bind dn

-W -> promt password line

-f -> File

$ adding new entry „…“

# LDAP Domaine

dn: dc=lokal,dc=de

objectClass: domain

objectClass: dcObject

dc: lokal

# Container fr die Benutzer

dn: ou=users,dc=lokal,dc=de

ou: users

objectClass: top

objectClass: organizationalUnit

# Container fr die NT-Maschinen

dn: ou=hosts,dc=lokal,dc=de

ou: hosts

objectClass: top

objectClass: organizationalUnit

# Container fr die Gruppen

dn: ou=groups,dc=lokal,dc=de

ou: groups

objectClass: top

objectClass: organizationalUnit

# Manager des LDAP Verzeichnis

dn: cn=manager,dc=lokal,dc=de

objectClass: organizationalRole

cn: manager

main.ldif


Der 1 eintrag

Der 1. Eintrag

Die Daten werden ebenfalls per *.ldif File eingefügt!

dn: cn=cool-divers,ou=users,dc=lokal,dc=de

cn: cool-divers

givenName: cool-divers

sn: cool-divers

l: Troisdorf

postalCode: 53842

street: Heidegraben 30

facsimileTelephoneNumber: 02246-900695

mobile: 170-2774400

mail: [email protected]

objectClass: top

objectClass: inetOrgPerson

telephoneNumber: 02246-302940

eintrag.ldif


Hinzuf gen des eintrages

Hinzufügen des Eintrages

ldapadd –x –D „cn=manager,dn=lokal,dc=de“ –W –f eintrag.ldif

adding new entry „…“

Nun können wir schon testen ob alles klappt!

ldapsearch -x

Es wird alles im Directory ausgegeben! Da sollte auch unser Eintrag stehen!


Konfigurieren des clients

Konfigurieren des Clients

  • Nehmen wir Thunderbird, das bietet ein sehr gutes Adressbuch und ist für Windows und Linux erhältlich

Ebenso gut geht unter Linux das KDE,Gnome Adressbuch oder andere Adressbücher Anwendungen


Quellen

Quellen

  • LDAP System Administration O‘Reilly

    ISBN 1-56592-491-6

  • pro-linux.de

    http://pro-linux.de/t_office/openldap-adressbuch.html

  • Linux LDAP Howto

    http://www.linuxhaven.de/dlhp/HOWTO/DE-LDAP-HOWTO.html

  • Linux Magazin

    http://www.linux-magazin.de/Artikel/ausgabe/1998/09/LDAP/ldap.html

  • OpenLDAP

    http://www.openldap.org

  • MitLinX

    http://www.mitlinx.de/ldap

  • Das Verzeichnis für Verzeichnisdienste

    http://www.verzeichnisdienst.de/


Ldap

Ende


  • Login