LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> LDAP - instalacja i bezpieczeństwo

Bardzo dynamiczy rozwój Internetu, stawia coraz wyższą poprzeczkę twórcom narzędzi pozwalających dotrzeć nam do szukanej informacji czy kontaktu z innymi. Jedną z takich usług są tzw. usługi katalogowe. Ostatnio dominującym wśród standardów przeznaczonych do obsługi zasobów danych o charakterze katalogowym stał się serwer LDAP (Lightweight Directory Access Protocol).

20.9.2004 16:00 | Marek Chrobak | Články autora | přečteno 37368×

Bardzo dynamiczy rozwój Internetu, stawia coraz wyższą poprzeczkę twórcom narzędzi pozwalających dotrzeć nam do szukanej informacji czy kontaktu z innymi. Jedn ą z takich usług są tzw. usługi katalogowe. Ostatnio dominującym wśród standardów przeznaczonych do obsługi zasobów danych o charakterze katalogowym stał się serw er LDAP (Lightweight Directory Access Protocol), który dostarczając uniwersalną bazę danych oraz interfejs dostępowy wykorzystujący protokół TCP/IP, stanowi wygod ną infrastrukturę dla oferowanych usług sieciowych. Istotną własnością systemów działających w oparciu o protokół LDAP jest dobra skalowalność i możliwość dostoso wania schematu bazy do naszych potrzeb.

Chciałbym Wam przybliżyć zasadę działania LDAP-a i pokazać w jaki sposób stworzyć własną bazę w oparciu o ten serwer.
A więc zacznijmy od początku. Musimy mieć wersję instalacyjną. Możemy ją ściągnąć ze strony http://www.openldap.org/software/download/. Sam proces kompilacji i instalacji jest stosunkowo prosty. Wystarczy, że wykonamy następujące polecenia:

tar xvzf openldap-VERSION.tgz
cd openldap-VERSION
./configure --enable-ldap --enable-ldbm
make depend
make
make test
make install

Teraz zostaje nam już tylko edytowanie pliku konfiguracyjnego bazy /usr/local/etc/openldap/slapd.conf. Przykładowy plik konfiguracyjny może wyglądać następująco:

include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
database ldbm
suffix "o=FIRMA,c=pl"
rootdn "cn=Manager,o=FIRMA,c=pl"
rootpw naszehaslo
directory /usr/local/var/openldap-data
pidfile /usr/local/var/slapd.pid
argsfile /usr/local/var/slapd.args
index objectClass eq

Skonfigurowaną bazę uruchamiamy poleceniem /usr/local/libexec/slapd.
Zanim przystąpimy do dalszej konfiguracji, musimy najpierw utworzyć w bazie tzw. rekord główny. Może to być wpis określający organizację lub domenę. Kolejne rekor dy będą znajdować się poniżej. Każdy następny rekord dodajemy wykonując polecenie:

ldapadd -f naszplik -D 'cn=Manager,o=FIRMA,c=pl' -w naszehaslo

gdzie -f nasz_plik wskazuje skrypt do tworzenia bazy i podstawowych danych. Kolejny parametr -D określa nazwę użytkownika mającego dostęp do zapisu w bazie, za ś opcja -w nasze_haslo jest hasłem użytkownika. Proponuję stworzyć dwa pliki konfiguracyjne o nazwach organs.ldap, który będzie zawierał informacje o strukturze b azy oraz users.ldap. Przykładowe pliki powinny wyglądać następująco:

-----------organs.ldap-----------

dn: o=FIRMA,c=pl
o: FIRMA
objectclass: organization
description: Firma Sp. z o.o.

dn: ou=Ksiegowosc,o=FIRMA,c=pl
objectclass: organizationalUnit
ou: Ksiegowosc
description: Ksiegowosc

dn: ou=Pracownicy,o=FIRMA,c=pl
objectclass: organizationalUnit
ou: Pracownicy
description: Pracownicy

-----------organs.ldap-----------



-----------users.ldap-----------

dn: cn=Jan Kowalski,ou=Pracownicy,o=FIRMA,c=pl
objectclass: person
objectclass: inetorgperson
sn: Kowalski
cn: Jan Kowalski
gn: Jan title: Administrator
homePhone: +48332220099
mobile: +48601223344
mail: j.kowalski@firma.net

dn: cn=Wojciech Brzozowski,ou=Ksiegowosc,o=FIRMA,c=pl
objectclass: person
objectclass: inetorgperson
sn: Brzozowski
cn: Wojciech Brzozowski
gn: Wojciech title: Fabrykant
homePhone: +48322009988
mobile: +48505334488
mail: w.brzozowski@firma.net

-----------users.ldap-----------



W przykładzie określamy rekordy dla Jana Kowalskiego oraz Wojciecha Brzozowskiego. Standardowo każda osoba powinna należeć do klasy person, która wymaga określ enia atrybutów cn (commonname/nazwa zwyczajowa) oraz sn (surname/nazwisko), które są zdefiniowane w core.schema. Użyliśmy także atrybutu gn (givenname/imię) zawar tego w klasie inetOrgPerson. I tak po wykonaniu następujących poleceń:

mamy utworzoną bazę z wprowadzonymi dwoma rekordami.
Jeśli chcemy sprawdzić czy nasze dane znalazły się w bazie uruchamiamy polecenia:

ldapadd -f orgs.ldap -D 'cn=Manager,o=FIRMA,c =pl' -w nasze_haslo
ldapadd -f users.ldap -D 'cn=Manager,o=FIRMA,c=pl' -w nasze_haslo

ldapsearch -b "ou=Pracownicy,o=FIRMA,c=pl" cn=*

Teraz zajmiemy się bezpieczeństwem. Pod pojęciem bezpieczeństwa bazy LDAP będę tu rozumiał dwa zasadnicze czynniki: prawa dostępu oraz szyfrowanie transmisji. OpenLDAP posiada rozbudowany mechanizm kontrolujący prawa dostępu. Postać ogólną pojedynczej definicji ACL (Access Control Limit - Limit kontroli dostępu) określa następujący schemat:

access to [obiekt] by [użytkownik] [poziom dostępu]

Poszczególne składowe określone w nawiasach kwadratowych określają:

  • [obiekt] - atrybut lub rekord, a także cała baza (określając ją *). Rekordy do modyfikacji określa się poprzez filtr poszukiwań (filter=<filtr>). Atrybuty w obrębie rekordu określa się za pomocą odpowiedniego słowa kluczowego (attrs=<lista atrybutów>), przy czym każdy kolejny oddziela się przecinkiem.
  • [użytkownik] - kto ma dostęp do podanych atrybutów lub rekordów. Ta składowa, oprócz jednoznacznego określenia nazwy (identycznego z poprzednim: dn=), może zostać podana w formie kluczy:
    • * - wszyscy użytkownicy
    • anonymous - użytkownicy nie zalogowani
    • users - użytkownicy zalogowani (po pomyślnej autentykacji)
    • self - użytkowników związanych z podanym atrybutem lub rekordem
  • [poziom dostępu] - jaki dostęp zostanie przyznany:
    • none - brak dostępu
    • auth (x) - wymagane do podłączenia do bazy
    • compare (cx) - wymagane do porównania rekordu określonego przez użytkownika z rekordem w bazie
    • search (scx) - wymagane dla użycia filtrów poszukiwań
    • read (rscx) - wymagane dla odczytania wyników poszukiwania
    • write (wrscx) - wymagane do modyfikacji rekordów

Jak widać na tym przykładzie każdy następny poziom dostępu posiada uprawnienia poprzednika. Czyli użytkownik otrzymujący poziom read, otrzymuje także search, compare, auth.
Oto kilka przykładowych list kontroli dostępu do OpenLDAP:

  • prawo czytania dla wszystkich:
    access to * by * read
  • prawo do modyfikacji tylko dla użytkowników związanego z rekordem i prawo do czytania dla wszystkich, ale tylko po pomyślnej autentykacji:
    access to * by self write by anonymous auth by * read
  • prawo czytania dla użytkowników, prawo modyfikacji atrybutu homePhone tylko po autentykacji i tylko przez danego użytkownika i administratora bazy:
    access to attr=homePhone by self write by anonymous auth by dn="cn=Manager,o=FIRMA,c=pl" write by * none
    access to * by self write by dn="cn=Manager,o=FIRMA,c=pl" write by users read

Jednak taki poziom zabezpieczeń jest bardzo prymitywny w dzisiejszych czasach, skoro istnieje możliwość podsłuchania transmisji i przechwycenia przesyłanych da nych. Aby zwiększyć poziom zabezpieczeń możemy użyć połączenia szyfrowanego SSL. Skorzystajmy z biblioteki OpenLDAP z Open SSL dzięki opcjom:

  • TLSCertificateFile - określa plik z certyfikatem serwera
  • TLSCertificateKeyFile - określa plik z jego kluczem prywatnym.

Dodatkowo możemy użyć następujących parametrów:

  • nietypowy - TLSRandFile, określający lokalizację pliku, z którego będą pobierane liczby losowe (w przypadku braku /dev/[u]random)
  • zaawansowany - TLSCipherSuite, definiujący wykorzystywane algorytmy kryptograficzne

Taka definicja opcji pozwala na korzystanie z protokołu TLS na standardowym porcie ldap (389/tcp). Uruchomienie OpenLDAP działającego na porcie ldaps (636/tcp) jest dopiero możliwe po uruchomieniu bazy z opcjami:

/usr/libexec/slapd -h 'ldap:/// ldaps:///'

Dzięki temu demon może nasłuchiwać na wszystkich adresach przypisanych do serwera na portach ldap i ldaps. Definicja adresu, na jakim ma nasłuchiwać powinien w yglądać:

/usr/libexec/slapd -h 'ldap://192.168.0.1/ ldaps://192.168.0.1/'

I to by było wszystko na temat bezpieczeństwa w OpenLDAP. Istnieje oczywiście wiele możliwości zabezpieczenia serwera, lecz jest ich tak wiele, że o tym innym razem.

Do mitów należy opinia, że LDAP stosuje się tam gdzie liczbę użytkowników określa się w tysiącach. Usługi katalogowe LDAP można stosować "wszędzie i praktyczni e do wszystkiego". Mam nadzieję, że artykuł ten przybliżył Wam zagadnienia związane z instalowaniem i korzystaniem z serwera LDAP i dzięki niemu zaczniecie korzys tać z tego serwera usług katalogowych.

Autor: Marek Chrobak, 17-09-2004

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze