LDAP, na haswa OpenLDAP, ina idadi ya vipengele vya usalama ambavyo vinaweza kuonekana kuwa ngumu kidogo mwanzoni (na pili na tatu). Kielelezo 15-1 kinaonyesha picha kubwa ya tatizo kabla ya kwenda kwa undani. Maonyesho yafuatayo mbinu mbalimbali ufikiaji na miingiliano ya mfumo wa LDAP, na kisha inaelezea maswala ya usalama na mbinu zinazopatikana za kudhibiti hatari. Lengo la zoezi hili ni ama kufafanua seti ya sera za usalama au kuweka kipaumbele katika utekelezaji.

Kielelezo 15-1. Picha ya jumla ya maswala ya usalama

Nambari zote zinazoonekana katika maelezo hapa chini rejea Mchoro 15-1.

Mwingiliano na wasajili wa mbali (1): Kuhakikisha usalama unapotangamana na wasajili wa mbali kunaweza kuwa tatizo au lisiwe tatizo. Wakati wa kutoa ufikiaji usio na kikomo (usiojulikana) kwa maelezo yasiyo ya siri ya LDAP, masuala ya usalama hayajakuzwa. Tahadhari: chini ya masharti haya, seva yako bado inakuwa shabaha inayowezekana ya mashambulizi ya DoS/DDoS kwa kuipakia na maombi mabaya ya LDAP. Kwa hivyo, hata utekelezaji unaoonekana kuwa mdogo unaweza kuhitaji muundo wa uangalifu.

Ikiwa mwingiliano wote na LDAP umehakikishiwa kuwa utafanyika kwenye mtandao unaoaminika, basi unaweza kuchagua kufanya kazi na manenosiri rahisi ya maandishi bila matatizo ya ziada ya usalama. Walakini, hata katika hali kama hizi, kulingana na topolojia ya mtandao unaoaminika, inaweza kuwa rahisi sana kuzuia trafiki na kupata data ya siri (1-2) au nywila (1-1) iliyotumwa kwa maandishi wazi.

Wakati wa kuingiliana na LDAP kwenye mitandao isiyoaminika, watu waharibifu kwenye mtandao mara moja wana kitu cha kufanya: kuwa tayari kwa uingiliaji, udadisi, mashambulizi ya mtu katikati, nk. P. litakuwa tukio la mara kwa mara. Pia fahamu kuwa utumiaji wa usanidi wa mtandaoni wa OLC (cn=config) na vitendaji vya ufuatiliaji (cn=monitor) unaweza kusababisha vivinjari vya LDAP kuwa zana ya kawaida ya utawala wa mbali na usimamizi wa seva za LDAP. Na trafiki hii, kwa asili yake, ni ya siri sana.

Ikiwa imeamuliwa kuwa kiwango fulani cha usalama bado ni muhimu, basi swali la kwanza linalotokea katika kesi hii ni: je, tunahitaji kulinda manenosiri pekee (1-1), au tunahitaji kulinda data zote mbili (1-2) na nywila (1-1 )? Kulingana na jibu la swali hili hatua zetu zifuatazo zitaamuliwa.

Nenosiri (1-1): Usichanganye kulinda manenosiri wakati yanatumwa kwenye mtandao na kuyalinda katika faili za usanidi au katika DIT. Hata kama umelinda nywila zote katika faili za usanidi au DIT kwa kutumia njia za hashing kama vile (SSHA), mteja anapotuma nenosiri kwa seva ili kuthibitishwa, hutumwa kwa maandishi wazi, kwa haraka kwenye seva, na ikilinganishwa na zilizohifadhiwa. thamani. Bila kuchukua hatua zaidi, inaweza kwa hivyo kuingiliwa (au kufuatiliwa, kulingana na upendeleo wako kwa maneno kama haya). Kumbuka: Wakati mteja anaomba rekodi iliyo na, sema, sifa Nenosiri la mtumiaji, thamani ambayo ni hashed, sema, kwa kutumia algorithm (CRYPT), basi nenosiri hili linatumwa si kwa maandishi wazi, lakini kwa fomu yake ya haraka (yaani, katika moja ambayo imehifadhiwa). Walakini, ufikiaji unapofanywa kwa niaba ya akaunti hii, mteja hutuma nenosiri (ambalo limethibitishwa) kwa maandishi wazi, na, kwa kweli, ikiwa uthibitishaji umefanikiwa, msikilizaji anaweza kudhani kuwa nywila imetumwa. katika maandishi wazi ilikuwa sahihi.

Manenosiri ya haraka yanapotumwa katika mkondo wa data ambao unaweza kuzuiwa, huwa hatarini kwa mashambulizi ya kamusi — mara tu yanapokuwa na nenosiri la haraka, mshambulizi huendesha orodha ya manenosiri (inayoitwa kamusi) kupitia algoriti ya hashing hadi apate inayolingana. Matumizi chumvi(baiti moja au zaidi, — kulingana na utekelezaji, — iliyoongezwa kwa nenosiri kabla ya kuharakisha na kutupwa kabla ya kulinganishwa) inaboresha sana usalama wa manenosiri ya haraka, na isipokuwa kama una sababu ya kulazimisha kinyume chake, unapaswa kutumia aina fulani kila wakati. hashing algorithm na chumvi. Unapaswa pia kutumia ACL kutoa ufikiaji wa nywila kwa mduara fulani pekee watumiaji walioidhinishwa. Kwa mfano, kwa kuchukulia kuwa nywila zimehifadhiwa katika sifa Nenosiri la mtumiaji, ACL ifuatayo itaruhusu ufikiaji wa sifa hii kwa mmiliki pekee wa ingizo na kikundi maalum cha watumiaji (msimamizi):

# Fomu ya OLC (cn=config) olcAccess: to attrs=userpassword by self write by anonymous auth by group.exact="cn=admin,ou=groups,dc=example,dc=com" andika kwa *none # Slapd umbizo. conf ufikiaji wa attrs=userpassword kwa kujiandikia kwa mwandishi asiyejulikana na group.exact="cn=admin,ou=groups,dc=example,dc=com" andika na * none

Iwapo unataka tu kulinda manenosiri, basi suluhu inaweza kuwa kutumia SASL iliyo na algoriti (kama vile CRAM-MD5) ambayo hutoa mazungumzo salama ya muunganisho (kwa kutumia mlolongo wa siri ulioshirikiwa) ambapo manenosiri kamwe hayatumiwi kwa maandishi wazi () . Njia mbadala ni kutumia TLS/SSL (pamoja na au bila SASL) au Kerberos 5. Katika hali hii, njia rahisi za nenosiri zinaweza kutumika, kwa kuwa mawasiliano yote ya mtandao yamesimbwa kwa njia fiche na kwa hiyo hayawezi kuingiliwa.

Kufikia sasa tumejadili maswala ya kupata data tu. Vipi kuhusu kubadilisha au kurekebisha data hii? OpenLDAP hutoa chaguzi mbili za ukaguzi: weka juu ukaguzi(kwa kupata Taarifa za ziada tazama ukurasa wa mtu wa slapo-auditlog) na safu ya ufikiaji. Zote mbili zina vipengele vya mabadiliko ya uwekaji kumbukumbu yaliyofanywa kwa DIT ya uzalishaji, na logi ya ufikiaji ina uwezo wa kuweka taarifa kuhusu miunganisho, ufikiaji wa kusoma/kutafuta, na maudhui ya awali ya rekodi au sifa.

Ufikiaji wa ndani (2): Ufikiaji wa ndani unarejelea matukio yoyote yanayotokea moja kwa moja kwenye seva ya LDAP au nguzo ya seva (au kupitia ufikiaji salama wa mbali kwa seva kwa kutumia, kwa mfano, ssh). Kwa wazi zaidi, uchezaji wa faili/saraka za usanidi (2-1) na amri zinazotekelezwa ndani ya nchi (2-2) huangukia katika kitengo hiki.

Faili za usanidi (2-1): Hapa tunahitaji kuzingatia vipengele viwili:

1. Wamiliki na haki: Chaguomsingi, mifumo ya kisasa LDAPs hufanya kazi kwa niaba ya akaunti za mtumiaji/kikundi zilizo na mapendeleo machache (kawaida ldap:ldap). OpenLDAP inapakiwa kutoka haki za mizizi(kufungua bandari za upendeleo) na kisha haraka sana kwenda kufanya kazi na marupurupu yake ya kawaida (ya chini) ya kufanya kazi. Unapotumia OLC (cn=config), OpenLDAP inahitaji yaliyomo kwenye saraka ya usanidi kuwa na ruhusa ya angalau 0750 kwa akaunti ambayo itafanya kazi (kawaida ldap:ldap), lakini haiweki kwa kujitegemea haki zinazolingana. Tabia hii inatofautiana na kufanya kazi na faili ya usanidi ya slapd.conf, ambayo hupewa haki 0600 kiotomatiki.

   Nenosiri: Nenosiri zinazopatikana katika saraka ya slapd.d (unapotumia OLC (cn=config)) na faili ya usanidi (slapd.conf), kama vile olcRootPw/rootpw , huchukuliwa kuwa nyeti sana. Ni bora kuondoa kabisa olcRootDn/rootdn na olcRootPw/rootpw baada ya DIT kuwekwa katika uzalishaji. Na, bila shaka, nywila zote zinapaswa kuhifadhiwa katika fomu ya haraka ili kuzuia maelewano ya ajali (hii inapaswa kubainishwa katika kiwango cha sera ya usalama).

Timu (2-2): Kihistoria, LDAP ilisimamiwa kupitia kiolesura cha ndani, hasa kutoka kwa mstari wa amri. Ilichukuliwa kuwa trafiki ya ndani (ya ndani ya seva) haikuwa chini ya ufuatiliaji, na kwa hiyo hata matumizi ya manenosiri rahisi ya maandishi yaliyo wazi yalizingatiwa kuwa kipimo cha kutosha cha usalama kwa huduma nyingi za utawala. Hata hivyo, kama ilivyobainishwa hapo juu, ongezeko la utekelezaji wa saraka na usanidi wa wakati wa utekelezaji (OLC, cn=config) na ufuatiliaji (cn=monitor) inaweza kumaanisha kuwa vivinjari vya mbali vya LDAP vinakuwa kawaida linapokuja suala la kusimamia mifumo ya LDAP. Katika kesi hiyo, upatikanaji wa huduma hizi huzalisha maambukizi ya habari nyeti sana kwenye mtandao, ambayo lazima ilindwe kwa kutumia teknolojia maalum kuhakikisha usalama wa data kama vile TLS/SSL.

Mwishowe, kwa kuwa usanidi wa wakati wa kukimbia huhifadhi mipangilio yote kwenye DIT (cn=config), inafaa kuzingatia kutumia. vipengele vya nguvu logi ya ufikiaji — zana ya kutengeneza kumbukumbu kukagua mabadiliko yaliyofanywa kwa DIT fulani.

DIT(3): Usalama wa DIT unafafanuliwa na muundo wa usalama wa LDAP na unatekelezwa tu kwa kutumia olcAccess/access to Rights inapaswa kuwekewa vikwazo kwa ukali iwezekanavyo, na ACLs zinapaswa kujaribiwa kwa slapacl baada ya kila badiliko.

Rudia (1-3): Hata kama ufikiaji wa kawaida wa mteja kwa mfumo wa LDAP hauhitaji hatua kali za usalama, hali inaweza kuwa tofauti wakati wa kuiga DIT sawa. Wakati wa mzunguko wa kurudia, kwa wakati mmoja au nyingine, data zote katika DIT (sifa za mtumiaji na za uendeshaji) zitahamishwa kwenye mtandao. Kuna uwezekano kwamba baadhi ya habari hii itakuwa muhimu sana. Mwingiliano wa mtandao wakati wa kurudia unastahili kuzingatiwa maalum. Unaweza kusanidi TLS/SSL mchanganyiko na muunganisho mwingine wa aina salama (au hata usio salama) kwa seva sawa (angalia mifano ya usanidi mchanganyiko wa TLS/SSL na SASL).

Inasanidi SASL katika OpenLDAP

Tutamaliza sehemu hii hivi karibuni ( siku moja hivi karibuni ™)

Inasanidi SASL TLS/SSL katika OpenLDAP

Mwongozo wa Msimamizi wa OpenLDAP unasema kwamba unapotumia TLS kwa utaratibu wa EXTERNAL SASL, mteja na seva lazima wawe na cheti halali cha X.509. Ikiwa hii ni kweli, basi tunaishia na usanidi changamano usio wa lazima na uboreshaji mdogo wa usalama, na kufanya matumizi yake kuwa ya kutiliwa shaka katika hali nyingi (lakini kuna vighairi maalum, kama vile urudufishaji). Hatutajadili hili kwa undani kwa wakati huu.

Inasanidi TLS/SSL katika OpenLDAP

Kagua

TLS (Usalama wa Kiwango cha Usafiri) ni jina tu la toleo sanifu la IETF la Tabaka la Soketi Salama la Netscape (SSL). Kwa hakika hakuna tofauti kati ya SSL(v3) na TLS(v1), na katika hati hii maneno haya yanachukuliwa kuwa sawa. TLS/SSL inatumika na OpenLDAP tangu toleo la 2.1.

Kwa kawaida, TLS/SSL inahitaji cheti cha X.509 (kinachojulikana zaidi kama Cheti cha SSL), ambayo inaweza kununuliwa kutoka kwa CA ya kibiashara au Mamlaka ya Cheti (CA), au inaweza kuwa cheti cha kujiandikisha. Hati hizi hutoa mwongozo wa hatua kwa hatua wa kuunda vyeti vya kujiandikisha na pia hutoa maswala ya ziada ya kutumia vyeti vya kibiashara ikiwa ni lazima.

# sehemu ya slapd.conf mipangilio ya kimataifa... # Usalama - sehemu ya TLS TLScertificateFile /certs/ldapscert.pem TLScertificateKeyFile /certs/keys/ldapskey.pem TLSCipherSuite TLSv1+RSA:!NULL # thamani ya maagizo yafuatayo imewekwa kwa hili kwa chaguo-msingi, # hata hivyo tunawasilisha hapa kwa uwazi TLSVerifyClient kamwe # Usalama - maagizo mengine # zuia miunganisho isiyojulikana kwenye aina yoyote ya muunganisho usiruhusu bind_anon # zinahitaji operesheni ya kumfunga kabla ya kufikia DIT zinahitaji bind # Subiri miunganisho kwenye mlango wa ldaps pekee inahitaji matumizi ya TLS/SSL, # lakini haitoi hitaji la urefu wa ufunguo wa chini. # Mahitaji ya urefu wa ufunguo wa chini zaidi yamewekwa na agizo lifuatalo: usalama simple_bind=128 # hifadhidata ya DIT bdb kiambishi tamati "d=example,dc=com" ... # replica kiwakeleo cha mtoa huduma syncprov # cn=config DIT database config rootdn="cn =msimamizi, cn=config" rootpw .... # cn=monitor DIT database monitor rootdn="cn=admin,cn=monitor" rootpw ....

Vidokezo:

1. cn=config: inakuja hivi karibuni.

Tunasubiri muunganisho wa URL ya LDAPS pekee:-h hoja wakati wa kuanza slapd. Chaguomsingi thamani iliyopewa haielezei ni nini (kawaida) inalingana na -h ldap:///. Usanidi huu unahitaji turuhusu shughuli za ldaps, kwa hivyo wakati wa kuanza slapd amri lazima itumike:

Slapd -h ldaps:/// -u ldap -g ldap

slapd_flags="ldaps:///".

Ikiwa una wasiwasi kuhusu usanidi wa ngome, LDAPS inaweza kusanidiwa kutumia mlango wa 389 (LDAPS ni mpango wa URL unaosema TLS itatumika, si bandari gani itatumika). Katika kesi hii, amri ya uzinduzi itakuwa kama hii:

Slapd -h ldaps://:389/ -u ldap -g ldap # wakati wa kuunganisha ldaps URL lazima ziwe katika mfumo: ldaps://ldap.server.name:389

2. Usiruhusu, hitaji na maagizo ya usalama: Kusubiri miunganisho kwenye lango la LDAPS pekee husababisha matumizi ya kulazimishwa TLS/SSL kwenye miunganisho yote. Hakuna aina zingine za muunganisho zitakubaliwa katika usanidi huu wa seva. Ili kuwalazimisha watumiaji kupitia uthibitishaji wa LDAP, tumia maagizo zinahitaji kufunga, na kuzuia miunganisho isiyojulikana maagizo hutumiwa kataza bind_anon. Kwa hivyo, ili kupata ufikiaji wowote wa DIT, uunganisho wowote lazima ufanyie operesheni ya kuunganisha, na uunganisho hauwezi kujulikana. Ikiwa utabainisha tu maagizo usalama simple_bind=128, hii haitatoa kiwango kinachohitajika cha ulinzi. Maagizo haya yanasema kwa urahisi: ikiwa uunganishaji rahisi unafanywa, basi TLS/SSL lazima itumike. Haihitaji kwamba uunganisho ufanywe. Kusudi la matumizi tu usalama simple_bind=128 katika usanidi fulani — fafanua thamani ya chini SSF. Ikiwa hii sio lazima, agizo hili inaweza isibainishwe.
3. Ufikiaji wa rootDSE: Madhara ya sera hii ni marufuku ya ufikiaji bila jina miziziDSE, ambayo, kama ilivyoonyeshwa tayari, inaweza kuwa sawa kwa seva salama.
4. Maagizo ya ACL: Mipangilio hii haitoi hatua za ziada za usalama kulingana na matumizi ya ACLs — usalama wa seva unahakikishwa kikamilifu na maagizo ya kimataifa ya usanidi na kuzuia miunganisho kwenye milango ya LDAPS pekee. ACL inaweza kutumika kuweka vikwazo muhimu vya ufikiaji kulingana na kitambulisho cha mtumiaji.

Mpangilio wa mteja: Sharti kwamba seva ya LDAP itatumikia miunganisho ya TLS pekee inamaanisha kuwa wateja wote lazima watumie URL ya LDAPS wakati wa kuunganisha na lazima wathibitishe cheti cha X.509 cha seva, ambacho kinahitaji ufikiaji wa cheti cha CA (mizizi). Katika muktadha wetu, wateja hurejelea huduma na zana za ldap, pamoja na seva za LDAP zinazoendesha huduma ya urudufishaji kwa kutumia syncrepl. Ni wazi, kwa kuwa huduma na zana za ldap ni wateja, hupata mipangilio yao kutoka kwa faili ya ldap.conf. Labda jambo lisilo dhahiri ni kwamba seva za LDAP zinazoendesha huduma ya urudufishaji pia ni wateja wa TLS, na kwa hivyo pia hupata maelezo ya cheti cha CA (mizizi) kutoka kwa ldap.conf. usanidi wa ldap.conf:

# nakili cheti kilichotolewa katika hatua ya 1 # hadi eneo linalofaa kwenye mfumo wa mteja # ilidokezwa: /certs/ldapscert.pem # ongeza TLS_CACERT kwa ldap.conf /certs/ldapscert.pem

Usanidi wa seva ya LDAP ambayo nakala yake inaendesha:

# slapd.conf # sehemu ya mipangilio ya kimataifa... # Usalama - sehemu ya TLS # hakuna mipangilio # kiambishi awali cha hifadhidata ya DIT ya bdb "d=example,dc=com" ... # mipangilio ya mtumiaji inayorudiwa syncrepl rid=000 type=RefreshandPersist provider = ldaps://ldap-master.example.com bindmethod=simple searchbase="dc=example,dc=com" retry="5 3 300 +" attrs="*,+" binddn="...." sifa = .....

Vidokezo:

1. Cheti cha CA (mizizi) kinachotumika katika mfano wa mtumiaji syncrepl(na kufafanuliwa na maagizo ya TLS_CACERT katika ldap.conf) ni sawa na ile inayotumiwa kama cheti cha seva na mtoaji mkuu wa DIT. Haya ni matokeo ya mbinu ya cheti kimoja tulichotumia kuzalisha cheti hiki: kinafanya kazi kama cheti cha seva na cheti cha CA. Wakati wa kutumia mbinu nyingine za kuzalisha vyeti vya kujiandikisha, cheti cha seva na cheti cha CA vinaweza kuwa tofauti, na bila shaka huwa tofauti wakati wa kutumia vyeti vya kibiashara.

   Ikiwa, kama ilivyojadiliwa hapo juu, huduma ya ldaps itatolewa kwenye mlango wa 389 (kwa mfano, kutatua masuala ya kuzuia trafiki kwa kutumia ngome), basi ufafanuzi wa syncrepl utatumia umbizo la URL lililopanuliwa na mlango uliobainishwa:

   Syncrepl ... mtoaji=ldaps://ldap-master.example.com:389 ...

   Seva za LDAP kama wateja wa TLS: Seva ya LDAP inapofanya kazi kama mtumiaji wa urudufishaji wa syncrepl, hufanya kazi kama mteja wa TLS na kwa hivyo inahitaji kuthibitisha cheti cha seva dhidi ya cheti cha CA (mizizi) ambacho kimetiwa saini. Kwa sababu seva hii inafanya kazi kama mteja wa TLS, itatumia maagizo ya TLS (na hivyo faili za cheti cha TLS) zilizofafanuliwa kwa wateja wa LDAP — haswa, itatumia maagizo ya TLS_CACERT katika ldap.conf. Kiteja cha TLS kinahitaji kutoa ujumbe wa kubadilishana ufunguo uliosimbwa kwa njia fiche ufunguo wa umma(ufunguo wa umma) seva, ambayo imetolewa kutoka kwa cheti cha X.509 kilichotumwa na seva. Pia, mteja wa TLS wakati wa kuanzisha muunganisho wa TLS mwanzoni MtejaHalo hutuma orodha ya suti zinazoruhusiwa za cipher, ambayo inadhibitiwa na maagizo ya usanidi wa mteja wa TLS TLS_CIPHER_SUITE (kwa chaguo-msingi, suti zote zinazowezekana za cipher (ALL) hutumwa, ambayo ni sawa na amri. openssl ciphers -v YOTE) Kabla ya kusoma sentensi inayofuata, pumua kwa kina. Iwapo seva ya LDAP ambayo ni mtumiaji wa urudufishaji wa syncrepl na kwa hivyo mteja wa TLS pia hutoa ufikiaji kwa DIT nyingine (kwa mfano, cn=config) na kudhani kuwa msaada wa TLS unahitajika kudhibiti ufikiaji huo, basi kwa wakati mmoja itakuwa seva ya TLS na inahitaji maagizo yote ya seva ya TLS yaliyofafanuliwa hapo juu katika hatua ya 2 na 3 kubainishwa.

Inasanidi ufikiaji mchanganyiko wa TLS/SSL katika OpenLDAP

Ikiwa uliruka moja kwa moja hadi kwenye sehemu hii bila maelezo ya usanidi wa kawaida wa TLS, tafadhali chukua muda kusoma angalau , na ikiwezekana sehemu nzima, kwani vinginevyo unaweza kuchanganyikiwa haraka sana (ingawa baada ya kusoma hii unaweza kuchanganyikiwa hata haraka zaidi. ) Tunatumai, hata hivyo, kwamba nuru fulani itakuja.

Usanidi-wengine hutumia TLS, wengine hawatumii

Katika kesi hii, mahitaji ni kwamba watumiaji wengine watatumia TLS na wengine hawatatumia. Kwa mfano, sera inaweza kuwa:

1. Inaruhusu ufikiaji usiojulikana (na mawasiliano yasiyolindwa) kwa seti ndogo ya rekodi za umma za LDAP.
2. Watumiaji ambao wamepitisha uthibitishaji wa LDAP (muunganisho rahisi na mawasiliano yasiyolindwa) wanaruhusiwa kusoma rekodi za LDAP za umma, pamoja na haki zenye mipaka kusasisha rekodi inayomilikiwa na mtumiaji huyu pekee.
3. Watumiaji walio na haki ya kusasisha zaidi ya moja ya rekodi zao lazima watumie TLS na wathibitishwe (ikizingatiwa kuwa wote ni wanachama wa kikundi cha wasimamizi).
4. Watumiaji wote wa urudufishaji lazima watumie TLS/SSL.
5. Wakati wa kufikia cn=config kwa mbali, TLS/SSL lazima itumike.

Suluhisho hili linahitaji matumizi ya ACL na maagizo ya usanidi wa seva, kama inavyoonyeshwa hapa chini:

Inazalisha seva ya LDAP na vyeti vya CA: Washa katika hatua hii cheti cha kujitia sahihi kitatolewa — ikiwa cheti cha kibiashara cha X.509 (SSL) kitatumika, mchakato huu haihitajiki na inaweza kuruka kabisa. Mbinu rahisi ya amri moja hutumiwa kutoa cheti kimoja cha X.509 ambacho kinaweza kutumika kwa uthibitishaji wa seva na kama cheti cha CA (mizizi) kwa mteja. Mbinu hii kumbukumbu kwa undani (pamoja na mazungumzo yote). Mlolongo wa amri:

# tengeneza saraka mpya (hiari) mkdir /certs mkdir /certs/keys cd /certs # tengeneza seva/cheti cha CA na ufunguo wa kibinafsi hakuna neno la siri # halali kwa miaka 10, kwa kutumia miongozo ya sasa ya ukubwa wa ufunguo wa RSA # RSA inatumika kama itifaki ya ubadilishanaji muhimu openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout keys/ldapskey.pem -out ldapscert. pem # cheti kinaweza kutumika kama cheti cha seva au cheti cha CA # weka cheti katika: /certs/ldapscert.pem # weka kitufe cha faragha katika: /certs/keys/ldapskey.pem # weka ruhusa chown -R ldap:ldap / certs/ * chmod 0400 funguo/ldapskey.pem

Vidokezo:

1. Kwa maelezo kamili ya chaguzi za amri za openssl, ona.

   Faili muhimu huwa na kaulisiri (nenosiri) ili kulinda data nyeti. Ikiwa cheti kinatolewa kwa seva, kaulisiri kama hiyo haitumiki kamwe (kizazi chake kinakandamizwa na -nodi hoja).

   Kulingana na mahitaji ya cheti, njia zingine za kutengeneza cheti cha kujiandikisha zinaweza kutumika, kama ilivyoelezewa.

Kuongeza maagizo ya TLS na ACL kwa slapd.conf:(tazama mwisho wa sehemu kwa maelezo kwenye cn=config). Maagizo yanayohitajika ya TLS yanaongezwa kwenye sehemu ya mipangilio ya kimataifa:

# slapd.conf # sehemu ya mipangilio ya kimataifa... # Usalama - sehemu ya TLS TLScertificateFile /certs/ldapscert.pem TLScertificateKeyFile /certs/keys/ldapskey.pem TLSCipherSuite TLSv1+RSA:!NULL # Thamani ya maagizo yafuatayo imewekwa hivi kwa chaguo-msingi, # hata hivyo tunaiwasilisha hapa kwa uwazi TLSVerifyClient kamwe ... # hifadhidata maalum ya DIT bdb suffix "d=example,dc=com" # no rootdn na rootpw maelekezo # tazama maelezo juu ya kupata ufikiaji kama rootdn ... # ACL # ACL1 - ufikiaji kwa mtumiaji anayerudiwa # (tukichukua muunganisho kwa niaba ya cn=replica,dc=example,dc=com) # mtumiaji anayetumia TLS anaruhusiwa ufikiaji wa kusoma kwa DIT nzima # kila mtu mwingine huenda kwa ufikiaji wa ACL2 (mapumziko) kwa * na dn exact="cn=replica,dc=example,dc=com" tls_ssf=128 iliyosomwa na * break # ACL2 - ufikiaji wa sifa ya nenosiri la mtumiaji # watumiaji wasiojulikana wanaweza tu kuthibitisha watumiaji # walioidhinishwa wanaweza kurekebisha nywila mwenyewe(mwenyewe) # washiriki wa kikundi cha wasimamizi wanaotumia TLS wanaweza kurekebisha ufikiaji wa nenosiri kwa attrs=userPassword kwa kujiandikisha kwa mwandishi asiyejulikana kwa kikundi.exact "cn=admins,ou=groups,dc=example,dc=com" tls_ssf=128 write # ACL3 # imedhibiti ufikiaji wa kusoma pekee usio na jina kwa umma mdogo # watumiaji wowote walioidhinishwa wanaweza kurekebisha maingizo yao # ya kibinafsi ndani ya kikundi # kidogo cha wasimamizi wanaotumia TLS wana idhini ya kuandika ya kufikia subtree yote ya umma kwa dn .subtree="ou =public,dc=example,dc=com" by group.exact "cn=admins,ou=groups,dc=example,dc=com" tls_ssf=128 andika kwa kujiandikia mwenyewe bila kujulikana kusomwa na watumiaji soma # ACL4 # wanachama kikundi cha wasimamizi wanaotumia TLS wana ufikiaji wa kuandika vinginevyo ufikiaji wa DIT kwa * by by group.exact "cn=admins,ou=groups,dc=example,dc=com" tls_ssf=128 andika # last ACL4 pia ni moja kwa moja - ikiwa sheria za ziada ni inahitajika, # inapaswa kubadilishwa na iliyo hapa chini, ambayo itachuja watumiaji wote # wasiotumia TLS. Katika kesi hii, mapumziko inamaanisha kuwa ikiwa mtumiaji anatumia TLS, # inasonga hadi ACL inayofuata, vinginevyo usindikaji utaacha. # ufikiaji wa ACL4 kwa * by group.exact "cn=admins,ou=groups,dc=example,dc=com" tls_ssf=128 break # ACL5 n.k. ufikiaji .... # uwekaji wa ziada wa mtoa huduma wa urudufishaji syncprov # cn=config usanidi wa hifadhidata ya DIT rootdn "cn=admin,cn=config" rootpw (SSHA) hfkhfhfldkhlkhh # SSF kubwa kuliko au sawa na 128 inatumiwa kutoa ufikiaji salama kwa cn=config usalama rahisi_bind= 128

Vidokezo:

1. Habari zaidi juu ya TLSCipherSuite. Vigezo vilivyotumika havijumuishi utumiaji wa misimbo NULL (bila usimbaji fiche). TLSv1 inashughulikia SSLv3. USAFIRISHAJI misimbo inaruhusiwa — inaruhusiwa miunganisho ya kimataifa. Ikiwa masuala ya utendakazi na upakiaji ni muhimu, ni bora kubainisha kwa uwazi orodha ya misimbo yenye utendaji unaokubalika na sifa za upakiaji wa mfumo kuliko kuacha uwezo wa kuchagua kiholela sifa wakati wa mazungumzo ya TLS/SSL.

   Mpangilio wa DSA: inakuja hivi karibuni.

   cn=config: inakuja hivi karibuni.

   Vidokezo vya ACL:

   1. ACL1: ACL hii, ambayo inaweza kuwekwa kwa urahisi katika sehemu ya mipangilio ya kimataifa, imeundwa kutenganisha watumiaji wa urudufishaji katika hatua ya awali ya miunganisho (DN cn=replica,dc=example,dc=com lazima iwepo kwenye DIT na inayolingana. nenosiri). na dn.exact="cn=replica,dc=example,dc=com" tls_ssf=128 imesomwa ina masharti mawili yanayofanya kazi (ingawa hayajaandikwa kwa uwazi), na ambayo yatalinganishwa ikiwa mtumiaji atathibitishwa kwa mafanikio NA kutumia SSF (TLS) ya angalau 128. Ili mtumiaji anayerudiwa (na kila mtu mwingine) athibitishe. (au fikia DIT tu), sharti liwepo kwa * mapumziko, ambayo hukuruhusu kwenda kwa ACL2 na kuendelea kuchanganua muunganisho.

      ACL2: Huruhusu mtumiaji yeyote aliyeidhinishwa kurekebisha nenosiri lake. Ufikiaji usiojulikana imetolewa kwa madhumuni ya uthibitishaji ( mwandishi) Mwanachama yeyote wa kikundi cha cn=admins,ou=groups,dc=example,dc=com anayetumia TLS kuunganisha anaweza kubadilisha nenosiri lolote.

      ACL3: Kwa utaratibu huu, mwanachama yeyote wa kikundi cn=admins,ou=groups,dc=example,dc=com, kwa kutumia TLS wakati wa kuunganisha, anaruhusiwa kuandika kwa sifa yoyote ya ingizo lolote katika subtree ya umma ya hifadhidata. Kwa watumiaji wasiojulikana ufikiaji wa kusoma kwa mti mdogo umekubaliwa umma DIT (isipokuwa sifa za Nenosiri la mtumiaji). Mtumiaji aliyeidhinishwa anaruhusiwa kubadilisha sehemu yoyote ya rekodi zao. Hatimaye, mtumiaji aliyeidhinishwa (kuunganisha na au bila TLS) anaruhusiwa ufikiaji wa kusoma tu kwa mti mdogo wa umma, isipokuwa sifa za Nenosiri la mtumiaji (na pia bila kujumuisha zao. rekodi mwenyewe, udhibiti wa ufikiaji ambao ulibainishwa katika hali ya kibinafsi).

      ACL4: Ni wanachama pekee wa kikundi cn=admins,ou=groups,dc=example,dc=com wanaotumia TLS kuunganisha ndio wanaoruhusiwa kufikia sehemu nyingine zote za DIT. Watumiaji wengine wote wananyimwa ufikiaji wowote (hali iliyofichwa na * hapana).

Tunasubiri miunganisho ya LDAPS na URL ya LDAP: Bandari ambazo miunganisho inasikilizwa hudhibitiwa kwa kutumia -h hoja wakati slapd inapoanzishwa. Kwa chaguo-msingi thamani hii haijawekwa, ambayo (kawaida) inalingana na -h ldap:///. Kulingana na mahitaji ya usanidi huu, lazima turuhusu shughuli zote mbili ldap, hivyo ldaps, kwa hivyo wakati wa kuanza slapd amri inapaswa kutumika:

Slapd -h "ldap:/// ldaps:///" -u ldap -g ldap

Ili hili lifanyike kiotomatiki, unahitaji kuhariri hati za uanzishaji katika Linux (/etc/rc.d/init.d/slapd), na katika BSD /etc/rc.conf inapaswa kuwa na laini ifuatayo: slapd_flags="ldap:/// ldaps:///".

Ufikiaji wa usalama kama rootdn: Baada ya DIT kupakiwa hapo awali, inafanya kazi gani? rootdn? Katika hali zote za kawaida, marupurupu chapa rootdn kwa DIT inaweza kutolewa kwa yoyote mtumiaji maalum(tumpigie simu pseudo-superuser) kwa kutumia ACL, na kwa hivyo maagizo rootdn unaweza kuifuta kwa usalama. Katika mfumo wa kudhibiti iliyoundwa vizuri, unaweza kutoa mpya pseudo-superuser ruhusa zinazohitajika kwa kutumia ACLs za kawaida — kwa hakika, hizo ndizo zinakusudiwa. Shimo pekee la mbinu hii ni kwamba hitilafu katika ACL inaweza kusababisha kizuizi cha ruhusa zinazohitajika. Mbaya zaidi, rootdn inaweza kurejeshwa kwa muda na kisha kufutwa tena wakati tatizo limetatuliwa. Suluhisho bora kupata ufikiaji kwa niaba ya rootdn kwa DIT ya kawaida kutakuwa na ufutaji wa yenyewe rootdn. Na kipindi. Kama ilivyo katika usanidi hapo juu.

Katika kesi ambapo rootdn ndiyo njia pekee ya kufikia, kama vile cn=config katika mfano hapo juu, maelekezo ya usalama simple_bind=128 inatumika kulazimisha mifumo ya usalama kuwezeshwa katika sehemu maalum ya hifadhidata.

Shida, maoni, mapendekezo, marekebisho (pamoja na viungo vilivyovunjika) au kitu cha kuongeza? Tafadhali chukua muda nje ya maisha yako yenye shughuli nyingi ili kutuandikia, msimamizi wa tovuti au timu ya usaidizi. Utatumia siku nzima na hisia ya kuridhika.

Ukurasa Uthibitishaji wa LDAP hutumika kusanidi seva ya LDAP ili kuthibitisha watumiaji wa kifaa (multifunctional kifaa cha pembeni, kunakili dijiti au kifaa cha kutuma kidijitali). Ikiwa uthibitishaji wa LDAP umechaguliwa kama Mbinu ya Usajili kwa moja au zaidi Vitendaji vya kifaa Kwenye ukurasa Meneja wa Uthibitishaji, mtumiaji lazima aweke jina la mtumiaji na nenosiri halali ili kufikia vipengele hivi.

Utaratibu wa uthibitishaji una hatua mbili zinazotegemeana. Katika hatua ya kwanza, kifaa kinathibitisha jina la mtumiaji na nenosiri kwenye seva ya LDAP. Baada ya kuingia jina sahihi mtumiaji na nenosiri na kuzithibitisha, kifaa hutafuta anwani ya barua pepe na jina la mtumiaji. Hitilafu ikitokea katika angalau hatua moja, mtumiaji atazuiwa kufikia vipengele vinavyohitaji uthibitishaji wa LDAP.

Kwenye ukurasa Uthibitishaji wa LDAP Unaweza kuweka vigezo vya kufikia seva ya LDAP na kutafuta taarifa za mtumiaji. kumbuka hilo ukurasa huu inaweza kutumika tu ikiwa LDAP kuchaguliwa kama Mbinu ya Usajili Kwenye ukurasa Meneja wa Uthibitishaji.

Inaunganisha kwa seva ya LDAP

Mbinu ya kufunga seva ya LDAP

Kigezo Mbinu ya kufunga seva ya LDAP huamua jinsi kifaa kitaunganishwa kwenye seva ya LDAP. Wasiliana na msimamizi wa seva yako ya LDAP ili kubaini ni njia ipi iliyo bora kwako.

• Rahisi- Seva ya LDAP iliyochaguliwa haitumii usimbaji fiche. Tafadhali kumbuka kuwa nenosiri (ikiwa lipo) litatumwa kwenye mtandao kwa maandishi wazi.
• Rahisi kupitia SSL- Seva iliyochaguliwa ya LDAP inasaidia usimbaji fiche wa SSL. Data yote, ikiwa ni pamoja na jina la mtumiaji na nenosiri, itasimbwa kwa njia fiche. Seva ya LDAP lazima isanidiwe ili kutumia SSL, ikiwa ni pamoja na kusanidi cheti ili kuitambua. Zaidi ya hayo, kiolesura cha mtandao cha kifaa lazima kisanidiwe kwa cheti cha Mamlaka ya Cheti (CA) ili kuthibitisha seva ya LDAP. Cheti cha CA kimesanidiwa kwenye kichupo Wavu Kiolesura cha wavuti. Katika baadhi ya usanidi wa seva ya LDAP, unahitaji pia kuunda cheti cha mteja, ambacho kimesanidiwa kwenye kichupo sawa. Wavu.

Seva ya LDAP

Kigezo Seva ya LDAP inawakilisha jina la mpangishaji au anwani ya IP ya seva ya LDAP ambayo itatumika kuthibitisha watumiaji wa kifaa. Ikiwa unatumia SSL, jina au anwani iliyoingizwa hapa lazima ilingane na jina lililo kwenye cheti kilichotumwa na seva.

Katika uwanja huu unaweza kutaja seva kadhaa, kutenganisha anwani zao na ishara mstari wima("|", ASCII 0x7c). Chaguo hili la kukokotoa linaweza, kwa mfano, kutumika kubainisha seva za msingi na chelezo. Kiolesura cha mtandao inaauni cheti kimoja pekee cha CA, kwa hivyo seva zote za LDAP katika orodha hii lazima zitumie cheti sawa cha CA.

Bandari

Kigezo Bandari hubainisha nambari ya mlango wa TCP/IP ambayo seva huchakata maombi ya LDAP. Hii ni kawaida bandari 389 kwa Rahisi bindings au 636 kwa bindings Rahisi kupitia SSL.

Tafuta jina la mtumiaji na nenosiri

Uthibitishaji wa LDAP hutumia mbinu mbili kuthibitisha mtumiaji.

Njia ya kwanza inaitwa; inahusisha "kuunda" DN ya mtumiaji (jina bainifu) kwa uthibitishaji ("kumfunga") katika saraka ya LDAP. Ifuatayo imeongezwa kwa mwanzo wa habari mtumiaji huingia kwenye jopo la kudhibiti. Kiambishi awali cha DN , Na mstari uliopewa imeongezwa kwenye mstariKufunga na kuanza utafutaji. Kwa mfano, kiambishi awali cha DN "CN" pamoja na mfuatano ulioingizwa na mtumiaji[barua pepe imelindwa] na mfuatano wa kuunganisha na kutafuta OU=Engineering,DC=NASA,DC=GOV itabainisha DN ya mtumiaji: [barua pepe imelindwa],OU=Uhandisi,DC=NASA,DC=GOV

Njia ya pili inaitwa Matumizi jina la mtumiaji na nenosiri la msimamizina hukuruhusu kutafuta DN ya mtumiaji badala ya "kuijenga upya". Njia hii hutumia kitambulisho cha kuingia cha msimamizi (DN na nenosiri) kwa ufungaji wa awali na huanza kutafuta DN ya mtumiaji aliyeidhinishwa. Kifaa kinapotambua DN ya mtumiaji huyu, kifaa kitajaribu kuthibitisha kwa kutumia DN iliyorejeshwa na nenosiri lililowekwa na mtumiaji kwenye paneli dhibiti ya kifaa. Ikiwa uthibitishaji utafaulu, anwani ya barua pepe ya mtumiaji inasomwa na mtumiaji anaweza kufikia vipengele vya kifaa.

Njia Jina la mtumiaji wa kifaa na nenosiriinapaswa kutumika wakati watumiaji wote wako katika kontena moja ya saraka ya LDAP, na neno la kwanza ni neno la DN ambalo mtumiaji angetumia kwa kawaida uthibitishaji. Kumbuka kwamba mifuatano mingi ya kuunganisha na kuanzisha utafutaji inaweza kuingizwa mradi tu itenganishwe na “|” na kifaa kitajaribu kuthibitisha mtumiaji kwa kila moja ya thamani za kuanza kwa utafutaji na utafutaji kwa zamu. Njia hii inaweza kutumika ikiwa watumiaji wako katika vyombo vingi vya saraka vya LDAP.

Njia inapaswa kutumika ikiwa watumiaji wako kwenye vyombo vingi, au ikiwa muhula wa kwanza wa DN kwa kawaida haujulikani kwa baadhi ya watumiaji au hautumiki kwa uthibitishaji katika mifumo mingine. Unapotumia njia hii, mtumiaji anaweza kuombwa kuweka sifa ya kipekee ya LDAP kama vile SAMAccountName au hata nambari ya simu ya mtumiaji - sifa ya Nambari ya Simu.

Jina la mtumiaji wa kifaa na nenosiri

Njia hii hutumia kiambishi awali cha funga, mfuatano ambao mtumiaji huingiza kwenye paneli dhibiti ya kifaa, na mfuatano wa Kuunganisha na Anza kutafuta ili kuunda upya DN ya mtumiaji. DN iliyoundwa upya inatumiwa kuthibitisha mtumiaji.

Kiambishi awali cha kuunganisha

Kigezo Kiambishi awali cha kuunganisha ni sifa ya LDAP inayotumiwa kuunda DN ya mtumiaji kwa madhumuni ya uthibitishaji. Kiambishi awali hiki kimeunganishwa na jina la mtumiaji lililowekwa kwenye paneli dhibiti ili kuunda jina bainifu la jamaa (RDN). Kawaida kiambishi awali "CN" hutumiwa (kwa jina la kawaida) au "UID" (kwa kitambulisho cha mtumiaji).

Kwa kutumia jina la mtumiaji na nenosiri la msimamizi

Msimamizi DN

Hii ni DN (jina bainifu) ya mtumiaji ambaye ana haki za kusoma kwenye saraka ya LDAP. Akaunti iliyoingizwa hapa inaweza kukosa ufikiaji wa kiutawala kwenye saraka. Haki za kusoma zinatosha.

Nenosiri la msimamizi

Nenosiri la mtumiaji ambaye DN yake imeingizwa kwenye uwanja wa "Msimamizi DN".

Utaftaji wa Hifadhidata ya LDAP

Kufunga na kuanza utafutaji

Wakati wa kuchagua mbinu Jina la mtumiaji wa kifaa na nenosiri maana Kufunga na kuanza utafutaji kutumika katika hatua zote mbili za uthibitishaji. Wakati wa awamu ya uthibitishaji wa jina la mtumiaji na nenosiri, thamani hii inaunganishwa na RDN ili kuunda upya jina kamili bainifu la mtumiaji (DN). Wakati wa awamu ya kutafuta maelezo ya mtumiaji, thamani hii ni DN ya ingizo la LDAP ambapo utafutaji huanza.

Wakati wa kuchagua mbinu Kwa kutumia jina la mtumiaji na nenosiri la msimamizi mstari Kufunga na kuanza utafutaji inatumika tu kama mwanzo wa utafutaji. Utafutaji wa msingi wa saraka ya LDAP unaweza kuanza na kifaa kitatafuta mti mzima wa LDAP kwa kitu cha mtumiaji kinacholingana na jina la mtumiaji lililoingizwa.

Mfuatano huu una sifa=jozi za thamani zinazotenganishwa na koma. Kwa mfano:

ou=uhandisi,o=Hewlett Packard,c=US

ou=masoko,o=Hewlett Packard,c=US

ou=uhandisi,cn=users,dc=hp,dc=com

Ukichagua Jina la Mtumiaji wa Kifaa na njia ya Nenosiri, unaweza kuingiza masharti mengi ya kuunganisha kwenye uwanja huu, ikitenganishwa na herufi ya bomba ("|", ASCII 0x7c). Hii inaweza kutumika, kwa mfano, kubainisha vikoa mbadala vya LDAP. Kifaa kitajaribu kuunganisha kwa seva ya LDAP kwa kutumia kila mfuatano mmoja mmoja kwa mpangilio maalum. Mara tu ufungaji unapofaulu, kipengee sawa cha msingi hutumiwa kutafuta maelezo ya mtumiaji wa kifaa.

Sifa ya LDAP inayolingana na jina la mtumiaji

Unapotafuta hifadhidata ya LDAP kwa maelezo ya mtumiaji, thamani ya sifa iliyobainishwa katika sehemu hii inalinganishwa na jina la mtumiaji lililowekwa wakati wa uthibitishaji. Kwa kawaida sifa hii ni sawa na Kiambishi awali cha kuunganisha.

Risiti

anwani za barua pepe kwa kutumia sifa

Pindi mtumiaji wa kifaa anapopatikana katika hifadhidata ya LDAP, anwani yake ya barua pepe inapatikana kwenye hifadhidata kwa kutumia sifa ya LDAP iliyobainishwa katika barua pepe kwa kutumia sifa.

na jina kwa kutumia sifa

Jina la skrini la mtumiaji linapatikana kutoka kwa sifa ya LDAP iliyobainishwa kwenye sehemu jina kwa kutumia sifa.

Kupima

Kazi Kupima hutumika kuangalia kuwa vigezo ni sahihi kabla ya kuvitumia. Unapobofya kitufe hiki, utaulizwa kuingiza jina la mtumiaji na nenosiri, kana kwamba unaingia kwenye paneli ya udhibiti wa kifaa. Ikiwa vitambulisho vilivyoingizwa vimethibitishwa na maelezo ya mtumiaji yanapatikana katika hifadhidata ya LDAP, ujumbe wa mafanikio wa uthibitishaji unaonekana. Vinginevyo, ujumbe wa hitilafu utaonekana kuonyesha kwamba uthibitishaji umeshindwa.

1. Weka sahihi Microsoft Windows Vipi Msimamizi
2. Hamisha muktadha wa LDAP kwa faili kwa kuendesha amri kwenye koni

ldifde –f ldap.txt

1. Fungua faili iliyopokelewa
   ldap.txt. Mstari wake wa kwanza utakuwa na DN ya seva yako. Kwa mfano:

dn: DC=ldap-server,DC=kampuni-yangu,DC=com

Dn:DC=localhost

Unaweza kusanidi vigezo vya uunganisho vya LDAP katika matumizi ya TrackStudio Meneja wa Seva, au, ikiwa haipo, katika mhariri wowote wa maandishi.

Usanidi kupitia Kidhibiti cha Seva

1. Chagua chaguo za uidhinishaji wa mtumiaji: ni sehemu gani ya kutumia kutafuta zinazolingana katika TrackStudio na ambayo utatumia katika LDAP
2. Bofya Angalia muunganisho kuangalia muunganisho wa LDAP

Kuweka muunganisho katika faili za .properties

Ikiwa huwezi kuendesha Kidhibiti cha Seva, unaweza kusanidi ujumuishaji wa LDAP kwenye faili trackstudio.mali.ya.usalama

1. Washa usaidizi wa LDAP ndani trackstudio.security.properties:

trackstudio.useLDAP ndiyo

1. Ikiwa inahitajika, wezesha chaguo " Tumia LDAP juu ya SSL"

ldap.useSSL ndiyo

1. Bainisha anwani ya seva ya LDAP na mlango

ldap.host 127.0.0.1 ldap.port 389

1. Weka Msingi wa DN kuwa cn=watumiaji kwa jina la kikoa chako. Unaweza kubainisha DN nyingi za Msingi ndani
   Mipangilio ya LDAP. Tumia semicolon kama kitenganishi.

ldap.baseDN = dc=example,dc=com

1. Taja akaunti ya mtumiaji ambayo utaingia Saraka Inayotumika:

ldap.userDN = cn=admin,dc=example,dc=com

1. Ingiza nenosiri la ingizo hili:

ldap.userDNpass kupita

Ili watumiaji waliosajiliwa katika LDAP waweze kufikia TrackStudio, ni lazima akaunti ziundwe kwa ajili yao. Akaunti hizi lazima zilingane na maingizo ya LDAP ama kwa jina la akaunti au jina la mtumiaji.

1. Ili kuingia kwa jina la kwanza na la mwisho la mtumiaji, weka:

ldap.loginAttrLDAP=displayName ldap.loginAttrTS jina

1. Ili kuingia kwa jina la akaunti:

ldap.loginAttrTS ingia ldap.loginAttrLDAP=sAMAccountName

Kanuni ya uendeshaji

Ikiwa imewekwa trackstudio.useLDAP ndiyo, TrackStudio itaunganishwa kwenye seva maalum ya LDAP mtumiaji anapojaribu kuingia na kutekeleza uidhinishaji wa LDAP kwa kutumia akaunti iliyobainishwa ldap.userDN Na ldap.userDNpass. TrackStudio itafanya utaftaji wa ndani katika hifadhidata yake kwa mtumiaji anayelingana na kuingia maalum. Baada ya hayo, TrackStudio itatafuta seva ya LDAP kwa ingizo la mtumiaji ldap.loginAttrLDAP ambayo inalingana jina au Ingia(kulingana na ldap.loginAttrTS) kupatikana kwa mtumiaji. Mtumiaji huyu basi ataidhinishwa na nenosiri lililotolewa kwenye dirisha la kuingia.
TrackStudio inasaidia kufanya kazi na vichungi vya LDAP. Unaweza kuingiza vichujio vyako kwenye "Sehemu ya Utafutaji ya LDAP". Kwa hivyo, TrackStudio itafanya kazi na watumiaji hao wanaotimiza masharti ya kichujio kilichobainishwa pekee. Unaweza kusoma zaidi kuhusu filters katika makala hii.

Kumbuka

• Kuingia kwenye TrackStudio kwenye dirisha la kuingia unapaswa kutumia haswa Ingia
• Kwa hali yoyote, mtumiaji sambamba lazima awe na akaunti katika TrackStudio
• Unapobadilisha nenosiri kwa kutumia TrackStudio, haibadiliki kwenye seva ya LDAP
• Mtumiaji anaweza kuingia aidha ikiwa nenosiri linalingana na nenosiri katika LDAP au nenosiri katika hifadhidata ya ndani ya TrackStudio. Ili kuzima uidhinishaji uliojumuishwa, ondoa com.trackstudio.app.adapter.auth.SimpleAuthAdapter kutoka kwa mnyororo kwenye faili trackstudio.adapta.mali.

Nakala hii iliandikwa kwa moja gazeti la kompyuta muda mrefu sana uliopita. Tangu wakati huo hawajawasiliana nami kuhusu hatima yake ya baadaye, nahitimisha kuwa haikuwa na manufaa na ninaituma kwa umma.

Huu SI mwongozo wa kusakinisha na kutekeleza LDAP. Muhtasari tu kwa wale ambao bado hawajui ni mnyama wa aina gani ...

Maoni yanakaribishwa.

HUDUMA ZA DIRECTORY. ni za nini na ni za nini?

Na haijalishi watu wanasema nini hapo -
Nitaishi, nitapitia nyota,
Nitazihesabu kutoka kwenye orodha,
Nitazisoma tena kutoka kwenye kitabu cha usiku.

Mitandao inakua. Mitandao ya ndani sio ubaguzi. Mara nyingi, mtandao uliounganisha kompyuta tatu jana tu leo ​​umekua, umekomaa na umejaa rasilimali. Jinsi si kupotea ndani yao? Jinsi si kuchanganyikiwa na logins na nywila? Jinsi ya kupata haraka habari unayohitaji? Hivi karibuni au baadaye, maswali haya huibuka mbele ya karibu kila msimamizi wa mfumo.

Watu wengi hujishughulisha na maandishi ya kujiandikisha. Hizi ni samurai za kweli, mapenzi yao ni kama blade ya katana, na wakati unaotumiwa hulipwa kwa urahisi na uzoefu uliopatikana. Wengine, wa kisasa katika mchakato wa kuhamisha kesi na nafasi katika tukio la mabadiliko ya kazi au kwenda likizo, hutumia ufumbuzi wa kawaida. Jina la suluhisho hizi ni huduma za saraka.

KATIKA tathmini hii Nitawajulisha hali hiyo kwa ufupi. Kwa hivyo huduma za saraka ni nini?

Kwa kifupi sana na kilichorahisishwa sana - hizi ni aina ya hifadhidata zinazohifadhi habari kuhusu watumiaji, nodi na vitu vya mtandao. Madhumuni ya kuundwa kwao ni kurahisisha utawala.

Swali linatokea: kwa nini usitumie hifadhidata? Ukweli ni kwamba kuna tofauti kubwa kati ya huduma za saraka na hifadhidata za uhusiano:

• mfano wa kuhifadhi habari - muundo wa mti wa kihierarkia (database ina muundo wa uhusiano);
• LDAP inalenga kuharakisha uendeshaji wa kusoma, wakati hifadhidata inatanguliza kazi ya uandishi;
• data katika LDAP hubadilika mara chache;
• wateja hutumia itifaki ya kawaida ya LDAP, wakati itifaki ya mwingiliano kati ya hifadhidata na wateja haijasanifishwa;
• na mwishowe, huduma ya saraka kawaida hupunguzwa kwa urahisi (kunakiliwa) kwenye seva nyingi.

Huduma ya saraka inaunganishwa kwa urahisi na huduma nyingi, kuanzia seva za wavuti hadi CMS (mfumo wa usimamizi wa yaliyomo). Angalia hati za programu unayotumia ambayo inahitaji idhini na uangalie hapo neno kuu LDAP. Umeipata? Kwa hivyo hii ndio ...

Yote ilianza rahisi. Mitandao ilikuwa ndogo na kompyuta ilikuwa kubwa. Na hawakuwa wengi sana. Katika hizo nusu-zilizosahaulika, karibu nyakati za epic, tulipitia kunakili rahisi faili za usanidi kutoka kwa kompyuta moja hadi nyingine.

Lakini muda ulipita. Mitandao ilikua na kukomaa. Ikawa wazi zaidi kwamba baadhi ya masuluhisho yalihitajika. Kitu ambacho kitafanya maisha magumu tayari ya wasimamizi wa mfumo na mtandao kuwa rahisi.

Moja ya utekelezaji wa kwanza wa huduma za aina hii ilikuwa maendeleo ya kampuni ya Sun Microsystems, awali inayoitwa Yellow Pages. Baadaye, kwa sababu ya mvutano wa kisheria, jina lilibadilishwa na Huduma ya Habari ya Mtandao (NIS), ambayo bado inajulikana sana (katika miduara nyembamba).

Maendeleo hayo yalitokana na wazo rahisi: kompyuta zinazofanya kazi kwenye mtandao zina faili nyingi za usanidi sawa. Kwa hivyo kwa nini usihakikishe kuwa kompyuta huchukua faili hizi kutoka kwa seva moja. Hii haikuokoa tu nafasi ya diski (NIS ilitengenezwa muda mrefu uliopita na jambo hili lilikuwa muhimu kabisa), lakini pia wakati uliotumika kusawazisha faili hizi.

Ilikuwa vigumu kuiita huduma ya saraka, lakini hatua za kwanza katika mwelekeo sahihi zilichukuliwa.

Kwa kuwa wazo lilikuwa linahitajika, CCITT na ISO zilikwenda mbali zaidi na kuendeleza mfululizo wa viwango vya X.500, ambavyo vilijumuisha itifaki zifuatazo: DAP (Directory). Itifaki ya Ufikiaji), DSP (Itifaki ya Mfumo wa Saraka), DISP (Itifaki ya Uwekaji Kivuli wa Taarifa za Saraka) na DOP (Itifaki ya Usimamizi wa Vifungashio vya Uendeshaji kwenye Saraka). Walakini, itifaki hizi baadaye ziligunduliwa kuwa ngumu kupita kiasi na kazi ilifanywa kuunda uingizwaji. Ikawa itifaki ya LDAP (Itifaki ya Ufikiaji wa Saraka Nyepesi), ambayo ilitumika kama msingi wa suluhisho nyingi zilizofanikiwa.

Historia ya bidhaa maarufu zaidi za msingi wa LDAP inarudi 1995, wakati wafanyakazi katika Chuo Kikuu cha Michigan waliandika seva ya kwanza ya LDAP - slapd. Mnamo 1996, Netscape iliwaajiri. Mnamo 1999, AOL ikawa mmiliki wa Netscape. Ili kuendelea na kazi kwenye bidhaa za seva, ushirikiano wa kimkakati ulihitimishwa na Sun. Waliiita iPlanet Alliance. Kuanzia 1999 hadi 2001, timu ya Netscape Directory Server ilifanya kazi na timu ya Sun Directory Server, na baadaye na watengenezaji wa Innosoft Directory Server (IDDS). Kazi ilifanywa kwenye Seva ya Saraka na miradi inayohusiana, kama vile Saraka ya Meta na Njia ya Ufikiaji wa Saraka. Mnamo Oktoba 2001, Muungano wa iPlanet ulivunjwa, na wanachama wake Sun na Netscape walianza kutengeneza bidhaa zao kwa kujitegemea. Kuanzia 2001 hadi 2004, watengenezaji wa Seva ya Saraka ya Netscape walifanya kazi kwa bidii kwenye mradi huu. Mnamo Desemba 2004 Netscape Directory Server ikawa mali ya kampuni Kofia Nyekundu.

Kwa hiyo, pamoja na hadithi hii nje ya njia, hebu tuangalie ni huduma gani za saraka zinapatikana na kwa nini ni nzuri.

NIS (ingawa kusema madhubuti sio huduma ya saraka).

Maendeleo haya ya Sun Microsystems yalibadilika kuwa ya kudumu sana na bado yanatumika hadi leo. Faida zake ni unyenyekevu wa dhana na utekelezaji. Hasara - inaweza kutumika tu kwenye mifumo ya uendeshaji inayoendana na UNIX na faili zinazofanana za usanidi. Hebu tumtolee heshima na tuendelee na bidhaa kamili za LDAP. Katika makala hii sitakaa maelezo ya kiufundi, nitasema tu kwamba utendaji wao wa msingi hutofautiana kidogo. Tofauti huanza katika kiwango cha nyaraka na programu ya maombi ambayo inawezesha utawala.

Kwa hivyo, wacha tuanze na zilizo wazi na za bure. Hakuna wengi wao. Kweli, mbili tu.

Seva ya Saraka ya Kofia Nyekundu na Seva ya Saraka ya Fedora

Red Hat Directory Server ilinunuliwa kutoka Netscape Security Solutions kama bidhaa ya kibiashara kwa Red Hat Enterprise Linux, na sasa inatolewa na Red Hat yenyewe kwa jina Red Hat Directory Server. Kufuatia sera yake, Red Hat pia inatoa toleo la Fedora Core. Jina lake ni Fedora Directory Server. Seva ya Red Hat Directory inaendesha Red Hat Enterprise Linux (x86, matoleo ya 3 na 4), Solaris 9 (SPARC, zote 32-bit na 64-bit), HP-UX 11i kwa HP-9000, na seva ya 64 -bit ya HP Integrity. . Seva ya Saraka ya Fedora haichagui na inakubali kufanya kazi chini ya Fedora Core (x86, matoleo ya 3 na 4) na Red Hat Enterprise Linux, na chini ya zingine. Matoleo ya Linux- gentoo, debian, nk. Solaris, Windows 2000 na HP/UX 11i (pa-risc) pia zinatumika. Hitimisho: chaguo kubwa kwa usambazaji kulingana na RedHat. Imeandikwa vizuri, jinsi inavyolinganishwa vyema na OpenLDAP. Kanuni za miradi hii kwa kiasi kikubwa ni sawa (kutokana na babu wa kawaida).

FunguaLDAP

OpenLDAP ni maendeleo zaidi ya slapd asili. Kuenea sana. Inatumika kwenye majukwaa mengi, kama vile Linux, FreeBSD, Windows na MacOS X. Nyaraka kwenye tovuti ni spartan. Walakini, sapienti alikaa, na miongozo ya hatua kwa hatua kuna mengi kwenye wavu. Ikiwa kwa sababu fulani huna raha kutumia bidhaa kutoka RedHat, OpenLDAP ni chaguo bora, lililojaribiwa kwa wakati. Utendaji wa miradi yote miwili ni karibu kufanana.

Hapa ndipo seva za LDAP zilizo wazi na zisizolipishwa huishia na masuluhisho ya kiwango cha biashara huanza. Kwa bahati mbaya, maelezo ya asili na utendakazi wao yamefichwa nyuma ya mng'aro wa matangazo ya vyombo vya habari vya uuzaji. Kwa hiyo, nitakuwa mfupi.

Novell eDirectory

Kwanza maneno machache kuhusu sera ya leseni, kwani inavutia sana. Kwanza, bidhaa zote ni bure kwa vyuo vikuu. Pili, unaweza kusakinisha bidhaa hii na kuitumia bila malipo kabisa (leseni ya kila mwaka kwa watumiaji 100,000. Hakuna usaidizi wa kiufundi. Unaweza kuipata kwa kuomba ufunguo wa majaribio mara moja kwa mwaka). Tatu, unaweza kuinunua. Bei - $2 kwa kila leseni ya mtumiaji bila kikomo cha muda. Inafanya kazi chini ya zifuatazo mifumo ya uendeshaji: Novell Netware, Windows (tawi la NT), Linux (SUSE Enterprise, au RedHat), Solaris, AIX, HP-UX. Muhtasari: suluhisho la yote kwa moja - anuwai nzima ya programu muhimu hutolewa mara moja. Ufungaji na usanidi hufanywa kwa urahisi iwezekanavyo. Bei ya chini. Nyaraka kubwa. Kwa watumiaji waliojiandikisha - tech. msaada. Msalaba-jukwaa. Minus - chanzo kilichofungwa.

Microsoft ActiveDirectory

Imejumuishwa katika Seva ya Windows 200x. Suluhisho kamili kwa mitandao ya MS. Ikiwa unapanga kutumia mstari wa bidhaa tu kutoka kwa MS, ni muhimu kuzingatia. Ikiwa unatumia kitu kingine isipokuwa Windows 200x kama seva, ninapendekeza uangalie kwa makini bidhaa zilizo hapo juu. Hitimisho: Ushirikiano bora katika mfumo, nyaraka za ubora wa juu. Ubaya ni bei ya juu sana.

Seva ya Saraka ya Mfumo wa Sun Java

Mapema miaka ya 2000, Sun iliunganishwa na iPlanet na kutumia maendeleo yake (haswa iPlanet Directory Server) iliunda bidhaa yake yenyewe - Sun ONE, ambayo baadaye ikaitwa Sun Java System Directory Server. Hii sio bidhaa ya kujitegemea, lakini ni sehemu tu ya Mfumo wa Biashara ya Java. Mahitaji ya mfumo: Solaris 10, Solaris 9, Solaris 8 (SPARC pekee), Red Hat Enterprise Linux 2.1 na 3.1, HP-UX 11i, Microsoft Windows 2000, XP (Developer), 2003. Haiuzwi kando na Java Enterprise System. Hitimisho - ukiamua kutumia suluhisho la kina kutoka kwa Jua, kwa wazi hautakuwa na shida yoyote maalum. Wahandisi wa jua watakusaidia kusakinisha na kusanidi ili kukidhi mahitaji yako. Kwa pesa, bila shaka.

Seva ya Saraka ya IBM Tivoli

Suluhisho la LDAP kutoka IBM. Inafanya kazi chini ya mifumo ya uendeshaji ifuatayo: AIX, Solaris, Microsoft Windows 2000, HP-UX, pamoja na Linux kwa Intel na IBM eServer iSeries, pSeries na zSeries. Bei zinaanzia $10,000. Suluhisho ni wazi sio kwa kila mtu. Hata hivyo, ni muhimu kuzingatia kwamba nyaraka zinapatikana kwa kila mtu. Ninapendekeza sana kwa yeyote anayevutiwa na LDAP kitabu kutoka kwa safu ya Vitabu Nyekundu vya IBM Kuelewa LDAP - Ubunifu na Utekelezaji Licha ya ukweli kwamba inashughulikia Seva ya Saraka ya IBM Tivoli, ina nyenzo nyingi za kinadharia za hali ya juu kuhusu LDAP ni nini na jinsi bora kupanga katalogi yako.

Hii inahitimisha hadithi yangu ndefu kidogo. Natumai niliweza kukuvutia. Hatimaye, nitasema yafuatayo. LDAP ni hatua inayofuata zaidi ya kuanzishwa kwa DHCP. Urahisi unaopatikana kupitia matumizi yake unazidi gharama za kazi za utekelezaji wake. Ikiwa kuna zaidi ya kompyuta 10 kwenye mtandao wako wa karibu, fikiria kuhusu LDAP.

Msingi wa Taarifa za Saraka - DIB). Taarifa hiyo inajumuisha jina la kitu, pamoja na sifa mbalimbali zinazoonyesha kitu hicho. Mapendekezo haya yanaitwa kiwango cha X.500.

Ili kufikia vitu katika hifadhidata hii iliyosambazwa, Itifaki ya Ufikiaji wa Saraka (DAP) ilitengenezwa.

LDAP ( Itifaki ya Ufikiaji wa Saraka Nyepesi) hutoa uwezo mwingi wa DAP kwa gharama ya chini sana ya utekelezaji. Kwa mfano, shughuli zisizohitajika na zisizotumiwa mara chache zimeondolewa. LDAP, tofauti na X.500, hutumia rafu ya TCP, si OSI.

Hata hivyo, hakuna mawasiliano ya moja kwa moja kati ya uendeshaji wa itifaki ya LDAP na uendeshaji wa itifaki ya X.500 DAP.

LDAP ni itifaki ambayo hutumiwa kupata habari iliyohifadhiwa kwenye seva zinazosambazwa kwenye mtandao.

Taarifa hii ni data iliyohifadhiwa katika sifa. Inachukuliwa kuwa data kama hiyo inasomwa mara nyingi zaidi kuliko kurekebishwa. LDAP inategemea muundo wa mawasiliano wa mteja-seva.

Mfano wa jumla wa itifaki hii ni kwamba seva hufanya shughuli zinazohitajika na mteja. Mteja hutuma ombi kuelezea operesheni inayopaswa kufanywa na seva. Seva hufanya shughuli zinazohitajika katika Saraka. Baada ya kukamilisha operesheni au shughuli kadhaa, seva inarudi jibu kwa mteja iliyo na matokeo au msimbo wa hitilafu.

Kumbuka kuwa ingawa seva zinahitajika kurudisha majibu wakati wowote majibu kama haya yamebainishwa katika itifaki, hakuna sharti kwamba wateja au seva zifanye kazi kwa usawa. Maombi na majibu ya shughuli nyingi yanaweza kutumwa kati ya mteja na seva kwa mpangilio wowote, lakini wateja lazima wapokee jibu kwa kila ombi lao.

Taarifa kwenye seva ya LDAP ni mkusanyiko wa rekodi ambazo zina seti ya sifa na zimewekwa katika kundi la muundo wa daraja la mti.

Rekodi inatambuliwa kwa jina la kipekee la kimataifa (Jina Lililotofautishwa - DN) - sawa na jina la kikoa katika muundo wa DNS.

Katalogi ni hifadhidata maalum ambayo inaweza kutumika katika maisha ya kila siku - kitabu cha simu, mwongozo wa programu, nk. Inachukuliwa kuwa data ya Katalogi ni tuli. Mfano mzuri wa hifadhidata hiyo maalum ni Huduma ya DNS.

Faida za LDAP

Sababu kuu za kuongezeka kwa umaarufu wa LDAP ni kutokana na ukweli kwamba:

• LDAP ina mpango wa kawaida wa kuhifadhi habari, tofauti na hifadhidata za uhusiano, ambazo kila moja ina mpango wake wa uhifadhi uliofafanuliwa kulingana na majedwali na safu wima na uhusiano kati ya jedwali. Kwa hivyo, LDAP haina usimamizi wa Saraka na kwa kila programu - hakuna kinachojulikana kama "Tatizo la Saraka ya N+1". Seva zote za LDAP hutumia mpango mmoja wa kuhifadhi, njia moja kutaja vitu vilivyohifadhiwa na itifaki ya ufikiaji iliyounganishwa.
• LDAP hukuruhusu kupata data muhimu kwa haraka, kwani inalenga zaidi kusoma na kupata habari kuliko kurekebisha.
• LDAP si lazima iwe na kikomo kwa seva moja; inawezekana kupanga mifumo iliyosambazwa kutoka kwa seva kadhaa. Unaweza kuunda viungo kati ya seva tofauti LDAP, ambayo hutoa uwezo wa kutafuta seva nyingi za LDAP kwa wakati mmoja.
• Itifaki ya LDAP na muundo wa Saraka ya LDAP hupangwa kulingana na viwango, ili utekelezaji wa LDAP wa wachuuzi mbalimbali uweze kutumika kila mara.

Ulinganisho wa LDAP na Hifadhidata

Wacha tulinganishe njia mbili maarufu za kuhifadhi habari leo, hifadhidata za uhusiano na seva za LDAP, kulingana na sifa zifuatazo:

• Uwiano wa Kusoma-Kuandika- LDAP, tofauti na hifadhidata za uhusiano, imeboreshwa.
• Upanuzi- Michoro ya LDAP ni rahisi kubadilika wakati wa operesheni kuliko schema za hifadhidata.
• Usambazaji- Data ya LDAP inaweza kupatikana kwenye seva kadhaa, ambazo zinaweza kutafutwa kwa kutumia amri moja. Kwa hivyo, unaweza kuunda usanidi wa seva ya LDAP uliowekwa vyema kulingana na mahali ambapo taarifa inahitajika, huku ukihakikisha kwamba taarifa zote zilizohifadhiwa kwenye seva zote za LDAP zinaweza kutafutwa. Hii inafanikisha zaidi shahada ya juu usambazaji ikilinganishwa na hifadhidata za uhusiano.
• Replication- Data ya LDAP inaweza kuhifadhiwa kwenye seva kadhaa, na inawezekana kutumia mbinu mbalimbali za kusawazisha taarifa.
• Utumiaji wa data- LDAP imeundwa kwa ajili ya matumizi bora data iliyohifadhiwa katika Katalogi, maombi tofauti, hifadhidata zinatengenezwa kwa programu moja tu.
• Utata wa mahusiano kati ya vitu- Vitu vya hifadhidata vina uhusiano mgumu zaidi kuliko rekodi za LDAP.
• Shughuli- katika shughuli za LDAP ni rahisi zaidi, kwa kawaida rekodi moja hubadilishwa, shughuli katika hifadhidata ni ngumu zaidi.
• Aina ya habari iliyohifadhiwa- LDAP huhifadhi habari katika sifa.
• Mbinu ya kumtaja- LDAP ni muundo wa data wa daraja. Jina la kitu ni njia ya kitu hicho kwenye mti wa uongozi, sawa na njia za faili katika mifumo ya kawaida ya faili.
• Mpango- miundo ya hifadhidata ya uhusiano inafafanuliwa kabisa na msanidi wa hifadhidata inayolingana; LDAP ina miundo ya kawaida, ikijumuisha schema ya Msingi, inayojulikana kwa Saraka yoyote. Hii inafanikisha mwingiliano mkubwa ikilinganishwa na hifadhidata.
• Viwango- matumizi ya mipango ya kawaida ya kuhifadhi taarifa na itifaki ya kawaida ya ufikiaji ni faida ya LDAP juu ya hifadhidata, kwa kuwa katika kesi hii wateja wa LDAP wanaweza kuwasiliana na seva yoyote ya LDAP, na wateja wa hifadhidata wanaweza tu kuingiliana na hifadhidata ambayo wameundwa.
• Uwezekano wa kurudi nyuma shughuli zisizofanikiwa - hifadhidata za uhusiano zina uwezo unaonyumbulika zaidi, kwa hivyo, zinafaa zaidi kwa kurekebisha habari kuliko LDAP. Kwa vitu vinavyobadilika, uwezo wa LDAP hauwezi kutosha.

Kanuni za Kupeleka Seva za LDAP

Wakati wa kupeleka seva za LDAP, lazima ukamilishe kazi zifuatazo:

• Amua ni nini kinapaswa kuhifadhiwa kwenye Orodha. Inahitajika kuelewa wazi ni programu gani zitafanya kazi na data.
• Bainisha muundo wa data katika Katalogi na uanzishe uhusiano wao.
• Fafanua seti mizunguko muhimu Katalogi iliyoundwa kulingana na mahitaji ya programu.
• Bainisha nafasi ya majina.
• Amua topolojia ya uwekaji wa seva.
• Amua majibu yanayohitajika, hakikisha data inapatikana popote inapohitajika.
• Amua kiwango bora cha usalama kwa kuzingatia mahitaji maalum ya usalama.