Od rozlišovacích jmen k ověřování uživatelů

autor:
Tweet
Share
Share
Pin

Je běžné, že organizace spoléhají na LDAP (Lightweight Directory Access Protocol) při provádění kritické správy uživatelů, ukládání a ověřování.

Může však zmást uživatele, což je vede k tomu, že jej smíchají s Active Directory.

V tomto článku se podíváme na LDAP, jeho účel a jak funguje. Poté zhodnotíme jeho klíčové funkce, strukturu adresářů a možnosti organizace dat. Nakonec se budeme zabývat významem LDAP při správě adresářové služby a ověřování uživatelů.

Co je LDAP?

LDAP je zkratka pro Lightweight Directory Access Protocol. Jedná se o otevřený protokol, který řídí bezpečné ověřování uživatelů pro místní adresáře. Kromě toho se jedná o aplikační protokol nezávislý na výrobci, díky čemuž je všestranný a všudypřítomný, zejména v distribuovaných adresářových informačních službách přes internet.

LDAP je efektivní v tom, že umožňuje aplikacím dotazovat se na informace o uživatelích. To znamená, že může fungovat různými způsoby ve službách IT infrastruktury, včetně e-mailových služeb, autorizace, správy licencí a správy uživatelů.

Nemělo by se však zaměňovat se službami aktivního adresáře – souborem služeb/databází, které podniky používají k organizaci, přístupu a zabezpečení IT aktiv. Adresářové služby v zásadě umožňují organizacím ukládat data, která jsou popisná, statická a hodnotná.

Technicky se LDAP připisuje kompletnímu procesu reprezentace dat v adresářové službě. Zajišťuje, že uživatelé mohou získat data předem definovaným způsobem. To znamená, že LDAP umožňuje organizacím vytvářet datové položky v adresářových službách prostřednictvím svých nástrojů.

V rámci Active Directory tedy LDAP také zajišťuje, jak jsou položky složeny na základě různých nastíněných primitivních prvků.

Stručně řečeno, LDAP je:

  • Komunikační protokol
  • Jedná se o otevřený aplikační protokol nezávislý na dodavateli
  • Softwarový protokol ukládá a uspořádává data tak, aby bylo možné je snadno vyhledávat.
  • Pracuje s místními adresáři
  • Pracuje se službou Active Directory, která obsahuje data, která jsou statická, popisná a hodnotná
  • Nejedná se o nový protokol a byl vydán v roce 2003

Jaký je jeho účel?

Účel LDAP se točí kolem dvou věcí:

  • Ukládá data do adresáře LDAP/Active
  • Ověřte přístup uživatele k uvedenému adresáři
  • Umožněte aplikacím používat správný komunikační jazyk pro odesílání a přijímání dat z adresářových služeb.

Jinými slovy, funguje jako komunikační protokol, který je nejen schopen autentizace a autorizace, ale také organizuje data prohledávatelným způsobem. Pomocí LDAP mohou organizace ukládat důležité informace o uživatelích a majetku IT, včetně uživatelských pověření. Navíc může zajistit bezpečný přístup tím, že administrátorům umožní aktivně nastavovat přístupová pravidla.

Jak funguje LDAP?

Jádrem LDAP je architektura klient-server.

  Jak odstranit viry z kalendáře iPhone

Když tedy probíhá ověřování LDAP, postupuje podle modelu klient-server. A během toho mezi klíčové hráče patří následující:

  • Directory System Agent (DSA): Server, na kterém běží LDAP v konkrétní síti.
  • Rozlišovací název (DN) obsahuje cestu pro navigaci ve stromu adresářových informací (DIT).
  • Directory User Agent (DUA): DUA se používá pro přístup k DSA jako klient.
  • Relativní rozlišující název (RDN): RDN určuje každou komponentu v cestě DN.
  • Application Programming Interface (API): Máme rozhraní API, která komunikují mezi službami a produkty.

V procesu ověřování LDAP, když uživatel spustí klientský program LDAP, jako je e-mailová aplikace, správce může nakonfigurovat, jak klient LDAP spolupracuje s adresářovými službami pro ověřování. Může například použít kteroukoli ze dvou dostupných metod ověření uživatele:

Při pokusu o přihlášení je požadováno ověření DN. Jakmile se proces spustí, LDAP přiřadí klienta agentovi DSA (Directory System Agent), který pomocí DN vyhledá odpovídající záznamy v databázi.

Relativní rozlišovací název (RDN) v rámci DN je kritickou součástí vyhledávání LDAP, protože se používá v každém kroku procesu vyhledávání prostřednictvím stromu adresářových informací (DIT).

Pokud je vyhledávání úspěšné, shodují se odpovídající UID a heslo uživatele pro ověření uživatele. Pokud ne, vrátí neplatné výsledky.

Nakonec se klient odpojí od serveru LDAP. Po dokončení může ověřený uživatel komunikovat se službami prostřednictvím rozhraní API. To znamená, že může procházet všemi uloženými informacemi – jediným omezením jsou udělená oprávnění.

Chcete-li si přečíst více o tom, jak LDAP funguje, podívejte se na jeho článek publikovaný v roce 2003 Gregem Vanederem a Markem Wahlem. A pokud si chcete přečíst více o operacích vyhledávání LDAP, podívejte se na operaci vyhledávání LDAP.

Klíčové vlastnosti LDAP

Klíčové vlastnosti LDAP lze shrnout níže:

  • Ověření uživatelských relací: Lze jej použít k ověření uživatelských relací v databázové službě, jako je Active Directory.
  • Různé typy operací: Může také provádět operace s databází adresářového serveru, včetně
    • závazné sezení
    • mazání položek LDAP
    • Upravit existující položky
    • Hledejte a porovnávejte záznamy.
    • Opustit žádosti
    • Odpojit operace
  • Nízká hmotnost: LDAP je lehký a zajišťuje malé zatížení sítě a systémových prostředků.
  • Nezávislé na dodavateli a protokolu: LDAP je také nezávislý na dodavateli a protokolu. To znamená, že funguje s jakýmkoliv dodavatelem/řešením/protokolem. Můžete například použít LDAP přes TCP/IP nebo X.25. Nejnovější verze LDAP, LDAPv3, však používá TCP/IP.
  • Struktura adresářů: LDAP používá strukturu adresářového stromu k ukládání a přístupu k aktivům v databázi adresářů. Vztah rodič-dítě znamená rychlejší vyhledávání a vyhledávání.
  • Standardizace: LDAP je standardizován IETF (Internet Engineering Task Force). Standardizace zajišťuje, že LDAP funguje u různých dodavatelů.
  • Zabezpečení: LDAP je zabezpečený. Dosahuje zabezpečení pomocí zabezpečeného TLS přes TCP/IP vrstvu. Může také používat Secure Socket (SSL) k šifrování, dešifrování a přenosu informací na dálku s úplnou integritou a důvěrností.
  • Replikace: LDAP také podporuje replikaci na více serverech. Zajišťuje redundanci dat a zajišťuje dostupnost dat v případě jakýchkoliv závad. Využívá Syncrepl – modul synchronizace replikace.
  Opravte chybu „0xc0000005“ a získejte bezproblémovou práci s počítačem

Struktura adresáře LDAP

Adresář LDAP má čistou, definovanou strukturu. To umožňuje snadný přístup k datům a zvyšuje možnost vyhledávání obsahu adresáře LDAP.

Protože LDAP sleduje stromovou strukturu, je hierarchický. A proto je preferován hlavně jako Directory Information Tree (DIT).

Mezi různé úrovně adresářové struktury LDAP patří:

  • Kořenový adresář
  • Organizace

Jak vidíte, v adresáři LDAP je stromová struktura. „Kořenový“ adresář je položka nejvyšší úrovně, která zahrnuje všechny ostatní položky na úrovni adresáře. Pod ním získáte zemi (země), která se poté rozvětví na organizaci (organizace). Dále se větví na organizační jednotky (OU) a nakonec na jednotlivce a skupiny.

Abychom porozuměli struktuře adresářů LDAP, podívejme se na příklad níže.

 - Root (Top-level entry)
   |
   +-- Country: "dc=com" (e.g., dc=example,dc=com)
         |
         +-- Organization: "dc=example" (e.g., dc=example)
               |
               +-- Organizational Unit (OU): "ou=Users"
               |      |
               |      +-- User: "cn=Nitish Singh"
               |      |
               |      +-- User: "cn= Oliver Green"
               |
               +-- Organizational Unit (OU): "ou=Groups"
                      |
                      +-- Group: "cn=Admins"
                      |
                      +-- Group: "cn=Users"
		|
		+-- Group: “cn=Superusers”

Entita Root je identifikována pomocí DC, což je zkratka pro atribut Domain Component. Pokud tedy „dc=com“, kořenový záznam je identifikován jako doména „com“.

Pod rootem můžete mít více organizací nebo domén. Je reprezentován „dc=organizace“. pod doménou „com“.

Podobně každá organizace může mít jednu nebo více organizačních jednotek (OU). Správce je může logicky organizovat do pododdílů. Organizační jednotku můžete například nastavit na „uživatelé“, „skupiny“ nebo „superuživatelé“.

Nakonec pod každou organizační jednotkou můžete uvést různé položky, včetně skupin, zařízení, uživatelů atd. V našem příkladu dvě hodnoty uživatelů organizační jednotky zahrnují „Nitish Singh“ a „Oliver Green“. Podobně v rámci skupin organizačních jednotek máme „správce“, „uživatele“ a „superuživatele“.

Struktura adresáře LDA silně závisí na rozlišovacím jménu (DN), protože se používá k identifikaci každé položky. To proto, že obsahuje jedinečný název a používá se k načtení relativního rozlišovacího jména (RDN).

Společné prvky LDAP

Abychom porozuměli organizaci dat LDAP, budeme muset porozumět společným prvkům LDAP, které vedou ke konstrukci záznamů systému LDAP.

Mezi základní datové komponenty LDAP patří:

  • Atributy:
  • Příspěvky:
  • Stromy datových informací

Atributy

Atributy v LDAP jsou páry klíč–hodnota. Ty ukládají data v rámci systému LDAP. Například atribut mail musí být použit k ukládání pošty v systému LDAP.

pošta: [email protected]

Příspěvky

Položky v systému LDAP se přiřazují k přiřazení, aby poskytly význam. Záznamy si můžete představit jako kolekci souvisejících atributů.

Například data ve formátu LDIF (LDAP Data Interchange Format) budou vypadat takto:

dn: sn=Hogwarts, ou=wizards, dc=WizardingWorld, dc=fiction

objectclass: wizard

sn: Hogwarts

cn: Harry Potter

Stromy datových informací

Stromy datových informací nebo DIT představují data v systému LDAP a přistupují k nim. Protože je většina dat rozvětvená, má smysl je reprezentovat prostřednictvím stromů. Je to analogie systému souborů s asociací rodič-dítě.

  Vše, co potřebujete vědět o spoluautorství v Excelu

Organizace dat LDAP

Nyní se základní myšlenkou entit můžeme prozkoumat organizaci dat v systému LDAP.

Zde LDAP využívá DIT k organizaci a strukturování dat. Jak toho však dosáhne? Pojďme si to probrat níže.

Chcete-li umístit položky do DIT, které spolu hierarchicky souvisí. Takže když je vytvořen nový záznam, je přidán do stromové struktury jako potomek existujícího záznamu.

Vše začíná na vrcholu hierarchického stromu v DIT. Protože pokrývá všechny podřízené položky, je označen hlavně jako organizace, jako je „dc=com nebo example. To se provádí pomocí doménových komponent pro zajištění snadné správy. Tímto způsobem může administrátor nastavit umístění pomocí l=location_name nebo organizačních segmentů, jako je ou=tech, marketing atd.

Položky používají objectClass organizační jednotky (OU). Je to proto, že položky mohou používat označení atributu ou=. Jsou jednoduché a nabízejí vynikající způsob kategorizace a vyhledávání informací v rámci DIT.

Následuje další důležitý koncept známý jako relativní rozlišovací jméno. Je to relativní název prvku v závislosti na jeho úrovni hierarchie DIT. Takže pro přístup k záznamu musíte zadat hodnoty RDN entity spolu s hodnotou RDN rodiče.

Tím se vytvoří řetězec hodnot RDN, který jde zdola nahoru a vytvoří cestu k této položce. A tento řetězec hodnot RDN je známý jako „rozlišující jméno nebo DN“.

Jinými slovy, při vytváření záznamu musíte uvést DN, aby LDAP přesně věděl, kam je třeba umístit nový majetek nebo informace. RDN tedy funguje jako relativní hodnota, zatímco DN je spíše absolutní cestou.

Význam LDAP

V této části se podíváme na důležitost LDAP ze dvou pohledů:

  • Správa adresářové služby: Protokol LDAP má správné prostředky pro ukládání a přístup k datům adresáře LDAP. Již jsme je probrali v částech „Jak funguje LDAP a datové komponenty“ a „Organizace“. LDAP je prostředek pro správu, ukládání, přístup a zabezpečení dat. Zajišťuje také efektivní vyhledávání informací. Navíc nabízí škálovatelnost a replikaci.
  • Autentizace uživatele: Kromě správy adresářových služeb vyniká LDAP v autentizaci a autorizaci uživatelů. Po vytvoření připojení může uživatel přistupovat k uloženým aktivům na základě pravidel přístupu nastavených správcem.

LDAP vs. Active Directory

Je běžné, že si lidé pletou LDAP a Active Directory. LDAP a Microsoft Active Directory úzce spolupracují, aby organizacím poskytly prostředky pro bezpečné a bezpečné ukládání a bezpečný přístup k organizačním datům napříč odděleními.

LDAP je protokol, zatímco Active Directory je produkt adresářové služby, který ukládá organizační data ve stromové struktuře.

LDAP funguje jako komunikační protokol pro přístup k adresářovým serverům, jako je Active Directory.

Závěr

LDAP je klíčový protokol pro práci se službami Active Directory. Jedná se o odlehčený protokol, který nevytváří žádnou režii na služby a servery, se kterými pracuje. Navíc jeho open source, dodavatelsky neutrální a standardizovaná povaha znamená, že jej lze snadno integrovat do stávajících řešení.

Můžete také prozkoumat Multi-Factor Authentication (MFA).