Metadirectory Services

Mathias Schindler04.05.2005

Inhaltsübersicht

I. Definition Metadirectory Services

II. LDAP

III. Einsatz an der HTWK

I. Metadirectories

Motivation:

- Zugriff von Anwendungen ist nicht mehr auf lokale Ressourcen oder LAN beschränkt

→ führt zu einer Vielzahl an bereitzustellenden Informationen

- im Alltag ablage von häufig benötigten Informationen in Verzeichnissen (Gelbe Seiten, Bibliotheksverzeichnisse, ...)

→ daran angelehnt entstanden Verzeichnisdienste wie NIS, DNS, WhoIs, ...

- für einfachere Durchsuchbarkeit können Informationen hierarchisch Strukturiert werden

I. Metadirectories

Eigenschaften:

– für lesenden Zugriff optimierter Datenspeicher→ einfaches Durchsuchen und Finden von Informationen

– Inhaltstyp eher statisch

– nicht geeignet für Daten die sich häufig ändern

– standortunabhängig

– ermöglichen Datenreplikation und Partitionierung

– ein Verzeichnis muss keine sicheren Transaktionen unterstützen

I. Metadirectories

Struktur:

– Informationen werden in Entries abgelegt, diese können Attribute besitzen

– starke Beschränkung in der Wahl der Datentypen→ Verzeichnisdienst Kundenkontakte enthält nur Namen,

Adressen, etc.

– oft vereinfachte Zugangsprotokolle die kaum Anwendungslogik in den Anfragen zulassen

I. Metadirectories

Typen:

– anwendungsspezifische[alias Datei für sendmail, config Files von Anwendungen, ...]

– anwendungsunabhängige zweckgebundene(nicht veränderbare oder erweiterbare Datentypen)

[lokale hosts-Datei, DNS - Verzeichnis]

– (netzwerk-)betriebssystemspezifische[lokale passwd-, group - Datei, NIS, ADS, Novell NDS]

– standardisierte allgemeine (anwendungsunabhängige)[X.500, DAP - Varianten, LDAP]

I. Metadirectories

Was können Verzeichnisse nicht leisten:

– ein Verzeichniss ist keine Allzweckdatenbank

– ein Verzeichnis ist kein Dateisystem

– ein Verzeichnis ist kein Ersatz für eine lokale Dateiablage

– ein Verzeichnis ist kein 'Netzwerkmanagement-Tool'

I. Metadirectories

Bei der Verwendung von Verzeichnissen ist zu beachten:

– Allgemeinheit und Erweiterbarkeit/Veränderbarkeit

– Zentralisierung

– Interoperabilität

– Standardisierung

II. LDAP

Entstehung:

– LDAP ist als „leichtgewicht“ - Ersatz zum DAP von X.500 gedacht

– X.500 ist von OSI Spezifizierter Verzeichnisdienst (1985)

– X.500 setzt auf einen kompletten ISO/OSI Stack auf→ rechenintensiv, schwierige Implementierung

– X.500 Zugriffsprotokoll DAP besitzt mächtigen Funktions- und Kontrollumfang

– X.500 konnte sich nie richtig etablieren

II. LDAP

Entstehung:

– LDAP wurde 1995 entwickelt

– LDAP stellt vereinfachte Form von DAP dar

– das Ziel von LDAP ist, Verzeichnisdienste einfacher und somit populärer zu machen

– LDAP setzt auf einen TCP/IP Stack auf

– LDAP implementiert nur einige DAP - Funktionen und Datentypen, trotzdem können die fehlenden emuliert werden

II. LDAP

Entstehung:

II. LDAP

Struktur:

– Struktur wird durch ein Schema bestimmt

– Scheme definiert Objektklassen

– jeder Verzeichniseintrag gehört zu einer Klasse

– ein Verzeichniseintrag ist ein eigenständiges aus Attributen zusammengesetztes Objekt, eindeutig identifiziert durch Distinguished Name (DN)

– Attribute haben einen bestimmten Typ und einen oder mehrere Werte, Typenbezeichnungen meist Kürzel(cn = common name), erlaubte Werte vom Typ abhängig

II. LDAP

Funktionales Modell:

– Authentifizieren

– Suchen

– Vergleichen

– Modifizieren

II. LDAP

Authentifizieren:

– unverschlüsselte anonyme Sitzung (kein Benutzername, kein Passwort)

– unverschlüsselte authentifizierte Sitzung (Benutzername, Passwort)

– verschlüsselte authentifizierte Sitzung

II. LDAP

Suchen:

– es ist möglich nur einen Teil des DIT zu durchsuchen

– Startpunkt der Suche spezifizierbar

– Angabe eines Suchbereichs (scope) möglich

– Attribute die ein zu suchender Eintrag besitzen muss, sowie welche zurückgegeben werden, kann angegeben werden

– Suchfilter (Bedingungen) sind definierbar

II. LDAP

Suchparameter:

– base: DN für den Suchstartpunkt

– scope: Suchbereich, mögliche Werte:● base:nur Startobjekt selbst wird untersucht● one: direkte Kindobjekte von base, jedoch

nicht es selbst● sub: base und gesamter Teilbaum darunter

– Suchfilter: (Attribut-)Bedingungen, die ein Treffer erfüllen muß; Boolean-Kombinationen

von Bedingungen sind möglich

– Limits: Zeit- und Mengenbeschränkungen für Suchoperationen

II. LDAP

Vergleichen:

– überprüft ob ein Eintrag ein Attribut mit einem bestimmten Wert hat

– == → true

– != → false

– nicht vorhanden → 'not found'

II. LDAP

Modifizieren:

– folgende Befehle sind vorhanden:

● add Hinzufügen von Objekten● delete Löschen von Objekten● modifyDN Umbenennen/Verschieben von

Objekten● modify Ändern/Hinzufügen/Löschen

von Attributen

– entsprechende Befehle auch in LDIF Dateien einfügbar

II. LDAP

LDIF:

– da LDAP nur Protokoll, interne Darstellung der Daten nicht spezifiziert→ Bedarf eines einheitliches Austauschformates zw.

heterogenen Systemen (LDIF)

– textuelle Darstellung der Daten eines Verzeichnisses

– menschenlesbare Darstellung und einfach interpretierbar

– mehrere LDIF - Zeilen beschreiben ein LDAP Objekt

II. LDAP

LDIF:

dn: dc=structure-net, dc=de - am Anfang steht der DN (absolute Position im LDAP Baum)

objectclass: organization - es folgen ein oder mehrere Objektklassen (zulässige oder

objectclass: top vorgeschriebene Attribute)o: Structure Net - Attribut - Wert Paare stellen den

eigenltichen Inhalt darl: Hamburgpostalcode: 21033streetadress: Billwiese 22

- eine Leerzeile schließt den Eintrag abdn: uid=admin, dc=structure-net, dc=deobjectclass: personobjectclass: organizationalpersonobjectclass: inetorgpersoncn: admincn: Systemverwaltercn: Thomas Bendlersn: Bendleruid: adminmail: tbendler@structure-net.del: Hamburgpostalcode: 21033streetadress: billwiese 22telephonenumber: 040-7654321facsmiletelephonenumber: 040-7654321

II. LDAP

Sicherheit:

– 2 Arten der Sicherheit:● Zugrifsssicherung auf Objekte mittels ACLs● Verbindungssicherung (s. Nutzerauthentifizierung)

– Verbindungssicherung:● neben unverschlüsselter Authentifizierung unterstützt

LDAP auch SASL (somit sind Digest, Keberos, MD5, u.a. verfahren Nutzbar)

● zusätzliche Sicherung der Verbindung mit SSL/TLS möglich

– Zugriffssicherung:● mittels ACLs können Rechte jedes Objektes spezifiziert

werden

II. LDAP

Replikation:

– Gründe für Replikation:● Ausfallsicherheit● Lastverteilung, Zugriffe verteilbar

– unterscheidung zw. Master und Replica● Replica ist READ-ONLY-Kopie des Masters● Clients die am Replica angemeldet sind und Änderungen

vollziehen wollen, werden an Master weitergeleitet● Replica gleicht Daten regelmäßig mit Master ab● inkrementelle und komplette Synchronisation zw. Master

und Replica möglich● Synchronisation kann kaskadieren (z.B. Replica ist

Datenquelle für weiter Replicas)

II. LDAP

Partitionierung:

– Gründe für Partitionierung:● Verzeichnis enthält zuviele Daten (Serverkapazität

erschöpft)● kleinere Verzeichnisse haben besser

Zugriffsgeschwindigkeit● hoher Repklikationsaufwand durch die Menge der Daten

– Partitionierung ist die Aufteilung des Baumes in mehrere Teilbäume auf mehreren Servern

– Partitiononierung erfolgt an grenzen von Containerobjekten

– Verlinkung von Partitionen mittels Verweise (Anfragen werden weitergeleitet)

– Replizierung von Partitionen möglich

II. LDAP

Verwendung von LDAP:

II. LDAP

Folgende Verzeichnisserver unterstützen LDAP:

* Apple (durch Open Directory), * AT&T, * Banyan, * Critical Path, * HP, * GONICUS, * IBM/Lotus, * Microsoft (durch ADS), * Novell (durch NDS), * Oracle (durch Oracle Internet Directory), * SGI, * Siemens (durch Siemens DirX Directory Server), * Sun (durch Sun ONE Directory Server).

II. LDAP

Anwendungen:

– Verwalten von Benutzerinformationen

– Verwaltung von Gruppen

– Verwalten von Netzwerkkonfigurationen

– Konfigurieren und Verwalten von Anwendungen (z.B. sendmail, apache, samba, OS-login)

– Verwendung als Zertifikatsserver (Aufbau einer PKI)

– Nachbildung eines NT-Servers, mit weiteren OpenSource Tools ist somit ein zentral verwaltbares Win/Unix Netzwerk mit Single-Sign-On möglich

II. LDAP

LDAP Entwicklung:

– durch einfache Befehle leicht in vorhanden Anwendungen integrierbar

– LDAP-APIs für viele Programmiersprachen verfügbar

– Extensions (Request - Response Paar, z.B. Start TLS)

– Controls (ermöglicht das Hinzufügen eigener Funktionalitäten)

– demnächst auch XML zur Datenspeicherung und Datenübertragung

III. Einsatz an der HTWK

Einsatzmöglichkeiten:

– Abbilden von Organisationsstrukturen

– Gruppenverwaltung

– Benutzerverwaltung

– single-sign-on für bestehende Lösungen