Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Metadirectory Services

Veröffentlicht von:Helfgott Drager Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Metadirectory Services"—  Präsentation transkript:

1 Metadirectory Services
Mathias Schindler

2 Inhaltsübersicht Definition Metadirectory Services LDAP
Einsatz an der HTWK

3 I. Metadirectories Motivation:
- Zugriff von Anwendungen ist nicht mehr auf lokale Ressourcen oder LAN beschränkt → führt zu einer Vielzahl an bereitzustellenden Informationen - im Alltag ablage von häufig benötigten Informationen in Verzeichnissen (Gelbe Seiten, Bibliotheksverzeichnisse, ...) → daran angelehnt entstanden Verzeichnisdienste wie NIS, DNS, WhoIs, ... - für einfachere Durchsuchbarkeit können Informationen hierarchisch Strukturiert werden

4 I. Metadirectories Eigenschaften:
für lesenden Zugriff optimierter Datenspeicher → einfaches Durchsuchen und Finden von Informationen Inhaltstyp eher statisch nicht geeignet für Daten die sich häufig ändern standortunabhängig ermöglichen Datenreplikation und Partitionierung ein Verzeichnis muss keine sicheren Transaktionen unterstützen

5 I. Metadirectories Struktur:
Informationen werden in Entries abgelegt, diese können Attribute besitzen starke Beschränkung in der Wahl der Datentypen → Verzeichnisdienst Kundenkontakte enthält nur Namen, Adressen, etc. oft vereinfachte Zugangsprotokolle die kaum Anwendungslogik in den Anfragen zulassen

6 I. Metadirectories Typen:
anwendungsspezifische [alias Datei für sendmail, config Files von Anwendungen, ...] anwendungsunabhängige zweckgebundene (nicht veränderbare oder erweiterbare Datentypen) [lokale hosts-Datei, DNS - Verzeichnis] (netzwerk-)betriebssystemspezifische [lokale passwd-, group - Datei, NIS, ADS, Novell NDS] standardisierte allgemeine (anwendungsunabhängige) [X.500, DAP - Varianten, LDAP]

7 I. Metadirectories Was können Verzeichnisse nicht leisten:
ein Verzeichniss ist keine Allzweckdatenbank ein Verzeichnis ist kein Dateisystem ein Verzeichnis ist kein Ersatz für eine lokale Dateiablage ein Verzeichnis ist kein 'Netzwerkmanagement-Tool'

8 I. Metadirectories Bei der Verwendung von Verzeichnissen ist zu beachten: Allgemeinheit und Erweiterbarkeit/Veränderbarkeit Zentralisierung Interoperabilität Standardisierung

9

10

11 II. LDAP Entstehung: LDAP ist als „leichtgewicht“ - Ersatz zum DAP von X.500 gedacht X.500 ist von OSI Spezifizierter Verzeichnisdienst (1985) X.500 setzt auf einen kompletten ISO/OSI Stack auf → rechenintensiv, schwierige Implementierung X.500 Zugriffsprotokoll DAP besitzt mächtigen Funktions- und Kontrollumfang X.500 konnte sich nie richtig etablieren

12 II. LDAP Entstehung: LDAP wurde 1995 entwickelt
LDAP stellt vereinfachte Form von DAP dar das Ziel von LDAP ist, Verzeichnisdienste einfacher und somit populärer zu machen LDAP setzt auf einen TCP/IP Stack auf LDAP implementiert nur einige DAP - Funktionen und Datentypen, trotzdem können die fehlenden emuliert werden

13 II. LDAP Entstehung:

14 II. LDAP Struktur: Struktur wird durch ein Schema bestimmt
Scheme definiert Objektklassen jeder Verzeichniseintrag gehört zu einer Klasse ein Verzeichniseintrag ist ein eigenständiges aus Attributen zusammengesetztes Objekt, eindeutig identifiziert durch Distinguished Name (DN) Attribute haben einen bestimmten Typ und einen oder mehrere Werte, Typenbezeichnungen meist Kürzel (cn = common name), erlaubte Werte vom Typ abhängig

15

16

17 II. LDAP Funktionales Modell: Authentifizieren Suchen Vergleichen
Modifizieren

18 II. LDAP Authentifizieren:
unverschlüsselte anonyme Sitzung (kein Benutzername, kein Passwort) unverschlüsselte authentifizierte Sitzung (Benutzername, Passwort) verschlüsselte authentifizierte Sitzung

19 II. LDAP Suchen: es ist möglich nur einen Teil des DIT zu durchsuchen
Startpunkt der Suche spezifizierbar Angabe eines Suchbereichs (scope) möglich Attribute die ein zu suchender Eintrag besitzen muss, sowie welche zurückgegeben werden, kann angegeben werden Suchfilter (Bedingungen) sind definierbar

20 II. LDAP Suchparameter: base: DN für den Suchstartpunkt
scope: Suchbereich, mögliche Werte: base: nur Startobjekt selbst wird untersucht one: direkte Kindobjekte von base, jedoch nicht es selbst sub: base und gesamter Teilbaum darunter Suchfilter: (Attribut-)Bedingungen, die ein Treffer erfüllen muß; Boolean-Kombinationen von Bedingungen sind möglich Limits: Zeit- und Mengenbeschränkungen für Suchoperationen

21 II. LDAP Vergleichen: überprüft ob ein Eintrag ein Attribut mit einem bestimmten Wert hat == → true != → false nicht vorhanden → 'not found'

22 II. LDAP Modifizieren: folgende Befehle sind vorhanden:
add Hinzufügen von Objekten delete Löschen von Objekten modifyDN Umbenennen/Verschieben von Objekten modify Ändern/Hinzufügen/Löschen von Attributen entsprechende Befehle auch in LDIF Dateien einfügbar

23 II. LDAP LDIF: da LDAP nur Protokoll, interne Darstellung der Daten nicht spezifiziert → Bedarf eines einheitliches Austauschformates zw. heterogenen Systemen (LDIF) textuelle Darstellung der Daten eines Verzeichnisses menschenlesbare Darstellung und einfach interpretierbar mehrere LDIF - Zeilen beschreiben ein LDAP Objekt

24 II. LDAP LDIF: dn: dc=structure-net, dc=de - am Anfang steht der DN (absolute Position im LDAP Baum) objectclass: organization es folgen ein oder mehrere Objektklassen (zulässige oder objectclass: top vorgeschriebene Attribute) o: Structure Net Attribut - Wert Paare stellen den eigenltichen Inhalt dar l: Hamburg postalcode: 21033 streetadress: Billwiese 22 - eine Leerzeile schließt den Eintrag ab dn: uid=admin, dc=structure-net, dc=de objectclass: person objectclass: organizationalperson objectclass: inetorgperson cn: admin cn: Systemverwalter cn: Thomas Bendler sn: Bendler uid: admin mail: streetadress: billwiese 22 telephonenumber: facsmiletelephonenumber:

25 II. LDAP Sicherheit: 2 Arten der Sicherheit:
Zugrifsssicherung auf Objekte mittels ACLs Verbindungssicherung (s. Nutzerauthentifizierung) Verbindungssicherung: neben unverschlüsselter Authentifizierung unterstützt LDAP auch SASL (somit sind Digest, Keberos, MD5, u.a. verfahren Nutzbar) zusätzliche Sicherung der Verbindung mit SSL/TLS möglich Zugriffssicherung: mittels ACLs können Rechte jedes Objektes spezifiziert werden

26 II. LDAP Replikation: Gründe für Replikation: Ausfallsicherheit
Lastverteilung, Zugriffe verteilbar unterscheidung zw. Master und Replica Replica ist READ-ONLY-Kopie des Masters Clients die am Replica angemeldet sind und Änderungen vollziehen wollen, werden an Master weitergeleitet Replica gleicht Daten regelmäßig mit Master ab inkrementelle und komplette Synchronisation zw. Master und Replica möglich Synchronisation kann kaskadieren (z.B. Replica ist Datenquelle für weiter Replicas)

27

28

29 II. LDAP Partitionierung: Gründe für Partitionierung:
Verzeichnis enthält zuviele Daten (Serverkapazität erschöpft) kleinere Verzeichnisse haben besser Zugriffsgeschwindigkeit hoher Repklikationsaufwand durch die Menge der Daten Partitionierung ist die Aufteilung des Baumes in mehrere Teilbäume auf mehreren Servern Partitiononierung erfolgt an grenzen von Containerobjekten Verlinkung von Partitionen mittels Verweise (Anfragen werden weitergeleitet) Replizierung von Partitionen möglich

30

31

32

33 II. LDAP Verwendung von LDAP:

34 II. LDAP Folgende Verzeichnisserver unterstützen LDAP:
* Apple (durch Open Directory), * AT&T, * Banyan, * Critical Path, * HP, * GONICUS, * IBM/Lotus, * Microsoft (durch ADS), * Novell (durch NDS), * Oracle (durch Oracle Internet Directory), * SGI, * Siemens (durch Siemens DirX Directory Server), * Sun (durch Sun ONE Directory Server).

35 II. LDAP Anwendungen: Verwalten von Benutzerinformationen
Verwaltung von Gruppen Verwalten von Netzwerkkonfigurationen Konfigurieren und Verwalten von Anwendungen (z.B. sendmail, apache, samba, OS-login) Verwendung als Zertifikatsserver (Aufbau einer PKI) Nachbildung eines NT-Servers, mit weiteren OpenSource Tools ist somit ein zentral verwaltbares Win/Unix Netzwerk mit Single-Sign-On möglich

36 II. LDAP LDAP Entwicklung:
durch einfache Befehle leicht in vorhanden Anwendungen integrierbar LDAP-APIs für viele Programmiersprachen verfügbar Extensions (Request - Response Paar, z.B. Start TLS) Controls (ermöglicht das Hinzufügen eigener Funktionalitäten) demnächst auch XML zur Datenspeicherung und Datenübertragung

37 III. Einsatz an der HTWK Einsatzmöglichkeiten:
Abbilden von Organisationsstrukturen Gruppenverwaltung Benutzerverwaltung single-sign-on für bestehende Lösungen

Herunterladen ppt "Metadirectory Services"

Ähnliche Präsentationen

Ext2. Geschichte Minixerhebliche Beschränkungen extfs ext2erstmals aufhebung aller drängenden Beschränkungen ext3erweiterung um Journaling.

Ext2. Geschichte Minixerhebliche Beschränkungen extfs ext2erstmals aufhebung aller drängenden Beschränkungen ext3erweiterung um Journaling.
Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Einer der Dienste im Internet

Einer der Dienste im Internet
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Präsentation PS: Klasse File von Janko Lange, Thomas Lung, Dennis Förster, Martin Hiller, Björn Schöbel.

Präsentation PS: Klasse File von Janko Lange, Thomas Lung, Dennis Förster, Martin Hiller, Björn Schöbel.
OpenLDAP.

OpenLDAP.
Pflege der Internetdienste

Pflege der Internetdienste
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,

Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Vs61 6 Verteilte Datenverwaltung. vs62 Ziel:Zusammengehöriger Datenbestand soll über mehrere Stationen verteilt werden, z.B. Fragmentierung: in mehrere.

Vs61 6 Verteilte Datenverwaltung. vs62 Ziel:Zusammengehöriger Datenbestand soll über mehrere Stationen verteilt werden, z.B. Fragmentierung: in mehrere.
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Lightweight Directory Access Protocol

Lightweight Directory Access Protocol
Windows auf öffentlichen PCs

Windows auf öffentlichen PCs
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
Sicherheit und Personalisierung Internet Portal der Universität München.

Sicherheit und Personalisierung Internet Portal der Universität München.
HTML - Einführung Richard Göbel.

HTML - Einführung Richard Göbel.
FH-Hof Extensible Markup Language Richard Göbel. FH-Hof Extensible Markup Language XML XML ist universeller Ansatz für die Strukturierung von Zeichenketten.

FH-Hof Extensible Markup Language Richard Göbel. FH-Hof Extensible Markup Language XML XML ist universeller Ansatz für die Strukturierung von Zeichenketten.
DOM (Document Object Model)

DOM (Document Object Model)
LDAP und RADIUS RADIUS-Server

LDAP und RADIUS RADIUS-Server
Eingabeaufforderung (EA) Windows I Nützliche Kommandos (Kommando und /? liefert meist eine Liste von Optionen): cd bzw. chdir: change directory, wechselt.

Eingabeaufforderung (EA) Windows I Nützliche Kommandos (Kommando und /? liefert meist eine Liste von Optionen): cd bzw. chdir: change directory, wechselt.

Ähnliche Präsentationen

Google-Anzeigen