Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Metadirectory Services Mathias Schindler04.05.2005.

Ähnliche Präsentationen


Präsentation zum Thema: "Metadirectory Services Mathias Schindler04.05.2005."—  Präsentation transkript:

1 Metadirectory Services Mathias Schindler

2 Inhaltsübersicht I.Definition Metadirectory Services II.LDAP III.Einsatz an der HTWK

3 I. Metadirectories Motivation: - Zugriff von Anwendungen ist nicht mehr auf lokale Ressourcen oder LAN beschränkt führt zu einer Vielzahl an bereitzustellenden Informationen - im Alltag ablage von häufig benötigten Informationen in Verzeichnissen (Gelbe Seiten, Bibliotheksverzeichnisse,...) daran angelehnt entstanden Verzeichnisdienste wie NIS, DNS, WhoIs,... - für einfachere Durchsuchbarkeit können Informationen hierarchisch Strukturiert werden

4 I. Metadirectories Eigenschaften: – für lesenden Zugriff optimierter Datenspeicher einfaches Durchsuchen und Finden von Informationen – Inhaltstyp eher statisch – nicht geeignet für Daten die sich häufig ändern – standortunabhängig – ermöglichen Datenreplikation und Partitionierung – ein Verzeichnis muss keine sicheren Transaktionen unterstützen

5 I. Metadirectories Struktur: – Informationen werden in Entries abgelegt, diese können Attribute besitzen – starke Beschränkung in der Wahl der Datentypen Verzeichnisdienst Kundenkontakte enthält nur Namen, Adressen, etc. – oft vereinfachte Zugangsprotokolle die kaum Anwendungslogik in den Anfragen zulassen

6 I. Metadirectories Typen: – anwendungsspezifische [alias Datei für sendmail, config Files von Anwendungen,...] – anwendungsunabhängige zweckgebundene (nicht veränderbare oder erweiterbare Datentypen) [lokale hosts-Datei, DNS - Verzeichnis] – (netzwerk-)betriebssystemspezifische [lokale passwd-, group - Datei, NIS, ADS, Novell NDS] – standardisierte allgemeine (anwendungsunabhängige) [X.500, DAP - Varianten, LDAP]

7 I. Metadirectories Was können Verzeichnisse nicht leisten: – ein Verzeichniss ist keine Allzweckdatenbank – ein Verzeichnis ist kein Dateisystem – ein Verzeichnis ist kein Ersatz für eine lokale Dateiablage – ein Verzeichnis ist kein 'Netzwerkmanagement-Tool'

8 I. Metadirectories Bei der Verwendung von Verzeichnissen ist zu beachten: – Allgemeinheit und Erweiterbarkeit/Veränderbarkeit – Zentralisierung – Interoperabilität – Standardisierung

9

10

11 II. LDAP Entstehung: – LDAP ist als leichtgewicht - Ersatz zum DAP von X.500 gedacht – X.500 ist von OSI Spezifizierter Verzeichnisdienst (1985) – X.500 setzt auf einen kompletten ISO/OSI Stack auf rechenintensiv, schwierige Implementierung – X.500 Zugriffsprotokoll DAP besitzt mächtigen Funktions- und Kontrollumfang – X.500 konnte sich nie richtig etablieren

12 II. LDAP Entstehung: – LDAP wurde 1995 entwickelt – LDAP stellt vereinfachte Form von DAP dar – das Ziel von LDAP ist, Verzeichnisdienste einfacher und somit populärer zu machen – LDAP setzt auf einen TCP/IP Stack auf – LDAP implementiert nur einige DAP - Funktionen und Datentypen, trotzdem können die fehlenden emuliert werden

13 II. LDAP Entstehung:

14 II. LDAP Struktur: – Struktur wird durch ein Schema bestimmt – Scheme definiert Objektklassen – jeder Verzeichniseintrag gehört zu einer Klasse – ein Verzeichniseintrag ist ein eigenständiges aus Attributen zusammengesetztes Objekt, eindeutig identifiziert durch Distinguished Name (DN) – Attribute haben einen bestimmten Typ und einen oder mehrere Werte, Typenbezeichnungen meist Kürzel (cn = common name), erlaubte Werte vom Typ abhängig

15

16

17 II. LDAP Funktionales Modell: – Authentifizieren – Suchen – Vergleichen – Modifizieren

18 II. LDAP Authentifizieren : – unverschlüsselte anonyme Sitzung (kein Benutzername, kein Passwort) – unverschlüsselte authentifizierte Sitzung (Benutzername, Passwort) – verschlüsselte authentifizierte Sitzung

19 II. LDAP Suchen: – es ist möglich nur einen Teil des DIT zu durchsuchen – Startpunkt der Suche spezifizierbar – Angabe eines Suchbereichs (scope) möglich – Attribute die ein zu suchender Eintrag besitzen muss, sowie welche zurückgegeben werden, kann angegeben werden – Suchfilter (Bedingungen) sind definierbar

20 II. LDAP Suchparameter: – base:DN für den Suchstartpunkt – scope:Suchbereich, mögliche Werte: base:nur Startobjekt selbst wird untersucht one: direkte Kindobjekte von base, jedoch nicht es selbst sub:base und gesamter Teilbaum darunter – Suchfilter:(Attribut-)Bedingungen, die ein Treffer erfüllen muß; Boolean-Kombinationen von Bedingungen sind möglich – Limits: Zeit- und Mengenbeschränkungen für Suchoperationen

21 II. LDAP Vergleichen: – überprüft ob ein Eintrag ein Attribut mit einem bestimmten Wert hat – == true – != false – nicht vorhanden 'not found'

22 II. LDAP Modifizieren: – folgende Befehle sind vorhanden: addHinzufügen von Objekten deleteLöschen von Objekten modifyDNUmbenennen/Verschieben von Objekten modifyÄndern/Hinzufügen/Löschen von Attributen – entsprechende Befehle auch in LDIF Dateien einfügbar

23 II. LDAP LDIF: – da LDAP nur Protokoll, interne Darstellung der Daten nicht spezifiziert Bedarf eines einheitliches Austauschformates zw. heterogenen Systemen (LDIF) – textuelle Darstellung der Daten eines Verzeichnisses – menschenlesbare Darstellung und einfach interpretierbar – mehrere LDIF - Zeilen beschreiben ein LDAP Objekt

24 II. LDAP LDIF: dn: dc=structure-net, dc=de- am Anfang steht der DN (absolute Position im LDAP Baum) objectclass: organization- es folgen ein oder mehrere Objektklassen (zulässige oder objectclass: top vorgeschriebene Attribute) o: Structure Net- Attribut - Wert Paare stellen den eigenltichen Inhalt dar l: Hamburg postalcode: streetadress: Billwiese 22 - eine Leerzeile schließt den Eintrag ab dn: uid=admin, dc=structure-net, dc=de objectclass: person objectclass: organizationalperson objectclass: inetorgperson cn: admin cn: Systemverwalter cn: Thomas Bendler sn: Bendler uid: admin mail: l: Hamburg postalcode: streetadress: billwiese 22 telephonenumber: facsmiletelephonenumber:

25 II. LDAP Sicherheit: – 2 Arten der Sicherheit: Zugrifsssicherung auf Objekte mittels ACLs Verbindungssicherung (s. Nutzerauthentifizierung) – Verbindungssicherung: neben unverschlüsselter Authentifizierung unterstützt LDAP auch SASL (somit sind Digest, Keberos, MD5, u.a. verfahren Nutzbar) zusätzliche Sicherung der Verbindung mit SSL/TLS möglich – Zugriffssicherung: mittels ACLs können Rechte jedes Objektes spezifiziert werden

26 II. LDAP Replikation: – Gründe für Replikation: Ausfallsicherheit Lastverteilung, Zugriffe verteilbar – unterscheidung zw. Master und Replica Replica ist READ-ONLY-Kopie des Masters Clients die am Replica angemeldet sind und Änderungen vollziehen wollen, werden an Master weitergeleitet Replica gleicht Daten regelmäßig mit Master ab inkrementelle und komplette Synchronisation zw. Master und Replica möglich Synchronisation kann kaskadieren (z.B. Replica ist Datenquelle für weiter Replicas)

27

28

29 II. LDAP Partitionierung: – Gründe für Partitionierung: Verzeichnis enthält zuviele Daten (Serverkapazität erschöpft) kleinere Verzeichnisse haben besser Zugriffsgeschwindigkeit hoher Repklikationsaufwand durch die Menge der Daten – Partitionierung ist die Aufteilung des Baumes in mehrere Teilbäume auf mehreren Servern – Partitiononierung erfolgt an grenzen von Containerobjekten – Verlinkung von Partitionen mittels Verweise (Anfragen werden weitergeleitet) – Replizierung von Partitionen möglich

30

31

32

33 II. LDAP Verwendung von LDAP:

34 II. LDAP Folgende Verzeichnisserver unterstützen LDAP: * Apple (durch Open Directory), * AT&T, * Banyan, * Critical Path, * HP, * GONICUS, * IBM/Lotus, * Microsoft (durch ADS), * Novell (durch NDS), * Oracle (durch Oracle Internet Directory), * SGI, * Siemens (durch Siemens DirX Directory Server), * Sun (durch Sun ONE Directory Server).

35 II. LDAP Anwendungen: – Verwalten von Benutzerinformationen – Verwaltung von Gruppen – Verwalten von Netzwerkkonfigurationen – Konfigurieren und Verwalten von Anwendungen (z.B. sendmail, apache, samba, OS-login) – Verwendung als Zertifikatsserver (Aufbau einer PKI) – Nachbildung eines NT-Servers, mit weiteren OpenSource Tools ist somit ein zentral verwaltbares Win/Unix Netzwerk mit Single-Sign-On möglich

36 II. LDAP LDAP Entwicklung: – durch einfache Befehle leicht in vorhanden Anwendungen integrierbar – LDAP-APIs für viele Programmiersprachen verfügbar – Extensions (Request - Response Paar, z.B. Start TLS) – Controls (ermöglicht das Hinzufügen eigener Funktionalitäten) – demnächst auch XML zur Datenspeicherung und Datenübertragung

37 III. Einsatz an der HTWK Einsatzmöglichkeiten: – Abbilden von Organisationsstrukturen – Gruppenverwaltung – Benutzerverwaltung – single-sign-on für bestehende Lösungen


Herunterladen ppt "Metadirectory Services Mathias Schindler04.05.2005."

Ähnliche Präsentationen


Google-Anzeigen