Betriebssysteme -Projekt-

Transkript

1 FHDW Fachhochschule für die Wirtschaft Freundallee Hannover Betriebssysteme -Projekt- 3. Theoriequartal Betreuer: Prof. Dr. Günther Hellberg LDAP Daniel Drachau Landstallmeisterring Celle Marco Tharra Spichernstraße Hannover Hannover, den 31. Dezember 2004

2 Inhaltsverzeichnis 1 Einleitung Einleitung Grundlagen Verzeichnisdienste Allgemeine Informationen Welchen Nutzen haben Verzeichnisdienste? Aufbau von Verzeichnisdiensten Funktion von Verzeichnisdiensten Daten speichern Daten verwenden Zugriffsmöglichkeiten Geschichte der Verzeichnisdienste LDAP - Was ist das? Client-/Serverkommunikation Der LDAP-Server Datenspeicherung und Schema Replizierung Partitionierung Sicherheit ACL - Access Control List Der LDAP-Client Zugriff auf Verzeichnisse Verwendung der Daten Einsatzgebiete Identitätsmanagement Weitere Einsatzgebiete LDAP-Server OpenLDAP slapd slurpd ldap

3 INHALTSVERZEICHNIS INHALTSVERZEICHNIS 4.2 Installation Basiskonfiguration slapd.conf ldap.conf Beispielkonfiguration des LDAP-Servers Beispieldatenbank Erstellen der Datenbank LDAP-Clients Plattformunabhängige Clients JXplorer LDAP Browser/Editor phpldapadmin yala Linux-Clients GQ LDAP Client 1.0 beta Luma Fazit Samba-Authentifizierung & LDAP Was ist Samba? Samba - Grundkonfiguration Samba mit LDAP-Authentifikation SVN-Authentifizierung & LDAP Subversion Apache SVN und Apache LDAP, Apache2 und SVN A Glossar 40 2

4 Kapitel 1 Einleitung 1.1 Einleitung Heutzutage bestehen Computernetzwerke aus einer vielzahl unterschiedlicher Dienste und Anwendungen, die in aller Regel unabhängig voneinander konfiguriert und administriert werden. Zur Vereinfachung der Administration wurden die Verzeichnisdienste entwickelt, die eine zentrale Bearbeitung vieler Dienste und Anwendungen ermöglichen und dem Benutzer verschiedene Möglichkeiten bieten, auf Informationen zuzugreifen. Im 2. Kapitel soll zuerst eine kurze Übersicht zum Thema Verzeichnisdienste gegeben werden. Anschließend werden ein paar geschichtliche Hintergründe bezüglich Verzeichnisdienste und LDAP vermittelt (Kapitel 2.2). Es soll geklärt werden, wer LDAP enwickelt hat und wo es seinen Ursprung hat. Im folgenden Abschnitt möchten wir dem Leser einen Überblick über LDAP geben. Was ist LDAP und welchem Zweck dient es? Im 3. Kapitel gehen wir auf die Einsatzgebiete von LDAP ein, wobei wir besonderes Augenmerk auf das Identitätsmanagement legen. Ferner stellen wir einige kommerzielle und freie Servervarianten vor, darunter OpenLDAP den wir im praktischen Teil unserer Projektarbeit unter SuSE Linux 9.1 Professional einsetzen werden. Dabei gehen wir auf die wesentlichen Bestandteile von OpenLDAP ein und erläutern die Installation und eine Basiskonfiguration, sowie die Erstellung der Datenbank anhand des Beispiels der Molkerei Euterbrand. Im 5. Kapitel vergleichen wir einige LDAP-Clients und gehen auf die Vor- und Nachteile der einzelnen Implementierungen ein. Abschließend zeigen wir an zwei konkreten Anwendungsfall den praktischen Einsatz von LDAP zur Benutzerauthentifikation für einen Samba-Fileserver sowie einen Apache-Webserver für die Verwendung von Subversion. Dabei werden wir jeweils eine kleine Einführung in 3

5 KAPITEL 1. EINLEITUNG 1.1. EINLEITUNG Samba und Subversion geben, bevor wir auf die Details der Konfiguration eingehen werden. Während dieses Projektes sind wir auf einige Probleme gestoßen, die wir in dieser Arbeit erklären und Hilfestellungen geben wollen. Der Einstieg in das Thema LDAP gestaltete sich von Anfang an sehr schwierig. Viele oberflächliche Tutorials waren nicht besonders hilfreich, insbesondere was die Lösung unseres größten Problems betrifft, das Henne-Ei-Problem. Was war zu erst da? Die Datenbank, mit der der Server arbeiten kann oder ein Verweis auf eine Datenbank die noch nicht existiert? Ein weitere Schwierigkeit bestand darin, der wenig aussagekräftigen Fehlermeldungen zu verstehen. Auch die meisten Foreneinträge konnten nicht viel zu einer Lösung beitragen. Oft fanden wir Benutzer mit ähnlichen Problemen, doch entweder waren die Lösungsvorschläge nicht anwendbar oder sie funktionierten schlicht und einfach nicht. Wir wollen dem Leser an dieser Stelle schon ein paar Tipps mit auf den Weg geben. Aus unserer Sicht ist es sinnvoll, sich zuerst einmal intensiv mit dem Schemakonzept und den einzelnen Schemata, die verwendet werden sollen, auseinanderzusetzen. Da die Fehlermeldung wie bereits angesprochen nicht sehr aussagekräftig sind, bieten die Logdateien die einzig zuverlässige Quelle bei einer eventuellen Fehlersuche. Es lohnt sich auf jeden Fall, die entsprechenden Dateien insbesondere im Fehlerfall detailiert auszuwerten. Grundkenntnisse im Linuxbereich und gängige Fachbegriffe werden vorrausgesetzt. Fachrelevante Begriffe werden im Glossar beschrieben. 4

6 Kapitel 2 Grundlagen 2.1 Verzeichnisdienste Allgemeine Informationen Bei einem Verzeichnisdienst handelt es sich um eine in einem Netzwerk verteilte und hierarchisch strukturierte Datenbank basierend auf einer Client/Server-Architektur. Ein solches Datenbanksystem bietet die Möglichkeit, nahezu beliebige Informationen zu speichern, da die Struktur der Daten in Verzeichnisdiensten vom Anwender ohne bestehende Vorgaben festgelegt werden kann. Zwar können während des laufenden Betriebes Änderungen an den Daten vorgenommen werden, sofern die Berechtigungen dies zulassen, optimiert sind Verzeichnisdienste jedoch für Lesezugriffe und Suchanfragen. Bei derartigen Anfragen ergeben sich deutliche Geschwindigkeitsvorteile gegenüber anderen Datenbanksystemen. Für Daten, die sich häufig ändern, eignen sich dagegen eher relationale oder objektorientierte Datenbanksysteme Welchen Nutzen haben Verzeichnisdienste? Da es sich bei einem Verzeichnisdienst um eine im Netzwerk verteilte Datenbank handelt, können Datenmengen beliebiger Größe auf mehrere Rechner verteilt abgelegt werden. Durch Replizierung der Datenbanken kann ferner die Ausfallsicherheit erhöht werden. Desweiteren ist ein Zugriff auf die Daten von jedem Rechner im Netzwerk möglich. Dieser erfolgt mit dem TCP/IP-Protokoll. Daraus ergibt sich der Vorteil, Dienste und Anwendungen von jedem Rechner im Netzwerk aus konfigurieren zu können. Netzwerkverzeichnisse wie NFS (Network File Sytem) oder Samba, auf das im 6. Kapitel noch genauer eingegangen wird. 5

7 KAPITEL 2. GRUNDLAGEN 2.1. VERZEICHNISDIENSTE Aufbau von Verzeichnisdiensten Die Informationen in einem Verzeichnisdienst sind in einem baumartigen Aufbau (Tree) abgelegt. Jeder Baum besitzt eine Wurzel (Root), die über untergeordnete Strukturen verfügt. Jedes Unterelement kann über weitere Unterelemente verfügen. So kann jede beliebige Struktur im Netzwerk durch die Baumstruktur repräsentiert werden. Jeder Eintrag kann also über beliebig viele Eigenschaften verfügen, die den Eintrag näher beschreiben. Abbildung 2.1: Aufbau Funktion von Verzeichnisdiensten Verzeichnisdienste verfügen über zwei grundlegende Funktionen, nämlich Daten speichern und Daten verwenden Daten speichern Wichtig beim Speichern von Daten ist eine gute Strukturierung der Daten sowie schnelle Zugriffszeiten, da die Daten dem Anwender möglichst schnell zur Verfügung stehen müssen. Bei diesem trivialen Anwendungsfall wird der Verzeichnisdienst lediglich als Informationsquelle genutzt. 6

8 KAPITEL 2. GRUNDLAGEN 2.2. GESCHICHTE DER VERZEICHNISDIENSTE Daten verwenden Eine erweitertes Szenario sieht die Verwendung der in einem Verzeichnisdienst abgelegten Daten, wie zum Beispiel Konfigurations- oder Benutzerverwaltungsdaten anderer Dienste und Anwendungen, vor. So ist zum Beispiel eine zentrale Verwaltung diverser Netzwerkdienste möglich. Oder aber die Anmeldung und Benutzerauthentifikation mit Hilfe der im Verzeichnisdienst gespeicherten Daten Zugriffsmöglichkeiten Für Verzeichnisdienste existieren vier grundlegende Möglichkeiten, auf die in einem Verzeichnis abgelegten Daten zuzugreifen. Über eine Anwendung mit grafischer Oberfläche, darunter auch herkömmliche Browser, lassen sich die Daten bequem und schnell anzeigen oder aber auch editieren. Eine Weiterverwendung der Daten ist so allerdings nicht möglich. Hier schaffen Kommandos Abhilfe, die unter anderem über eine Textkonsole zur Verfügung stehen und in Scripten verwendet werden können. Ferner stellen Funktionen, die in einer Programmiersprache implementiert sind, die Möglichkeit, Verzeichnisdienstfunktionen auch in neu zu entwickelnden Anwendungen zur Verfügung. Die letzte der vier Varianten sind die Routinen. Sie haben die gleiche Funktionalität wie Funktionen, sind aber Bestandteil von sogenannten Makros. 2.2 Geschichte der Verzeichnisdienste Zunächst erkannte man in den 70er Jahren aufgrund gewachsener Strukturen und inkompatibler Systeme die Notwendigkeit, Standards zu entwickeln. Es entstanden parallel zwei große Standardisierungsbewegungen, die es sich zur Aufgabe machten, Ordnung in das bestehende Chaos zu bringen. Auf der einen Seite gab es eine Bewegung, die sich dem Problem mehr aus der theoretischen Sicht näherte, angeführt vom CCITT (Comitée Consultatif International Téléphonique et Télégraphique), aus dem inzwischen die ITU-I International Telecommunications Union wurde, und der ISO (International Standards Organisation). Aus den Bemühungen dieser beiden Organisationen ging das aus sieben Schichten bestehende OSI-Referenzmodell (Open Systems Interconnect) hervor (ISO 7498). Dieses OSI-Modell beinhaltet Spezifikationen vom physischen Datentransport in der untersten Schicht bis hin zu den Anwendungsprotokollen in der obersten Schicht und ist bis heute ein wichtiger Standard für die Datenkommunikation. Parallel dazu entwickelten sich Standards, die sich in der Praxis sehr stark durchsetzen konn- 7

9 KAPITEL 2. GRUNDLAGEN 2.2. GESCHICHTE DER VERZEICHNISDIENSTE ten. Die IETF (Internet Engineering Task Force) veröffentlicht ihre Standards in Form von RFCs (Request for Comment), die anschließend diskutiert werden können und möglicherweise sogar zu Standards (STD) werden. So hat sich zum Beispiel das TCP/IP-Protokoll sehr schnell durchsetzen können. Im Jahr 1988 wurde ein Standard für Verzeichnisdienste verabschiedet, nämlich der X.500- Standard (seit 1990 offiziell ISO 9594, Data Communications Network Directory, Recommendations X.500-X.521), der auf einem vollständigen ISO/OSI-Stack aufsetzt. Für die Kommunikation zwischen Client und Server wurde das Directory Access Protocol (DAP) spezifiziert, das sich aufgrund seiner Mächtigkeit, da es auf den kompletten Schichtenstapel des ISO/OSI-Modells angewiesen ist, nicht im Internet durchsetzen konnte. Für die Praxis war also eine Variante mit kleinerem Funktionsumfang nötig entwickelte die University of Michigan die erste Implementation von LDAP (Lightweight Directory Access Protocol). Dieses LDAPv1 setzt als Light -Version von DAP nicht auf den kompletten ISO/OSI-Stack auf, sondern auf die TCP/IP-Schicht. Außerdem wurde auf einige überflüssige Funktionen verzichtet. In einer zweiten Version, LDAPv2, die ebenfalls an der University of Michigan entwickelt wurde, gab es deutliche Verbesserungen in Sachen Performance, indem ein Teil der Last eines Verzeichniszugriffs vom Client genommen wurde. Dies sollte eine weitere Verbreitung von LDAP ermöglichen. Bereits 1997 folgte die noch heute aktuelle dritte Version, LDAPv3, mit einigen weiteren Verbesserungen gegenüber der zweiten Version. Diese neue Version wurde von der IETF als Proposed Internet Standard bestätigt. Durch die neu hinzugekommene Unicodeunterstützung der dritten Version ist LDAP nun global und in allen Sprachen einsetzbar. Weitere Neuerungen sind sogenannte Referrals. Darunter versteht man einen Verweismechanismus, der eine Partitionierung der Daten ermöglicht. Verzeichnisse können somit auf mehrere Server verteilt werden, ohne das der Anwender davon etwas merkt. Der notwendige Kommunikation regeln die Server untereinander. Auch was die Sicherheit betrifft, bietet LDAPv3 neue Standardmechanismen, die ein umfassendes und erweiterbares Framework für Datensicherheit bereitstellen. Extensions und Controls stellen die Erweiterbarkeit von LDAP durch eigene Operationen sicher. Eine weitere wichtige Verbesserung gegenüber LDAPv2 ist das Offenlegen von Funktionen und Schemata. So können die für die Kommunikation zwischen Sever und Client wichtigen Informationen wie Protokoll und die Struktur der Verzeichnisse abgefragt werden. Diese stetige Weiterentwicklung und das konsequente Entfernen überflüssiger Funktion, die sämtlich über die verbliebenen Funktionen emuliert werden können hat LDAP den Weg geebnet, zu einem wichtigen Internetstandard zu werden. 8

10 KAPITEL 2. GRUNDLAGEN 2.3. LDAP - WAS IST DAS? 2.3 LDAP - Was ist das? LDAP ist die Abkürzung für Lightweight Directory Access Protocol, also ein Protokoll für den Zugriff (Access) auf Verzeichnisse (Directories). Leichtgewichtig (Lightweight) ist LDAP deshalb, da einige Funktionen gegenüber DAP (Directory Access Protocol) vereinfacht wurden und einige Funktionen fehlen. LDAP ist ein interessantes Thema für Systemadministratoren. Es handelt sich bei LDAP um ein Protokoll, das einen Verzeichnisdienst unterstützt. Es besteht also die Möglichkeit auf Verzeichnisse zuzugreifen, die auf einem Verzeichnisserver (Directory Server) liegen. Bei einem Verzeichnis handelt es sich um eine spezielle Art Datenbank, die ihre Informationen in einer hierarchischen Baumstruktur ähnlich der Verzeichnisstruktur einer Festplatte ablegt. Aufgrund der hierarchischen Struktur ergeben sich einige Unterschiede gegenüber relationalen Datenbanken wie zum Beispiel MySQL. Verzeichnisdienste sind für Leseoperationen optimiert. Änderungen oder Aktualisierungen, sowie das Einfügen von Datensätzen können im Gegensatz zu relationalen Datenbanken sehr aufwendig und zeitintensiv sein. Ein Vorteil dagegen sind die fortgeschrittenen Suchfunktionen, die ein Verzeichnisdienst zur Verfügung stellt. Ein weiterer Punkt ist die gute Erweiterbarkeit und Anpassungsmöglichkeit an die lokalen Bedürfnisse aufgrund seiner grundlegenden Datenstruktur (Schema). Auch zeichnen sich Verzeichnisdienste durch ihre gute Skalierbarkeit aus, da die Vorteile von Techniken zur verteilten Speicherung und Replikation von Daten genutzt werden können. LDAP hält an offenen Standards fest, indem eine Reihe von RFC s (Request for Comments) befolgt wird, um das Zusammenspiel verschiedener Hersteller sicherzustellen Client-/Serverkommunikation Da LDAP auf dem TCP/IP-Protokoll basiert, kann die bestehende Netzwerkstruktur für die Kommunikation zwischen Client und Server genutzt werden. Dadurch ist auch eine leichte Implementierung von LDAP-Funktionen in neuen Softwareprodukten möglich. Ausserdem ist LDAP im Gegensatz zu DAP sehr funktional und schnell. Die typische Kommunikation zwischen Client und Server bei LDAP sieht wie folgt aus. Der Client richtet eine Anfrage an den Server. Da die Kommunikation bei LDAP mitteilungsorientiert ist, geschieht dies in Form von Messages (Mitteilungen). Im Gegensatz zu vielen anderen Protokollen kann der Client bei LDAP auch mehrere Anfragen gleichzeitig senden. Antworten werden wie Anfragen als Mitteilung an den Client zurückgesendet. Es kann auch mehrere Antworten auf eine Anfrage geben. Alle Antworten werden mit einer Kennung ver- 9

11 KAPITEL 2. GRUNDLAGEN 2.3. LDAP - WAS IST DAS? sehen, so dass eine spätere Zuordnung möglich ist. Daraus resultiert, dass Anfrage und Antwort unabhängig voneinander versendet werden können. Schritt Aktion Richtung 1 Authentifizierungswunsch Client => Server 2 Ergebnis der Authentifizierung Client <= Server 3 Senden der Anfrage Client => Server 4 Ergebnis der Datenanfrage Client <= Server 5 Ergebniscode der Anfrage Client <= Server 6 Verbindungsende signalisieren Client => Server 7 Verbindung beenden Client <= Server LDAP verfügt über drei grundsätzliche Aktionen. Die beiden bereits erwähnten Funktionen, Lesezugriff und Schreibzugriff, werden durch eine dritte Funktion abgerundet. Es handelt sich dabei um die Beglaubigung oder Authentifizierung von Benutzerdaten. Es wird also geprüft, ob der Anwender, der eine Aktion ausführen möchte, über die entsprechenden Berechtigungen verfügt. Erst wenn das der Fall ist, findet der gewünschte Lese- oder Schreibzugriff statt. Im Detail kann eine beispielhafte Kommunikation zwischen Client und Server wie folgt aussehen. Zuerst werden die für die Authentifikation an der X.500-Datenbank benötigten Daten an den Server gesendet. In der Regel handelt es sich dabei um einen Benutzernamen und ein Passwort. Der Server schickt dem Client eine Antwort. Sofern die Daten falsch sind, wird der Client abgewiesen. Können die Daten verifiziert werden, wird eine Verbindung aufgebaut und der Client kann seine Anfragen an den Server schicken. Über die Benutzerdaten wird ermittelt, welche Anfragen ausgeführt werden dürfen. Der Server sendet nun seine Antworten mit der bereits erwähnten Kennung an den Client zurück. Nachdem der Client alle gewünschten Antworten empfangen hat, sendet er ein Signal an den Client, dass er die Verbindung beenden möchte. Der Server sendet eine Bestätigung zurück und die Verbindung wird beendet Der LDAP-Server Ein LDAP-Server ist der Rechner, auf dem eine Datenbank nach dem X.500-Standard liegt und der Verzeichnisdienst LDAP angeboten wird. Die Datenbank kann dabei, wie bereits erwähnt, auf mehrere Rechner, also LDAP-Server verteilt sein. 10

12 KAPITEL 2. GRUNDLAGEN 2.3. LDAP - WAS IST DAS? Datenspeicherung und Schema Wie bei allen anderen Verzeichnisdiensten sind die Daten auch bei LDAP baumartig strukturiert. An oberster Stelle befindet sich das Root-Element. Unter dieser Wurzel können die bereits angesprochenen Strukturen angelegt werden. Außerdem können zu jedem Eintrag Eigenschaften festgelegt werden. Diese Verzeichnisstruktur wird auch als Schema bezeichnet. Die Einträge in der Baumstruktur werden dabei als Objekte bezeichnet, deren Eigenschaften heißen Attribute. Welches Objekt an welcher Stelle in der Baumstruktur stehen darf und welche Attribute möglich sind, wird in Form von Regeln im Schema beschrieben. Objekte sind Instanzen sogenannter Objektklassen, die die Objekte beschreiben. Diese Klassen müssen einen eindeutigen Namen haben und eindeutig identifizierbar sein. Ferner werden in der Objektklasse Attribute definiert. Hier unterscheidet man zwischen notwendigen und möglichen Attributen. Notwendige Attribute müssen zwingend angegeben werden, während mögliche Attribute optional sind. Prinzipiell werden Objekte in der Baumstruktur in zwei Bereiche eingeteilt. Es gibt Containerobjekte und Blattobjekte. Containerobjekte enthalten weitere Objekte. Blattobjekte dagegen werden als die Enden der Baumstruktur bezeichnet. Wie die Objekte müssen auch die Attribute einen eindeutigen Namen tragen und eindeutig identifizierbar sein. Attribute besitzen konkrete Werte, die über das Schema definiert werden. Bei der Erstellung eines LDAP-Verzeichnisses müssen einige Regeln beachtet werden. Durch sie wird festgelegt, an welcher Stelle innerhalb der Baumstruktur die einzelnen Elemente, also zum Beispiel Containerobjekte, Blattobjekte und Attribute stehen dürfen. Nachfolgend findet sich ein kleiner Überblick über die Regeln, die unbedingt eingehalten werden müssen. Diese überwacht die verwendete Software.[22] 1. Als oberstes Element eines Verzeichnisdienstes existiert das Objekt Root. Es ist grundsätzlich vorhanden und kann weder verschoben noch verändert werden. 2. Unterhalb von Root ist es möglich, entweder ein Country-Objekt (c) oder eine Organisation (o) anzulegen. 3. Das Country-Objekt muss nicht existieren. 4. Das Country-Objekt darf nur einmal existieren. 5. Die Organisation muss direkt unter dem Country-Objekt stehen. Fehlt das Land, so muss die Organisation direkt unter Root stehen. 11

13 KAPITEL 2. GRUNDLAGEN 2.3. LDAP - WAS IST DAS? 6. Es dürfen mehrere Organisationen auf gleicher Ebene existieren. 7. Unterhalb des Objekts o dürfen entweder Blattobjekte (cn) oder organisatorische Einheiten (ou) existieren. 8. Den organisatorischen Einheiten können nur weitere Objekte vom Typ ou oder Blattobjekte folgen. 9. Es dürfen mehrere Objekte der Klasse ou auf gleicher Ebene existieren. 10. Blattobjekte (cn) dürfen nur unter o und ou vorkommen. Diese Regeln sollten unbedingt bei der Erstellung und Pflege eines Verzeichnisdienstes befolgt werden. Oft überwacht die verwendete Software die Einhaltung dieser Richtlinien Replizierung Eine wichtige Eigenschaft von Verzeichnisdiensten ist die Replizierung von Daten. Dabei werden, die in einem Verzeichnis abgelegten Daten nicht nur auf einem Server, sondern als Duplikate auf beliebig vielen weiteren Rechnern gespeichert. Der Server mit den ursprünglichen Daten wird als Master bezeichnet. Die Server mit den Kopien heißen Replica. Die drei Hauptgründe, warum Daten redundant auf mehreren Rechnern gespeichert, also repliziert werden, sind Ausfallsicherheit, Lastverteilung und Verbesserung der Zugriffszeiten. Abbildung 2.2: Replizierung 12

14 KAPITEL 2. GRUNDLAGEN 2.3. LDAP - WAS IST DAS? Partitionierung Ein weiteres wesentliches Merkmal ist die Partitionierung. Darunter versteht man, dass ein Verzeichnis auf mehrere Rechner verteilt werden kann. Es liegen also nicht die kompletten Daten auf einem Server. Es werden dabei Subtrees, also Äste aus der Baumstruktur auf einen anderen Server ausgelagert. Auch für die Partitionierung gibt es drei Hauptgründe, nämlich zu viele Objekte, also großer Datenbestand, Verbesserung der Zugriffsgeschwindigkeit oder zu großer Aufwand bei einer eventuellen Replizierung der Daten. Um großen Aufwand zu verhindern, werden also auf einem Server nur Teile der Daten repliziert. Der Benutzer merkt durch Querverweise der Server (Referals) nicht, dass die Daten verteilt sind. Abbildung 2.3: Partitionierung Sicherheit Wie bei allen Netzwerkdiensten spielt auch bei LDAP die Sicherheit eine große Rolle. Die verschiedenen Sicherheitsmechanismen lassen sich in drei große Bereiche unterteilen. Dazu gehören Zugriffsschutz, Protokollierung sowie Netzwerkverbindung. Der Zugriffsschutz wird bei LDAP über eine Benutzerverwaltung geregelt. Zu jedem Benutzer wird der Benutzername sowie ein Passwort gespeichert. Es ist möglich, jedem Benutzer individuelle Rechte für jedes einzelne Objekt oder Attribut zuzuweisen. Zu den möglichen Rechten gehört das Vergleichen, Suchen, Lesen, Schreiben und Löschen von Informationen. Der nächste, nicht zu unterschätzende Mechanismus ist die Protokollierung von Aktionen. So kann überprüft werden, wer was zu welchem Zeitpunkt gemacht hat. So können zum Bei- 13

15 KAPITEL 2. GRUNDLAGEN 2.3. LDAP - WAS IST DAS? spiel Eindringlinge entlarvt und unerwünschte Aktionen erkannt werden und entsprechende Gegenmaßnahmen getroffen werden. Ein weiterer äußerst sicherheitsrelevanter Bereich ist die Netzwerkbindung. Dies geschieht bei LDAP basierend auf dem TCP/IP-Protokoll unter Verwendung des TCP-Ports 389. Um zu verhindern, dass die Daten zum Beispiel mit Hilfe eines Netzwerk-Sniffers unbemerkt gelesen werden können, sollten die Daten verschlüsselt übertragen werden. Dafür ist zum Beispiel die RSA-Verschlüsselung per SSH sehr gut geeignet. Diese Verschlüsselungsmethode zu erklären würde jedoch den Rahmen dieser Projektarbeit sprengen. Weiterführende Literatur befindet sich im Anhang [2] [10] ACL - Access Control List Die Access Control List im Folgenden kurz ACL genannt, regelt den Zugriff auf die Datenbank(en). Ihre Position innerhalb der slapd.conf entscheidet über ihren Gültigkeitsbereich. ACL-Definitionen vor den Datenbankdefinitionen haben einen globalen Charakter und beziehen sich damit auf alle folgenden Datenbanken. ACL-Definitionen unterhalb einer Datenbankdefinition beziehen sich lokal auf diese Datenbank und erlauben es einem Benutzer zum Beispiel vollen Zugriff auf diese spezielle Datenbank. ACLs können relativ einfach mit access to <ziel> [ by <benutzer> <art> ]+ definiert werden. <ziel> to * to dn.<dnstyle>=<dn> to filter=<ldapfilter> to attrs=<attrlist>[ val[.<style>]=<attrval>] steht für alle Einträge selektiert die Einträge basierend auf dem Namen aus selektiert die Einträge basierend auf einem gültigen LD- AP Filter wie in RFC 2254 beschrieben. selektiert die Attribute auf die sich die ACL bezieht. <benutzer> * alle, inklusive anonymous und angemeldete Benutzer anonymous anonymer (nicht authentifizierter) Benutzer 14

16 KAPITEL 2. GRUNDLAGEN 2.3. LDAP - WAS IST DAS? users self authentifizierte Benutzer Benutzer der mit dem Ziel verbunden ist <art> none =0 kein Zugang auth =x nötigt um eine Verbindung zu authentifizieren compare =cx nötigt zum Vergleichen search =scx nötigt für Suchfilter read =rscx nötig zum Lesen von Suchergebnissen write =wrscx nötig zum Schreiben und Ändern Jede Zugangsart impliziert alle niedrigeren (je höher, desto niedriger) Zugangsarten. Zum Beispiel bewirkt ein gesetztes write Attribut, dass der User auch alle anderen Rechte erhällt. Ausführliche Definitionsmöglichkeiten entnehme der interessierte Leser zum Beispiel dem im Anhang referenzierten OpenLDAP Administrator s Guide, oder man slapd.access Der LDAP-Client Der LDAP-Client hat drei wesentliche Aufgaben zu leisten, die im folgenden kurz erläutert werden sollen. Es handelt sich dabei um eine allgemeine Einführung. Auf einen konkreten Client, nämlich OpenLDAP wird im nächsten Kapitel detailiert eingegangen Zugriff auf Verzeichnisse Wie bereits im allgemeinen Teil über Verzeichnisdienste angerissen, gibt es bei den Anfragen an den Server verschiedene Möglichkeiten. Die einfachste Variante ist eine Anfrage mit einem Ergebnis. Eine weitere Möglichkeit ist eine Anfrage, die der Server mit mehreren Ergebnissen beantwortet. Die letzte Variante sind parallele Anfragen, die jeweils auch wieder mit einem oder mehreren Ergebnissen beantwortet werden können Verwendung der Daten Bei LDAP gibt es zwei große Anwendungsgebiete. Zum einen können die Daten zu reinen Informationszwecken, wie zum Beispiel bei Telefonverzeichnissen verwendet werden. Auf 15

17 KAPITEL 2. GRUNDLAGEN 2.3. LDAP - WAS IST DAS? der anderen Seite können die Daten auch zur Konfiguration von Diensten genutzt werden. Ein Beispiel, auf das wir im 6. Kapitel noch näher eingehen werden, ist Samba. In diesem Anwendungsfall ist es zum Beispiel möglich, die Benutzerauthentifizierung über LDAP zu regeln, so dass jedem Anwender individuelle Verzeichnisse oder Laufwerke mit individuellen Rechten zugänglich gemacht werden können. 16

18 Kapitel 3 Einsatzgebiete 3.1 Identitätsmanagement Identitätsmanagement ist ein von den Menschen seit jahrtausenden eingesetztes Handeln, welches auch in der EDV immer mehr an Bedeutung gewinnt. So verhält sich jeder Mensch je nach Situation und Rolle unterschiedlich und repräsentiert mehr oder minder bewusst unterschiedliche Identitäten. Zum Beispiel wird man der netten Dame von der Käsetheke nicht die gleichen persönlichen Dinge erzählen wie dem besten Freund oder der besten Freundin. In der EDV sind ebenfalls solche Situationen und solche Verhaltensweisen zu beobachten. Ein Internetanwender nutzt zum Beispiel diverse Pseudonyme für unterschiedliche Webseiten oder Dienste. So kann er nur die unbedingt notwendigen Daten preisgeben. Sicherlich wird ein Anwender in einem anonymen Forum andere Daten angegeben haben als beim Onlinebanking. Mit Hilfe von LDAP lässt sich nun so ein Identitätsmanagement realisieren. Es können verschiedene Nutzerdaten, also Konten und Zugänge inklusive Rollen und Passwörtern, zum Beispiel für eine rollenbasierte Benutzerverwaltung, gespeichert und bereitgestellt sowie gelöscht werden. Auch eine Synchronisierung der unterschiedlichen Identitäten ist möglich. Daraus ergeben sich umfangreiche neue Möglichkeiten der Personendatenhaltung. Somit kann man mit einer einzigen Anmeldung (Single-Sign-On) am LDAP-Server in die unterschiedlichen Rollen schlüpfen und die entsprechenden Dienste nutzen. Neben den Möglichkeiten, die ein solches System bietet, sollten auch die Gefahren nicht außer Acht gelassen werden, denn auch für Datensammler bietet das Identitätsmanagement umfangreiche Möglichkeiten. Im Internet ist es nicht immer möglich, den Anbieter hinter einem System auszumachen und es ist nicht nachvollziehbar, was mit den eingegebenen Daten passiert. So kann die Verbindung von personenbezogenen Daten, die von unterschiedlichen 17

19 KAPITEL 3. EINSATZGEBIETE 3.2. WEITERE EINSATZGEBIETE Webseiten geliefert werden zu neuen aussagekräftigeren Daten führen. 3.2 Weitere Einsatzgebiete Der klassische Anwendungsfall von LDAP ist der Kontaktdateninformationsdienst. Die Definitionen der erforderlichen Schemata werden bereits standardmäßig mitgeliefert. Außerdem sind solche Strukturen sehr leicht abbildbar. Typische Beispiele hierfür sind digitale Telefon-, -Verzeichnisse oder Adressverwaltungen. Ein weiteres verbreitetes Einsatzgebiet sind HelpDesk-Systeme, also Wissensdatenbanken zu allen möglichen Bereichen, zum Beispiel Hard- oder Softwaredatenbanken. Es ist also eine Verwaltung aller möglichen Ressourcen denkbar, sei es Wissen, oder seien es Gebäude, Räume oder beliebige Gegenstände. Alle bisher erwähnten Einsatzgebiete zählen zu den Informationsdiensten. Nachfolgend werden einige Einsatzgebiete genannt, bei denen die Verzeichnisdaten von verschiedenen Anwendungen oder Systemen verwendet werden. In der Praxis findet man häufig Anwendungen, die die Daten für die Benutzerauthentifizierung oder Konfiguration benötigen. Neben der Benutzerverwaltung und Authentifizierung bei Anwendungen existieren weitere Möglichkeiten, wie zum Beispiel die Authentifizierung am Betriebssystem oder die Zugangskontrolle in Gebäuden. In Kapitel 6 und 7 werden wir auf die Authentifizierung und Konfiguration für Samba und Subversion (SVN) mit Hilfe von LDAP an einigen praktischen Beispielen noch intensiver behandeln. 18

20 Kapitel 4 LDAP-Server Es gibt eine Vielzahl an Softwarelösungen, die die Funktionalität eines LDAP-Servers anbieten. In den meisten Fällen handelt es sich um kommerzielle Produkte, die nicht ausschließlich als LDAP-Server dienen. Dazu gehören Novell NDS, Lotus Domino, Oracle Internet Directory, sowie Implementierungen von weiteren namhaften Unternehmen auf die wir nicht näher eingehen werden. Kostenlose Varianten bieten die Firmen Eudora mit dem Eudora LDAP Directory Server, der allerdings nur LDAPv2 unterstützt und unter Windows NT läuft, sowie IBM. Dort kann man nach einer kostenlosen Registrierung den IBM Tivoli Directory Server herunterladen. Auch die OpenSource-Gemeinde bietet einige vielversprechende Lösungen. Es existieren einige wenige kleinere Projekte. Wir wollen an dieser Stelle stellvertretend den noch relativ jungen Java LDAP Server nennen. Der wahrscheinlich beste und am weitesten verbreitete OpenSource-Server ist jedoch OpenLDAP, den wir im Folgenden noch näher kennenlernen und für diese Arbeit einsetzen werden. Als Betriebssystem, auf dem der OpenLDAP-Server laufen wird, werden wir SuSE Linux Professional 9.1 nutzen. 4.1 OpenLDAP Bei OpenLDAP handelt es sich um eine OpenSource-Implementierung eines LDAP-Servers. Neben einigen Werkzeugen und Dienstprogrammen, Packages und einigen beispielhaften Clients umfasst die OpenLDAP-Software im Wesentlichen die drei nachfolgenden Bestandteile. 19