Verteilte Systeme Kapitel 6: Adressen, Namen und Verzeichnisdienste

Transkript

1 Verteilte Systeme Kapitel 6: Adressen, Namen und Verzeichnisdienste Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck

2 Inhaltsüberblick der Vorlesung 1. Einführung und Motivation 2. Protokolle und Schichtenmodelle 3. Nachrichtenrepräsentation 4. Realisierung von Netzwerkdiensten 5. Kommunikationsmechanismen 6. Adressen, Namen und Verzeichnisdienste 7. Synchronisation 8. Replikation und Konsistenz 9. Fehlertoleranz 10.Verteilte Transaktionen 11.Sicherheit 1-2

3 Adressen und Namen Adresse Meist numerischer Identifier einer Entität in einem VS (aus einem bestimmten Adressraum) Enthält Lokationsinformationen (zur Wegewahl) Beispiel: IP-Adresse ( ) Namen Sind symbolischer Natur Müssen zu Adressen aufgelöst werden Befinden sich in einem bestimmten Namensraum Beispiel: Domain-Namen (google.com) 3

4 Adresse Meist numerische Anschrift einer Entität in einem VS (aus einem Adressraum) der Lokationsinformationen enthält Entität: Ressource bzw. Teilnehmer in einem VS Beispiele: Serverdienst, Drucker, Mailboxen, Web-Seiten,... Adressraum Struktur und Wertebereich(e) mit (evtl. unterschiedlichen) Semantiken Beispiel: /16 (privater Bereich), /24 (öffentlicher Bereich) Lokationsinformation (zur Wegewahl) Spezifiziert, wie die Entität unter einer Adresse erreicht werden kann Beispiel: Hierarchische Struktur von IP-Adressen (CIDR) mit Wegewahl über Routingalgorithmen 4

5 Adressen in verteilten Systemen ISO/OSI TCP/IP Beispiel Adressiert Application Presentation Session Application Objektreferenz URL Applikationsobjekt Resource Transport Transport (TCP, UDP,...) Portnummer Prozess Network Network (IPv4, IPv6,...) IP-Adresse Netzwerkinterface Data Link Physical Subnet Ethernet Netzwerkadapter 5

6 Adressen in verteilten Systemen Zentrales Problem: Discovery Welche Adresse hat eine Netzwerkkarte, ein Netzwerkinterface, ein Prozess, ein Anwendungsobjekt,...? Oft verwendete Lösungen Discovery-Protokolle (ARP, Apple Bonjour, UPnP,...) Bekannte Namen auflösen (z.b. via DNS) Feste Protokollnummern (sog. well-known ports) Verzeichnisdienste (zentral/dezentral) Suchmaschinen 6

7 Feste Protokollnummern Port TCP/UDP Service or Protocol Name RFC /etc/services 7 TCP/UDP echo 792 echo 20 TCP File Transport Protocol (FTP) 959 ftp-data 21 TCP FTP control 959 ftp 22 TCP Secure Shell (SSH) ssh 25 TCP Simple Mail Transfer Protocol (SMTP) 5321 smtp 53 TCP/UDP Domain Name System (DNS) 1034 domain 80 TCP Hypertext Transfer Protocol (HTTP) 2616 http 110 TCP Post Office Protocol (POP3) 1939 pop3 111 TCP/UDP Remote Procedure Call (RPC) 1057, 1831 sunrpc 123 TCP/UDP Network Time Protocol (NTP) 1305 ntp 139 TCP Server Message Block (SMB) - netbios-ssn 143 TCP Internet Message Access Protocol (IMAP) 3501 imap 389 TCP Lightweight Directory Access Protocol (LDAP) 4511 ldap 427 TCP/UDP Service Location Protocol (SLP) 2608 svrloc 443 TCP Secure Sockets Layer (SSL, or "HTTPS") 2818 https 993 TCP Mail IMAP SSL - imaps 995 TCP/UDP Mail POP SSL - pop3s 7

8 Namen Symbolische (meist menschenlesbare) Bezeichner (aus einem Namensraum), die mit Hilfe eines Verzeichnisdiensts zu Adressen aufgelöst werden Namensraum Definiert Syntaxregeln (Struktur) für Namen zur Vermeidung von Mehrdeutigkeiten Beispiel: Rechnername www, Kontext heise.de oder spiegel.de Namensauflösung: Umsetzung von Namen auf Adresse (+ ggf. umgekehrt) Beispiel: IP-Adresse Domain-Namen Verzeichnisdienst Beispiel: Dateibasiert (/etc/hosts), Domain Name System (DNS) 8

9 Identifier Beziehen sich auf genau eine und immer dieselbe Instanz Jede Instanz wird (i.a.) von genau einem Identifier referenziert Identifier können sowohl Namen als auch Adressen sein IP-Adressen Identifizieren eindeutig Netzwerkkarte eines Rechners Uniform Resource Identifier (URI, RFC 3986) Namen Uniform Resource Locator (URL) Konkrete Protokollangabe mit Lokationsinformationen Uniform Resource Name (URN) Abstrakte, eindeutige Identifikation ohne Lokationsinformation urn:isbn:

10 Strukturierung von Adress-/Namensräumen Flacher Namensraum Keine Struktur im Namen Beispiele Vornamen Unix User ID (/etc/passwd) Rechnernamen im LAN oder im ARPANET Fortlaufende Ausweisnummer (Personalausweis) Vorteile Einfache Implementierung und effiziente Abfrage Nachteile Muss zentral koordiniert werden (Eindeutigkeit) Begrenzte Zeichenzahl skaliert begrenzt Zentrales Verzeichnis skaliert begrenzt 10

11 Strukturierung von Adress-/Namensräumen Hierarchischer Namensraum Häufig: Baumförmige Struktur Verleihen flachen Namen einen Kontext Vornamen und Nachnamen Rechnername www, Kontext heise.de oder spiegel.de Vorteile Delegation von Verantwortlichkeiten Dezentrale Verwaltung Daten können verteilt gespeichert werden Skaliert besser Beispiele Telefonnummern Dateisystem Domain Name System (DNS) Lightweight Directory Access Protocol (LDAP) 11

12 Hierarchischer Namensraum Baum mit zwei Arten von Knoten Blattknoten: Namen von Entitäten Verzeichnisknoten: Verweise auf andere Knoten home etc var root Pfade: Folge von Knotenlabels Trennung einzelner Labels durch Trennzeichen (z.b. /, \,. ) pfisterer bimschas kleine log spool Wurzelknoten ist häufig ein leerer String Nur Trennzeichen repräsentiert Wurzelknoten (z.b. / ). mail mail Beispiele Absoluter Pfad: /var/log/mail Relativer Pfad: mail,./mail 12

13 Hierarchischer Namensraum in Netzwerken Netzwerk wird in Domänen eingeteilt Es gibt eine Top-Level-Domäne Domänen können in Unter-Domänen aufgeteilt sein Jede Domäne besitzt Verzeichnisknoten, der Entitäten dieser Domäne enthält Typisches Vorgehen bei der Suche Knoten, die einen Namen nicht kennen, verweisen die Nachfrage entlang der Hierarchie Root-Node Top-Level-Domäne (TLD) Sub-Domäne S (in TLD enthalten) Verzeichnisknoten von S Blatt-Domäne (in S enthalten) 13

14 Warum Namen anstelle von Adressen? Können von Menschen besser gelesen, gemerkt und interpretiert werden Entitäten können Adresse wechseln Serverdienst wechselt Host Rechner erhält regelmäßig neue IP-Adresse (z.b. DSL, DHCP) Mehrere Adressen unter einem Namen (z.b. Load-Balancer, Serverfarm) Besser: Entität über Namen statt über Adresse ansprechen Notwendig: Zuordnung von Namen zu Adressen (Bindung) Solche Dienste werden als Verzeichnisdienste bezeichnet 14

15 Funktionen eines Verzeichnisdienstes Primäre Funktion: Namensauflösung Hauptkomponente: Menge von Bindungen Weitere optionale Funktionen Erzeugung von Bindungen Löschen von Bindungen Auflistung gebundener Namen Suche von Namen anhand von Attributen Telefonbuch (white pages): Namen Adressen Gelbe Seiten (yellow pages): Attribute Adressen/Namen 15

16 Beispiele für Verzeichnisdienste Sun RPC / ONC RPC Portmapper Domain Name System (DNS) CORBA Name Service Java Naming and Directory Interface (JNDI) OSI X.500 (ISO/IEC 9594, Teil von ISO/OSI) Lightweight Directory Access Protocol (LDAP, vereinfachtes X.500) Universal Description Discovery and Integration (UDDI) Jini lookup service... 16

17 Einfache nicht-verteilte Verzeichnisdienste Beispiele Sun RPC / ONC RPC Portmapper Java RMI Registry CORBA Name Service 17

18 Sun RPC / ONC RPC Portmapper Für einen RPC-Aufruf wird benötigt: IP-Adresse des Servers Protokoll (TCP/UDP) Client Port des Servers Call remote RPC method Return from call Request Reply Sun RPC portmapper (RFC1833) Sun RPC Dienst auf Port 111 Dienste registrieren sich mit Ihrer Portnummer Server Call local procedure and return result Zeit Clients erfragen Portnummer des Dienstes (auch: rpcinfo p localhost) Clients müssen IP-Adresse des Servers kennen 18

19 Einfache verteilte Verzeichnisdienste Vorgehen Sende Nachricht mit Namen der gesuchten Adresse an Menge von Entitäten Jede Entität prüft, ob sie diesen Namen auflösen kann und antwortet ggf. Praktikabel in lokalen Netzen, skaliert nicht global Beispiele Address Resolution Protocol (ARP) MAC-Layer Broadcast IPv6 Neighbor Discovery (benutzt ICMPv6 und lokalen Multicast) Simple Service Discovery Protocol (SSDP) von UPnP Multicastbasierend 19

20 Hashbasierte Verzeichnisdienste Flacher Namensraum Key Value Hashtabelle (Map) Key: hash(name) Value: Adresse 43AB FD Dezentrale Speicherung als verteilte Hashtabelle zur besseren Skalierung Distributed Hash Table (DHT) Ursprünglich für P2P Systeme entwickelt 20

21 Verteilte Hash-Tabellen Distributed Hash Tables (DHTs) Speichere Hashtabelle in einem System von verteilten Rechnern Gespeicherte Werte und Rechner bekommen Hashwert als Schlüssel zugewiesen Herausforderungen Verteilungsstrategie Effizientes, deterministisches und dezentrales Verfahren zur Zuordnung von Tabelleneinträgen (Bindungen) zu Rechnern Strukturierung des Netzes (effiziente Suche) Geschickte Wahl der Kommunikationsverbindungen zwischen Rechnern sodass eine effiziente Abfrage von Bindungen möglich ist 21

22 Distributed Hash Tables (DHT) Hash-Funktion für Namen und Rechner (z.b. IP-Adresse) Bildet beliebig lange Eingabe auf Ausgabe fester Länge ab Kryptographische Hash-Funktion Gleichverteilung hash(0) = hash(7) = Name Rechner 22

23 DHT: Verteilungsstrategie Abbildung von Namen bzw. Hashwerten auf Rechner Zahlenstrahl wird in Bereiche aufgeteilt Jeder Rechner ist für einen Bereich zuständig Bindungen eines Bereichs werden auf zuständigem Rechner gespeichert Bei Join/Leave werden Bereiche aufgeteilt/verschmolzen Name Rechner 23

24 DHT Beispiel: Chord (Stoica, 2003) Bindung mit Hashwert k wird Rechner mit kleinstem Hashwert >= k zugeordnet { hash( router )= ,...} Zugeordnete Datenelemente 2 {... } Dieser heißt dann Nachfolger von k: succ(k) {...} {...} Im Beispiel existieren die Rechner mit Hashwert 1,4,7,12 und {hash( drucker ) = } 24

25 Suchen eines Elements: Triviale Lösung Jeder Knoten hält eine Verbindung zu Vorgänger und Nachfolger Anfrage nach Datenelement x Knoten p erhält Anfrage nach Hashwert k = hash( nas ) = Vorgehen: k > hash(p) Leite Anfrage an succ(p+1) weiter k hash(p) Leite Anfrage an pred(p) weiter Sonst Gib eigene Adresse an anfragenden Prozess weiter Problem: nicht skalierbar Lösung: Abkürzungstabelle 25

26 Chord: Effiziente Suche Verbindungen zu Direkten Nachbarn (succ/pred) weiteren Abkürzungen 12 4 Suche benötigt im Mittel O(log(N))

27 Hierarchische Verzeichnisdienste Vorteilhaft in dezentral verwalteten Namensräumen Delegation der Verwaltung an für Domänen zuständige Autoritäten Pro Domäne eine administrative authority Kontrolle über Bindungen einer Domäne (domain) Kann Kontrolle für Unterdomänen (sub-domains) delegieren Beispiele Internet Domain Name System (DNS) Lightweight Directory Access Protocol (LDAP) 27

28 Internet Domain Name System (DNS) Verzeichnisdienst im Internet Auflösung von Namen zu IP- Adressen (und umgekehrt) Standardisiert in RFC 1034 und RFC 1035 Wichtige Definitionen Domain-Namensraum Nameserver Resolver DNS-Protokoll com net org de uniluebeck mail itm www dfn www 28

29 DNS: Domain-Namensraum Baumförmige Struktur Unterteilt in administrative Zonen Labels Alphanumerisch, müssen mit einem Buchstaben beginnen Enden nicht mit -, enthalten kein. Länge zwischen 1 und 63 Zeichen Trennzeichen von Labels:. Root-Zone Verwaltet von well-known root name servern com net org de uniluebeck Top-Level Domains dfn Absoluter Domainname Fully Qualified Domain Name (FQDN) Verkettung aller Labels eines Pfades Angabe vom Blatt bis zur Wurzel mail itm www www Maximale Länge (inkl. Trennzeichen): 255 Endet mit einem. (in der Praxis oft ausgelassen) Beispiel: mail.itm.uni-luebeck.de. 29

30 DNS: Root Name Server Buchstabe Alter Name IPv4-Adresse IPv6-Adresse Betreiber Ort A ns.internic.net :503:ba3e::2:30 VeriSign verteilt (Anycast) B ns1.isi.edu USC-ISI Marina Del Rey, Kalifornien, USA C c.psi.net Cogent Communications verteilt (Anycast) D terp.umd.edu University of Maryland College Park, Maryland, USA E ns.nasa.gov NASA Mountain View, Kalifornien, USA F ns.isc.org :500:2f::f ISC verteilt (Anycast) G ns.nic.ddn.mil U.S. DoD NIC verteilt (Anycast) H aos.arl.army.mil :500:1::803f:235 U.S. Army Research Lab Aberdeen Proving Ground, Maryland, USA I nic.nordu.net :7FE::53 Autonomica verteilt (Anycast) J :503:c27::2:30 VeriSign verteilt (Anycast) K :7fd::1 RIPE NCC verteilt (Anycast) L :500:3::42 ICANN verteilt (Anycast) M :dc3::35 WIDE Project verteilt (Anycast) Neuer Name: buchstabe.root-servers.net. Quelle: 30

31 DNS: Nameserver Bieten Namensauflösung an Unterscheidung Authoritative Zuständig für ein oder mehrere Zonen Liefert authoritative answers für seine Zonen Recursive Namensauflösung für alle Zonen; nicht nur für die eigenen Konsultiert dazu ggf. andere Nameserver Caching Cachen Antworten für gewisse Zeit (max. Lebenszeit im authoritativen DNS Eintrag) Ohne diese Optimierung wären viele DNS Server überlastet 31

32 DNS: Nameserver Speichern Resource Records in Zonendateien Wichtige Typen: Record Type Bedeutung SOA Start of Authority NS Name des authoritative Nameservers A IPv4-Adresse eines Hosts (32 Bit) AAAA IPv6-Adresse eines Hosts (128 Bit) CNAME Kanonischer Name für einen Host (Aliasname) MX Name des zuständigen Domain-Mailservers (Mail Exchange) PTR Domain Name Pointer (zur Auflösung von Adressen zu Namen) CERT Speichern von Zertifikaten (RFC 4398)... [weitere beliebige Typen sind möglich] 32

33 DNS: Beispielhafte Zonendatei (foo.com) Konfigurationsdatei für den Bind Nameserver 33

34 DNS: Beispielhafte Zonendatei (foo.com) Rückwärtsauflösung (Adresse Name) Wie normale Auflösung Speziellen Notation der IP-Adresse über fiktive Domänen Beispiele.in-addr.arpa (IPv4).ip6.arpa (IPv6) in-addr.arpa 2a02:2e0:3fe:100:: e.f e a.2.ip6.arpa 34

35 DNS: Beispielhafte Zonendatei (foo.com) Abkürzung für 35

36 DNS: Resolver Software, die die Namensauflösung durchführt Zwei Möglichkeiten der Namensauflösung Iterativ Rekursiv 36

37 DNS: Iterative Namensauflösung Iterativer Resolver mail.itm.uni-luebeck.de de IN NS a.nic.de. a.nic.de IN A [a.root-servers.net] mail.itm.uni-luebeck.de uni-luebeck.de IN NS dns01.uni-luebeck.de. dns01.uni-luebeck.de IN A de. [a.nic.de] mail.itm.uni-luebeck.de itm.uni-luebeck.de IN NS itm01.itm.uni-luebeck.de. itm01.itm.uni-luebeck.de IN A uni-luebeck.de. [dns01.uni-luebeck.de] t mail.itm.uni-luebeck.de mail.itm.uni-luebeck.de IN CNAME itm01.itm.uni-luebeck.de. itm01.itm.uni-luebeck.de IN A itm.uni-luebeck.de. [itm.uni-luebeck.de] 37

38 DNS: Iterative Namensauflösung Verwendete Kommandos dig mail.itm.uni-luebeck.de dig mail.itm.uni-luebeck.de dig mail.itm.uni-luebeck.de dig mail.itm.uniluebeck.de 38

39 DNS: Rekursive Namensauflösung Rekursiver Resolver 1.) mail.itm.uni-luebeck.de 10.) ANTWORT dns.myisp.com. [ ] 4.) mail.itm.uni-luebeck.de de. [f.nic.de] 9.) ANTWORT 2.) de. 3.) de IN NS a.nic.de. a.nic.de IN A [a.root-servers.net] 5.) mail.itm.uni-luebeck.de 8.) ANTWORT uni-luebeck.de. [dns01.uni-luebeck.de] 6.) mail.itm.uni-luebeck.de 7.) ANTWORT t itm.uni-luebeck.de. [itm.uni-luebeck.de] ANTWORT: mail.itm.uni-luebeck.de IN CNAME itm01.itm.uni-luebeck.de. itm01.itm.uni-luebeck.de IN A

40 DNS: Rekursive Namensauflösung Verwendetes Kommando dig mail.itm.uni-luebeck.de Bemerkungen Nicht jeder Nameserver bietet rekursive Auflösung an Resolver müssen daher oft dennoch iterativ vorgehen Typischerweise bieten DNS-Server von Providern rekursive Auflösungen an 40

41 DNS: Resolver-Implementierungen Anwendungen greifen auf DNS mittels Bibliotheksfunktionen zu z.b. in Java: getbyname() in der InetAddress-Klasse Wenn ein Server die Antwort nicht kennt, fragt er einen anderen Wenn er sie kennt, gibt er sie zurück. Alternativen gethostbyname in C dnsjava ( (Dig für Java) 41

42 gethostbyname in C 42

43 gethostbyname in C $ gcc -std=c99 -o gethostbyname.exe gethostbyname.c $./gethostbyname.exe Alias: Alias: Address: Address: Address: Address: Address: Address:

44 Attributbasierte Benennung Oft kennen Benutzer nicht den Namen einer gesuchten Entität, sondern nur deren (wünschenswerte) Eigenschaften Hilfreich: Suchmechanismen auf Basis von Beschreibungen In VS häufig: Beschreibungen auf Basis von (Attribut, Wert)- Paaren verwendet Dienste, die eine Suche nach Attributen/Werten erlauben, werden allgemein als Verzeichnisdienste bezeichnet 44

45 Verzeichnisdienste Ordnen einem Namen Attribut-/Wert-Paare zu Beispiele: Telefonnummern- und Adressenverzeichnis in einer Firma Namen und Verfügbarkeit von Ressourcen (Drucker, Platten, Modems) Verfügbare Anwendungsdienste Dabei sind nicht nur Abfragen von Name zu Attribut, sondern auch umgekehrt möglich ( Yellow Pages ) Die Verknüpfung zwischen einem Namen und seinen Attributen wird als Bindung ( binding ) bezeichnet 45

46 Beispiel: LDAP Lightweight Directory Access Protocol (RFC 2251) Protokoll zum Zugriff auf Verzeichnisdienste Verzeichnisdienst basierend auf ISO/OSI X.500 (nutzt aber TCP/IP) Attributbasierte Speicherung von Daten Anwendungsgebiete Benutzerverwaltung Adressbücher (z.b. in Mail-Programmen) Authentication via Pluggable Authentication Modules (PAM) Zertifikatsspeicher Network Information System (NIS) Microsoft Active Directory Service (MS ADS) Apple Open Directory 46

47 LDAP LDAP-Server Verzeichnisdienst, der über LDAP angesprochen wird Speichert Menge von Entries LDAP-Entry Enthält Menge von Attributen Kann wieder Entries enthalten Eindeutig identifizierbar über Distinguished Name (DN) 47

48 LDAP-Namensraum Baumförmig organisiert Directory Information Tree (DIT) Kein ausgezeichneter Wurzelknoten dc=de dc=uni-luebeck Voll qualifizierte Namen werden von unten nach oben gelesen Konkatenation von (Attribut, Wert)-Paaren entlang des Baums uid=pfisterer, ou=people, dc=itm, dc=uni-luebeck.de, dc=de ou=people uid=pfisterer uid=fischer dc=itm cn= staff ou=group memberuid= pfisterer cn = students dc=ifis ou=people ou =Group memberuid= fischer 48

49 LDAP-Namensraum Voll qualifizierter Name Distinguished Name (DN) uid=pfisterer, ou=people, dc=itm, dc=uniluebeck.de, dc=de Relative Distinguished Name ( Relative DN) Linker Teil: uid=pfisterer dc=de dc=uni-luebeck dc=itm ou=people Base Distinguished Name (Base DN) DN ohne RDN: ou=people, dc=itm, dc=uniluebeck.de, dc=de uid=pfisterer 49

50 LDAP-Namensraum: Attribut-Namen Bedeutung der Attribut- Namen dc=de Prinzipiell ist die Wahl beliebig Sinnvoll, bestimmte Namen und Wertdatenformate zu spezifizieren Spezifikation über sog. Schemata ou=people dc=uni-luebeck dc=itm ou=group uid=pfisterer cn= staff memberuid= pfisterer 50

51 LDAP-Namensraum: Schema Beschreiben die Art speicherbarer Daten Vorgeschriebene und erlaubte Attribute Art des Vergleichs (z.b. case sensitive) Spezifikation der Datentypen Einfache Vererbung möglich Beispiel: NIS user account Ober- Klasse Pflicht Optional Object Identifier (OI) dieses Type 51

52 LDAP-Namensraum: Schema Einträge können objectclass Attribute haben Referenzieren Schemata Definieren Attribute sowie deren Typ und möglichen Inhalt der Werte Beispiel inetorgperson (RFC 2798) posixaccount shadowaccount sambasamaccount 52

53 LDAP: inetorgperson (RFC 2798) Person Must: sn, cn May: userpassword, telephonenumber, seealso, description organizationalperson May: title, x121address, registeredaddress, destinationindicator, preferreddeliverymethod, telexnumber, teletexterminalidentifier, telephonenumber, internationalisdnnumber, facsimiletelephonenumber, street, postofficebox, postalcode, postaladdress, physicaldeliveryofficename, ou, st, l inetorgperson May: audio, businesscategory, carlicense, departmentnumber, displayname, employeenumber, employeetype, givenname, homephone, homepostaladdress, initials, jpegphoto, labeleduri, mail, manager, mobile, o, pager, photo, roomnumber, secretary, uid, usercertificate, x500uniqueidentifier, preferredlanguage, usersmimecertificate, userpkcs12 53

54 LDAP-Eintrag mit objectclass Referenzen 54

55 LDAP: Typische Abkürzungen Attribut Bedeutung Beispielhafter Wert DC Domain Component com C Country DE L Locality Lübeck O Organization Universitaet zu Luebeck OU Organizational Unit Telematik CN Common Name SN Surname Pfisterer 55

56 LDAP-Protokoll Menge von Datenstrukturen und assoziierten Operationen Datenstrukturen definiert in ASN.1 Übertragen in BER-Serialisierung Authentifizierung via Plaintext oder Simple Authentication and Security Layer (SASL) Vertrauliche Datenübertragung über TLS/SSL 56

57 LDAP-Operationen Operation Beschreibung Search Compare Add Modify Delete Rename Bind Unbind Suche nach passenden Einträgen Vergleiche einen Eintrag mit einer Menge von Attributen Füge einen neuen Eintrag ein Ändere einen bestimmten Eintrag Lösche einen bestimmten Eintrag Ändere den Namen (DN) eines Eintrags Beginne eine neue Sitzung/Verbindung mit dem LDAP Server Beenden einer Sitzung 57

58 Suche in LDAP-Verzeichnissen Suche nach Werten für bestimmte Attribute LDAP spezifiziert sog. Suchstrings in Präfix-Notation Operatoren & (and), (or),! (not), = (approx. equal) >= (greater than or equal), <= (less than or equal) * (any) Standards RFC 1960: LDAP String Representation of Search Filters RFC 2254: LDAPv3 Search Filters 58

59 Suche in LDAP-Verzeichnissen Suche relativ zu einem Base DN base : Begrenzt auf das Base DN object onelevel : Suche begrenzt auf unmittelbare Kinder sub : Gesamter Unterbaum ab Base DN Base One Level Subtree 59

60 Suche in LDAP: Beispiele Objekt-Klasse ist posixaccount (objectclass=posixaccount) Common Name beginnt mit Dennis P (cn=dennis P*) User Id ist pfisterer oder fischer ( (uid=pfisterer)(uid=fischer)) User Id pfisterer oder fischer und Klasse posixaccount (&( (uid=pfisterer)(uid=fischer))(objectclass=posixaccount)) 60

61 LDAP-Server: Skalierbarkeit LDAP-Server können einen Baum unter sich aufteilen Hat ein Server einen DN nicht gespeichert, so verweist er auf einen anderen Server Server A Daten können so näher am benötigten Ort (z.b. eine Abteilung) platziert werden Erhöht die Skalierbarkeit Server C Server B 61

62 LDAP: Autorisierung LDAP-Server erlauben oft eine feingranulare Steuerung der Lese-/Schreibrechte User können sich beim Server authentifizieren Beispiel Passwort-Hashes sollen nur vom admin und vom Benutzer les- und schreibbar sein access to attrs=userpassword by dn="cn=admin,dc=itm,dc=uni-luebeck,dc=de" write by dn="cn=samba,dc=itm,dc=uni-luebeck,dc=de" write by self write by * none 62

63 LDAP Data Interchange Format (LDIF) Repräsentiert LDAP-Einträge in Textform Menschenlesbares Format Einfache Modifikation von Daten Backup, Restore oder automatisierte Erstellung Bekannte Anwendung: Mozilla Adressbuch 63

64 LDIF-Beispiel: User Account (Auszug)... dn: uid=pfisterer,ou=staff,ou=people,dc=itm,dc=uni-luebeck,dc=de objectclass: inetorgperson objectclass: posixaccount objectclass: sambasamaccount objectclass: shadowaccount objectclass: top cn: Dennis Pfisterer gidnumber: 1011 homedirectory: /home/pfisterer sn: Pfisterer uid: pfisterer uidnumber: 1005 displayname: Dennis Pfisterer givenname: Dennis loginshell: /bin/bash mail: roomnumber:

65 LDIF-Beispiel: Mozilla Adressbuch (Auszug)... dn: cn=stefan objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetorgperson objectclass: mozillaabpersonalpha givenname: Stefan sn: Fischer cn: Stefan Fischer mail: modifytimestamp:

66 LDAP-GUI: Apache Directory Studio 66

67 LDAP-Server Open Source Apache Directory (Apache Software Foundation) OpenLDAP Kommerziell MS Windows Server Domain Controller (ADS, ADAM) Novell edirectory Oracle Internet Directory) Siemens DirX Directory Server Sun Java System Directory Server 67

68 Java Naming and Directory Interface (JNDI) Namens- und Verzeichnisdienst für Java Daten und Objekte können über Ihren Namen gefunden werden Technologieunabhängige API Implementierungen über Service Provider Interface (SPI) Image source: 68

69 Java Naming and Directory Interface (JNDI) Namen werden relativ zu einem Initial Context aufgelöst Wie in LDAP gibt es keine ausgezeichnete Wurzel Hautptanwendung Java-Enterprise-Anwendungen (JavaEE) Ablegen von Konfigurationsdaten in einem Verzeichnisdienst InitialContext wird von Applikations-Container bereitgestellt 69

70 LDAP und JNDI LDAP-Operation Search Compare Add Modify Delete Rename Bind Unbind Abandon Extended JNDI-Äquivalent DirContext::search() DirContext::search() DirContext::bind(), DirContext::createSubcontext() DirContext::modifyAttributes() Context::unbind(), Context::destroySubcontext() Context::rename() new InitialDirContext() Context::close() Context::close(), NamingEnumneration::close() LdapContext::extendedOperation() 70

71 LDAP und JNDI: Beispielprogramm 71

72 LDAP und JNDI: Beispielausgabe uid=pfisterer,ou=staff,ou=people displayname = Dennis Pfisterer roomnumber = 37 givenname = Dennis objectclass = inetorgperson uid = pfisterer uidnumber = 1005 cn = Dennis Pfisterer loginshell = /bin/bash sambaacctflags = [UX ] gidnumber = 1011 sambapwdmustchange = sambapwdcanchange = homedirectory = /home/pfisterer sn = Pfisterer... 72

73 Zusammenfassung Namen werden benötigt, um Instanzen in einem VS zu identifizieren und Informationen damit zu verbinden Wichtiger Prozess: Namensauflösung DNS als zentraler Verzeichnisdienst des Internet Für verschiedene Middlewarelösungen unterschiedliche Dienste 73