Directory Services für heterogene IT Landschaften. Basierend auf LDAP und OSS

Transkript

1 Directory Services für heterogene IT Landschaften. Basierend auf LDAP und OSS Linuxtag 2001, Stuttgart

2 Agenda LDAP Eine Begriffsbestimmung OSS Keyplayer Typische Anwendungsfälle Das Protokoll und das Datenmodell Software (Server, Clients, Tools) Linux in Heterogene IT Landschaft Ausblick und Fazit

3 LDAP Eine Begriffsbestimmung L eightweight - leichtgewichtiges D irectory - Verzeichnis A ccess - zugriffs- P rotocol - Protokoll

4 Und mehr? Ja natürlich: Client Implementierungen und SDKs Schemas Exportformate (LDIF, DSML) Server (OpenLDAP, Java LDAP, U-M LDAP)

5 Agenda LDAP Eine Begriffsbestimmung OSS Keyplayer Typische Anwendungsfälle Das Protokoll und das Datenmodell Software (Server, Clients, Tools) Linux in Heterogene IT Landschaft Ausblick und Fazit

6 Open Source Key Players Historisch University of Michigan & Netscape / iplanet OpenLDAP Project Mozilla Directory Project PADL.com

7 Agenda LDAP Eine Begriffsbestimmung OSS Keyplayer Typische Anwendungsfälle Das Protokoll und das Datenmodell Software (Server, Clients, Tools) Linux in Heterogene IT Landschaft Ausblick und Fazit

8 Typische Anwendungsfälle Debian - die Developer Database Boxed Penguin Plug and Play & SSO Web Portale Modulschnittstelle LDAP PKI Abfrageschnittstelle LDAP AD das Active Directory von MS

9 Agenda LDAP Eine Begriffsbestimmung OSS Keyplayer Typische Anwendungsfälle Das Protokoll und das Datenmodell Software (Server, Clients, Tools) Linux in Heterogene IT Landschaft Ausblick und Fazit

10 root Das LDAP Datenmodell dc: net dc: Eckenfels ou: Users ou: Computers RDN Attribute objectclass: person cn: Sn: ecki Eckenfels objectclass: person cn: Sn: mela Eckenfels Entry DN: cn=ecki,ou=users,dc=eckenfels,dc=net

11 LDAP Attribute, Einträge, Schemas Directory Einträge RDN Objectklassen (in Schemas) Attribute Typen (Text, Binär, Telefonnummer) Oid (eindeutige ASN.1 ID) Schema Definieren Pflicht und Optionale Attribute Können durch Vererbung erweitert werden

12 Das LDAPv3 Protokoll TCP oder TLS/SSL Sockets (auch Unix Domain) Austausch von Nachrichten in ASN.1 Folgende Requests sendet der Client Bind/UnBind An-/Abmelden Search Einträge mit Filter suchen Modify Attribute für einen Eintrag ändern/erweitern Delete Eintrag löschen ModifyDN Eintrag umbenennen oder verschieben Compare Eintrag vergleichen

13 OSS Software Server: SDKs OpenLDAP, Java LDAP Server, U-M LDAP Netscape Directory SDK, Open LDAP Libs Language Bindings Perl, Python, PHP, C, Java (JNDI),... Mail Clients LDAP Enabled (UMS, Web...)

14 LDAP Software Server Evolution LDAP Server als Gateway zu X.500 DS Stand Alone slapd Backend Module bei OpenLDAP Files, DBM, ODBC, Scripts, DNS, Whois, LDAP Vom Gateway hin zum Meta Directory

15 Software LDAP Clients Neben LDAP enabled Clients gibt es auch generische LDAP Tools zur Verwaltung Gq GNOME LDAP Web2ldap.de kldap

16 Software LDAP Admin Tools Unix Account Administration Directory Administrator Likken Enterprise Directory System Ganymed Java Client / Server System Verwaltung von LDAP, NT Domains, sendmail Routing

17 Software Internet Server LDAP Enabled MTAs Qmail, exim, sendmail,... LDAP Gateways Radius, NIS,... Web Server Module Roxxen, Apache, IIS,...

18 Agenda LDAP Eine Begriffsbestimmung OSS Keyplayer Typische Anwendungsfälle Das Protokoll und das Datenmodell Software (Server, Clients, Tools) Linux in Heterogene IT Landschaft Ausblick und Fazit

19 Linux in IT Landschaft Grundsätzlich gemischte Landschaft Linux als File Server Linux als Internet Server (Web, MTA, Cache) Windows Desktops NDS/AD als zentrales Directory Integration?

20 LDAP Network Information Service NIS auf Basis LDAP: RFC2307bis Hooks für LDAP? Name Service Switch NSS für Lookup Methoden Plugable Authentication Modules PAM

21 nss_ldap Ermöglicht Linux (Solaris, BSD,..) Systemen Name Service Lookups per LDAP durchzuführen (insbesondere Accounts) Performance Steigerung durch nscd Zugriff auf NDS, AD, Netscape Directory, OpenLDAP Unterstützt TLS/SSL, DNS SRV RR Filter konfigurierbar

22 pam_ldap Authorisierung von Usern mittels zentralem LDAP Verzeichnis Account Informationen (home, uid, shell) können entweder lokal (z.b. /etc/passwd) oder mittels NIS oder libnss_ldap bezogen werden Unterstützt das ändern von Passwörtern auf gängigen Systemen: AD, NDS, OpenLDAP, Netscape

23 Linux als Verzeichnisserver OpenLDAP hat beste Voraussetzungen Bereits geeignet für: Portale (Web Server mit LDAP Module) Kommerzielle Module (UMS, Call Center) PKI (OpenCA,...) Aber? Verzeichnis für Desktop Systeme?... Es bleibt spannend

24 Fazit und Ausblick LDAP besitzt eine breite Unterstützung Im Detail ist die Zusammenarbeit schwer Eventuell liegt die geringe Verbreitung im komplexen Protokoll, die Anzahl der Implementierungen spricht dagegen Boxedpenguin könnt interessant werden Das Zusammenspiel mit AD klappt erstaunlich gut -> PUSH

25 Fragen und Diskussion? Vielen Dank für Eure Aufmerksamkeit Bernd Eckenfels