Verteilte Systeme Kapitel 6: Adressen, Namen und Verzeichnisdienste

Transkript

1 Verteilte Systeme Kapitel 6: Adressen, Namen und Verzeichnisdienste Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck

2 Adressen und Namen Adresse Meist numerischer Identifier einer Entität in einem VS (aus einem bestimmten Adressraum) Enthält Lokationsinformationen (zur Wegewahl) Beispiel: IP-Adresse ( ) Namen Sind symbolischer Natur Müssen zu Adressen aufgelöst werden Befinden sich in einem bestimmten Namensraum Beispiel: Domain-Namen (google.com) 2

3 3 Adresse Meist numerische Anschrift einer Entität in einem VS (aus einem Adressraum) der Lokationsinformationen enthält Entität: Ressource bzw. Teilnehmer in einem VS Beispiele: Serverdienst, Drucker, Mailboxen, Web-Seiten,... Adressraum Struktur und Wertebereich(e) mit (evtl. unterschiedlichen) Semantiken Beispiel: /16 (privater Bereich), /24 (öffentlicher Bereich) Lokationsinformation (zur Wegewahl) Spezifiziert, wie die Entität unter einer Adresse erreicht werden kann Beispiel: Hierarchische Struktur von IP-Adressen (CIDR) mit Wegewahl über Routingalgorithmen

4 Adressen in verteilten Systemen 4

5 Adressen in verteilten Systemen Zentrales Problem: Discovery Welche Adresse hat eine Netzwerkkarte, ein Netzwerkinterface, ein Prozess, ein Anwendungsobjekt,...? Oft verwendete Lösungen Discovery-Protokolle (ARP, Apple Bonjour, UPnP,...) Bekannte Namen auflösen (z.b. via DNS) Feste Protokollnummern (sog. well-known ports) Verzeichnisdienste (zentral/dezentral) Suchmaschinen 5

6 Feste Protokollnummern 6

7 7 Namen Symbolische (meist menschenlesbare) Bezeichner (aus einem Namensraum), die mit Hilfe eines Verzeichnisdiensts zu Adressen aufgelöst werden Namensraum Definiert Syntaxregeln (Struktur) für Namen zur Vermeidung von Mehrdeutigkeiten Beispiel: Rechnername www, Kontext heise.de oder spiegel.de Namensauflösung: Umsetzung von Namen auf Adresse (+ ggf. umgekehrt) Beispiel: IP-Adresse Domain-Namen Verzeichnisdienst Beispiel: Dateibasiert (/etc/hosts), Domain Name System (DNS)

8 8 Identifier Beziehen sich auf genau eine und immer dieselbe Instanz Jede Instanz wird (i.a.) von genau einem Identifier referenziert Identifier können sowohl Namen als auch Adressen sein IP-Adressen Identifizieren eindeutig Netzwerkkarte eines Rechners Uniform Resource Identifier (URI, RFC 3986) Namen Uniform Resource Locator (URL) Konkrete Protokollangabe mit Lokationsinformationen Uniform Resource Name (URN) Abstrakte, eindeutige Identifikation ohne Lokationsinformation urn:isbn:

9 9 Strukturierung von Adress-/Namensräumen Flacher Namensraum Keine Struktur im Namen Beispiele Vornamen Unix User ID (/etc/passwd) Rechnernamen im LAN oder im ARPANET Fortlaufende Ausweisnummer (Personalausweis) Vorteile Einfache Implementierung und effiziente Abfrage Nachteile Muss zentral koordiniert werden (Eindeutigkeit) Begrenzte Zeichenzahl skaliert begrenzt Zentrales Verzeichnis skaliert begrenzt

10 10 Strukturierung von Adress-/Namensräumen Hierarchischer Namensraum Häufig: Baumförmige Struktur Verleihen flachen Namen einen Kontext Vornamen und Nachnamen Rechnername www, Kontext heise.de oder spiegel.de Vorteile Delegation von Verantwortlichkeiten Dezentrale Verwaltung Daten können verteilt gespeichert werden Skaliert besser Beispiele Telefonnummern Dateisystem Domain Name System (DNS) Lightweight Directory Access Protocol (LDAP)

11 Hierarchischer Namensraum Baum mit zwei Arten von Knoten Blattknoten: Namen von Entitäten Verzeichnisknoten: Verweise auf andere Knoten Pfade: Folge von Knotenlabels Trennung einzelner Labels durch Trennzeichen (z.b. /, \,. ) Wurzelknoten ist häufig ein leerer String Nur Trennzeichen repräsentiert Wurzelknoten (z.b. / ) Beispiele Absoluter Pfad: /var/log/mail Relativer Pfad: mail,./mail 11

12 12 Hierarchischer Namensraum in Netzwerken Netzwerk wird in Domänen eingeteilt Es gibt eine Top-Level-Domäne Domänen können in Unter-Domänen aufgeteilt sein Jede Domäne besitzt Verzeichnisknoten, der Entitäten dieser Domäne enthält Typisches Vorgehen bei der Suche Knoten, die einen Namen nicht kennen, verweisen die Nachfrage entlang der Hierarchie

13 Warum Namen anstelle von Adressen? Können von Menschen besser gelesen, gemerkt und interpretiert werden Entitäten können Adresse wechseln Serverdienst wechselt Host Rechner erhält regelmäßig neue IP-Adresse (z.b. DSL, DHCP) Mehrere Adressen unter einem Namen (z.b. Load-Balancer, Serverfarm) Besser: Entität über Namen statt über Adresse ansprechen Notwendig: Zuordnung von Namen zu Adressen (Bindung) Solche Dienste werden als Verzeichnisdienste bezeichnet 13

14 Funktionen eines Verzeichnisdienstes Primäre Funktion: Namensauflösung Hauptkomponente: Menge von Bindungen Weitere optionale Funktionen Erzeugung von Bindungen Löschen von Bindungen Auflistung gebundener Namen Suche von Namen anhand von Attributen Telefonbuch (white pages): Namen Adressen Gelbe Seiten (yellow pages): Attribute Adressen/Namen 14

15 15 Beispiele für Verzeichnisdienste Sun RPC / ONC RPC Portmapper Domain Name System (DNS) CORBA Name Service Java Naming and Directory Interface (JNDI) OSI X.500 (ISO/IEC 9594, Teil von ISO/OSI) Lightweight Directory Access Protocol (LDAP, vereinfachtes X.500) Universal Description Discovery and Integration (UDDI) Jini lookup service...

16 Einfache nicht-verteilte Verzeichnisdienste Beispiele Sun RPC / ONC RPC Portmapper Java RMI Registry CORBA Name Service 16

17 Sun RPC / ONC RPC Portmapper Für einen RPC-Aufruf wird benötigt: IP-Adresse des Servers Protokoll (TCP/UDP) Port des Servers Sun RPC portmapper (RFC1833) Sun RPC Dienst auf Port 111 Dienste registrieren sich mit Ihrer Portnummer Clients erfragen Portnummer des Dienstes (auch: rpcinfo p localhost) Clients müssen IP-Adresse des Servers kennen 17

18 Einfache verteilte Verzeichnisdienste Vorgehen Sende Nachricht mit Namen der gesuchten Adresse an Menge von Entitäten Jede Entität prüft, ob sie diesen Namen auflösen kann und antwortet ggf. Praktikabel in lokalen Netzen, skaliert nicht global Beispiele Address Resolution Protocol (ARP) MAC-Layer Broadcast IPv6 Neighbor Discovery (benutzt ICMPv6 und lokalen Multicast) Simple Service Discovery Protocol (SSDP) von UPnP Multicastbasierend 18

19 Hashbasierte Verzeichnisdienste Flacher Namensraum Hashtabelle (Map) Key: hash(name) Value: Adresse Dezentrale Speicherung als verteilte Hashtabelle zur besseren Skalierung Distributed Hash Table (DHT) Ursprünglich für P2P Systeme entwickelt 19

20 Verteilte Hash-Tabellen Distributed Hash Tables (DHTs) Speichere Hashtabelle in einem System von verteilten Rechnern Gespeicherte Werte und Rechner bekommen Hashwert als Schlüssel zugewiesen Herausforderungen Verteilungsstrategie Effizientes, deterministisches und dezentrales Verfahren zur Zuordnung von Tabelleneinträgen (Bindungen) zu Rechnern Strukturierung des Netzes (effiziente Suche) Geschickte Wahl der Kommunikationsverbindungen zwischen Rechnern sodass eine effiziente Abfrage von Bindungen möglich ist 20

21 21 Distributed Hash Tables (DHT) Hash-Funktion für Namen und Rechner (z.b. IP-Adresse) Bildet beliebig lange Eingabe auf Ausgabe fester Länge ab Kryptographische Hash-Funktion Gleichverteilung hash(0) = hash(7) = 18.5

22 DHT: Verteilungsstrategie Abbildung von Namen bzw. Hashwerten auf Rechner Zahlenstrahl wird in Bereiche aufgeteilt Jeder Rechner ist für einen Bereich zuständig Bindungen eines Bereichs werden auf zuständigem Rechner gespeichert Bei Join/Leave werden Bereiche aufgeteilt/verschmolzen 22

23 23 DHT Beispiel: Chord (Stoica, 2003) Bindung mit Hashwert k wird Rechner mit kleinstem Hashwert >= k zugeordnet Dieser heißt dann Nachfolger von k: succ(k) Zugeordnete Datenelemente Im Beispiel existieren die Rechner mit Hashwert 1,4,7,12 und 15

24 24 Suchen eines Elements: Triviale Lösung Jeder Knoten hält eine Verbindung zu Vorgänger und Nachfolger Knoten p erhält Anfrage nach Hashwert k = hash( nas ) = 12 Vorgehen: k > hash(p) Leite Anfrage an succ(p+1) weiter k hash(p) Leite Anfrage an pred(p) weiter Sonst Gib eigene Adresse an anfragenden Prozess weiter Problem: nicht skalierbar Lösung: Abkürzungstabelle

25 25 Chord: Effiziente Suche Verbindungen zu Direkten Nachbarn (succ/pred) weiteren Abkürzungen Suche benötigt im Mittel O(log(N))

26 Hierarchische Verzeichnisdienste Vorteilhaft in dezentral verwalteten Namensräumen Delegation der Verwaltung an für Domänen zuständige Autoritäten Pro Domäne eine administrative authority Kontrolle über Bindungen einer Domäne (domain) Kann Kontrolle für Unterdomänen (sub-domains) delegieren Beispiele Internet Domain Name System (DNS) Lightweight Directory Access Protocol (LDAP) 26

27 27 Internet Domain Name System (DNS) Verzeichnisdienst im Internet Auflösung von Namen zu IP- Adressen (und umgekehrt) Standardisiert in RFC 1034 und RFC 1035 Wichtige Definitionen Domain-Namensraum Nameserver Resolver DNS-Protokoll

28 DNS: Domain-Namensraum Baumförmige Struktur Unterteilt in administrative Zonen Labels Alphanumerisch, müssen mit einem Buchstaben beginnen Enden nicht mit -, enthalten kein. Länge zwischen 1 und 63 Zeichen Trennzeichen von Labels:. Root-Zone Verwaltet von well-known root name servern Top-Level Domains Absoluter Domainname Fully Qualified Domain Name (FQDN) Verkettung aller Labels eines Pfades Angabe vom Blatt bis zur Wurzel Maximale Länge (inkl. Trennzeichen): 255 Endet mit einem. (in der Praxis oft ausgelassen) Beispiel: mail.itm.uni-luebeck.de. 28

29 Quelle: 29 DNS: Root Name Server

30 30 DNS: Nameserver Bieten Namensauflösung an Unterscheidung Authoritative Zuständig für ein oder mehrere Zonen Liefert authoritative answers für seine Zonen Recursive Namensauflösung für alle Zonen; nicht nur für die eigenen Konsultiert dazu ggf. andere Nameserver Caching Cachen Antworten für gewisse Zeit (max. Lebenszeit im authoritativen DNS Eintrag) Ohne diese Optimierung wären viele DNS Server überlastet

31 31 DNS: Nameserver Speichern Resource Records in Zonendateien Wichtige Typen:

32 32 DNS: Beispielhafte Zonendatei (foo.com) Konfigurationsdatei für den Bind Nameserver

33 DNS: Beispielhafte Zonendatei (foo.com) Rückwärtsauflösung (Adresse Name) Wie normale Auflösung Speziellen Notation der IP-Adresse über fiktive Domänen Beispiele.in-addr.arpa (IPv4).ip6.arpa (IPv6) in-addr.arpa 2a02:2e0:3fe:100:: e.f e a.2.ip6.arpa 33

34 34 DNS: Beispielhafte Zonendatei (foo.com) Abkürzung für

35 DNS: Resolver Software, die die Namensauflösung durchführt Zwei Möglichkeiten der Namensauflösung Iterativ Rekursiv 35

36 36 DNS: Iterative Namensauflösung mail.itm.uni-luebeck.de de IN NS a.nic.de. a.nic.de IN A mail.itm.uni-luebeck.de uni-luebeck.de IN NS dns01.uni-luebeck.de. dns01.uni-luebeck.de IN A mail.itm.uni-luebeck.de itm.uni-luebeck.de IN NS itm01.itm.uni-luebeck.de. itm01.itm.uni-luebeck.de IN A mail.itm.uni-luebeck.de t mail.itm.uni-luebeck.de IN CNAME itm01.itm.uni-luebeck.de. itm01.itm.uni-luebeck.de IN A

37 DNS: Iterative Namensauflösung Verwendete Kommandos dig mail.itm.uni-luebeck.de dig mail.itm.uni-luebeck.de dig mail.itm.uni-luebeck.de dig mail.itm.uniluebeck.de 37

38 38 DNS: Rekursive Namensauflösung 1.) mail.itm.uni-luebeck.de 10.) ANTWORT 4.) mail.itm.uni-luebeck.de 9.) ANTWORT 2.) de. 3.) de IN NS a.nic.de. a.nic.de IN A ) mail.itm.uni-luebeck.de 8.) ANTWORT 6.) mail.itm.uni-luebeck.de 7.) ANTWORT t ANTWORT: mail.itm.uni-luebeck.de IN CNAME itm01.itm.uni-luebeck.de. itm01.itm.uni-luebeck.de IN A

39 DNS: Rekursive Namensauflösung Verwendetes Kommando dig mail.itm.uni-luebeck.de Bemerkungen Nicht jeder Nameserver bietet rekursive Auflösung an Resolver müssen daher oft dennoch iterativ vorgehen Typischerweise bieten DNS-Server von Providern rekursive Auflösungen an 39

40 40 DNS: Resolver-Implementierungen Anwendungen greifen auf DNS mittels Bibliotheksfunktionen zu z.b. in Java: getbyname() in der InetAddress-Klasse Wenn ein Server die Antwort nicht kennt, fragt er einen anderen Wenn er sie kennt, gibt er sie zurück. Alternativen gethostbyname in C dnsjava ( (Dig für Java)

41 gethostbyname in C 41

42 42 gethostbyname in C $ gcc -std=c99 -o gethostbyname.exe gethostbyname.c $./gethostbyname.exe Alias: Alias: Address: Address: Address: Address: Address: Address:

43 Attributbasierte Benennung Oft kennen Benutzer nicht den Namen einer gesuchten Entität, sondern nur deren (wünschenswerte) Eigenschaften Hilfreich: Suchmechanismen auf Basis von Beschreibungen In VS häufig: Beschreibungen auf Basis von (Attribut, Wert)- Paaren verwendet Dienste, die eine Suche nach Attributen/Werten erlauben, werden allgemein als Verzeichnisdienste bezeichnet 43

44 Verzeichnisdienste Ordnen einem Namen Attribut-/Wert-Paare zu Beispiele: Telefonnummern- und Adressenverzeichnis in einer Firma Namen und Verfügbarkeit von Ressourcen (Drucker, Platten, Modems) Verfügbare Anwendungsdienste Dabei sind nicht nur Abfragen von Name zu Attribut, sondern auch umgekehrt möglich ( Yellow Pages ) Die Verknüpfung zwischen einem Namen und seinen Attributen wird als Bindung ( binding ) bezeichnet 44

45 45 Beispiel: LDAP Lightweight Directory Access Protocol (RFC 2251) Protokoll zum Zugriff auf Verzeichnisdienste Verzeichnisdienst basierend auf ISO/OSI X.500 (nutzt aber TCP/IP) Attributbasierte Speicherung von Daten Anwendungsgebiete Benutzerverwaltung Adressbücher (z.b. in Mail-Programmen) Authentication via Pluggable Authentication Modules (PAM) Zertifikatsspeicher Network Information System (NIS) Microsoft Active Directory Service (MS ADS) Apple Open Directory

46 LDAP LDAP-Server Verzeichnisdienst, der über LDAP angesprochen wird Speichert Menge von Entries LDAP-Entry Enthält Menge von Attributen Kann wieder Entries enthalten Eindeutig identifizierbar über Distinguished Name (DN) 46

47 47 LDAP-Namensraum Baumförmig organisiert Directory Information Tree (DIT) Kein ausgezeichneter Wurzelknoten Voll qualifizierte Namen werden von unten nach oben gelesen Konkatenation von (Attribut, Wert)-Paaren entlang des Baums uid=pfisterer, ou=people, dc=itm, dc=uni-luebeck.de, dc=de

48 48 LDAP-Namensraum Voll qualifizierter Name Distinguished Name (DN) uid=pfisterer, ou=people, dc=itm, dc=uniluebeck.de, dc=de Relative Distinguished Name ( Relative DN) Linker Teil: uid=pfisterer Base Distinguished Name (Base DN) DN ohne RDN: ou=people, dc=itm, dc=uniluebeck.de, dc=de

49 LDAP-Namensraum: Attribut-Namen Bedeutung der Attribut- Namen Prinzipiell ist die Wahl beliebig Sinnvoll, bestimmte Namen und Wertdatenformate zu spezifizieren Spezifikation über sog. Schemata 49

50 50 LDAP-Namensraum: Schema Beschreiben die Art speicherbarer Daten Vorgeschriebene und erlaubte Attribute Art des Vergleichs (z.b. case sensitive) Spezifikation der Datentypen Einfache Vererbung möglich Beispiel: NIS user account

51 LDAP-Namensraum: Schema Einträge können objectclass Attribute haben Referenzieren Schemata Definieren Attribute sowie deren Typ und möglichen Inhalt der Werte Beispiel inetorgperson (RFC 2798) posixaccount shadowaccount sambasamaccount 51

52 52

53 LDAP-Eintrag mit objectclass Referenzen 53

54 LDAP: Typische Abkürzungen 54

55 55 LDAP-Protokoll Menge von Datenstrukturen und assoziierten Operationen Datenstrukturen definiert in ASN.1 Übertragen in BER-Serialisierung Authentifizierung via Plaintext oder Simple Authentication and Security Layer (SASL) Vertrauliche Datenübertragung über TLS/SSL

56 LDAP-Operationen 56

57 Suche in LDAP-Verzeichnissen Suche nach Werten für bestimmte Attribute LDAP spezifiziert sog. Suchstrings in Präfix-Notation Operatoren & (and), (or),! (not), = (approx. equal) >= (greater than or equal), <= (less than or equal) * (any) Standards RFC 1960: LDAP String Representation of Search Filters RFC 2254: LDAPv3 Search Filters 57

58 58 Suche in LDAP-Verzeichnissen Suche relativ zu einem Base DN base : Begrenzt auf das Base DN object onelevel : Suche begrenzt auf unmittelbare Kinder sub : Gesamter Unterbaum ab Base DN

59 59 Suche in LDAP: Beispiele Objekt-Klasse ist posixaccount (objectclass=posixaccount) Common Name beginnt mit Dennis P (cn=dennis P*) User Id ist pfisterer oder fischer ( (uid=pfisterer)(uid=fischer)) User Id pfisterer oder fischer und Klasse posixaccount (&( (uid=pfisterer)(uid=fischer))(objectclass=posixaccount))

60 LDAP-Server: Skalierbarkeit LDAP-Server können einen Baum unter sich aufteilen Hat ein Server einen DN nicht gespeichert, so verweist er auf einen anderen Server Daten können so näher am benötigten Ort (z.b. eine Abteilung) platziert werden Erhöht die Skalierbarkeit 60

61 61 LDAP: Autorisierung LDAP-Server erlauben oft eine feingranulare Steuerung der Lese-/Schreibrechte User können sich beim Server authentifizieren Beispiel Passwort-Hashes sollen nur vom admin und vom Benutzer les- und schreibbar sein access to attrs=userpassword by dn="cn=admin,dc=itm,dc=uni-luebeck,dc=de" write by dn="cn=samba,dc=itm,dc=uni-luebeck,dc=de" write by self write by * none

62 LDAP Data Interchange Format (LDIF) Repräsentiert LDAP-Einträge in Textform Menschenlesbares Format Einfache Modifikation von Daten Backup, Restore oder automatisierte Erstellung Bekannte Anwendung: Mozilla Adressbuch 62

63 63 LDIF-Beispiel: User Account (Auszug)... dn: uid=pfisterer,ou=staff,ou=people,dc=itm,dc=uni-luebeck,dc=de objectclass: inetorgperson objectclass: posixaccount objectclass: sambasamaccount objectclass: shadowaccount objectclass: top cn: Dennis Pfisterer gidnumber: 1011 homedirectory: /home/pfisterer sn: Pfisterer uid: pfisterer uidnumber: 1005 displayname: Dennis Pfisterer givenname: Dennis loginshell: /bin/bash mail: roomnumber: 37...

64 64 LDIF-Beispiel: Mozilla Adressbuch (Auszug)... dn: cn=stefan objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetorgperson objectclass: mozillaabpersonalpha givenname: Stefan sn: Fischer cn: Stefan Fischer mail: modifytimestamp:

65 LDAP-GUI: Apache Directory Studio 65

66 LDAP-Server Open Source Apache Directory (Apache Software Foundation) OpenLDAP Kommerziell MS Windows Server Domain Controller (ADS, ADAM) Novell edirectory Oracle Internet Directory) Siemens DirX Directory Server Sun Java System Directory Server 66

67 Image source: 67 Java Naming and Directory Interface (JNDI) Namens- und Verzeichnisdienst für Java Daten und Objekte können über Ihren Namen gefunden werden Technologieunabhängige API Implementierungen über Service Provider Interface (SPI)

68 Java Naming and Directory Interface (JNDI) Namen werden relativ zu einem Initial Context aufgelöst Wie in LDAP gibt es keine ausgezeichnete Wurzel Hautptanwendung Java-Enterprise-Anwendungen (JavaEE) Ablegen von Konfigurationsdaten in einem Verzeichnisdienst InitialContext wird von Applikations-Container bereitgestellt 68

69 LDAP und JNDI 69

70 LDAP und JNDI: Beispielprogramm 70

71 71 LDAP und JNDI: Beispielausgabe uid=pfisterer,ou=staff,ou=people displayname = Dennis Pfisterer roomnumber = 37 givenname = Dennis objectclass = inetorgperson uid = pfisterer uidnumber = 1005 cn = Dennis Pfisterer loginshell = /bin/bash sambaacctflags = [UX ] gidnumber = 1011 sambapwdmustchange = sambapwdcanchange = homedirectory = /home/pfisterer sn = Pfisterer...

72 72 Zusammenfassung Namen werden benötigt, um Instanzen in einem VS zu identifizieren und Informationen damit zu verbinden Wichtiger Prozess: Namensauflösung DNS als zentraler Verzeichnisdienst des Internet Für verschiedene Middlewarelösungen unterschiedliche Dienste