LDAP
A Unix/Linux szerverek üzemeltetése wikiből
(Változatok közti eltérés)
1. sor: | 1. sor: | ||
− | (ide jöhetne egy tartalomjegyzék, ha tudnám, hogyan kell betenni) |
||
− | |||
=== Mi az LDAP? === |
=== Mi az LDAP? === |
||
* '''LDAP''': '''L'''eightweight '''D'''irectory '''A'''ccess '''P'''rotocol |
* '''LDAP''': '''L'''eightweight '''D'''irectory '''A'''ccess '''P'''rotocol |
||
31. sor: | 29. sor: | ||
=== Mi az LDAP URL? === |
=== Mi az LDAP URL? === |
||
− | * ha egy protokoll nem támogatja az URL-t ('''unified resource locator''') az erőforrások azonosítására, akkor sokkal nehezebb eladni a menedzsmentnek |
+ | * ha egy protokoll nem támogatja az URL-t ('''unified resource locator''') az erőforrások (jelen esetben címszavak) azonosítására, akkor sokkal nehezebb eladni a menedzsmentnek |
+ | * csomópontok egy halmazát lehet vele kiválasztani |
||
+ | <pre> |
||
+ | proto://host:port/DN?attributes?scope?filter?extensions |
||
+ | </pre> |
||
+ | * '''proto''': ldap, vagy ldaps (LDAP+SSL) |
||
+ | * '''host''': DNS név vagy IP cím |
||
+ | * '''port''': port szám, opcionális (alapértelmezés ldap esetén 389, ldaps esetén 636) |
||
+ | * '''DN''': a keresés kiindulópontjának megkülönböztető neve |
||
+ | * '''attributes''': meglepő módon az attribútumok listája, opcionális |
||
+ | * '''scope''': base, ha pontosan egy címszót keresünk; one, ha a DN-ben megadott csomópont közvetlen gyermekei között keresünk; sub, ha egy részfában keresünk - NB: az, hogy melyik az alapértelmezés, implementáció-függő; opcionális |
||
+ | * '''filter''': ez egy keresési szűrő (lásd később), opcionális |
||
+ | * '''extensions''': minden, ami az RFC-ből kimaradt (ja igen, opcionális) |
||
+ | |||
+ | === Hogyan keressünk az LDAP segítségével? === |
||
+ | * mivel az LDAP-ot címtárak elérésére fejlesztették, legjobban a '''kereséseket támogatja''' (igazából minden más igen körülményes benne) |
||
+ | * telepítsünk egy LDAP klienst - Debian alatt az '''ldap-utils''' csomag tartalmazza az OpenLDAP kliensoldali segédprogramjait |
A lap 2007. december 2., 14:43-kori változata
Tartalomjegyzék |
1 Mi az LDAP?
- LDAP: Leightweight Directory Access Protocol
- L, mint pehelysúlyú: az X.500 kódnevű protokollcsalád könnyített változata. Az eredeti X.500-at az OSI hálózati modelljére tervezték, így a való életben nem sűrűn találkozhatunk vele.
- D, mint címtárszolgáltatás: elsősorban egy számítógépes hálózat felhasználóit és erőforrásait tartalmazó adatbázis közvetítésére szolgál
- A, mint elérés: támogatja az adatok frissítését, törlését, beszúrását és lekérdezését
- P, mint az elektronikus kommunikáció egyik nyelve: egy TCP/IP felett megvalósított bináris protokoll
2 Miből áll egy LDAP-on elérhető címtár?
- a címtár egy fa (directory tree), azaz egy gyökér csomóponttal rendelkező körmentes gráf
- a gráf csomópontjai a címszavak (entries), melyeknek sémától függően vannak kötelező és opcionális attribútumaik
- minden csomópont rendelkezik egy kitüntetett attribútummal, amely azonosítja a csomópontot a vele egy szinten, közös szülőtől származó csomópontok között - ez az RDN (relative distinguished name)
- a csomópontból a gyökérbe vezető út RDN-jei kiadják a csomópont megkülönböztető nevét - ez a DN (distinguished name)
- az attribútumok lehetnek többértékűek (ezt is a séma határozza meg)
3 Milyen műveleteket engedélyez az LDAP?
- Start TLS: titkosítás nélkül indított csatornán titkosított kommunikáció kezdeményezése - ritkán használt, amióta támogatott az SSL feletti LDAP
- Bind: autentikáció - bizony nem a csatlakozás, az anoním keresések enélkül működnek
- Search: keresés - lásd később
- Compare: összehasonlítás - nem egy attribútum értékét kérdezzük le, hanem elküldünk egy értéket és megkérdezzük, hogy azzal (vagy annak a jelszó hash-ével ;-)) egyezik-e
- Add: új címszó hozzáadása
- Delete: címszó törlése
- Modify entry: címszó attribútumlistájának módosítása
- Modify DN: címszó átnevezése - ez nekem OpenLDAP alatt csak levél típusú csomópontra működött, és annál is csak RDN-re
- Abandon: megkezdett művelet megszakítása
- Unbind: ez viszont már a kapcsolat bontását jelenti (nem a bind ellentettje)
- NB1: egy LDAP kapcsolat során egy kliens több kérést küldhet a szervernek, és a kérések között nem kötelessége megvárni a szerver válaszát (enélkül az abandon értelmét is veszítené).
- NB2: a szerver semmilyen sorrendiséget nem garantál egy válaszon belül az abban szereplő címszavakra, az attribútumaikra, többértékű attribútum esetén az értékekre
- NB3: igen, tényleg hiányzik a tranzakció-kezelés
4 Mi az LDAP URL?
- ha egy protokoll nem támogatja az URL-t (unified resource locator) az erőforrások (jelen esetben címszavak) azonosítására, akkor sokkal nehezebb eladni a menedzsmentnek
- csomópontok egy halmazát lehet vele kiválasztani
proto://host:port/DN?attributes?scope?filter?extensions
- proto: ldap, vagy ldaps (LDAP+SSL)
- host: DNS név vagy IP cím
- port: port szám, opcionális (alapértelmezés ldap esetén 389, ldaps esetén 636)
- DN: a keresés kiindulópontjának megkülönböztető neve
- attributes: meglepő módon az attribútumok listája, opcionális
- scope: base, ha pontosan egy címszót keresünk; one, ha a DN-ben megadott csomópont közvetlen gyermekei között keresünk; sub, ha egy részfában keresünk - NB: az, hogy melyik az alapértelmezés, implementáció-függő; opcionális
- filter: ez egy keresési szűrő (lásd később), opcionális
- extensions: minden, ami az RFC-ből kimaradt (ja igen, opcionális)
5 Hogyan keressünk az LDAP segítségével?
- mivel az LDAP-ot címtárak elérésére fejlesztették, legjobban a kereséseket támogatja (igazából minden más igen körülményes benne)
- telepítsünk egy LDAP klienst - Debian alatt az ldap-utils csomag tartalmazza az OpenLDAP kliensoldali segédprogramjait