Вход

Проект OpenLDap

Курсовая работа* по информатике и информационным технологиям
Дата создания: 10.05.2012
Автор: Стариченко Максим
Язык курсовой: Русский
Word, docx, 114 кб
Курсовую можно скачать бесплатно
Скачать
Данная работа не подходит - план Б:
Создаете заказ
Выбираете исполнителя
Готовый результат
Исполнители предлагают свои условия
Автор работает
Заказать
Не подходит данная работа?
Вы можете заказать написание любой учебной работы на любую тему.
Заказать новую работу
* Данная работа не является научным трудом, не является выпускной квалификационной работой и представляет собой результат обработки, структурирования и форматирования собранной информации, предназначенной для использования в качестве источника материала при самостоятельной подготовки учебных работ.
Очень похожие работы

Содержание:

Введение

1. Введение в службы каталогов OpenLDAP.

1.1 Служба каталогов.

1.2 Что такое LDAP.

1.3 Для чего можно использовать LDAP.

1.4 Как работает LDAP.

1.5 X.500.

1.6 Отличие между LDAPv2 и LDAPv3.

1.7. Что такое slapd и на что он способен.

1.8 Непростые взаимоотношения LDAP и реляционных СУБД.

2. Варианты конфигурации.

2.1 Локальная служба каталогов.

2.2 Локальная служба каталогов с отсылками.

2.3 Реплицируемая служба каталогов.

2.4 Распределённая локальная служба каталогов.

3. Сборка и установка программного обеспечения OpenLDAP.

3.1 Распаковка программного обеспечения.

3.2 Программное обеспечение, от которого зависит OpenLDAP.

3.2.1 Transport Layer Security.

 3.2.2 Simple Authentication and Security Layer.

 3.2.3 СервисаутентификацииKerberos.

 3.2.4 TCP Wrappers.

3.3. Запуск configure.

3.4 Сборка программного обеспечения.

3.5Тестирование программного обеспечения.

3.6 Установка программного обеспечения.

4.Основные (функциональные) выпуски OpenLDAP.

Заключение

Список использованных источников. 

Введение

 OpenLDAP — открытая реализация LDAP, разработанная проектом OpenLDAP Project. Распространяется под собственной лицензией, называемой OpenLDAP Public License. LDAP — платформенно-независимый протокол. В числе прочих есть реализации для различных модификаций BSD, а также Linux, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (NT и наследники — 2000, XP, Vista, Windows 7) и z/OS.

 Начало OpenLDAP Project было положено в 1998 Куртом Зейленгой (Kurt Zeilenga). Изначальный код OpenLDAP был скопирован с реализации LDAP Мичиганского университета, где в конечном счёте и была продолжена разработка и эволюция протокола LDAP.

В апреле 2006 года главными разработчиками проекта OpenLDAP были: Говард Чу (Howard Chu) (Главный архитектор), Пиеранджело Масарати (Pierangelo Masarati) и Курт Зейленга. Свой немаловажный вклад в проект осуществили также и другие многочисленные активные разработчики, включая Люка Говарда (Luke Howard), Холларда Фьюрусета (Hallvard Furuseth), Куанаха Гибсон-Маунта (Quanah Gibson-Mount) и Гэвина Хенри (Gavin Henry). 

1.Введение в службы каталогов OpenLDAP

Данный документ рассказывает о том, как собрать, настроить и эксплуатировать программное обеспечение OpenLDAP для организации службы каталогов. В ней детально описаны конфигурирование и запуск автономного демона LDAP (Standalone LDAP Daemon), slapd. Документация предназначена как для новичков, так и для опытных системных администраторов. В данном разделе дается базовое введение в службы каталогов и, в частности, в службы каталогов, построенные на slapd.

1.1 Служба каталогов.

Каталог - это специализированная база данных, предназначенная для поиска и просмотра информации, а также поддерживающая наполнение данными и их обновление в качестве дополнительных функций.

Каталоги имеют тенденцию содержать описательную информацию, основанную на атрибутах, и поддерживать сложные способы фильтрации. Каталоги обычно не поддерживают механизмы транзакций и откатов (roll-back), применяемые в СУБД, ориентированных на комплексные обновления большого объема данных. Обновления в каталогах (если они вообще разрешены), обычно происходят по простой схеме: "изменить всё или ничего". Каталоги обычно оптимизируются на скорейшую выдачу результата при поиске среди больших объемов информации. Они также могут иметь возможность репликации информации, то есть создания удалённых копий каталога с целью повышения доступности информации, надёжности её хранения и снижения времени отклика. В процессе репликации, до полного её окончания, допустимо временное рассогласование информации между репликами.

1.2. ЧтотакоеLDAP.

LDAP - этоаббревиатураотLightweight Directory Access Protocol. Как следует из названия, это облегчённый, предназначенный для доступа к службам каталогов на основе X.500. LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов.

LDAP выстраиваются в виде иерархической древовидной структуры. Традиционно, эта структура отражает географическое или организационное устройство хранимых данных. В вершине дерева располагаются записи, представляющие собой страны. Под ними располагаются записи, представляющие области стран и организации. Еще ниже располагаются записи, отражающие подразделения организаций, людей, принтеры, документы, или просто всё то, что Вы захотите включить в каталог. На рисунке 1.1 показан пример дерева каталога LDAP, использующего традиционное именование записей.

Построение дерева может быть также основано на доменных именах Internet. Этот подход к именованию записей становится всё более популярным, поскольку позволяет обращаться к службам каталогов по аналогии с доменами DNS. На рисунке 1.2 показан пример дерева каталога LDAP, использующего именование записей на основе доменов. 

Кроме того, LDAP, посредством специального атрибута objectClass, позволяет контролировать, какие атрибуты обязательны и какие допустимы в той или иной записи. Значения атрибута objectClass определяются правилами схемы, которым должны подчиняться записи.

1.3. Для чего можно использовать LDAP.

В общем случае, службу каталогов можно использовать, когда Вам требуется надёжное хранение информации с возможностью централизованного управления и доступа к ней, с использованием стандартизированных методов.

Самые распространённые примеры промышленного использования служб каталогов:

• Аутентификация пользователей

• Адресные книги

• Учет закрепления имущества организации за сотрудниками

• Телефонные справочники

• Управление пользовательскими ресурсами

• Справочники адресов электронной почты

• Хранение конфигурации приложений

• Хранение конфигурации АТС

• и т.д...

1.4. Как работает LDAP.

 LDAP использует клиент-серверную модель. Один или несколько серверов LDAP содержат информацию, образующую информационное дерево каталога (directory information tree, DIT). Клиент подключается к серверу и делает запрос. В ответ сервер отправляет результаты обработки запроса или указатель на то, где клиент может получить дополнительные сведения (обычно, на другой сервер LDAP). Независимо от того, к какому серверу LDAP подключается клиент, он увидит одинаковое представление каталога; на записи, расположенные на одном сервере LDAP, будут указывать правильные ссылки при обращении к другому серверу LDAP, и наоборот.

Технически, LDAP - это протокол доступа к службе каталогов X.500, то есть службе каталогов OSI. Изначально, клиенты использовали LDAP для получения доступа к шлюзам службы каталогов X.500. Такие шлюзы использовали LDAP для общения с клиентом, а для обращения к серверу X.500 использовали протокол доступа к каталогам (Directory Access Protocol, DAP). DAP - весьма тяжеловесный протокол, функционирующий поверх полного стека протоколов OSI и требующий значительного количества вычислительных ресурсов. LDAP разработан для функционирования поверх TCP/IP, и обеспечивает большую часть функциональности DAP по гораздо более низкой цене.

Хотя LDAP по-прежнему используется для доступа к службе каталогов X.500 через шлюзы, сейчас он чаще непосредственно встраивается в программное обеспечение серверов X.500.

Автономный демон LDAP, или slapd, можно рассматривать как легковесный сервер службы каталогов X.500. Он не реализует X.500 DAP и не поддерживает полные информационные модели X.500.

Если Вы уже используете службу X.500 и DAP и планируете продолжать, Вам, скорее всего, можно не читать это руководство дальше, поскольку оно целиком посвящено работе LDAP с использованием slapd, без запуска X.500 DAP. Существует возможность переноса данных из службы каталогов LDAP в X.500 DAP DSA. Для этого нужен шлюз LDAP/DAP. В состав программного обеспечения OpenLDAP такой шлюз не входит.

1.6 Отличие между LDAPv2 и LDAPv3.

LDAPv3 был разработан в конце 90-х годов для замены LDAPv2. LDAPv3 добавил в LDAP следующие возможности:

• Строгая аутентификация и сервисы безопасности данных с помощью SASL

• Аутентификация с использованием сертификатов и сервисы безопасности данных с помощью TLS (SSL)

• Интернационализация посредством использования Unicode

• Поддержка ссылок и продолжений

• Развёртывание в соответствии со схемой данных

• Расширяемость (средствами контроля, дополнительными операциями, и другими возможностями)

Сейчас LDAPv2 является историческим (RFC3494). Поскольку большинство так называемых реализаций LDAPv2 (в том числе slapd) не соответствуют техническим спецификациям LDAPv2, совместимость между такими реализациями, декларирующими поддержку LDAPv2, ограничена. Так как LDAPv2 существенно отличается от LDAPv3, поддержка работоспособности одновременно и LDAPv2 и LDAPv3 весьма проблематична. Следует избегать использования LDAPv2, по умолчанию он отключен.

1.7.Что такое slapd и на что он способен.

Slapd - это сервер службы каталогов, работающий на очень многих платформах. Вы можете использовать его для организации службы каталогов и настройки её индивидуально под себя. Ваш каталог может хранить информацию практически обо всём, что Вам заблагорассудится. Вы можете подключить его к глобальной службе каталогов, или использовать только в своих интересах.

Некоторые возможности и особенности Slapd.

 Интернационализация: slapd поддерживает Unicode и языковые теги.

 Прокси-кэширование: slapd может быть сконфигурирован в качестве кэширующего прокси-сервера LDAP.

 Контроль доступа: slapd предоставляет богатые и мощные средства контроля доступа к информации в Ваших базах данных. Вы можете контролировать доступ к записям по аутентификационной информации LDAP, IP-адресу, доменному имени и другим критериям. slapd поддерживает как статическую так и динамическую информацию для осуществления контроля доступа.

 LDAPv3: slapd реализует версию 3 протокола Lightweight Directory Access Protocol. slapd поддерживает работу LDAP поверх как IPv4 так и IPv6, а также Unix IPC.

1.8 Непростые взаимоотношения LDAP и реляционных СУБД.

 Вопрос поднимался много раз в различных формах. Однако, чаще всего в такой: Почему бы OpenLDAP не перейти от Berkeley DB к использованию полноценной реляционной системы управления базами данных (СУБД)? Такой переход мог бы сделать OpenLDAP быстрее или дать другие преимущества за счет используемых в СУБД коммерческого класса сложных алгоритмов, и, с другой стороны, дал бы возможность другим приложениям работать с теми же данными непосредственно из БД.

Если ответить коротко, использование встроенной базы данных и простой системы индексирования позволяет OpenLDAP обеспечивать высокую производительность и масштабируемость без потери надёжности. OpenLDAP использует многопользовательскую СУБД Berkeley DB с поддержкой транзакций. То же самое программное обеспечение используется в ведущих коммерческих службах каталогов.

2. Варианты конфигурации.

 В этом разделе даётся краткий обзор возможных вариантов конфигурации каталога LDAP, а также того, как Ваш Автономный демон LDAP slapd(8) может вписаться в остальной мир.

2.1Локальная служба каталогов.

В таком варианте конфигурации Вы запускаете slapd, который будет предоставлять службу каталога только Вашему локальному домену. Он никогда не будет взаимодействовать с другими серверами службы каталогов. Этот вариант конфигурации показан на рисунке 2.1.

Данная конфигурация применима, если Вы только начинаете знакомиться со службами каталогов (это как раз то, что у Вас получится после воплощения в жизнь руководства по быстрому развёртыванию и запуску), или если Вам нужна только локальная служба каталогов, а связь с остальным миром Вас не интересует.

2.2 Локальная служба каталогов с отсылками.

В таком варианте конфигурации Вы запускаете slapd, который будет предоставлять службу каталога Вашему локальному домену, и настраиваете его так, чтобы он мог возвращать отсылки на другие серверы, способные обрабатывать запросы. Вы можете сами запустить такую службу (или службы), либо воспользоваться какой-нибудь сторонней. Этот вариант конфигурации показан на рисунке 2.2.

Данная конфигурация применима, если Вы хотите организовать локальную службу каталога и принимать участие в Глобальном Каталоге, либо Вы хотите делегировать ответственность за обслуживание нижестоящих записей другому серверу.

2.3 Реплицируемая служба каталогов.

slapd поддерживает репликацию, основанную на LDAP Sync, называемую syncrepl, которая может использоваться для поддержания теневых копий информации каталога на нескольких серверах службы каталога. В наиболее общем варианте такой конфигурации присутствует основной сервер-поставщик syncrepl и один или несколько подчинённых (или теневых) серверов-потребителей syncrepl. Пример конфигурации с основным и подчинённым серверами показан на рисунке 2.3. Возможна также конфигурация с несколькими главными серверами.

Эта конфигурация может быть использована в сочетании с любой из двух предыдущих в тех ситуациях, когда одиночный сервер slapd не может обеспечить требуемой надежности или доступности.

2.4 Распределённая локальная служба каталогов.

В таком варианте конфигурации локальная служба каталогов поделена на более мелкие службы, каждая из которых может быть реплицирована, и эти службы связаны между собой с помощью вышестоящих и нижестоящих отсылок.

3. Сборка и установка программного обеспечения OpenLDAP.

Сбобрка и установка пакета программного обеспечения OpenLDAP, включая slapd, Автономный демон LDAP. Сборка и установка ПО OpenLDAP проходит в несколько этапов: установка ПО, от которого зависит OpenLDAP, конфигурирование самого ПО OpenLDAP, сборка, и, наконец, установка.

3.1 Распаковка программного обеспечения.

Для общего использования проект предоставляет два вида пакетов. Проект выпускает релизы (releases), в которых доступны новые функции и исправления ошибок. Хотя проект заботится о том, чтобы повысить стабильность этих релизов, проблемы, как обычно, обнаруживаются только после выпуска релиза. Стабильным (stable) релизом считается последний релиз, который продемонстрировал стабильность во время общего использования.

Пользователи программного обеспечения OpenLDAP могут выбирать по своему желанию между новыми возможностями и продемонстрированной стабильностью, и устанавливать наиболее подходящий им вид пакета.

После скачивания программного обеспечения OpenLDAP, Вам нужно распаковать дистрибутив из архива и сменить рабочую директорию на корневую директорию дистрибутива:

Замените VERSION на версию Вашего дистрибутива.

 Просмотрите идущие с дистрибутивом документы COPYRIGHT, LICENSE, README и INSTALL. Документы COPYRIGHT и LICENSE дают информацию о разрешениях на использование и копирование, а также об ограниченной гарантии пакета OpenLDAP. В документах README и INSTALL представлена детальная информация о требованиях, предъявляемых пакетом OpenLDAP к установленному на сервере программному обеспечению, и о процедуре установки.

3.2 Программное обеспечение, от которого зависит OpenLDAP.

 Программное обеспечение OpenLDAP использует для своей работы ряд пакетов, предоставляемых третьими лицами.

3.2.1. Transport Layer Security

 Клиенты и серверы OpenLDAP требуют установки библиотек OpenSSL, GnuTLS, или MozNSS TLS для предоставления сервисов Transport Layer Security. Хотя некоторые операционные системы могут предоставлять эти библиотеки как часть основной системы или как дополнительный программный компонент, OpenSSL, GnuTLS, и Mozilla NSS часто требуют отдельной установки.

 Программное обеспечение OpenLDAP не будет полностью совместимо с LDAPv3, если его скрипт configure не определит доступность какой-либо библиотеки TLS.

3.2.2. Simple Authentication and Security Layer.

 КлиентыисерверыOpenLDAP требуютустановкибиблиотекиCyrus SASL дляпредоставлениясервисовSimple Authentication and Security Layer. Хотя некоторые операционные системы могут предоставлять эту библиотеку как часть основной системы или как дополнительный программный компонент, Cyrus SASL часто требует отдельной установки.

 Программное обеспечение OpenLDAP не будет полностью совместимо с LDAPv3, если его скрипт configure не определит доступность установленной Cyrus SASL.

3.2.3. Сервис аутентификации Kerberos.

 Клиенты и серверы OpenLDAP поддерживают сервисы аутентификации Kerberos. В частности, OpenLDAP поддерживает механизм аутентификации SASL Kerberos V GSS-API, известный как механизм GSSAPI. Чтобы это работало, кроме библиотек Cyrus SASL, требуются библиотеки либо Heimdal, либо MIT Kerberos V.

 Настоятельно рекомендуется использовать сервисы строгой аутентификации, такие, как предоставляет Kerberos.

3.2.4. TCP Wrappers.

 slapd поддерживает TCP Wrappers (фильтры контроля доступа уровня IP), если они предустановлены. Рекомендуется использование TCP Wrappers или других фильтров доступа уровня IP (например таких, которые предоставляются IP-фаерволами) на серверах, содержащих информацию ограниченного распространения.

3.3. Запуск configure.

Пришло время запустить скрипт configure с опцией --help. В результате Вы получите список опций, которые можно поменять при сборке OpenLDAP. С помощью этого метода можно включить или отключить многие функции OpenLDAP.

Скрипт configure также обращает внимание на некоторые переменные, задаваемые как в командной строке, так и в окружении. Эти переменные включают в себя:

В качестве примера, предположим, что мы хотим установить OpenLDAP с механизмом манипуляции данными BDB и поддержкой TCP Wrappers. По умолчанию, поддержка BDB включена, а TCP Wrappers - нет. Поэтому нам нужно указать только --enable-wrappers , чтобы добавить поддержку TCP Wrappers:

 Однако, выполнение данной команды закончится неудачей, если программное обеспечение, от которого зависит OpenLDAP, не установлено в системных директориях. Например, если заголовочные файлы и библиотеки TCP Wrappers установлены соответственно в /usr/local/include и /usr/local/lib, скрипт configure обычно следует запускать таким образом:

Чаще всего, скрипт configure сам определяет соответствующие настройки. Если на этом этапе Вы столкнулись с трудностями, проконсультируйтесь с документацией по Вашей платформе и проверьте Ваши опции configure, если Вы их устанавливали.

3.4 Сборка программного обеспечения.

 При удачном окончании работы скрипта configure, последней строкой вывода будет:

 Please "make depend" to build dependencies

Если последняя строка отличается, значит выполнение configure окончилось неудачей, и Вам нужно просмотреть вывод скрипта, чтобы определить, что пошло не так. Пока configure не завершится удачно, продолжать дальше не следует.

Теперь соберём программное обеспечение. На этом этапе происходит фактическая компиляция

Вам нужно внимательно изучить вывод этой команды, чтобы убедиться, что всё собрано правильно. Обратите внимание, что эта команда, кроме самого slapd, собирает также библиотеки LDAP и соответствующее клиентское программное обеспечение.

3.5 Тестирование программного обеспечения.

 Когда программное обеспечение было правильно сконфигурировано и успешно собрано, нужно выполнить набор тестов для проверки сборки.

Будут запущены тесты, применимые к Вашей конфигурации, и они должны успешно пройти. Некоторые тесты, такие, как тест репликации, могут быть пропущены, если они не поддерживаются Вашей конфигурацией.

3.6 Установка программного обеспечения.

 После того, как Вы успешно протестировали программное обеспечение, пора его установить. Для этого Вам понадобятся права на запись в директории установки, которые Вы указали при запуске configure. По умолчанию, программное обеспечение OpenLDAP устанавливается в /usr/local. Если Вы поменяли эту настройку опцией --prefix при запуске configure, ПО будет установлено в то место, которое Вы указали.

Обычно, установка требует прав администратора. Находясь в корне каталога с исходным кодом OpenLDAP, выполните:

4.Основные (функциональные) выпуски OpenLDAP.

OpenLDAP Version 1 был генеральной чисткой кода последнего выпуска LDAP Мичиганского университета (версия 3.3) и объединением дополнительных изменений.

OpenLDAP Version 2.0, выпущенный в августе 2000, содержал значительные улучшения включая поддержку LDAP версии 3 (LDAPv3), протокол интернета версии 6 (IPv6) и многие другие.

OpenLDAP Version 2.1, выпущенный в июне 2002, включал модуль транзакционной базы данных (основанной на базе данных университета Беркли или BDB), Simple Authentication and Security Layer (SASL; уровень простой аутентификации и безопасности), а также экспериментальные модули Meta, Monitor и Virtual .

OpenLDAP Version 2.2, появившийся в декабре 2003, включал движок «sync», поддерживающий репликацию (syncrepl), интерфейс оверлеев и многочисленные функциональные улучшения касающиеся базы данных и стандартов RFC.

OpenLDAP Version 2.3, выпущенный в июне 2005, содержал Конфигуратор (инструмент динамической конфигурации), дополнительные оверлеи, включая соответствующее стандартам RFC ПО политики управления паролями и многие другие улучшения.

OpenLDAP Version 2.4, выпущенный в октябре 2007 года, предоставил механизм репликации «N-way MultiMaster», «ожидающий мастер» и возможность удалять и модифицировать элементы схемы.

Заключение

 В результате: что вам может дать LDAP? Практически то, для чего он предназначен,— быстрый и согласованный доступ к адресной информации, включая телефоны и адреса электронной почты, будь то ваши сотрудники, партнеры или клиенты. Если ваша компания нуждается в единой адресной книге и вы хотите сделать ее доступной из стандартных почтовых клиентов — то вам нужно поднимать LDAP-сервер.

Кроме того, как вы можете убедиться, многие системные утилиты воспринимают LDAP как хранилище собственных настроек — и это тоже можно использовать.

Остаются лишь вопросы: на какой платформе ставить сервер (Linux), какой именно (OpenLDAP), как организовать администрирование и делать ли его доступным извне вашей локальной сети. Но это уже не технические, а организационные проблемы, решение которых вам подскажет элементарный здравый смысл.

© Рефератбанк, 2002 - 2024