Betriebssysteme – Verzeichnisdienst LDAPMarkus Groß
AGENDA2Inhaltsverzeichnis
 Ein Verzeichnisdienst dient der Verwaltung vonInformationen zu Objekten wie Systeme,Netzkomponenten und BenutzerWieso Ve...
Motivation II4Wieso Verzeichnisdienste? Informationen müssen überUnternehmensgrenzen hinweg bereitgestellt werden E-Mail...
 Hohe Kosten und geringe Kontrolle Unterschiedliche Messaging-Systeme in Organisationen Verschiedene Betriebssysteme in...
 Am Anfang war der ISO Standard X.500 Das Directory Access Protocol (DAP) regelt denZugriff auf die Daten DAP - umfangr...
Von 1988 bis heute1 GRUNDLAGEN7Die Meilensteine von LDAPEntwicklungsschritteX.500ISO IS9594LDAP v1RFC 1487LDAP v2RFC 1777L...
 ist ein effizientes auf TCP/IP basiertesKommunikationsprotokoll fürVerzeichnisdienste ist eine normierte Sprache wie LD...
Das LDAP Modell94 Schichten Architektur1 GRUNDLAGENInformationsmodell –beschreibt was in ein Verzeichnis abgelegt werden k...
 Informationen werden als Einträge in einem Baum,dem Directory Information Tree (DIT) dargestellt. Jeder Eintrag besitzt...
2 LDAPINFORMATIONSMODELL11Einträge und AttributeObjekt 1Das VerzeichnisObjekt 2Objekt 3Objekt nAttribut 1 Attribut 2 Attri...
LDAP Struktur12Was kann gespeichert werden? Alphanumerische Datenz.B. Namen, Adressen, E-Mail Binärdatenz.B. Fotos, Graf...
 OID des Schemas Eindeutiger Name und Klasse von der geerbt wird Textliche Beschreibung Attribute die angegeben werden...
 Eindeutige OID des Attributs Eindeutiger Name innerhalb des Schemas Textliche Beschreibung Vergleichsregeln (Matching...
 Der OID ist eine durch Punkte getrennte dezimaleZiffernfolge OIDs werden von der der Internet AssignedNumbers Authority...
 Das Verzeichnis organisiert dieObjekte in Baumform Die Basiselemte zur Strukturierung sind:Organisation des Verzeichnis...
Wie arbeitet LDAP17Aufbau des Verzeichnisses Daten werden als Einträge gespeichert Einträge werden als Baumknotengespeic...
Aufbau des Verzeichnisses3 LDAPNAMENSMODELL18Wie arbeitet LDAPo = rootou = Firma ou = FHDWc = de c = nl c = uscn = Prof Y ...
Wie arbeitet LDAP19Funktionsmodell Abfrage Operationen search (zentrale Funktion) compare Update Operationen add del...
 Mit dem Kommando "ldapsearch" können Objekteauf Grund bestimmter Attribute gesucht werden. Hier wird als Benutzer „prof...
Der Sicherheitsgedanke21 Informationen vor unbefugtem Zugriffschützen ACLs (Access Control Lists) regeln denZugriff bis ...
5 LDAPSICHERHEITSMODELL22Authentisieren als LDAP NutzerBenutzer VerzeichnisdienstAuthentisierung (bind Operation) als Pers...
Single Sign On5 LDAPSICHERHEITSMODELL23LDAP als AuthentisierungsdienstBenutzer VerzeichnisdienstAnwendungIch bin Person Xm...
LDAP unter Windows24Das Active Directory Active Diretory (AD) ist seit 1999 abWindows 2000 verfügbar Das AD ist ein obje...
LDAP unter Windows25Vorteile Replikation über LDAP möglich Gruppenrichtlinien können im ADgespeichert werden Integratio...
 LDAP ist standardisiert und durch Schemen(unterschiedlicher) Hersteller beliebig erweiterbar Funktionen sind optimiert ...
Vielen Dank für Ihre AufmerksamkeitNoch Fragen?
Nächste SlideShare
Wird geladen in …5
×

Betriebssysteme - Verzeichnisdienst LDAP

1.035 Aufrufe

Veröffentlicht am

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.035
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
403
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Betriebssysteme - Verzeichnisdienst LDAP

  1. 1. Betriebssysteme – Verzeichnisdienst LDAPMarkus Groß
  2. 2. AGENDA2Inhaltsverzeichnis
  3. 3.  Ein Verzeichnisdienst dient der Verwaltung vonInformationen zu Objekten wie Systeme,Netzkomponenten und BenutzerWieso Verzeichnisdienste?1 GRUNDLAGEN3MotivationMail SystemPersonalVerwaltungTK-AnlageDatenbankBetriebssystemNetzwerk
  4. 4. Motivation II4Wieso Verzeichnisdienste? Informationen müssen überUnternehmensgrenzen hinweg bereitgestellt werden E-Mail Adressen Telefonnummern FAX-Nummer Konfigurationen Benutzerdaten X.509 Zertifikate (PKI) Komplexe Unternehmensanforderungfordern das Informationen global zurVerfügung stehen1 GRUNDLAGEN
  5. 5.  Hohe Kosten und geringe Kontrolle Unterschiedliche Messaging-Systeme in Organisationen Verschiedene Betriebssysteme in einer Infrastruktur viele Anwendungen, die administriert werden müssen Schwachstellen in der Sicherheit Ungeschützte elektronische Dokumente Unzureichend verwalteter Zugriffschutz Veraltete Einträge in Zugriffslisten Schwer realisierbare Mehrwertdienste unternehmensweite Datenbank-Integration Unified Messaging (E-Mail, Fax, Telefonie)Probleme bei unterschiedlichen Verzeichnisdiensten1 GRUNDLAGEN5Motivation III
  6. 6.  Am Anfang war der ISO Standard X.500 Das Directory Access Protocol (DAP) regelt denZugriff auf die Daten DAP - umfangreich, komplex, schwierig zuImplementieren Dies führte zu einer geringer Verbreitung Daher Entwicklung von LDAP L ightweight D irectory A ccess P rotokollVon 1988 bis heute1 GRUNDLAGEN6Die Geschichte von LDAP
  7. 7. Von 1988 bis heute1 GRUNDLAGEN7Die Meilensteine von LDAPEntwicklungsschritteX.500ISO IS9594LDAP v1RFC 1487LDAP v2RFC 1777LDAP v3RFC 2251LDAP v4
  8. 8.  ist ein effizientes auf TCP/IP basiertesKommunikationsprotokoll fürVerzeichnisdienste ist eine normierte Sprache wie LDAP Client undServer miteinander kommunizieren ist kompatibel zwischen LDAP Anbietern durchstandardisierte Daten-Schemen ist ein hierarchisches objektorientiertesDatenbankmodell ist einfach zu implementieren, da es schlank(lightweight) und effizient ist1 GRUNDLAGEN8Was ist LDAP?
  9. 9. Das LDAP Modell94 Schichten Architektur1 GRUNDLAGENInformationsmodell –beschreibt was in ein Verzeichnis abgelegt werden kannNamensmodell –beschreibt wie Daten angeordnet und angesprochen werdenFunktionsmodell –beschreibt was man alles mit Daten machen kannSicherheitsmodell –beschreibt wie Verzeichnisse geschützt werden können
  10. 10.  Informationen werden als Einträge in einem Baum,dem Directory Information Tree (DIT) dargestellt. Jeder Eintrag besitzt einen eindeutigenDistinguished Name Jeder Eintrag gehört zu (mindestens) einerObjektklasse Objektklassen werden durch ihre Attributedefiniert Ein Attribut besitzt einen Typ und einen odermehrere WerteWie werden Informationen gespeichert?2 LDAPINFORMATIONSMODELL10LDAP Struktur
  11. 11. 2 LDAPINFORMATIONSMODELL11Einträge und AttributeObjekt 1Das VerzeichnisObjekt 2Objekt 3Objekt nAttribut 1 Attribut 2 Attribut nObjekt+49 221 5551234Telefonnummer 0173 7716345Typ WerteSchema
  12. 12. LDAP Struktur12Was kann gespeichert werden? Alphanumerische Datenz.B. Namen, Adressen, E-Mail Binärdatenz.B. Fotos, Grafiken, X.509 Zertifikate Zeiger auf andere Daten Innerhalb des DIT können Zeiger aufexterne Daten gesetzt werden Durch eigene Schemata beliebigerweiterbar2 LDAPINFORMATIONSMODELL
  13. 13.  OID des Schemas Eindeutiger Name und Klasse von der geerbt wird Textliche Beschreibung Attribute die angegeben werden müssen Attribute die angegeben werden können2 LDAPINFORMATIONSMODELL13Beschreibung der Objekteobjectclass ( 1.3.6.1.1.1.2.0 NAME ‘userAccount SUP top AUXILIARYDESC Beschreibung eines Nutzer Accounts mit AttributenMUST ( cn $ uid $ uidNumber $ serialNumber $ homeDirectory )MAY ( userPassword $ loginShell $ gecos $ description ) )
  14. 14.  Eindeutige OID des Attributs Eindeutiger Name innerhalb des Schemas Textliche Beschreibung Vergleichsregeln (Matching Rules) die bei derSuche gelten Attribtsdefinition über Schema OID2 LDAPINFORMATIONSMODELL14Beschreibung der Attributeattributetype ( 2.5.4.5 NAME serialNumberDESC SeriennummerEQUALITY caseIgnoreMatchSUBSTR caseIgnoreSubstringsMatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.44{64} )
  15. 15.  Der OID ist eine durch Punkte getrennte dezimaleZiffernfolge OIDs werden von der der Internet AssignedNumbers Authority (IANA) vergeben Eine OID ist weltweit eindeutigZentrales Element des Informationsmodells2 LDAPINFORMATIONSMODELL15Der Object Identifier (OID)Auszug aus www.alvestrand.noOID Bedeutung1. Durch die ISO zugewiesen1.3.6.1 Der Internet OID1.3.6.1.1.1 RFC2307 NIS Netgroup1.3.6.1.1.1.1 NISSchema Syntax1.3.6.1.1.1.1.4 loginShell im NIS Schema
  16. 16.  Das Verzeichnis organisiert dieObjekte in Baumform Die Basiselemte zur Strukturierung sind:Organisation des Verzeichnisses3 LDAPNAMENSMODELL16Wie arbeitet LDAPSymbol Bezeichnungc countryl localityo organsisationou organisational unitcn common nameuid user id
  17. 17. Wie arbeitet LDAP17Aufbau des Verzeichnisses Daten werden als Einträge gespeichert Einträge werden als Baumknotengespeichert Jeder Knoten hat 0 bis n Kinderknoten Jeder Knoten hat genau 1Elternknoten Mit Ausnahme des Wurzelknotens Jeder Knoten hat einen eindeutigenNamen RDN (Relative Distinguished Name) DN (Distinguished Name)3 LDAPNAMENSMODELL
  18. 18. Aufbau des Verzeichnisses3 LDAPNAMENSMODELL18Wie arbeitet LDAPo = rootou = Firma ou = FHDWc = de c = nl c = uscn = Prof Y cn = Prof Xc = deou = FHDWcn = Prof XRDN: c=decountryNameDITDirectory Information TreeRDN: ou = FHDWorganizationNameo = rootRDN: cn= Prof XcommonNameDN: cn = Prof X, ou = FHDW, c = deTelefon = 0900 / 5551234Fax = 0900 / 55512345Mail = profX@fhdw.de…cn = Prof X
  19. 19. Wie arbeitet LDAP19Funktionsmodell Abfrage Operationen search (zentrale Funktion) compare Update Operationen add delete modify Authentifizierung bind / unbind (Authentifizierung) abandom (Anfrage abbrechen)4 LDAPFUNKTIONSMODELL
  20. 20.  Mit dem Kommando "ldapsearch" können Objekteauf Grund bestimmter Attribute gesucht werden. Hier wird als Benutzer „prof“ nach einen CN„Michael“ durchsucht (mit Passwort „prof“) Hier wird als "anonymer Benutzer" nach derOrganisation „fhdw" gesucht. Als Ergebnis werdennur die Attribute “mail“und „cn“ ausgegebenBeispiele für den Suchen-Befehl4 LDAPFUNKTIONSMODELL20Funktionenmodellldapsearch -h localhost -D "cn=prof, dc=fhdw, o=home""(cn=Michael)" -Wldapseach -x -h localhost -LLL "(ou=fhdw)" mail cn
  21. 21. Der Sicherheitsgedanke21 Informationen vor unbefugtem Zugriffschützen ACLs (Access Control Lists) regeln denZugriff bis auf Attributsebene Bis LDAP v2 unsicher (Passwort alsKlartext) LDAP v3 bietet SSL- TLS-Verschlüsselung Simple Authentification and SecurityLayer (SASL) wird unterstützt umverschiedene Authentifizierungs-Methoden einzubinden5 LDAPSICHERHEITSMODELL
  22. 22. 5 LDAPSICHERHEITSMODELL22Authentisieren als LDAP NutzerBenutzer VerzeichnisdienstAuthentisierung (bind Operation) als Person XAbfrage/Suche/ÄnderungErgebnis gemäß BerechtigungAbmeldung (unbind Operation) als Person X
  23. 23. Single Sign On5 LDAPSICHERHEITSMODELL23LDAP als AuthentisierungsdienstBenutzer VerzeichnisdienstAnwendungIch bin Person Xmit „Passwort“Bind als Person Xmit „Passwort“Erfolg!OKAnmeldung an weiteren Anwendungen überTicket ohne weitere Authentifizierung
  24. 24. LDAP unter Windows24Das Active Directory Active Diretory (AD) ist seit 1999 abWindows 2000 verfügbar Das AD ist ein objektorientierteDatenbank bestehend aus Klassen,Schemata und Objekten, diehierarchisch angeordnet sind Es werden Informationen überNetzwerkobjekte und Ressourcengespeichert und verwaltet Abwärtskompatibel zum Windows NTDirectory Service6 LDAPAUSPRÄGUNG
  25. 25. LDAP unter Windows25Vorteile Replikation über LDAP möglich Gruppenrichtlinien können im ADgespeichert werden Integration von DNS und ExchangeServer in der Verzeichnisdatenbank Single-Sign-On über Kerberos Tickets Integration in den Webserver(Authentifizierung im IIS) Loadbalancing und Failover werdenunterstützt6 LDAPAUSPRÄGUNG
  26. 26.  LDAP ist standardisiert und durch Schemen(unterschiedlicher) Hersteller beliebig erweiterbar Funktionen sind optimiert für typische Aufgabeneines Verzeichnisdienstes (performante Suche) Hierarchische Struktur sorgt für einen globalVerteilbarkeit und eindeutigen Namen Anwendungsübergreifender Zugriff aufunterschiedliche Datenquellen Verbesserte Aktualität der gespeicherten Daten Zukunftssichere Plattform7 ZUSAMMENFASSUNG26Fazit
  27. 27. Vielen Dank für Ihre AufmerksamkeitNoch Fragen?

×