Організація серверу служби каталогів для підприємства програмними засобами OpenLDAP

Організація служби каталогів та її програмні реалізації, приклади промислового використання. Розробка стратегії впровадження та реалізації проекту на основі дерева каталогів підприємства. Установка і настройка сервера служби каталогів засобами OpenLDAP.
Краткое сожержание материала:

Размещено на

ЗМІСТ

ВСТУП

1. СЛУЖБА КАТАЛОГІВ. ТЕХНОЛОГІЯ ОPENLDAP

1.1 Опис впроваджуваної технології

1.2 Вимоги замовника до проекту

2. РОЗРОБКА СТРАТЕГІЇ ВПРОВАДЖЕННЯ ТА РЕАЛІЗАЦІЇ ПРОЕКТУ

3 УСТАНОВКА І НАСТРОЙКА СЕРВЕРА СЛУЖБИ КАТАЛОГІВ ЗАСОБАМИ OPENLDAP

3.1 Установка і настройка сервера

3.2 Настройка клієнтів Windows

ВИСНОВКИ ТА ПРОПОЗИЦІЇ

ПЕРЕЛІК ПОСИЛАНЬ

ВСТУП

У користувачів стали виникати проблеми з пошуком людей та їх поштових адрес. Очевидною стала необхідність у великих спеціалізованих базах даних, які б зберігали тисячі, а то і мільйони записів, а також в механізмах доступу до цих даних по мережі, включаючи надійну аутентифікацію.

Взагалі, у світі UNIX завжди існували методи і утиліти пошуку, типу finger або whois, але вони добре працювали, в основному, в масштабах одного сервера - і для нових реалій не підходили.

Завдання полягало у створенні централізованих адресних книг для цілих корпорацій з розвиненою мережею відділень, а також з міжнародними філіями, які підключаються по Інтернету. До всього, було прийнято рішення зробити цей каталог платформонезалежним. Тому IBM, Lotus, Microsoft і Netscape домовилися про застосування єдиного методу доступу - LDAP - для доступу до адресної інформації. До цієї угоди доклали зусилля і багато інших грандів мережевого комп'ютингу, наприклад Sun і Novell.

При адмініструванні мережі на певному етапі виникає проблема централізованого контролю аутентифікації. Це особливо актуально для великих мереж (100 і більше користувачів). Раніше єдиним прийнятним виходом у такій ситуації була установка Novell Netware як центрального сервера, або служби NIS, якщо мережа заснована на nix машинах, що буває досить рідко. У Netware (версії 4 і старше) існує дуже грамотний механізм NDS (служба директорій Novell), що дозволяє створити єдине дерево мережі, в якому кожен компонент мережі є об'єктом служби директорій. Причому кожен об'єкт володіє певними параметрами для його ідентифікації. Наприклад, об'єкт користувач має своє ім'я, телефон, відділ, службове становище, скрипт для входу в систему. Кожен користувач має певні права, деякі з яких успадковуються з прав групи, якій даний користувач належить. При вході в систему каталогів, користувач отримує доступ тільки до «своїх» файлів. При цьому сама система каталогів може перебувати на декількох серверах.

В цій роботі я зроблю установку і настройку серверу служби каталогів на базі відкритого протоколу OpenLDAP. Це дозволить користувачам більш мобільно і продуктивно працювати в корпоративній мережі.

1 СЛУЖБА КАТАЛОГІВ. ТЕХНОЛОГІЯ OPENLDAP

1.1 Опис впроваджуваної технології

Служба каталогів (англ. Directory Service) - засіб ієрархічного подання ресурсів, що належать деякій окремо взятій організації, та інформації про ці ресурси. Під ресурсами можуть розумітися матеріальні ресурси, персонал, мережеві ресурси і т. д.

Кожен ресурс може належати одному або більше класів. Кожен клас показує, що ресурс є певним типом сутності, і має певний набір властивостей. Сукупності класів можуть об'єднуватися в схеми, які описують типи ресурсів, що застосовуються в окремо взятій предметній області. Служба каталогів в контексті комп'ютерних мереж - програмний комплекс, що дозволяє адміністратору працювати з упорядкованим по ряду ознак масивом інформації про мережеві ресурси (загальні папки, сервери друку, принтери, користувачі і т. д.), що зберігаються в єдиному місці, що забезпечує централізоване управління як самими ресурсами, так і інформацією про них, а також дозволяє контролювати використання їх третіми особами.

Каталог - це спеціалізована база даних, призначена для пошуку та перегляду інформації, а також підтримує наповнення даними та їх оновлення в якості додаткових функцій.

Каталоги мають тенденцію містити описову інформацію, засновану на атрибутах, і підтримують складні способи фільтрації. Каталоги зазвичай не підтримують механізми транзакцій і відкатів (roll-back), що застосовуються в СУБД, орієнтованих на комплексні поновлення великого обсягу даних. Оновлення в каталогах (якщо вони взагалі дозволені), зазвичай відбуваються за простою схемою: "змінити все або нічого". Каталоги зазвичай оптимізуються на якнайшвидшу видачу результату при пошуку серед великих обсягів інформації. Вони також можуть мати можливість реплікації інформації, тобто створення віддалених копій каталогу з метою підвищення доступності інформації, надійності її зберігання і зниження часу відгуку. У процесі реплікації, до повного її закінчення, допустима тимчасова неузгодженість інформації між репліками.

Існує багато методів організації служби каталогів. Відмінності можуть стосуватися типів інформації, збереженої в каталозі, висунення різних вимог до звернення і оновлення цієї інформації, посиланням на неї, організації системи розмежування доступу до інформації, і т. д. Деякі служби каталогів можуть бути локальними, що надають послуги в обмеженому контексті (наприклад , для служби finger на окремій машині). Інші служби глобальні, надають послуги в набагато ширшому контексті (наприклад, всьому Internet). Глобальні служби зазвичай є розподіленими. Це означає, що міститься в них інформація розподілена між багатьма комп'ютерами, взаємодіючими один з одним для надання послуг служби каталогів. Зазвичай глобальна служба каталогів визначає уніфікований простір імен, щоб користувач отримував однаковий результат незалежно від того, звідки він виробляє запит і до якого сервера служби звертається.

Веб-каталог, такий як Open Directory Project, - хороший приклад служби каталогів. Ця служба каталогізує веб-сторінки і спеціально розроблена для перегляду та пошуку.

Деякі приводять Domain Name System (DNS) як приклад глобально розподіленої служби каталогів, однак DNS не доступний ні для перегляду, ні для пошуку в прямому сенсі цього слова. Більш правильно було б назвати його глобально розподіленої службою відповідей на конкретно поставлені питання.

Служби каталогів мають цілий ряд комерційних і вільних програмних реалізацій.

комерційні:

- MS Active Directory

- Novell NDS

- iPlanet Directory

некомерційні:

- OpenLDAP

- Apache Directory Server

- Fedora Directory Server в 2009 році перейменовано в 389 Directory Server

У загальному випадку, службу каталогів можна використовувати, коли нам потрібне надійне зберігання інформації з можливістю централізованого управління та доступу до неї, з використанням стандартизованих методів.

Ось ряд найпоширеніших прикладів промислового використання служб каталогів:

- Ідентифікація комп'ютерів

- Аутентифікація користувачів

- Угруповання користувачів (у тому числі системні групи)

- Адресні книги

- Подання штатно-кадрової структури організації

- Облік закріплення майна організації за співробітниками

- Телефонні довідники

- Управління клієнтськими ресурсами

- Довідники адрес електронної пошти

- Зберігання конфігурації додатків

- Зберігання конфігурації АТС

- і т. д. ...

Для організації каталогу під настільки різні завдання існують різні, засновані на стандартах файли наборів схеми, поширювані з дистрибутивом. Також Ви можете створити свою власну специфікацію схеми для вирішення вашого завдання.

Завжди знайдуться нові способи використання каталогів та застосування принципів LDAP для вирішення різних проблем.

OpenLDAP Software - відкрита реалізація LDAP, розроблена проектом OpenLDAP Project. Розповсюджується під власною ліцензією, званою OpenLDAP Public License.

Початок OpenLDAP Project було покладено в 1998 Куртом Зейленгою. Початковий код OpenLDAP був скопійований з реалізації LDAP Мічиганського університету, де в кінцевому рахунку і була продовжена розробка та еволюція протоколу LDAP.

На сьогодні існує декілька версій OpenLDAP. Найбільш сучасна версія OpenLDAP Version 2.4.31.

Інформаційна модель LDAP заснована на записах. Запис - це колекція атрибутів (атрибут), що володіє унікальним ім'ям (Distinguished Name, DN). DN - глобально унікальне для всього каталогу і служить для однозначної вказівки на запис. Кожен атрибут запису має свій тип (вид) і одне або кілька значень. Зазвичай типи - це мнемонічні рядки, в яких відображено призначення атрибута, наприклад "сn" - для загальноприйнятого імені, або "пошта" - для адреси електронної пошти. Синтаксис значень залежить від типу атрибута. Наприклад, атрибут CN може містити значення Ivan Ivanov. Атрибут пошта може містити значення "ivanon@example.com". Атрибут jpegPhoto буде містити фотографію в бінарному форматі JPEG.

Побудова дерева може бути також заснованою на доменних іменах Інтернету. Цей підхід до іменування записів стає все більш популярним, оскільки дозволяє звертатися до служб каталогів по аналогії з доменами DNS. На рисунку 1.1 показаний приклад дерева каталогу LDAP, що використовує іменування записів на основі доменів.



Рисунок 1.1 - Дерево кат...