LDAP Giới thiệu chung Ngày 03 23, 2010 Phiên 1.0 Trạng thái Hoàn thành Tác giả Trương Thị Mai Reviewed by [Name, Position] Approved by [Name, Position] Lịch sử thao tác Ngày Phiên Mô tả Tác giả 03 23 2010 1.0 Giới thiệu Ldap Trương Thị Mai Mục Lục GIỚI THIỆU 2.1 MỤC ĐÍCH 2.2 PHẠM VI 2.3 ĐỊNH NGHĨA TỪ VIẾT TẮT 2.4 TÀI LIỆU THAM KHẢO 2.5 TỔNG QUAN 4 5 GIỚI THIỆU CHUNG VỀ LDAP 3.1 GIỚI THIỆU CƠ BẢN 3.1.1 LDAP - Lightweight Directory Access Protocol 3.1.2 Phương thức hoạt động LDAP .8 3.1.3 Cấu trúc file Ldif 10 3.2 MƠ HÌNH LDAP 13 3.2.1 Mơ hình thơng tin Ldap (LDAP information model) 13 3.2.2 Mơ hình đặt tên Ldap (LDAP naming model) .15 3.2.3 Mơ hình chức Ldap (LDAP function model) 17 Thao tác thẩm tra (LDAP Interrogation) 17 Thao tác cập nhật (update) 19 Thao tác xác thực điều khiển (authentiaction and control) 19 Các thao tác mở rộng 19 3.2.4 Mơ hình bảo mật Ldap (LDAP Security model) 20 3.3 CHỨNG THỰC TRONG LDAP 20 3.4 MỘT SỐ DỊCH VỤ SỬ DỤNG NGHI THỨC LDAP 22 ÁP DỤNG VÀO KHOA CNTT 25 4.1 XÂY DỰNG CSDL BAN ĐẦU 4.2 SƠ ĐỒ 4.3 NỘI DUNG FILE LDIF 25 25 26 Giới thiệu 2.1 Mục đích Giới thiệu chung cơng nghệ Ldap dùng để chứng thực tập trung, mơ hình làm việc xây dựng mơ hình phù hợp với khoa CNTT 2.2 Phạm vi Áp dụng vào mơ hình khoa CNTT trường đại học Nông Lâm 2.3 STT Định nghĩa từ viết tắt Tên Ldap Ldif Mô tả Lightweight Directory Access Protocol : giao thức truy nhập nhanh dịch vụ thư mục LDAP Data Interchange Format : định nghĩa khuôn dạng để trao đổi liệu dạng thức văn dùng để mô tả thông tin thư mục LDIF cịn mơ tả tập hợp thư mục hay cập nhật áp dụng thư mục Relative Distingguished Name : thuộc tính RDN DN làm cho đối tượng ngữ cảnh DIT OID SSL TSL Directory Information Tree : thông tin thư mục Object Identifier : số toàn cầu xác định đối tượng Secure Sockets Layer - giao thức thường sử dụng để quản lý an ninh truyền tin Internet Transport Layer Security - giao thức đảm bảo riêng tư (private) ứng dụng truyền thông người dùng họ Internet SASL Simple Authentication and Security Layer 2.4    2.5 Tài liệu tham khảo Lightweight Directory Access Protocol - Wikipedia, the free encyclopedia.htm Understanding LDAP design and Implementation, IBM redbooks (sg244986.pdf) http://www.ust.hk/itsc/ldap/understand.html Tổng quan Giới thiệu chung LDAP 3.1 Giới thiệu • Hiện nay, để xây dựng hệ thống lớn, điều tối quan trọng phải làm cách để tích hợp liệu để từ dùng chung hệ thống khác Trong đó, tích hợp tài khoản người sử dụng vấn đề cần thiết "tối quan trọng" • Hãy tưởng tượng hệ thống với khoảng - mô đun khác nhau, mô đun lại thiết kế tảng khác (Có người dùng Oracle + AS Portal, có người dùng DB2 với WebSphere, người khác dùng MySQL với phpnuke, người dùng Window, người cài Linux), cần có hệ thống người dùng khác Vậy với mơ đun, người sử dụng cần phải có User Name, mật khác nhau, điều khơng thể chấp nhận Người dùng chẳng chốc mà chán ghét hệ thống • Làm cách để tích hợp người dùng hệ thống trên? Câu trả lời LDAP Vậy LDAP gì? 3.1.1 LDAP - Lightweight Directory Access Protocol Định nghĩa LDAP • LDAP (Lightweight Directory Access Protocol) – giao thức truy cập nhanh dịch vụ thư mục - chuẩn mở rộng cho nghi thức truy cập thư mục • LDAP giao thức tìm, truy nhập thơng tin dạng thư mục server Nó dùng giao thức dạng Client/Server để truy cập dịch vụ thư mục • LDAP chạy TCP/IP dịch vụ hướng kết nối khác • Ngồi ra, LDAP tạo đặc biệt cho hành động "đọc" Bởi thế, xác thực người dùng phương tiện "lookup" LDAP nhanh, hiệu suất, tốn tài nguyên, đơn giản query user account CSDL • Có LDAP Server như: OpenLDAP, OPENDS, Active Directory, … Giải thích cụm từ “Lightweight Directory Access Protocol” Lightweight • Tại LDAP coi lightweight? Lightweight so sánh với gì? Để trả lời câu hỏi này, bạn cần tìm hiểu nguồn gốc LDAP • Bản chất LDAP phần dịch vụ thư mục X.500 LDAP thực chất thiết kế giao thức nhẹ nhàng, dùng gateway trả lời yêu cầu X.500 server • X500 biết heavyweight, tập chuẩn Nó yêu cầu client server liên lạc với sử dụng theo mơ hình OSI Mơ hình tầng OSI - mơ hình chuẩn phù hợp thiết kế với giao thức mạng, so sánh với chuẩn TCP/IP trở nên khơng cịn hợp lý • LDAP so sánh với lightweight sử dụng gói tin overhead thấp, xác định xác lớp TCP ( mặc định cồng 389) danh sách giao thức TCP/IP Còn X.500 lớp giao thức ứng dụng, chứa nhiều thứ hơn, ví dụ network header bao quanh gói tin layer trước chuyển mạng Hình X.500 thơng qua mơ hình OSI – LDAP thơng qua TCP/IP • Tóm lại, LDAP coi lightweight lược bỏ nhiều phương thức dùng X.500 Directory • Dịch vụ thư mục khơng nhầm với sở liệu Thư mục thiết kế để đọc nhiều để ghi vào, sở liệu, phù hợp với công việc đọc ghi cách thường xuyên lặp lặp lại • LDAP giao thức, tập thơng tin cho việc xử lý loại liệu Một giao thức biết liệu lưu trữ đâu LDAP không hỗ trợ xử lý đặc trưng khác sở liệu • Client khơng thấy biết có máy lưu trữ backend Vì lý này, LDAP client cần liên tác với LDAP server theo mơ hình chuẩn sau: Hình Mối quan hệ LDAP client, LDAP server nơi chứa liệu Access Protocol • LDAP giao thức truy cập Nó đưa mơ hình dạng liệu, mơ hình dạng nhắc tới bạn truy cập LDAP server • Giao thứctruy cập client/server LDAP định nghĩa RFC, client đưa loạt yêu cầu trả lời cho yêu cầu lại trả lời theo cách xếp khác 3.1.2 Phương thức hoạt động LDAP Ldap dùng giao thức giao tiếp client/sever • Giao thức giao tiếp client/sever mơ hình giao thức chương trình client chạy máy tính gởi yêu cầu qua mạng đến cho máy tính khác chạy chương trình sever (phục vụ) • Chương trình server nhận lấy yêu cầu thực sau trả lại kết cho chương trình client • Ý tưởng giao thức client/server công việc gán cho máy tính tối ưu hố để thực cơng việc • Một máy server LDAP cần có nhiều RAM(bơ nhớ) dùng để lưu trữ nội dung thư mục cho thao tác thực thi nhanh máy cần đĩa cứng vi xử lý tốc độ cao Đây tiến trình hoạt động trao đổi LDAP client/server : Hình Mơ hình kết nối client/server • Client mở kết nối TCP đến LDAP server thực thao tác bind Thao tác bind bao gồm tên directory entry ,và uỷ nhiệm thư sử dụng trình xác thực, uỷ nhiệm thư thơng thường pasword chứng điện tử dùng để xác thực client • Sau thư mục có xác định thao tác bind, kết thao tác bind trả cho client Client phát u cầu tìm kiếm • Server thực xử lý trả kết cho client • Server gởi thơng điệp kết thúc việc tìm kiếm • Client phát yêu cầu unbind, với yêu cầu server biết client muốn huỷ bỏ kết nối • Server đóng kết nối LDAP giao thức hướng thông điệp • Do client sever giao tiếp thơng qua thông điệp, Client tạo thông điệp (LDAP message) chứa yêu cầu gởi đến cho server Server nhận thông điệp xử lý yêu cầu client sau gởi trả cho client thơng điệp LDAP • Ví dụ: Khi LDAP client muốn tìm kiếm thư mục, client tạo LDAP tìm kiếm gởi thơng điệp cho server Sever tìm sở liệu gởi kết cho client thơng điệp LDAP Hình Thao tác tìm kiếm • Nếu client tìm kiếm thư mục nhiều kết tìm thấy, kết gởi đến client nhiều thơng điệp Hình Những thơng điệp Client gửi cho server • Do nghi thức LDAP giao thức hướng thông điệp nên client phép phát nhiều thông điệp yêu cầu đồng thời lúc Trong LDAP, message ID dùng để phân biệt yêu cầu client kết trả server Hình Nhiều kết tìm kiếm trả • Việc cho phép nhiều thông điệp xử lý đồng thời làm cho LDAP linh động nghi thức khác • Ví dụ HTTP, với yêu cầu từ client phải trả lời trước yêu cầu khác gởi đi, HTTP client program Web browser muốn tải xuống lúc nhiều file Web browser phải thực mở kết nối cho file, LDAP thực theo cách hoàn toàn khác, quản lý tất thao tác kết nối 3.1.3 Cấu trúc file Ldif Khái niệm LDIF • LDIF ( LDAP Interchange Format) định nghĩa RFC 2849, chuẩn định dạng file text lưu trữ thông tin cấu hình LDAP nội dung thư mục • File LDIF thường sử dụng để import liệu vào directory bạn thay đổi liệu có Dữ liệu file LDIF cần phải tuân theo luật có schema LDAP directory • Schema loại liệu định nghĩa từ trước directory bạn Mọi thành phần thêm vào thay đổi directory bạn kiểm tra lại schema để đảm bảo xác Lỗi vi phạm schema xuất liệu khơng với luật có • Giải pháp Import liệu lớn vào LDAP Nếu liệu lưu excel khoảng vài chục ngàn mẫu tin, viết tool chuyển thành định dạng import vào LDAP Server Cấu trúc tập tin Ldif • • Thông thường file LDIF theo khuôn dạng sau: o Mỗi tập entry khác phân cách dòng trắng o Sự đặt “tên thuộc tính : giá trị” o Một tập dẫn cú pháp để xử lý thông tin Những yêu cầu khai báo nội dung file LDIF : o Lời giải file LDIF gõ sau dấu # dịng o Thuộc tính liệt kê phía bên trái dấu (:) giá trị biểu diễn bên phải Dấu đặc biệt phân cách với giá trị dấu cách trắng o Thuộc tính dn định nghĩa DN xác định entry 10 dn: uid=tuanh,ou=Teacher,o=it,dc=hcmuaf,dc=edu,dc=vn objectClass: person objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: top givenName: tuanh uid: tuanh cn: tuanh telephoneNumber: 125698742 sn: tuanh userPassword: {SSHA}WixBYpdCo4bEZPRPwUriImctcWZ9sDgQQ/WElg== mail: tuanh facsimileTelephoneNumber: 5426 entryUUID: bc95b0ee-6e3e-480d-83c1-2c1e13c89dc9 createTimestamp: 20100326001110Z creatorsName: cn=Directory Manager,cn=Root DNs,cn=config pwdChangedTime: 20100326001110.323Z • • STT Một entry tập hợp thuộc tính, thuộc tính mơ tả nét đặt trưng tiêu biểu đối tượng Một entry bao gồm nhiều dòng : o dn : distinguished name - tên entry thư mục, tất viết dịng o Sau thuộc tính entry, thuộc tính dùng để lưu giữ liệu Mỗi thuộc tính dịng theo định dạng ” kiểu thuộc tính : giá trị thuộc tính” o Thứ tự thuộc tính khơng quan trọng, nhiên để dễ đọc thông tin nên đặt giá trị objectclass trước tiên nên cho giá trị thuộc tính kiểu gần Một số thuộc tính file Ldif: Tên Mơ tả dn Distinguished Name : tên gọi phân biệt c country – kí tự viết tắt tên nước o organization – tổ chức ou organization unit – đơn vị tổ chức Mỗi giá trị objectClass hoạt động khuôn mẫu cho liệu lưu giữ entry Nó định nghĩa thuộc tính phải trình bày entry (Ví dụ : objectClass entry có giá trị thuộc tính objectClass eperson, mà eperson có quy định cần có thuộc tính tên, email, uid ,…thì entry có thuộc tính đó), cịn thuộc tính tùy chọn có khơng có mặt 12 STT Tên Mô tả givenName tên uid id người dùng cn common name – tên thường gọi telephoneNumber số điện thoại 10 sn surname – họ 11 userPassword mật người dùng 12 mail địa email facsimileTelephoneNumb 13 er số phách 14 createTimestamp thời gian tạo entry 15 creatorsName tên người tạo entry 16 pwdChangedTime thời gian thay đổi mật 17 entryUUID id entry 3.2 Mơ hình LDAP LDAP cịn định nghĩa bốn mơ hình, mơ hình cho phép linh động việc đặt thư mục: • Mơ hình LDAP information - xác định cấu trúc đặc điểm thơng tin thư mục • Mơ hình LDAP Naming - xác định cách thơng tin tham chiếu tổ chức • Mơ hình LDAP Functional - định nghĩa cách mà bạn truy cập cập nhật thông tin thư mục bạn • Mơ hình LDAP Security - định nghĩa cách thông tin thư mục bạn bảo vệ tránh truy cập khơng phép 3.2.1 Mơ hình thơng tin Ldap (LDAP information model) Khái niệm • Mơ hình LDAP Information định nghĩa kiểu liệu thành phần thông tin mà bạn chứa thư mục Hay mơ tả cách xây dựng khối liệu mà sử dụng để tạo thư mục Mơ hình thơng tin Ldap • Thành phần thông tin thư mục gọi entry Đây tập hợp chứa thông tin đối tượng (Object) 13 Hình Một thư mục với entry thành phần Hình Một entry với thuộc tính • Thông tin mô tả liệu lưu trữ theo cấu trúc tập tin *.ldif Cấu trúc file Ldif giới thiệu phần 14 3.2.2 Mô hình đặt tên Ldap (LDAP naming model) Khái niệm • Mơ hình LDAP Naming định nghĩa cách để xếp tham chiếu đến liệu • Hay nói mơ hình mô tả cách xếp entry vào cấu trúc có logic, mơ hình LDAP Naming cách để tham chiếu đến entry thư mục nằm cấu trúc • Mơ hình LDAP Naming cho phép đặt liệu vào thư mục theo cách mà dễ dàng quản lý Cách xếp liệu • Ví dụ tạo container chứa tất entry mô tả người tổ chức(o), container chứa tất group bạn, bạn thiết kế entry theo mơ hình phân cấp theo cấu trúc tổ chức bạn Việc thiết kế tốt cần phải có nghiên cứu thoả đáng Hình Một thư mục LDAP • Ta thấy entry thư mục đồng thời tập tin thư mục Hình 10 Một phần thư mục LDAP với entry chứa thơng tin • Giống đường dẫn hệ thống tập tin, tên entry LDAP hình thành cách nối tất tên entry cấp (cha) trở lên root 15 • Như hình ta thấy node có màu đậm có tên uid=bjensen, ou=people, dc=airius, dc=com, từ trái sang phải quay ngược lại đỉnh cây, thấy thành phần riêng lẽ phân cách dấu “,” • Với DN, thành phần trái gọi relative distingguished name (RDN), nói DN tên cho entry thư mục, entry có cha RDN phải phân biệt Hình 11 • Ví dụ hình trên, hai entry có RDN cn=Joohn Smith hai entry hai nhánh khác Bí danh (Aliases) – cách tham chiếu đến liệu • Những entry bí danh (Aliases entry)trong thư mục LDAP cho phép entry đến entry khác • Chúng ta xây dựng cấu trúc mà thứ bậc khơng cịn xác nữa, khái niệm Aliases entry giống khái niệm symbolic links UNIX hay shortcuts Windows9x/NT • Để tạo alias entry thư mục trước tiên bạn phải tạo entry với tên thuộc tính aliasedOjecctName với giá trị thuộc tính DN entry mà muốn alias entry đến • Hình cho ta thấy aliases entry trỏ đến entry thật Hình 12 LDAP với Alias entry • Nhưng khơng phải tất LDAP Directory Server hổ trợ Aliases Bởi alias entry đến entry nào, kể entry LDAP server khác Và việc tìm kiếm gặp phải bí danh phải thực 16 tìm kiếm thư mục khác nằm server khác, làm tăng chi phi cho việc tìm kiếm, lý mà phần mềm không hổ trợ alias 3.2.3 Mô hình chức Ldap (LDAP function model) Khái niệm • Đây mơ hình mơ tả thao tác cho phép thao tác thư mục • Mơ hình LDAP Functional chứa tập thao tác chia thành nhóm: • o Thao tác thẩm tra (interrogation) cho phép bạn search thư mục nhận liệu từ thư mục o Thao tác cập nhật (update): add, delete, rename thay đổi entry thư mục o Thao tác xác thực điều khiển(authentiaction and control) cho phép client xác định đến chỗ thư mục điều kiển hoạt động phiên kết nối Với version nghi thức LDAP ngồi nhóm thao tác trên, cịn có thao tác LDAP extended, thao tác cho phép nghi thức LDAP sau mở rộng cách có tổ chức không làm thay đổi đến nghi thức Mô tả thao tác Thao tác thẩm tra (LDAP Interrogation) • Cho phép client tìm nhận lại thơng tin từ thư mục • Thao tác tìm kiếm (LDAP search operation) yêu cầu tham số (Ví dụ: search (“o=people,dc=airius,dc=com”,”base”,”derefInsearching”,10,60,Filter,ArrayAt tribute) o Tham số đối tượng sở mà thao tác tìm kiếm thực đó, tham số DN đến đỉnh mà muốn tìm o Tham số thứ hai phạm vi cho việc tìm kiếm, có phạm vi thực tìm kiếm:  Phạm vi “base” bạn muốn tìm đối tượng sở  Phạm vi “onelevel” thao tác tìm kiếm diễn cấp (con trực tiếp đối tượng sở)  Phạm vi “subtree” thao tác thực tìm hết mà đối tượng sở đỉnh 17 Hình 13 Thao tác tìm kiếm với phạm vi base Hình 14 Thao tác tìm kiếm với phạm vi onelevel Hình 15 Thao tác tìm kiếm với phạm vi subtree o Tham số thứ ba derefAliases , cho server biết liệu bí danh aliases có bị bỏ qua hay khơng thực tìm kiếm, có giá trị mà derefAliases nhận được:  nerverDerefAliases - thực tìm kiếm khơng bỏ qua bí danh (aliases) lúc thực tìm kiếm áp dụng với đối tượng sở 18  derefInsearching - bỏ qua aliases trong entry cấp đối tượng sở, khơng quan tâm đến thuộc tính đối tượng sở  derefFindingBaseObject - tìm kiếm bỏ qua aliases đối tượng sở, khơng quan tâm đến thuộc tính entry thấp đối tượng sở  derfAlways - bỏ qua hai việc tìm kiếm thấy đối tượng sở entry cấp thấp entry aliases o Tham số thứ bốn cho server biết có tối đa entry kết trả o Tham số thứ năm qui định thời gian tối đa cho việc thực tìm kiếm o Tham số thứ sáu: attrOnly – tham số kiểu bool, thiết lập true, server gởi kiểu thuộc tính entry cho client, sever khơng gởi giá trị thuộc tính đi, điều cần thiết client quan tâm đến kiểu thuộc tính chứa o Tham số thứ bảy lọc tìm kiếm(search filter) biểu thức mô tả loại entry giữ lại o Tham số thứ tám: danh sách thuộc tính giữ lại với entry Thao tác cập nhật (update) Chúng ta có thao tác cập nhật add, delete, rename(modify DN), modify • Add • Delete • Rename • Update Thao tác xác thực điều khiển (authentiaction and control) Thao tác xác thực gồm: thao tác bind unbind: • Bind : cho phép client tự xác định với thư mục, thao tác cung cấp xác nhận xác thực chứng thưc • Unbind : cho phép client huỷ bỏ phân đoạn làm việc hành Thao tác điều kiển có abandon: • Abandon : cho phép client thao tác mà kết client khơng cịn quan tâm đến Các thao tác mở rộng Ngoài thao tác bản, LDAP version thiết kế mở rộng thông qua thao tác : • Thao tác mở rộng LDAP (LDAP extended operations) o Đây nghi thức thao tác Trong tương lai cần thao tác mới, thao tác định nghĩa trở thành chuẩn mà không yêu cầu ta phải xây dựng lại thành phần cốt lõi LDAP 19 o • LDAP control o • Ví dụ thao tác mở rộng StarTLS, nghĩa báo cho sever client muốn sử dụng transport layer security(TLS) để mã hoá tuỳ chọn cách xác thực kết nối Là phần thông tin kèm theo với thao tác LDAP, thay đổi hành vi thao tác đối tượng Xác thực đơn giản tầng bảo mật (Simple Authentication and Security Layer SASL) o Là mơ hình hổ trợ cho nhiều phương thức xác thực o Bằng cách sử dụng mơ hình SASL để thực chứng thực, LDAP dễ dàng thích nghi với phương thức xác thực khác o SASL cịn hổ trợ mơ hình cho client server đàm phán hệ thống bảo mật diển tầng thấp (dẫn đến độ an tồn cao) 3.2.4 Mơ hình bảo mật Ldap (LDAP Security model) • Vấn đề cuối mơ hình LDAP việc bảo vệ thơng tin thư mục khỏi truy cập khơng phép • Khi thực thao tác bind tên DN hay người vơ danh với user có số quyền thao tác thư mục entry Và quyền entry chấp nhận tất điều gọi truy cập điều khiển (access control) • Hiện LDAP chưa định nghĩa mô hình Access Control, điều kiện truy cập thiết lập nhà quản trị hệ thống server software 3.3 Chứng thực LDAP • Việc xác thực thư mục LDAP điều cần thiết khơng thể thiếu Các q trình xác thực sử dụng để thiết lập quyền khách hàng cho lần sử dụng • Tất cơng việc tìm kiếm, truy vấn, vv… kiểm soát mức uỷ quyền người xác thực • Khi xác nhận người dùng LDAP cần tên người dùng xác định DN (ví dụ cn = tuanh, o = it, dc = nlu, dc = info) mật tương ứng với DN Một số phương thức xác thực người dùng • Xác thực người dùng chưa xác định (Anonymous Authentication) o • Xác thực người dùng chưa xác định xử lý ràng buộc đăng nhập vào thư mục với tên đăng nhập mật rỗng Cách đăng nhập thông dụng đuợc thường xuyên sử dụng ứng dụng client Xác thực nguời dùng đơn giản ( Simple Authtication) o Đối với xác thực nguời dùng đơn giản, tên đăng nhập DN gửi kèm với mật dạng clear text tới máy chủ LDAP 20 • o Máy chủ so sánh mật với giá trị thuộc tính userPassword với giá trị thuộc tính định nghĩa truớc entry cho DN o Nếu mật đuợc lưu dạng bị băm( mã hoá), máy chủ sử dụng hàm băm tuơng ứng để biến đối mật đưa vài so sánh với giá trị với giá trị mật mã hoá từ trước o Nếu hai mật trùng nhau, việc xác thực client thành công Xác thực đơn giản qua SSL/TLS o Nếu việc gửi username mật bạn qua mạng khiến bạn khơng cảm thấy n tâm tính bảo mật, an tồn truyền thơng tin lớp truyền tải mã hóa o LDAP vượt qua lớp truyền tải mã hóa trước thực hoạt động kết nối Do đó, tất thơng tin người dùng đảm bảo an tồn (ít suốt session đó) o Có hai cách sử dụng SSL/TSL với LDAPv3 LDAP với SSL • LDAP với SSL (LDAPs-tcp/636) hỗ trợ nhiều máy chủ LDAP (cả phiên thương mại mã nguồn mở) Mặc dù sử dụng thường xuyên, khơng chấp nhận q trình mở rộng LDAP với StartTLS • SSL sử dụng lớp chương trình nằm lớp Internet Hypertext Transfer Protocol (HTTP) Transport Control Protocol (TCP) • Trong điều khoản layman, liệu mã hóa trình duyệt web người dùng, sử dụng khoá mật mã mà thuộc trang web • Dữ liệu chuyển từ trình duyệt web vào trang web định dạng mã hóa Điều đảm bảo thơng tin cá nhân người sử dụng không chuyển giao định dạng đọc cho để nắm bắt đọc truyền Internet LDAP với TSL • RFC 2830 đưa phương thức mở rộng LDAPv3 cho việc xử lý TLS qua cổng tiêu chuẩn tcp/389 • Phương thức biết đến StartTLS, giúp cho máy chủ hỗ trợ việc mã hóa giải mã phiên giao dịch cổng • Khi máy chủ máy khách giao tiếp, TLS đảm bảo khơng có bên thứ ba nghe trộm giả mạo tin nhắn • TLS cho phép máy chủ khách hàng để xác thực lẫn để thương lượng thuật tốn mã hóa khóa mã hóa trước liệu trao đổi • TLS kế thừa Secure Sockets Layer (SSL), dựa công nghệ Bằng cách này, nói SSL phát triển thành giao thức TLS 21 3.4 Một số dịch vụ sử dụng nghi thức LDAP Bằng cách kết hợp thao tác LDAP đơn giản Thư mục client thực thao tác phức tạp ví dụ sau Mơ hình lưu trữ liệu • • • • Mơt chương trình mail thực dùng chứng điện tử chứa thư mục server LDAP để kí, cách gởi u cầu tìm kiếm cho LDAP server LDAP server gởi lại cho client chứng điện tử Sau chương trình mail dùng chứng điện tử để kí gởi cho Message sever Nhưng góc độ người dùng tất q trình hoạt động cách tự động người dùng khơng phải quan tâm Hình 16 Một mơ hình lưu trữ đơn giản Quản lý thư • • Netscape Message server sử dụng LDAP directory để thực kiểm tra mail Khi mail đến từ địa chỉ, messeage server tìm kiếm địa email thư mục LDAP server lúc Message server biết hộp thư người sử dụng có tồn 22 Hình 17 Dùng LDAP để quản lý thư 23 Xác thực dùng LDAP • Dùng LDAP xác thực user đăng nhập vào hệ thống qua chương trình thẩm tra, chương trình thực sau : o Đầu tiên chương trình thẩm tra tạo đại diện để xác thực với LDAP thông qua (1) o Sau so sánh mật user A với thông tin chứa thư mục Nếu so sánh thành cơng user A xác thực thành cơng Hình 18 Xác thực dùng LDAP 24 Áp dụng vào khoa CNTT 4.1 Xây dựng CSDL ban đầu • LDAP tổ chức liệu dạng Do CSDL phải có sở, nhánh, nhánh nhánh nút (các entries CSDL) • Trong ứng dụng với khoa CNTT trường ĐH Nơng Lâm ta xây dựng CSDL có cấu trúc sau: Cơ sở (base): dc=hcmuaf, dc = edu, dc=vn Nhánh khoa CNTT: o = it : khoa công nghệ thông tin ou=Teacher : lưu trữ thông tin giáo viên ou=Student : lưu trữ thông tin sinh viên ou= EduServices : lưu trữ thông tin giáo vụ khoa 4.2 Sơ đồ • Với sở liệu có cấu trúc ta biểu diễn thành sơ đồ sau: dc=hcmuaf; dc = edu; dc=vn o = it ou=Teacher ou = Student ou = EduServices uid = thoangtt uid = tuanh uid = dung • Ứng với sở nhánh có người có tồn quyền quản lý Và LDAP tổ chức liệu kiểu người mức cao có quyền cao 25 4.3 Nội dung file Ldif • Với mơ hình cấu trúc sở liệu trên, tương ứng với nội dung file Ldif là: dn: dc=hcmuaf,dc=edu,dc=vn objectClass: domain objectClass: top dc: hcmuaf entryUUID: a1255ce5-2710-388c-95a6-3c030a59a8d3 dn: o=it,dc=hcmuaf,dc=edu,dc=vn objectClass: top objectClass: organization description: information technology o: it entryUUID: fbcb85d5-e17c-494e-a36d-5932fb503125 createTimestamp: 20100326000527Z creatorsName: cn=Directory Manager,cn=Root DNs,cn=config dn: ou=student,o=it,dc=hcmuaf,dc=edu,dc=vn objectClass: organizationalUnit objectClass: top ou: student entryUUID: a05481a4-f448-44a0-902f-a1f0cc6ee63f createTimestamp: 20100326000608Z creatorsName: cn=Directory Manager,cn=Root DNs,cn=config dn: ou=Teacher,o=it,dc=hcmuaf,dc=edu,dc=vn objectClass: organizationalUnit objectClass: top ou: Teacher entryUUID: 675d5e04-fa4f-40fe-98fb-79fba17e2ba8 createTimestamp: 20100326000638Z creatorsName: cn=Directory Manager,cn=Root DNs,cn=config dn: ou=EduServices,o=it,dc=hcmuaf,dc=edu,dc=vn objectClass: organizationalUnit objectClass: top ou: EduServices entryUUID: 8150807d-d796-475d-968b-3fc1fcf231ff createTimestamp: 20100326000705Z creatorsName: cn=Directory Manager,cn=Root DNs,cn=config • Trong phần liệu account Directory Manager tạo để quản lý toàn CSDL người dùng tạo phép máy client kết nối vào server để đọc thông tin CSDL LDAP nhằm phục vụ cho việc đăng nhập • Sau ta dùng account Directory Manager để thay đổi, thêm vào thông tin người dùng hay account tùy theo yêu cầu 26 ... Ldap (LDAP information model) 13 3.2.2 Mô hình đặt tên Ldap (LDAP naming model) .15 3.2.3 Mơ hình chức Ldap (LDAP function model) 17 Thao tác thẩm tra (LDAP Interrogation)... • Mơ hình LDAP Security - định nghĩa cách thông tin thư mục bạn bảo vệ tránh truy cập khơng phép 3.2.1 Mơ hình thơng tin Ldap (LDAP information model) Khái niệm • Mơ hình LDAP Information định... lưu trữ backend Vì lý này, LDAP client cần liên tác với LDAP server theo mô hình chuẩn sau: Hình Mối quan hệ LDAP client, LDAP server nơi chứa liệu Access Protocol • LDAP giao thức truy cập Nó