I.MỘT SỐ KHÁI NIỆM LIÊN QUAN 1.1Giới thiệu chung 1.1.1: Định nghĩa LDAP • LDAP (Lightweight Directory Access Protocol) – giao thức truy cập nhanh dịch vụ thư mục – chuẩn mở rộng cho nghi thức truy cập thư mục • LDAP giao thức tìm, truy nhập thơng tin dạng thư mục server Nó dùng giao thức dạng Client/Server để truy cập dịch vụ thư mục • LDAP chạy TCP/IP dịch vụ hướng kết nối khác • Ngồi ra, LDAP tạo đặc biệt cho hành động “đọc” Bởi thế, xác thực người dùng phương tiện “lookup” LDAP nhanh, hiệu suất, tốn tài nguyên, đơn giản query user account CSDL • Có LDAP Server như: OpenLDAP, OPENDS, Active Directory, … 1.1.2: Giải thích cụm từ “Lightweight Directory Access Protocol” * Lightweight • Tại LDAP coi lightweight? Lightweight so sánh với gì? Để trả lời câu hỏi này, bạn cần tìm hiểu nguồn gốc LDAP • Bản chất LDAP phần dịch vụ thư mục X.500 LDAP thực chất thiết kế giao thức nhẹ nhàng, dùng gateway trả lời yêu cầu X.500 server • X500 biết heavyweight, tập chuẩn Nó yêu cầu client server liên lạc với sử dụng theo mơ hình OSI Mơ hình tầng OSI – mơ hình chuẩn phù hợp thiết kế với giao thức mạng, so sánh với chuẩn TCP/IP trở nên khơng hợp lý • LDAP so sánh với lightweight sử dụng gói tin overhead thấp, xác định xác lớp TCP ( mặc định cồng 389) danh sách giao thức TCP/IP Còn X.500 lớp giao thức ứng dụng, chứa nhiều thứ hơn, ví dụ network header bao quanh gói tin layer trước chuyển mạng Tóm lại, LDAP coi lightweight lược bỏ nhiều phương thức dùng X.500 Trang / 13 Hình 1: so sánh LDAP X.500 * Directory • Dịch vụ thư mục khơng nhầm với sở liệu Thư mục thiết kế để đọc nhiều để ghi vào, sở liệu, phù hợp với công việc đọc ghi cách thường xuyên lặp lặp lại • LDAP giao thức, tập thơng tin cho việc xử lý loại liệu Một giao thức biết liệu lưu trữ đâu LDAP không hỗ trợ xử lý đặc trưng khác sở liệu • Client không thấy biết có máy lưu trữ backend Vì lý này, LDAP client cần liên tác với LDAP server theo mơ hình chuẩn sau: Hình Mối quan hệ LDAP client, LDAP server nơi chứa liệu * Access Protocol • LDAP giao thức truy cập Nó đưa mơ hình dạng liệu, mơ hình dạng nhắc tới bạn truy cập LDAP server Trang / 13 • Giao thứctruy cập client/server LDAP định nghĩa RFC, client đưa loạt yêu cầu trả lời cho yêu cầu lại trả lời theo cách xếp khác 1.1.3: Tổng quan hình thành phát triển Vào thập niên 1980, Ủy ban Tư vấn Điện thoại - Điện tín quốc tế (tiếng Anh: International Telegraph and Telephone Consultative Committee - CCITT), tiền thân Liên minh Viễn thông quốc tế (tiếng Anh: International Telecommunication Union - ITU) Tổ chức Tiêu chuẩn hóa quốc tế (tiếng Anh: International Organization for Standardization - ISO) hợp tác với để tạo chuẩn cho dịch vụ thư mục nhằm mục đích thống nỗ lực tổ chức Cuối năm 1988, CCITT công bố chuẩn dịch vụ thư mục X.500 Sau đó, chuẩn cập nhật vào năm 1993, 1997, 2001 Khi xuất hiện, X.500 mang lại nhiều tiện ích cho người dùng Nó bộc lộ khiếm khuyết Một khiếm khuyết nằm giao thức DAP (tiếng Anh: Directory client Access Protocol - giao thức truy cập thư mục khách) X.500 Giao thức tương đối phức tạp, khơng thích hợp khơng có sẵn máy tính thời Bên cạnh đó, DAP cồng kềnh khó thực Vì lý đó, người ta bắt đầu nghĩ đến cách tiếp cận để tránh việc phải thực giao thức phức tạp Vào khoảng năm 1990, giao thức đơn giản hóa DAP, gọi DAS (Directory Assistance Service) DIXIE (Directory Interface to X.500 Implemented Efficiently) định nghĩa RFC 1202 RFC 1249 Sau ứng dụng thành công DIXIE DAS, thành viên OSI-DS định tăng cường nguồn lực vào việc tạo giao thức truy cập thư mục đơn giản hóa với đầy đủ tính cho X.500 Đó LDAP[2] 1.2 Phương thức hoạt động LDAP LDAP hoạt động theo mơ hình client-server Một nhiều LDAP server chứa thông tin thư mục (Directory Information Tree – DIT) Client kết nối đến server gửi u cầu Server phản hồi trỏ tới LDAP server khác để client lấy thơng tin Trình tự có kết nối với LDAP: • Connect (kết nối với LDAP): client mở kết nối tới LDAP server • Bind (kiểu kết nối: nặc danh đăng nhập xác thực): client gửi thông tin xác thực Trang / 13 • Search (tìm kiếm): client gửi u cầu tìm kiếm • Interpret search (xử lý tìm kiếm): server thực xử lý tìm kiếm • Result (kết quả): server trả lại kết cho client • Unbind: client gửi u cầu đóng kết nối tới server • Close connection (đóng kết nối): đóng kết nối từ server Tiến trình hoạt động trao đổi LDAP client/server Hình mơ hình kết nối client Server 1.3 Database backend LDAP Slapd “LDAP directory server” chạy nhiều platform khác Bạn sử dụng để cung cấp dịch vụ riêng Những tính mà slapd cung cấp: • LDAPv3: slapd hỗ trợ LDAP IPv4, IPv6 Unix IPC • Simple Authentication and Security Layer: slapd hỗ trợ mạnh mẽ chứng thực bảo mật liệu dịch vụ SASL • Transport Layer Security: slapd hỗ trợ sử dụng TLS hay SSL Trang / 13 database mà SLAPD sử dụng để lưu trữ liệu bdb hdb BDB sử dụng Oracle Berkeley DB để lưu trữ liệu Nó đề nghị sử dụng làm database backend cho SLAPD thơng thường HDB tương tự BDB sử dụng database phân cấp nên hỗ trợ sỡ liệu dạng HDB thường mặc định cấu hình SLAPD 1.4 Lưu trữ thông tin LDAP Ldif (LDAP Data Interchange Format) chuẩn định dang file text lưu trữ thơng tin cấu hình LDAP nội dung thư mục File LDIF thường dùng để import liệu vào directory thay đổi liệu có Dữ liệu file LDIF phải tuân theo quy luật có schema LDAP Schema loại liệu định nghĩa từ trước Mọi thành phần thêm vào thay đổi directory bạn kiểm tra lại schema để đảm bảo xác Cấu trúc tập tin LDIF • Thơng thường file LDIF có mẫu sau: • Mỗi tập entry khác phân cách dòng trắng • “tên thuộc tính: giá trị” • Một tập dẫn cú pháp để xử lý thơng tin • Những yêu cầu khai báo LDIF: • Lời thích gõ sau dấu # dòng • Thuộc tính liệt kê bên trái dấu “:” giá trị biểu diễn bên phải • Thuộc tính dn định nghĩa cho DN xác định entry II Mơ hình LDAP LDAP chia mơ hình: • Mơ hình LDAP information - xác định cấu trúc đặc điểm thông tin thư mục Trang / 13 • Mơ hình LDAP Naming - xác định cách thông tin tham chiếu tổ chức • Mơ hình LDAP Functional - định nghĩa cách mà bạn truy cập cập nhật thơng tin thư mục bạn • Mơ hình LDAP Security - định nghĩa cách thông tin thư mục bạn bảo vệ tránh truy cập khơng phép Mơ hình thơng tin Ldap (LDAP information model) Khái niệm • Mơ hình LDAP Information định nghĩa kiểu liệu thành phần thơng tin mà bạn chứa thư mục Hay mơ tả cách xây dựng khối liệu mà sử dụng để tạo thư mục Hình 4: Mơ hình thơng tin Ldap Mơ hình đặt tên Ldap (LDAP naming model) Khái niệm • Mơ hình LDAP Naming định nghĩa cách để xếp tham chiếu đến liệu • Hay mơ hình mơ tả cách xếp entry vào cấu trúc có logic, mơ hình LDAP Naming cách để tham chiếu đến entry thư mục nằm cấu trúc • Mơ hình LDAP Naming cho phép đặt liệu vào thư mục theo cách mà dễ dàng quản lý Trang / 13 Cách xếp liệu • Ví dụ tạo container chứa tất entry mô tả người tổ chức(o), container chứa tất group bạn, bạn thiết kế entry theo mơ hình phân cấp theo cấu trúc tổ chức bạn Việc thiết kế tốt cần phải có nghiên cứu thoả đáng • Ta thấy entry thư mục đồng thời tập tin thư mục Hình 5: Một phần thư mục LDAP với entry chứa thơng tin • Giống đường dẫn hệ thống tập tin, tên entry LDAP hình thành cách nối tất tên entry cấp (cha) trở lên root • Như hình ta thấy node có màu đậm có tên uid=cuongtv, ou=people, dc=framgia, dc=com, từ trái sang phải quay ngược lại đỉnh cây, thấy thành phần riêng lẽ phân cách dấu “,” • Với DN, thành phần trái gọi relative distingguished name (RDN), nói DN tên cho entry thư mục, entry có cha RDN phải phân biệt • Ví dụ hình trên, hai entry có RDN cn=son hai entry hai nhánh khác Bí danh (Aliases) – cách tham chiếu đến liệu • Những entry bí danh (Aliases entry) thư mục LDAP cho phép entry đến entry khác Trang / 13 • Để tạo alias entry thư mục trước tiên bạn phải tạo entry với tên thuộc tính aliasedOjecctName với giá trị thuộc tính DN entry mà muốn alias entry đến • Hình cho ta thấy aliases entry trỏ đến entry thật LDAP với Alias entry • Nhưng khơng phải tất LDAP Directory Server hổ trợ Aliases Bởi alias entry đến entry nào, kể entry LDAP server khác Và việc tìm kiếm gặp phải bí danh phải thực tìm kiếm thư mục khác nằm server khác, làm tăng chi phi cho việc tìm kiếm, lý mà phần mềm khơng hổ trợ alias Mơ hình chức Ldap (LDAP function model) Khái niệm • Đây mơ hình mơ tả thao tác cho phép thao tác thư mục • Mơ hình LDAP Functional chứa tập thao tác chia thành nhóm: o Thao tác thẩm tra (interrogation) cho phép bạn search thư mục nhận liệu từ thư mục o Thao tác cập nhật (update): add, delete, rename thay đổi entry thư mục o Thao tác xác thực điều khiển (authentiaction and control) cho phép client xác định đến chỗ thư mục điều kiển hoạt động phiên kết nối o Với version giao thức LDAP ngồi nhóm thao tác trên, có thao tác LDAP extended, thao tác cho phép nghi thức LDAP sau mở rộng cách có tổ chức Mơ tả thao tác Trang / 13 3.1 Thao tác thẩm tra (LDAP Interrogation) • Cho phép client tìm nhận lại thơng tin từ thư mục • Thao tác tìm kiếm (LDAP search operation) yêu cầu tham số (Ví dụ: search (“ou=people,dc=framgia,dc=com”,”base”,”derefInsearching”,10,60,attrOnly=true, Filter,ArrayAttribute) • Tham số đối tượng sở mà thao tác tìm kiếm thực đó, tham số DN đến đỉnh mà muốn tìm • Tham số thứ hai phạm vi cho việc tìm kiếm, có phạm vi thực tìm kiếm: o Phạm vi “base” bạn muốn tìm đối tượng sở o Phạm vi “onelevel” thao tác tìm kiếm diễn cấp (con trực tiếp đối tượng sở) o Phạm vi “subtree” thao tác thực tìm hết mà đối tượng sở đỉnh Thao tác tìm kiếm với phạm vi base Trang / 13 Thao tác tìm kiếm với phạm vi onelevel ** Thao tác tìm kiếm với phạm vi subtree ** • Tham số thứ ba derefAliases , cho server biết liệu bí danh aliases có bị bỏ qua hay khơng thực tìm kiếm, có giá trị mà derefAliases nhận được: "nerverDerefAliases" - thực tìm kiếm khơng bỏ qua bí danh (aliases) lúc thực tìm kiếm áp dụng với đối tượng sở "derefInsearching" - bỏ qua aliases trong entry cấp đối tượng sở, khơng quan tâm đến thuộc tính đối tượng sở "derefFindingBaseObject" - tìm kiếm bỏ qua aliases đối tượng sở, không quan tâm đến thuộc tính entry thấp đối tượng sở "derefAlways" - bỏ qua hai việc tìm kiếm thấy đối tượng sở entry cấp thấp entry aliases Trang 10 / 13 • Tham số thứ bốn cho server biết có tối đa entry kết trả • Tham số thứ năm qui định thời gian tối đa cho việc thực tìm kiếm • Tham số thứ sáu: attrOnly – tham số kiểu bool, thiết lập true, server gởi kiểu thuộc tính entry cho client, sever khơng gởi giá trị thuộc tính • Tham số thứ bảy lọc tìm kiếm (search filter) biểu thức mô tả loại entry giữ lại • Tham số thứ tám: danh sách thuộc tính giữ lại với entry 3.2 Thao tác cập nhật (update) Chúng ta có thao tác cập nhật add, delete, rename (modify DN), modify • • Add: tạo entry với tên DN danh sách thuộc tính truyền vào, thực add entry vào thư mục phải thoả điều kiện sau : o Entry nút cha entry phải tồn o Chưa tồn entry có tên DN với entry thư mục Delete: thao tác xóa cần truyền vào tên entry cần xóa thực thao tác nếu: o Entry tồn o Entry bị xóa khơng có entry bên • Rename: sử dụng để đổi tên hay di chuyển entry thư mục • Update: cập nhật với tham số DN tập hợp thay đổi áp dụng nếu: o Entry với DN phải tồn o Tất thuộc tính thay đổi thành cơng o Các thao tác cập nhật phải thao tác phép Trang 11 / 13 3.3 Thao tác xác thực điều khiển (authentiaction and control) Thao tác xác thực gồm: thao tác bind unbind: • Bind : cho phép client tự xác định với thư mục, thao tác cung cấp xác nhận xác thực chứng thưc • Unbind : cho phép client huỷ bỏ phân đoạn làm việc hành Thao tác điều kiển có abandon: • Abandon : cho phép client thao tác mà kết client khơng quan tâm đến 3.4 Các thao tác mở rộng Ngoài thao tác bản, LDAP version thiết kế mở rộng thông qua thao tác : • • Thao tác mở rộng LDAP (LDAP extended operations) o Đây thao tác Trong tương lai cần thao tác mới, thao tác định nghĩa trở thành chuẩn mà không yêu cầu ta phải xây dựng lại thành phần cốt lõi LDAP o Ví dụ thao tác mở rộng StarTLS, nghĩa báo cho sever client muốn sử dụng transport layer security (TLS) để mã hoá tuỳ chọn cách xác thực kết nối LDAP control o • Là phần thông tin kèm theo với thao tác LDAP, thay đổi hành vi thao tác đối tượng Xác thực đơn giản tầng bảo mật (Simple Authentication and Security Layer SASL) o Là mơ hình hổ trợ cho nhiều phương thức xác thực o Bằng cách sử dụng mơ hình SASL để thực chứng thực, LDAP dễ dàng thích nghi với phương thức xác thực khác Trang 12 / 13 o SASL hổ trợ mơ hình cho client server kết nối hệ thống bảo mật diễn tầng thấp (dẫn đến độ an tồn cao) Mơ hình bảo mật Ldap (LDAP Security model) Vấn đề cuối mơ hình LDAP việc bảo vệ thơng tin thư mục khỏi truy cập không phép Khi thực thao tác bind tên DN hay người vơ danh (anonymous) với user có số quyền thao tác thư mục entry Và quyền entry chấp nhận tất điều gọi truy cập điều khiển (access control) Hiện LDAP chưa định nghĩa mơ hình Access Control, điều kiện truy cập thiết lập nhà quản trị hệ thống server software III.Cài đặt cấu hình LDAP Ubuntu Bước 1: Trên máy ldap-server kiểm tra package opeldap-servers openldapclients cài đặt chưa Nếu chưa tiến hành cài đặt packages Bước 2: Sau cài đặt hồn thành, mở file cấu hình tổng thể openldap server để xem thông tin cấu hình Thực câu lệnh vi /etc/opeldap/ldap.conf để cấu hình LDAP cho hệ thống Bước 3: Chạy lệnh slappasswd để sinh password dạng mã hóa dung để quản trị Openldap copy lại password mã hóa Bước 4: Tạo LDAP Database tạo file Certficate Bước 5: Tạo file domain.ldif Bước 6: Thực import file domain.ldif vào CSDL LDAP # ldapadd -x -W -D "cn=Manager,dc=quanghuy,dc=com" -f domain.ldif Nhập password ldap Xem video tại: IV KẾT QUẢ Trang 13 / 13 ... 3.3 Thao tác x c thực điều khiển (authentiaction and control) Thao tác x c thực gồm: thao tác bind unbind: • Bind : cho phép client tự x c định với thư mục, thao tác cung cấp x c nhận x c thực chứng... thư mục Delete: thao tác x a cần truyền vào tên entry cần x a thực thao tác nếu: o Entry tồn o Entry bị x a khơng có entry bên • Rename: sử dụng để đổi tên hay di chuyển entry thư mục • Update:... nối: nặc danh đăng nhập x c thực): client gửi thơng tin x c thực Trang / 13 • Search (tìm kiếm): client gửi u cầu tìm kiếm • Interpret search (x lý tìm kiếm): server thực x lý tìm kiếm • Result