View
2
Download
0
Category
Preview:
Citation preview
1
Altkom – Rozwiązanie i Partner
Serwery LDAP wSerwery LDAP w śśrodowiskurodowiskuproduktproduktóów Oraclew Oracle
Mariusz Przybyszewski
2
Altkom – Rozwiązanie i Partner
Uwierzytelnianie i autoryzacjaUwierzytelnianie i autoryzacja
• Uwierzytelnienie to proces potwierdzania tożsamości, np. przez:– Użytkownik/hasło
– certyfikat SSL
– inne
• Autoryzacja to przyznanie uprawnień
• Informacje wymagane do uwierzytelniania i autoryzacje są przechowywane w:– Bazie danych
– Systemie operacyjnym
– Dedykowanym systemie
3
Altkom – Rozwiązanie i Partner
Usługi katalogoweUsługi katalogowe
• Informacje przechowywane są w strukturze katalogów
• Dane są dostępne dla wielu systemów, np.:– Serwery baz danych
– Systemy operacyjne
• Przechowywane są m.in.:– Informacje o uwierzytelnieniu i autoryzacji
– Informacje adresowe
– Konfiguracje systemów
• Przeważają operacje odczytu
• Standard ISO – X.500
4
Altkom – Rozwiązanie i Partner
LDAPLDAP
• LDAP (Lightweight Directory Access Protocol) –protokół dostępu do katalogu
• Standard IETF (Internet Engineering Task Force) opisany w dokumentach RFC
• Określa lekki sposób – małe wymagania klienta w porównaniu do DAP z X.500
• Definiuje, m.in.:– Protokół dostępu
– Operacje wykonywane przez klienta
– Format zapisu zapytań
– Format pliku wymiany danych – LDIF (LDAP Data Interchange Format)
5
Altkom – Rozwiązanie i Partner
LDAP / StrukturaLDAP / Struktura
• Dane przechowywane są w postaci powiązanych ze sobą wpisów
• Wpis jest jednoznacznie identyfikowany przez DN (Distinguished Name)
• RDN (Relational DN) to określenie wpisu względem nadrzędnego drzewa –kontekstu
• Wpisy zawierają atrybuty
• Atrybuty organizowane są w klasy
c=PL
o=ALTKOM
cn=USERS
cn=maniek
emailaddrs: lolek@aaa.comdn: cn=maniek,cn=users,
o=altkom,c=pl
6
Altkom – Rozwiązanie i Partner
LDAP / OperacjeLDAP / Operacje
Standardowe operacje to:
• Bind/unbind – podłączanie się do serwera
• Search – wyszukiwanie/pobieranie informacji z katalogu
• Compare – porównywanie wartości atrybutów
• Add, Delete, Modify – dodawanie, usuwanie i modyfikowanie wpisów
7
Altkom – Rozwiązanie i Partner
LDAP / Przegląd produktówLDAP / Przegląd produktów
Najbardziej znane serwery LDAP:
• Netscape Directory Server
• Sun ONE Directory Server
• Novell eDirectory
• IBM Directory Server
• MS Active Directory
• OpenLDAP
• Oracle Internet Directory
8
Altkom – Rozwiązanie i Partner
Oracle Internet DirectoryOracle Internet Directory
• Oracle Internet Directory (OID) to serwer LDAP firmy ORACLE
• Oparty o bazę danych
• Zgodny ze standardem LDAP v3
• Wykorzystywany w wielu innych produktach, m.in.:– Oracle Database: opcja Advanced Security - Enterprise
Users, protokół NET8, opcja Advanced Queuing
– Oracle Portal
– Forms/Reports Services
– Oracle Single Sign On (OSSO)
– Oracle Containers for J2EE (OC4J)
9
Altkom – Rozwiązanie i Partner
OID / ArchitekturaOID / Architektura
Instancja 1
Instancja 2
Monitor
Replikacja
REPOZYTORIUM
10
Altkom – Rozwiązanie i Partner
OID / Uwierzytelnianie i autoryzacjaOID / Uwierzytelnianie i autoryzacja
• Sposoby uwierzytelniania:– przez nazwę użytkownika i hasło
– przez certyfikat SSL
– anonimowe
– przez użytkownika PROXY
• Autoryzacja korzysta z list kontroli dostępu –ACL (Access Control List)
• Autoryzacja wykonywana jest podczas operacji na wpisach
11
Altkom – Rozwiązanie i Partner
OID / Instalacja i konfiguracjaOID / Instalacja i konfiguracja
• Instalacja polega na zainstalowaniu oprogramowania OID oraz utworzeniu repozytorium przez OIDConfiguration Assistant
• Wykonywana z płyty instalacyjnej lub poprzez ręczne uruchomienie OID Configuration Assistant (oidca)
• Podczas instalacji można: – Użyć gotowej bazy z płyty
– Użycie istniejącej instancji ORACLE
• Jeden serwer może mieć wiele konfiguracji
• Aby uruchomić kilka konfiguracji – każda w swojej instancji
12
Altkom – Rozwiązanie i Partner
OID / Oracle Directory ManagerOID / Oracle Directory Manager
• Umożliwia administrację serwerem OID
• Program graficzny napisany w języku JAVA
• Pozwala na definicję atrybutów i klas
• Umożliwia dodawanie, modyfikację i usuwanie wpisów
13
Altkom – Rozwiązanie i Partner
OID / OID / DelegateDelegate Administration Administration ServiceService
• Umożliwia zarządzanie wpisami użytkowników
• Pozwala delegować uprawnienia
• Dedykowany zarówno dla administratorów jak i użytkowników końcowych
• Udostępniany przez przeglądarkę WWW
• Oparty o technologię Java Servlets i JSP
14
Altkom – Rozwiązanie i Partner
OID / Narzędzia linii poleceńOID / Narzędzia linii poleceń
• Do uruchamiania serwera służą programy – oidctl
– oidmon
• Do modyfikacji wpisów– ldapadd, ldapmodify, ldapdelete
– ldapaddmt, ldapmodifymt
– ldapmoddn
– bulkmodify, ldifwrite
• Do testowania połączeń LDAP – ldapbind
• Do wyszukiwania – ldapsearch
15
Altkom – Rozwiązanie i Partner
OID / Partycje i replikiOID / Partycje i repliki
• Drzewo katalogu może zostać podzielone na partycje– Jest jedna główna partycja
– Kolejne partycje odpowiadają za poszczególne poddrzewa
– W partycji nadrzędnej znajduje się informacja o lokalizacji poddrzewa
• Całe katalogi mogą być replikowane między sobą
16
Altkom – Rozwiązanie i Partner
OID / Interfejsy i wtyczkiOID / Interfejsy i wtyczki
• Dostępne są interfejsy:– PL/SQL
– JAVA
– C
• Wtyczki realizują dodatkowe akcje, które mają być wykonane przed, podczas lub po zadanej operacji.
• Wtyczki mogą być napisane tylko jako pakiety PL/SQL, znajdujące się w tej samej bazie co repozytorium OID
17
Altkom – Rozwiązanie i Partner
OID / Platforma integracyjnaOID / Platforma integracyjna
• Directory Integration Platform (DIP) umożliwia integracje OID z aplikacjami oraz z innymi serwerami LDAP
• Usługa Synchronization
– Służy do synchronizacji z innymi katalogami
– Działa w dwie strony
• Usługa Provisioning
– Dedykowana dla aplikacji korzystających z OID
– Działa w jedną stronę
18
Altkom – Rozwiązanie i Partner
Oracle DatabaseOracle Database
• Baza danych wykorzystuje OID podczas:– Uwierzytelniania użytkowników – nazwy i hasła (opcjonalnie)
sprawdzane są w OID. Następnie pobierana jest informacja o mapowaniu danego użytkownika do schematu
– Autoryzacji użytkowników – informacje o rolach danego użytkownika są pobierane z OID.
• NET8 przechowuje nazwy TNS w OID – nie ma potrzeby wielokrotnej konfiguracji pliku TNSNAMES.ORA
• Advanced Queuing – informacje na temat kolejek przechowywane są w OID. Ponadto OID może udostępniać informacje o zdarzeniach bazy danych.
19
Altkom – Rozwiązanie i Partner
Oracle Single Oracle Single SignSign OnOn
• Oracle Single Sign On umożliwia jednokrotne uwierzytelnianie aplikacji WWW
• Do uwierzytelniania wykorzystuje OID
• Umożliwia autentykację przez hasło oraz przez certyfikat
20
Altkom – Rozwiązanie i Partner
Oracle PortalOracle Portal
• Oracle Portal służy do tworzenia i zarządzania portali
• Do uwierzytelniania wykorzystuje bazę użytkowników z OID
• Wykorzystuje mechanizm Provisioning do pozyskiwania informacji o zmianach w OID
• Może wykorzystywać OSSO
21
Altkom – Rozwiązanie i Partner
Oracle Oracle FormsForms//Reports ServicesReports Services
• Służy do uruchamiania aplikacji Forms i Reports w przeglądarce WWW
• Potrafi wykorzystać połączenie SSO i OID:– Użytkownik loguje się do SSO
– DN użytkownika przekazywany jest serwerowi Forms/Reports
– Serwer Forms/Report odczytuje informacje o połączeniu do bazy danych z wpisów w OID skojarzonych z danym DN użytkownika
22
Altkom – Rozwiązanie i Partner
Inne Inne
• Oracle Containers for J2EE – Służy do uruchamiania aplikacje J2EE
– Uwierzytelnia w oparciu o bazę użytkowników w OID
– Przechowuje informacje o uprawnieniach w OID
• Oracle Internet File System– Służy do przechowywania plików w bazie danych
– Uwierzytelnia w oparciu o użytkowników OID
– Wykorzystuje mechanizm Provisioning do pozyskiwania informacji o zmianach w OID
Recommended