Serwery LDAP w środowisku produktów Oracle · ORACLE • Oparty o bazę danych • Zgodny ze standardem LDAP v3 • Wykorzystywany w wielu innych produktach, m.in.: – Oracle Database:

1

Altkom – Rozwiązanie i Partner

Serwery LDAP wSerwery LDAP w śśrodowiskurodowiskuproduktproduktóów Oraclew Oracle

Mariusz Przybyszewski

2


Uwierzytelnianie i autoryzacjaUwierzytelnianie i autoryzacja

• Uwierzytelnienie to proces potwierdzania tożsamości, np. przez:– Użytkownik/hasło

– certyfikat SSL

– inne

• Autoryzacja to przyznanie uprawnień

• Informacje wymagane do uwierzytelniania i autoryzacje są przechowywane w:– Bazie danych

– Systemie operacyjnym

– Dedykowanym systemie

3


Usługi katalogoweUsługi katalogowe

• Informacje przechowywane są w strukturze katalogów

• Dane są dostępne dla wielu systemów, np.:– Serwery baz danych

– Systemy operacyjne

• Przechowywane są m.in.:– Informacje o uwierzytelnieniu i autoryzacji

– Informacje adresowe

– Konfiguracje systemów

• Przeważają operacje odczytu

• Standard ISO – X.500

4


LDAPLDAP

• LDAP (Lightweight Directory Access Protocol) –protokół dostępu do katalogu

• Standard IETF (Internet Engineering Task Force) opisany w dokumentach RFC

• Określa lekki sposób – małe wymagania klienta w porównaniu do DAP z X.500

• Definiuje, m.in.:– Protokół dostępu

– Operacje wykonywane przez klienta

– Format zapisu zapytań

– Format pliku wymiany danych – LDIF (LDAP Data Interchange Format)

5


LDAP / StrukturaLDAP / Struktura

• Dane przechowywane są w postaci powiązanych ze sobą wpisów

• Wpis jest jednoznacznie identyfikowany przez DN (Distinguished Name)

• RDN (Relational DN) to określenie wpisu względem nadrzędnego drzewa –kontekstu

• Wpisy zawierają atrybuty

• Atrybuty organizowane są w klasy

c=PL

o=ALTKOM

cn=USERS

cn=maniek

emailaddrs: [email protected]: cn=maniek,cn=users,

o=altkom,c=pl

6


LDAP / OperacjeLDAP / Operacje

Standardowe operacje to:

• Bind/unbind – podłączanie się do serwera

• Search – wyszukiwanie/pobieranie informacji z katalogu

• Compare – porównywanie wartości atrybutów

• Add, Delete, Modify – dodawanie, usuwanie i modyfikowanie wpisów

7


LDAP / Przegląd produktówLDAP / Przegląd produktów

Najbardziej znane serwery LDAP:

• Netscape Directory Server

• Sun ONE Directory Server

• Novell eDirectory

• IBM Directory Server

• MS Active Directory

• OpenLDAP

• Oracle Internet Directory

8


Oracle Internet DirectoryOracle Internet Directory

• Oracle Internet Directory (OID) to serwer LDAP firmy ORACLE

• Oparty o bazę danych

• Zgodny ze standardem LDAP v3

• Wykorzystywany w wielu innych produktach, m.in.:– Oracle Database: opcja Advanced Security - Enterprise

Users, protokół NET8, opcja Advanced Queuing

– Oracle Portal

– Forms/Reports Services

– Oracle Single Sign On (OSSO)

– Oracle Containers for J2EE (OC4J)

9


OID / ArchitekturaOID / Architektura

Instancja 1

Instancja 2

Monitor

Replikacja

REPOZYTORIUM

10


OID / Uwierzytelnianie i autoryzacjaOID / Uwierzytelnianie i autoryzacja

• Sposoby uwierzytelniania:– przez nazwę użytkownika i hasło

– przez certyfikat SSL

– anonimowe

– przez użytkownika PROXY

• Autoryzacja korzysta z list kontroli dostępu –ACL (Access Control List)

• Autoryzacja wykonywana jest podczas operacji na wpisach

11


OID / Instalacja i konfiguracjaOID / Instalacja i konfiguracja

• Instalacja polega na zainstalowaniu oprogramowania OID oraz utworzeniu repozytorium przez OIDConfiguration Assistant

• Wykonywana z płyty instalacyjnej lub poprzez ręczne uruchomienie OID Configuration Assistant (oidca)

• Podczas instalacji można: – Użyć gotowej bazy z płyty

– Użycie istniejącej instancji ORACLE

• Jeden serwer może mieć wiele konfiguracji

• Aby uruchomić kilka konfiguracji – każda w swojej instancji

12


OID / Oracle Directory ManagerOID / Oracle Directory Manager

• Umożliwia administrację serwerem OID

• Program graficzny napisany w języku JAVA

• Pozwala na definicję atrybutów i klas

• Umożliwia dodawanie, modyfikację i usuwanie wpisów

13


OID / OID / DelegateDelegate Administration Administration ServiceService

• Umożliwia zarządzanie wpisami użytkowników

• Pozwala delegować uprawnienia

• Dedykowany zarówno dla administratorów jak i użytkowników końcowych

• Udostępniany przez przeglądarkę WWW

• Oparty o technologię Java Servlets i JSP

14


OID / Narzędzia linii poleceńOID / Narzędzia linii poleceń

• Do uruchamiania serwera służą programy – oidctl

– oidmon

• Do modyfikacji wpisów– ldapadd, ldapmodify, ldapdelete

– ldapaddmt, ldapmodifymt

– ldapmoddn

– bulkmodify, ldifwrite

• Do testowania połączeń LDAP – ldapbind

• Do wyszukiwania – ldapsearch

15


OID / Partycje i replikiOID / Partycje i repliki

• Drzewo katalogu może zostać podzielone na partycje– Jest jedna główna partycja

– Kolejne partycje odpowiadają za poszczególne poddrzewa

– W partycji nadrzędnej znajduje się informacja o lokalizacji poddrzewa

• Całe katalogi mogą być replikowane między sobą

16


OID / Interfejsy i wtyczkiOID / Interfejsy i wtyczki

• Dostępne są interfejsy:– PL/SQL

– JAVA

– C

• Wtyczki realizują dodatkowe akcje, które mają być wykonane przed, podczas lub po zadanej operacji.

• Wtyczki mogą być napisane tylko jako pakiety PL/SQL, znajdujące się w tej samej bazie co repozytorium OID

17


OID / Platforma integracyjnaOID / Platforma integracyjna

• Directory Integration Platform (DIP) umożliwia integracje OID z aplikacjami oraz z innymi serwerami LDAP

• Usługa Synchronization

– Służy do synchronizacji z innymi katalogami

– Działa w dwie strony

• Usługa Provisioning

– Dedykowana dla aplikacji korzystających z OID

– Działa w jedną stronę

18


Oracle DatabaseOracle Database

• Baza danych wykorzystuje OID podczas:– Uwierzytelniania użytkowników – nazwy i hasła (opcjonalnie)

sprawdzane są w OID. Następnie pobierana jest informacja o mapowaniu danego użytkownika do schematu

– Autoryzacji użytkowników – informacje o rolach danego użytkownika są pobierane z OID.

• NET8 przechowuje nazwy TNS w OID – nie ma potrzeby wielokrotnej konfiguracji pliku TNSNAMES.ORA

• Advanced Queuing – informacje na temat kolejek przechowywane są w OID. Ponadto OID może udostępniać informacje o zdarzeniach bazy danych.

19


Oracle Single Oracle Single SignSign OnOn

• Oracle Single Sign On umożliwia jednokrotne uwierzytelnianie aplikacji WWW

• Do uwierzytelniania wykorzystuje OID

• Umożliwia autentykację przez hasło oraz przez certyfikat

20


Oracle PortalOracle Portal

• Oracle Portal służy do tworzenia i zarządzania portali

• Do uwierzytelniania wykorzystuje bazę użytkowników z OID

• Wykorzystuje mechanizm Provisioning do pozyskiwania informacji o zmianach w OID

• Może wykorzystywać OSSO

21


Oracle Oracle FormsForms//Reports ServicesReports Services

• Służy do uruchamiania aplikacji Forms i Reports w przeglądarce WWW

• Potrafi wykorzystać połączenie SSO i OID:– Użytkownik loguje się do SSO

– DN użytkownika przekazywany jest serwerowi Forms/Reports

– Serwer Forms/Report odczytuje informacje o połączeniu do bazy danych z wpisów w OID skojarzonych z danym DN użytkownika

22


Inne Inne

• Oracle Containers for J2EE – Służy do uruchamiania aplikacje J2EE

– Uwierzytelnia w oparciu o bazę użytkowników w OID

– Przechowuje informacje o uprawnieniach w OID

• Oracle Internet File System– Służy do przechowywania plików w bazie danych

– Uwierzytelnia w oparciu o użytkowników OID

– Wykorzystuje mechanizm Provisioning do pozyskiwania informacji o zmianach w OID

Documents

Serwery LDAP w środowisku produktów Oracle · ORACLE • Oparty o bazę danych • Zgodny ze standardem LDAP v3 • Wykorzystywany w wielu innych produktach, m.in.: – Oracle Database: