Kapitola 25. LDAP — adresářové služby

Obsah

25.1. LDAP versus NIS
25.2. Struktura adresářového stromu LDAP
25.3. Konfigurace LDAP serveru pomocí slapd.conf
25.4. Správa dat v LDAP adresáři
25.5. YaST LDAP klient
25.6. Další informace

Abstrakt

LDAP (Lightweight Directory Access Protocol) je sada protokolů určených ke správě a přístupu k informačním adresářům. LDAP lze využít k mnoha účelům, jako je správa uživatelů a skupin, správa systémové konfigurace nebo správa adres. V této kapitole jsou popsány základy funkce LDAP a jeho konfigurace pomocí nástroje YaST.

V síťovém prostředí je velmi důležité uchovávat důležité informace na dostupném místě a v uspořádané podobě. To lze zajistit adresářovou službou, která, podobně jako zlaté stránky, poskytuje informace ve strukturované a přehledné formě s možností snadného vyhledávání.

V ideálním případe server všechna data uloží do adresáře a pomocí jednotného protokolu je pak distribuuje všem klientům. Data jsou strukturována tak, aby s nimi mohla pracovat celá řada různých aplikací. Není tak nutné, aby každá kalendářová aplikace či poštovní klient udržoval nezávislou databázi, stačí vytvořit jednu centrální. Tím se uspoří čas a náklady na údržbu několika databází. Použitím otevřeného a standardizovaného protokolu LDAP navíc zajistíte, že tato data budou dostupná pro různé typy aplikací a klientů.

Pojmem adresář v této souvislosti rozumíme databázi optimalizovanou pro rychlé a efektivní čtení a vyhledávání, která má tyto vlastnosti:

Adresářové služby jako LDAP nejsou navrženy pro podporu komplexní aktualizace a dotazovacího mechanizmu. Přístup musí být rychlý a jednoduchý.

Řada adresářových služeb existovala a dosud existuje jak na platformě Unix, tak mimo ní. Několika příklady jsou Novell NDS, Microsoft ADS, Banyan Street Talk a OSI standard X.500. LDAP byl původně navržen jako verze DAP (Directory Access Protocol) navrženého pro přístup k X.500. Standard X.500 se zabývá hierarchickou organizací adresářové struktury.

LDAP je zjednodušená verze DAP, která neobsahuje některé funkce DAP, což umožňuje úspory zdrojů. Použití protokolu TCP/IP usnadňuje spojení aplikací se službou LDAP.

LDAP je dnes samostatným řešením pracujícím bez podpory X.500. LDAPv3 (verze protokolu v balíčku openldap2) podporuje tzv. referrals, které umožňují vytváření distribuovaných databází. Nové je také využití SASL (Simple Authentication and Security Layer).

LDAP není omezen na X.500 servery, jak bylo původně v plánu. Opensource server slapd dokáže ukládat objektové informace v lokální databázi. Díky rozšíření slurpd je možné LDAP servery replikovat.

Balíček openldap2 obsahuje následující programy:

slapd

LDAPv3 server spravující informace v databázi typu BerkeleyDB.

slurpd

Program pro replikaci změn dat z lokálního serveru na ostatní LDAP servery v síti.

Další nástroje pro správu

slapcat, slapadd, slapindex.


25.1. LDAP versus NIS

Unixoví administrátoři pro převod jmen a distribuci dat v síti tradičně používají službu NIS. Konfigurační data se nacházejí v souborech v adresáři /etc: group, hosts, mail, netgroup, networks, passwd, printcap, protocols, rpc a services, odkud jsou distribuována klientům v síti. Tyto soubory lze velmi jednoduše spravovat, protože jde o prosté textové soubory. Správa většího množství dat je ovšem náročnější vzhledem k neexistující strukturalizaci. Služba NIS je určena pouze pro unixové systémy, což znesnadňuje nasazení v heterogenních sítích.

Na rozdíl od NIS není služba LDAP omezená jen na čistě unixové sítě. LDAP podporují Windows servery (od verze 2000) a podporu nabízí také Novell.

LDAP je vhodný všude, kde je zapotřebí centrálně spravovat datovou strukturu, např.:

  • Náhrada NIS.

  • Směrování pošty (postfix, sendmail).

  • Adresář pro poštovní klienty jako je Mozilla, Evolution či Outlook.

  • Administrace popisů zón BIND9 name serveru.

Tento seznam by mohl být mnohem delší, protože LDAP je na rozdíl od NIS rozšiřitelný. Jasně definovaná hierarchická struktura dat usnadňuje administraci velkého množství dat.