Примеры Open. LDAPВ этом разделе приводится набор решений для каталога в стиле . Переходя по ссылкам, Вы можете нечаянно что- то узнать — не говорите потом, что Вас не предупреждали. В этом разделе мы возьмём за основу реализацию отдельно стоящего каталога LDAP и будем последовательно, шаг за шагом, её совершенствовать. Перед тем, как начать — если Вы ещё не обзавелись LDAP- браузером, сделайте это сейчас. Open Source предоставляет таковых с избытком. LDAP- браузер — это специализированный LDAP- клиент, позволяющий, в общем случае, получать доступ и исследовать LDAP- каталог. Это бесценный инструмент. Как минимум, LDAP- браузер должен быть способен производить подключения — либо анонимно, либо используя указанный DN, экспортировать LDIF- файлы и выполнять поиск. Если же он может ещё и добавлять записи и атрибуты, а также импортировать данные из LDIF- файлов — это вообще прекрасно. Если Вы мазохист, можете, конечно, использовать утилиты командной строки, такие как ldapadd и ldapsearch. Но ведь можно найти и более действенные способы удовлетворения своей страсти — побиться головой о стену, например. В любом случае, выбор полностью за Вами. Сценарий: Добавление поля 'комната' в таблицу customer. Теперь добавьте новый столбец в MAP-масив в Kernel/Config.pm, как это показано в нижеприведенном. Затем добавьте в вашей LDAP-директории значения 'Б;Ц;' в поле для CustomerIDs, для клиента 'А'. Ldapmodify соединяется с LDAP -сервером, привязывается к нему и модифицирует запишет "[email protected]" в поле mail записи "Modify Me", а также man:ldapadd — добавление записей; man:ldapdelete. Содержание. 5. 1 Простой каталог. Проектирование DIT5. Выбор структурного объектного класса. Файл slapd. conf. Файл LDIF5. 1. 5 Загрузка LDIF- файла. Добавление записей с помощью LDIF5. Изменение записей с помощью LDIF5. Напоследок просто подурачимся. Защита каталога. 5. Политика безопасности. Добавление групп. ACL — директивы access файла slapd. Тестирование ACL5. Расширение иерархии. Расширение требований. Реализация расширения. LDIF для реализации расширения. ACL — директивы access файла slapd. Тестирование ACL5. Добавление элементов в LDAP схему. Posted on Май 10, 2012 by dev64. Заполните поля или щелкните по значку, чтобы оставить свой комментарий: E-mail (обязательно) (Адрес никогда не будет опубликован). В настройках LDAP-сервера указываються минимально необходимые поля, такие как Активность, Имя, Фамилия, E- Mail, т.е. Если необходимо добавить поля. После этого добавление пользователей сведется к добавлению учетных записей в каталог LDAP. Но с незаполнеными полями mail, address и т.д. Что не трудно исправить, добавив схему inetorgperson.schema и заполнив соостветствующие поля. Создание и добавление объектов. Требования. 5. 4. Реализация. 5. 4. Определения атрибутов. Определение объектного класса и набора схемы. ACL — директивы access файла slapd. LDIF5. 4. 7 Тестирование изменений. Технология единого входа (Single Sign On)5. Отсылки и репликация. В данных примерах описано последовательное усовершенствование каталога от простейшей отправной точки в следующем порядке: Шаг 1: обыкновенный (заурядный) каталог имён и адресов без системы безопасности (анонимный доступ на чтение и ограниченный доступ на запись). Шаг 2: добавление политики безопасности — анонимный доступ на чтение определённых полей, защищённый доступ к другим полям и ограниченный защищённый доступ на запись. Шаг 3: добавление двух дополнительных веток к иерархии — общедоступной, но защищённой ветки customer и ветки equipment. Шаг 4: добавление новых объектных классов и некоторых атрибутов. Шаг 5: усовершенствование до технологии единого входа (single sign on, SSO) для поддержки Samba, FTP, Apache и email (в данном случае courier). Шаг 6: распределение контроля (отсылки), внедрение одного скрытого главного сервера (репликация). Форма добавления учетной записи в Системе раннего оповещения в поле Сервер по протоколу LDAP укажите адрес mail.fsvps.ru. Часто доступ к LDAP-серверу, особенно глобальному. Поскольку существует возможность определять новые типы полей, то в LDAP можно. Добавляем данные, собственно. Добавление записей в базу данных производится (как. Примечание: Open. LDAP находится в процессе перехода от текстового конфигурационного файла (slapd. OLC или cn=config). Поскольку Open. LDAP серии версий 2. Другие решили перейти к использованию OLC (cn=config), некоторые даже утверждают, что они это сделали и предоставляют специальные инструметы и скрипты чтобы . Если Ваша инсталляция относится к этой последней категории, Вам нужно сделать три вещи: прочитать документацию, поставляемую с реализацией Open. LDAP Вашего дистрибутива; хорошенько познакомиться с OLC (cn=config); немного погоревать — изначальная кривая Вашего обучения задралась несколько круче, чем предполагалось. Тем не менее, Вы всегда можете вернуться к классической конфигурации slapd. OLC лишь когда Вы сами посчитаете это нужным (для понимания процесса перехода внимательно прочитайте этот раздел). Разделы примеров содержат замечания и пояснения, охватывающие конфигурацию slapd. OLC (cn=config). Начнём с простого каталога имён и адресов без системы безопасности. Когда Вы начинаете работу с таким сложным приложением, как LDAP, есть около 6- ти миллионов вещей, которые могут пойти не так. Мы пропускаем систему безопасности, чтобы уменьшить количество ошибок примерно до 3- х миллионов. Не помещайте в этот каталог какую- либо конфиденциальную информацию. Безопасность, — даже тривиальная система безопасности, — неотъемлемая часть любого каталога. Безопасность, однако, поддаётся наращиванию; она не влияет на хранящиеся в каталоге данные, и может быть модернизирована в любое время. Проектирование DITНа самом деле, это очень важный этап, и Вы можете провести всю оставшуюся жизнь, проектируя своё DIT. Люди даже пишут книги по этой теме. Существует несколько документированных нами общепринятых практик, но в Вашем конкретном случае они могут не заработать. Примите их за то, чем они, по сути, и являются — отправной точкой для Ваших размышлений по этому предмету. Мы решили следовать классическому, описанному в RFC 2. DIT. Также мы организовали иерархию адресной книги в разделе people и использовали для этого раздела атрибут ou. Итак, мы остановились на вот такой структуре DIT: 5. Выбор структурного объектного класса. Вселенский плач и скрежет зубов — обычный аккомпанемент для выбора первичного объектного класса. И всё же это необходимый ритуал LDAP, так давайте займёмся этим прямо сейчас! В общем случае, на наш взгляд, наиболее полезный для обыкновенных (заурядных) каталогов объектный класс — это inetorgperson, поскольку он является частью БОЛЬШОЙ иерархии с большим количеством атрибутов (убедитесь сами, следуя по ссылкам SUP — вышестоящей иерархии). Если нам не хватит какого- нибудь атрибута — можно добавить его позже, в шаге 4 как раз это и делается. Решение принято; дело закрыто. Файл slapd. conf. Вот пример slapd. В нём используется механизм манипуляции данными Oracle Berkeley Data. Base (BDB) (в настоящее время предпочитаемая и рекомендуемая Open. LDAP база данных). ПРИМЕР 1 — ПРОСТОЙ КАТАЛОГ ############. Примечание: inetorgperson использует атрибуты и. NB: В RH Linux наборы схемы располагаются в /etc/openldap. НЕТ СИСТЕМЫ БЕЗОПАСНОСТИ — условия безопасности пропущены. НЕ заботимся о файле ARGS, пока не обретём уверенности в своих силах. Включаем большое количество вывода в журнал — нам это может понадобиться. Определения ЗАГРУЗКИ МОДУЛЕЙ. Приведённые в примере значения по умолчанию для cachesize и checkpoint представляют собой разумные настройки, способные предотвратить большинство распространённых сбоев при записи в базу данных. Если Вы хотя бы немного заботитесь о производительности, Вы должны хорошо понимать настройки BDB и экспериментировать с ними. Настройки безопасности определяются с помощью директив access. В данном случае их отсутствие позволяет осуществлять анонимный доступ на чтение (аутентификация не требуется), доступ на запись не даётся. Поскольку в примере есть директивы rootdn и rootpw, можно осуществлять запись в каталог от имени этого dn, а также экспериментировать с подключениями при создании записей. В примере отсутствует директива backend, строгой необходимости в которой нет, даже несмотря на то, что в некоторых документациях утверждается обратное. Если Вам нравится печатать, добавьте её. Выбранные нами индексы призваны оптимизировать некоторые формы доступа. При поиске можно использовать и те атрибуты, которые не были проиндексированы — просто это будет дольше. Файл LDIFПредставленный ниже LDIF создаёт структуру DIT и добавляет единственную запись в раздел people, позднее с помощью LDIF мы добавим другие две записи. Для добавления других записей, поиска и всех остальных забавных вещей можно также воспользоваться LDAP- браузером. Данный LDIF будет добавлен с помощью утилиты ldapadd при запущенном Open. LDAP (slapd). Если у Вас много данных, которые Вы готовы поместить в каталог, Вам придётся вновь и вновь создавать LDIF и помещать в каталог столько данных, сколько Вам надо. Если у Вас действительно много данных (больше 1 0. Вы захотите воспользоваться методом загрузки записей slapadd из соображений экономии ресурсов. Перед тем, как создавать LDIF- файл, мы должны выяснить, какие данные ДОЛЖНЫ присутствовать — в нашем случае это также позволит минимизировать записи, чтобы примеры оставались короткими. Беглый просмотр иерархии объектных классов inetorgperson позволяет найти все те атрибуты, которые должны присутствовать. Наша инспекция показала, что всего два атрибута, cn и sn, являются обязательными. Следующий LDIF устанавливает нашу первоначальную иерархию, а также добавляет одну запись в раздел people. Определение DIT ROOT/BASE/SUFFIX ####. RFC 2. 37. 7. ## замените встречающиеся ниже example и com на требуемые. Object — это ВСПОМОГАТЕЛЬНЫЙ объектный класс и, кроме него, запись. ДОЛЖНА иметь СТРУКТУРНЫЙ объектный класс (в данном случае, organization). ЗАПИСИ и ей предшествует ПУСТАЯ СТРОКА. Моя замечательная компания. В эту строку можно поместить столько текста, сколько хотите. Kb. строка оканчивается либо на < CR> , либо на < CR> < LF> , то есть отрабатывается ENTER. Windows, так и *nix — новая строка ДОЛЖНА начинаться с ОДНОГО ПРОБЕЛА. Class: dc. Object. Class: organization. Example, Inc. Это успешно загружалось в Open. LDAP 2. 0 и 2. 1, но стало отклоняться в Open. LDAP 2. 2 (ошибка 6. В общем случае, для этих целей может использоваться любой атрибут при условии соблюдения уникальности 'dn: ', и, во избежание излишней нагрузки при поиске, обычно им становится наиболее часто используемый при доступе к записи DN. Поэтому в последней записи в приведённом выше LDIF используется значение cn=Robert Smith,ou=people,dc=example,dc=com, подразумевая, что cn= будет наиболее часто используемым DN при доступе к записям. Однако, если запись будет использоваться для аутентификации, то данный DN ДОЛЖЕН быть таким, чтобы его можно было использовать во время операций подсоединения. В этом случае более подходящими могут быть DN типа uid=rjsmith,ou=people,dc=example,dc=com. Поскольку для данного начального DN (или DN 'создания') нет специального термина в стандартах LDAP, то, при использовании в целях идентификации, он иногда называется DN принципала (Principal DN). Дополнительная информация по этой теме. Для упрощения описания некоторых концепций LDIF мы используем некоторые введённые нами термины.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. ArchivesCategories |