Escolar Documentos
Profissional Documentos
Cultura Documentos
dnovais@correionet.com.br
Relembrando Vantagens/Limitaes Elementos de uma soluo LDAP Exemplos : Sendmail, Apache, aplicao em C Concluso
Relembrando
Lightweight Directory Access Protocol => baseado no padro X.500
X.500 simplificado e flexvel Implementado sobre TCP/IP (totalmente integrado Internet) Padro que pode ser encontrado na RFC 1777/RFC 2251 Repositrio, Protocolo e API
Relembrando
LDAP no um substituto para banco de dados relacional, file system ou DNS. Aplicaes LDAP podem ser agrupadas em 3 categorias : apps para localizar usurios e recursos na rede apps que gerenciam estes usurios e recursos apps de autenticao e segurana
Vantagens
Multi-plataforma - aplicaes LDAP-aware Padro Aberto Opes de fornecedores de soluo (comercial, open source) Facilidade de instalao e manuteno Replicao uma tecnologia built-in Delegao de autoridade e permisso via ACL (Access Control List) no prprio servidor
Exemplos de utilizao
Informaes que precisam ser lidas de diferentes locais e so pouco alteradas : Phone Book Informaes de contato dos clientes Informaes de infra-estrutura, tais como, mapas NIS, email aliases, etc Configuraes de pacotes de software Public Certificates e Security keys
Limitaes
No substitui Banco de Dados Relacionais (heavy updates, processamento transacional, gerao de relatrios, SQL, two phase commit) No um file system, dificultando o armazenamento de BLOB (binary large objects) No serve como base para uma soluo DNS, no funciona connectionless como o DNS.
O top level do diretrio chamado base DN : o=embrapa, c=BR o=embrapa.br dc=embrapa, dc=BR
o=fazenda ou=usuarios
ou=pessoal
ou=grupos
ou=regionais
ou=servicos
ou=terceiros
cn=DRT5 ...
ou=sede
cn=consultor1 ....
cn=Adm Sistemas
Controle de acesso II
access to attr=userPassword by self write by anonymous auth by dn=uid=admin, ou=cnptia, o=embrapa, c=BR write by * none access to * by self write by dn=uid=admin, ou=cnptia, o=embrapa, c=BR write by * read
Exemplo : Sendmail
A partir da verso 8.10, possvel implementar roteamento de mensagens via LDAP. guest@cnptia.embrapa.br poderia ser apenas guest@embrapa.br O Sendmail busca na base LDAP se o endereo est OK (conta ou alias existente), atributos uid e mailLocalAddress. Depois o Sendmail pode fazer um forward do email para o servidor regional correspondente via atributos mailRoutingAddress ou mailHost.
Exemplo: Apache
Autenticao de usurios, acesso s pginas e recursos disponveis. Existe um mdulo disponvel: http://www.rudedog.org/auth_ldap/ preciso compilar o mdulo e disponibiliz-lo no Apache, no arquivo httpd.conf : # For Unix LoadModule auth_ldap_module modules/auth_ldap.so
Exemplo: Apache
<Directory /usr/local/projeto/html> AllowOverride All order allow,deny allow from all Options ExecCGI AuthName Projto" AuthType Basic AuthLDAPURL ldap://sol.cnptia.embrapa.br/o=embrapa, c=BR?uid?sub?(objectClass=*) require valid-user # require user guest ou require group cn=administradores, ou=cnptia, o=embrapa, c=BR </Directory>
rc = ldap_modify_s(_ld, (char *) entryDN, mods); if (rc != LDAP_SUCCESS) { fprintf(stderr, "ldap_modify_s: %s\n", ldap_err2string(rc)); retorno=0;} return retorno;}
Concluso
No uma panacia Modelagem/topologia Padro aberto, ubiquidade de solues ( servers, clientes, linguagens) Complexidade dos ambientes atuais Single Sign-On
Bibliografia
RFC2251 - Lightweight Directory Access Protocol (v3) RFC2252 - LDAPv3 Attribute Syntax Definitions RFC2253 - UTF-8 Representation of Distinguished Names RFC2254 - The String Representation of LDAP Search Filters RFC2255 - The LDAP URL Format RFC2256 - A Summary of the X.500(96) User Schema for use with LDAPv3 http://www.linc-dev.com/ldapres.html (contm RFCs, fornecedores de aplicaes, etc.) http://www.netscape.com/comprod/server_central/product/directory/i ndex.html