LDAP (hodně zjednodušeně)

Lightweight	Directory	Access	Protocol
lehký	adresář	přístup	protokol
lehký protokol pro přístup k adresáři
protokol pro přístup k lehkému adresáři
protokol pro lehký přístup k adresáři

adresář je "databáze" se stromovou strukturou
uzly (entries) jsou množiny atributů (typ:hodnota) jednoznačně identifikovatelné pomocí Distinguished Name (DN)
části databáze se zapisují v tzv. LDAP Data Interchange Format: ldif(5) (RFC 2849)

# vrchol stromu
dn: o=mojefirma
objectClass: top
objectClass: organization
o: mojefirma

dn: ou=Uzivatele,o=mojefirma
objectClass: organizationalUnit
description: Uzivatele v MeFirme
ou: Uzivatele

dn: uid=pelikan,ou=Uzivatele,o=mojefirma
objectclass: inetOrgPerson
objectclass: organizationalPerson
objectclass: person
objectclass: posixAccount
objectclass: shadowAccount
uid: pelikan
cn: Martin
sn: Pelikan
loginshell: /bin/false
uidnumber: 1000
gidnumber: 100
homedirectory: /home/pelikan
userpassword: {CRYPT}$salt$osoleny_hash

dn: ou=Skupiny,o=mojefirma
objectClass: organizationalUnit
description: {0}Vic atributu k 1 typu.
description: {1}Usporadani treba takto.
description: {2}Nebo jak chcete.
ou: Skupiny

dn: cn=admini_IS,ou=Skupiny,o=mojefirma
objectClass: top
objectClass: posixGroup
cn: admini_IS
gidNumber: 1000
memberUid: pelikan
memberUid: novakova

# vrchol stromu
dn: o=mojefirma
objectClass: top
objectClass: organization
o: mojefirma

dn: ou=admini_IS,o=mojefirma
objectClass: organizationalUnit
description: admini inf. systemu
ou: admini_IS

dn: uid=pelikan,ou=admini_IS,o=mojefirma
objectclass: inetOrgPerson
objectclass: organizationalPerson
objectclass: person
objectclass: posixAccount
objectclass: shadowAccount
uid: pelikan
cn: Martin
sn: Pelikan
loginshell: /bin/false
uidnumber: 1000
gidnumber: 100
homedirectory: /home/pelikan
userpassword: {CRYPT}$salt$osoleny_hash

Proč ne "lehký protokol"?

RFC 4510: obsah
RFC 4511: popis protokolu
RFC 4512: directory information models
RFC 4513: autentizace a bezpečnost (LDAP+STARTTLS, LDAPS, SASL)
...
RFC 4516: URI, které můžete použít pro přístup k datábazi
RFC 4517: syntaxe a matchovací pravidla (vyhledávátko)
...
RFC 4524: schéma COSINE LDAP/X.500
Co-operation and Open Systems Interconnection in Europe
...
RFC 4533: (experimental)

...ne, není to lightweight protocol...

Lehký adresář?

jak uzly a jejich parametry vypadají, určuje tzv. schéma
Koukněte do /etc/ldap/core.schema (LDAP-specific encoding, RFC4512, sekce 4.1; jindy např. BER).
standardních schémat definovaných různými RFC je hodně a jsou velká
proprietární jsou ještě větší a ne vždy dobře dokumentovaná
nejspíš je to dáno původem: protokol X.500

Spíš lightweight directory pinned down by heavyweight policy.

Lehký přístup?

# pkg_add -iv openldap-client
# ldapsearch query
výstup
# ldapsearch -WxD binddn query
výstup2

require_once("ldap.php");
$l = new ldap_connection(server, port);
$l->bind(dn, pass);
$l->search("ou=Skupiny, o=firma", "cn=*");

$g = new ldap_group();
foreach ($l->result as $i) {
	$g->read_properties($i);
	echo ($g);
}

modifikace se typicky dělají nějakým klikátkem ;-)

nebo z ldif(5) souboru s instrukcemi o změnách

# takhle změním heslo a smažu surname
dn: uid=potazmo, o=firma
replace: userPassword
userpassword: `slappasswd -h {CRYPT}`
-
delete: sn

Jaký LDAP server?

OpenLDAP

Je ozkoušený a všude. Nainstalujte si ho.

# pkg_add -iv openldap-server openldap-client

# emerge -av openldap pam_ldap nss_ldap

# yum install {openldap,openldap-servers,pam_ldap,nss-pam-ldapd} ### XXX spravit

OpenLDAP Admin Guide
historická slapd and slurpd Administrator's Guide pro srovnání

OpenBSD ldapd(8)

ve vývoji

Active Directory, Red Hat Directory Server

pro odvážné...

OpenLDAP - architektura

vlastní LDAP server se jmenuje slapd(8)
jako backend slouží typicky Berkeley DB: slapd.backends(5), slapd-hdb(5)
aktuální verze mají konfiguraci slapd-config(5) uloženou v cn=config, který se načítá z textového LDIF souboru
slap{acl,add,auth,cat,dn,index,schema,test}(8) slouží výhradně k práci s vypnutou databází
balík openldap-servers
ldap{add,delete,modify,search}(1) jsou frontendy ke knihovně ldap(3)
balík openldap-clients
root DN má neomezený přístup kamkoli
starý (nicméně stále častý) způsob konfigurace je v slapd.conf(5)
⇒ může se Vám stát, že provedete změny do cn=config, ale nikam se neuloží
slurpd(8) býval replikační server, neuměl multi-master replikaci a je deprecated ve prospěch SyncRepl

Nastavení OpenLDAP - dříve

stačily 3 věci: použitá schémata, přístupy a jednu "databázi" (na obrázku dvě)

# vi /etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
...


access to attrs=userpassword by self write by anonymous auth
access to dn.sub="ou=Uzivatele,o=potazmo" by * read
...


database hdb
suffix "o=prvni-koren"
rootdn "cn=admin, o=prvni-koren"
rootpw v_produkcnim_systemu_semka_dejte_vystup_slappasswd(8)
directory "/var/openldap/prvni-koren/"
index drink, secretary ...
...
database hdb
suffix "dc=druhy,dc=koren"
rootdn "cn=admin, dc=druhy,dc=koren"
rootpw v_produkcnim_systemu_semka_dejte_vystup_slappasswd(8)
directory "/var/openldap/druhy-koren/"
index ...
...

Nastavení OpenLDAP - dnes

někde máte definici podstromu cn=config
/etc/openldap/??

/etc/openldap/slapd.ldif

/etc/openldap/slapd.d/*.ldif
cn=schema, cn=config
Typicky pomocí include připojíte soubory s definicí schématu.
olcDatabase=frontend, cn=config
Pomocí olcAccess nastavíte práva (slapd.access(5)).
olcDatabase=hdb, cn=config
Tady jsou olcSuffix, olcRootDN, olcDbDirectory, olcDbIndex
(slapd-config(5), sekce GENERAL DATABASE OPTIONS)
spusťte službu slapd a zkontrolujte vypsáním tzv. rootDSE:
```
$ ldapsearch -xWD "rootdn" -s base -b "" +
```
skryté (proto to plus) hodnoty rootDSE.namingContexts odpovídají stromům, které daný stroj nabízí

Vytvoříme strom a naplníme našimi daty

nějak si stáhněte tyhle tři soubory a nastavte si tam svůj strom (např. dc=doména,dc=swi nebo o=organizace):

# ftp  http://teaching.storkhole.cz/ldap/01_strom.ldif
# wget http://teaching.storkhole.cz/ldap/02_uzivatel.ldif
# lynx http://teaching.storkhole.cz/ldap/03_zmena.ldif
# curl http://teaching.storkhole.cz/ldap/04_skupina.ldif

Jdeme importovat! V ldap.conf(5) se dočtete, jak jde BINDDN a BASE přesunout z příkazové řádky do souboru. Ve slapd.conf(5) pomocí authz-regexp můžete nabindovat "unixového" roota na rootdn a používat SASL. Zde jen "simple" autentizace, tj. -x

# vi ~/.ldaprc ## podle ldap.conf(5)
# ldapadd -w HESLO_DO_ROOTDN -xD "cn=admin,dc=doména,dc=swi" -f 01_strom.ldif
adding entry ...
# ldapsearch -Wxb "dc=doména,dc=swi"
(výsledky hledání == to, co jste právě naimportovali)
# ldapadd -Wxf 02_uzivatel.ldif
adding entry ...
# ldapsearch -Wxb "ou=Uzivatele,dc=doména,dc=swi"
(výsledky hledání == nový uživatel)
# ldapmodify -Wxf 03_zmena.ldif
modifying entry ...
# ldapsearch -Wxb "ou=Uzivatele,dc=doména,dc=swi"
(výsledky hledání == nový uživatel)
# ldapdelete -Wx "uid=test,ou=Uzivatele,dc=doména,dc=swi"

tahák
doma si zkuste pracovat se skupinami, tady jen uživatelé (ten čtvrtý nahoře)

Zadávání ne-ASCII stringů v base64

Chcete-li zadat hodnotu v Unicode nebo začínající dvojtečkou nebo mezerou, zadejte ji jako "typ:: hodnota-v-base64":

Pozor na konce řádků!

$ echo "cn:: `echo -n ' zacinam mezerou' | openssl enc -base64`"
cn:: IHphY2luYW0gbWV6ZXJvdQ==
$ echo "Cg==" | openssl enc -d -base64

$

## s balíkem base64
$ echo "hodnota" | base64 | base64 -d
hodnota
base64: invalid input
$ echo "Cg==" | base64 -d | hexdump
base64: invalid input
$ echo -n "Cg==" | base64 -d | hexdump
0000000 000a
0000001

Více informací samozřejmě v ldapadd(8), ldif(5).

Formáty hesel ještě jednou

slappasswd(8) s opšnou -h umí zvolit, jaký hash se použije
doporučovaný je solený SHA-1, tj. {SSHA}
Ten není starými verzemi pam_ldap podporován! Hlídejte si třeba CentOS 5.
plaintext je out of question (u koho to uvidím, strhnu mu body!)
{CRYPT} vypadá, že funguje všude; odhadem (podle délky b64 řetězce) se jedná o starý crypt(3) s 2B solí
tip: věnujte těch pár minut k tomu, abyste si vytvořili 4 uživatele, každý s jiným hashem a zkoušeli se přihlásit ze všech možných knihoven!

Stejně jako přístupy k heslům si hlídejte jednoznačnost UID! TODO odkaz na moji fci

Pro zvídavé

+ (prefixová notace vyhledávacího filtru, -s scope)
+ příklady proti AD?
+ TLS a dopravení certifikátů ke klientům (v podstatě se neliší od návodu k Postfixu)

# vi /etc/relayd.conf
relay ldapgw {
        listen on 127.0.0.1 port 389
	forward with ssl to real.server port 636
}


- používejte slapd -d \? ## každé číslo znamená trochu něco jiného