Система імен LDAP

Для того щоб LDAP-клієнт мав можливість отримувати дані від LDAP-сервера, необхідно вказати конкретний обєкт в каталозі Для цього служать спеціальні атрибути, для яких схемою задається вимога уні-кальності в межах одного контейнера Такі атрибути називаються відносності помітним імям (Relative distinguished name, rdn) Тепер для того, щоб ідентифікувати обєкт в межах дерева, досить вказати відносні помітні імена всіх обєктів в ланцюжку, починаючи від кореня дерева Отримана послідовність помітних імен називається повним помітним імям (Fully distinguished name, fdn) Для позначення повного помітного імені прийнята запис

<Ім'я атр.1> = <знач. атр.1>,

<Ім'я атр.2> = <знач. атр.2>, .,

<Ім'я атр.N> = <знач. атр.N>

Наприклад, контейнер, що зберігає схему каталогу Active Directory (у до-мене examplecom), має наступне повне помітне імя: CN = Schema, CN = Configuration, DC = example, DC = com Як видно з прикладу, атрибут, яв-ляющая відносним помітним імям у кожного обєкта може бути свій (тут CN – у обєктів-контейнерів Schema і Configuration, DC – у обєктів example і com) Вказівка ​​того, який атрибут може виступати в ролі помітного імені, задається у схемі для кожного класу

723 Інструментарій для роботи з LDAP-каталогом

Для роботи з довільними LDAP-каталогами існує величезна кількість програм як безкоштовних, так і комерційних У даному розділі будуть розглянуті два основних інструменти: оснастка MMC ADSI Edit (Ко-торая володіє великим функціоналом, якщо мова йде про LDAP-каталозі Ac-tive Directory), а також утиліти пакета ldap-utils (перевага цих утиліт в тому, що вони реалізовані практично для кожної ОС)

Оснащення ADSI Edit входить в пакет Support Tools ОС Windows Server

2003 Для виклику цієї утиліти необхідно у вікні Start ⇒ Run набрати «ad-

sieditmsc » Завантажиться консоль управління Microsoft з оснащенням ADSI Edit,

підключеної до трьох розділів каталога (рис 72): Domain (власне дан-ні каталогу Active Directory), Configuration (службова інформація) і Schema (схема каталогу) При необхідності можна підключитися і до дру-гим розділах каталогу, вибравши відповідний пункт контекстного меню кореневого вузла оснащення

Для того щоб переглянути вміст розділу, досить розкрив-

вать відповідні вузли (у ролі вузлів виступатимуть обєкти-

контейнери, звичайні обєкти будуть відображатися в правому вікні)

Рис 72 Оснащення ADSI Edit

Для кожного обєкта-контейнера з контекстного меню доступний сле-дме набір дій: перемістити обєкт, перейменувати обєкт, видалити обєкт, викликати властивості обєкта, а також створити всередині новий обєкт, допустимих за схемою У звичайних обєктів доступно тільки переміщення, з-сування імені, видалення і виклик властивостей

Пункт меню «Властивості» (Properties) дозволяє редагувати властивості обєкта за допомогою редактора атрибутів (рис 73), а також налаштовувати раз-рішення на практично будь-яку дію над атрибутами, обєктом і його со-держимому (у разі обєкта-контейнера)

Зовнішній вигляд редактора прав доступу представлений на рис 74

Основне застосування оснастки ADSI Edit – детальне управління пра-

вами користувачів на обєкти і атрибути каталогу, також ADSI Edit примі-

няется для редагування тих атрибутів обєктів, що не редагують-ся стандартними засобами адміністрування Active Directory (у даному посібнику це будуть атрибути Unix користувача)

Рис 73 Редактор атрибутів

Пакет ldap-utils включає в себе такі основні утиліти:

– Ldapsearch – служить для пошуку обєктів в каталозі від вказаного вузла і на зазначену глибину,

– Ldapmodify – служить для модифікації обєктів LDAP,

– Ldapadd – те ж, що і ldapmdify з опцією-a (додавання),

– Ldapdelete – утиліта для видалення обєктів з каталогу,

– Ldapmodrdn – утиліта для зміни імені обєкта

При запуску кожної утиліти пакета необхідна інформація береться з трьох джерел (кожний наступний перекриває попередній): файлу

«/ Etc / ldap / ldapconf», файлу «~ / Ldaprc» і опцій командного рядка Основними параметрами є:

– Користувач LDAP, від імені якого відбуватиметься подключе-

ня (взагалі кажучи, це може бути будь-який обєкт каталогу),

– LDAP-сервер, до якого буде здійснюватися підключення,

– Метод перевірки автентичності,

– Кількість виведеної налагоджувальної інформації,

– Облікові дані

Рис 74 Редактор прав доступу

Кожна з утиліт має також власні параметри У випадку з ути-літами ldapmodify і ldapadd – це LDIF-файл, який описує необхід-мі зміни Інформація про формат LDIF міститься в RFC 2849 Утілі-та ldapsearch очікує параметри фільтру для запитів, а також список атрибутів, які поверне сервер для кожного обєкта, що задовольняє фільтру (за замовчуванням повертаються всі атрибути)

Фільтри LDAP визначені в самому протоколі та описані в RFC 4515

Наприклад, нехай необхідно знайти в LDAP-каталозі обєкт-компютер, у ко-

торого імя починається на win- Тоді відповідний фільтр буде мати вигляд: (& (objectClass = computer) (cn = win-*)) 1

Повністю запит наведено на рис 75 У даному прикладі утиліта ldapsearch викликана з найбільш часто вживаними опціями:-h – Задає LDAP-сервер (по імені або IP-адресою),-b – Задає помітне

імя обєкта, з якого почнеться пошук,-D – Задає помітне імя обєкта LDAP, від імені якого виробляються запити до сервера (з точки зору стандарту LDAP це може бути абсолютно будь обєкт, в Active Di-rectory тільки користувач або компютер),-x – задає режим Аутентиф-

ції simple bind (пароль передається відкритим текстом),-w – За-

дає пароль

Також при виклику ldapsearch зазначено, що сервер повинен повернути лише атрибути cn у знайдених обєктів

Рис 75 Використання утиліти ldapsearch

Розглянемо відповідь LDAP-сервера (рис 75) Для зручності читання, а так-же подальшого використання ldapsearch відображає інформацію, отриманий-ную від сервера, у вигляді LDIF-файлу (рядки, що починаються з «#», є коментарями) Спочатку перераховуються обєкти і їхні атрибути, які повернув сервер на посланий запит У нашому прикладі це компютери win-

1 Важливо відзначити, що використання метасимволов у фільтрі можливо не для кожного атрибута (в Active Directory метасимволи в запитах доступні для атрибутів з прапором in-dexed, який задається в схемі)

ws1 і win-ws2, потім йде кілька особливих відповідей, які називаються re-ferral або external reference (зовнішні посилання) Ці посилання містять покажчики на інші розділи каталогу (тут розділ – це деяка частина каталогу, ко-торая може зберігатися на іншому сервері) Зовнішнє посилання приведена у вигляді URL, що має формат ldap [s] :/ / <сервер> / , де ldap або ldaps звичайний або SSL-варіант протоколу відповідно

Кінцевою метою даної глави є інтеграція робочої станції під управлінням ОС Linux в середу Active Directory, дана операція вимагає цілого ряду налаштувань, зокрема розширення схеми каталогу для зберігання

Unix-атрибутів користувача Існує безліч готових розширень для схеми AD, поставляються з різними продуктами інтеграції Unix систем в середу AD

Крім того, для подальшої роботи створимо спеціального допоміжного користувача і групу для робочих станцій під управлінням ОС Linux Справа в тому, що при авторизації робоча станція повинна мати віз-

ливість визначити наступні параметри користувача: його ідентифікації тор (uid), домашній каталог, командний інтерпретатор, а також членство в групах Ця інформація за замовчуванням недоступна для анонімного користу-

вателя, тому необхідно створити спеціального непривілейованого користувача, від імені якого робочі станції будуть здійснювати доступ

ВИКОНАТИ

5 Запустити віртуальну машину DC

6 Додати в схему каталогу атрибути для Unix-користувачів Розширення схеми взято з пакету MS services for Unix:

a Запустити оболонку cmdexe

b За допомогою команди cd перейти в каталог «\ schema»

c Схема збережена у вигляді ldif-файлу, щоб її додати в каталог,

необхідно скористатися стандартною утилітою для маніпу-

ляции з ldif файлами – ldifde Для цього необхідно виконати команду (тут опція-i позначає, що відбуватиметься їм-порт даних,-k дозволяє виконувати імпорт навіть після появле-ня деяких некритичних помилок, опція-f вказує, що дані необхідно брати з файлу):

ldifde –i –k –f schemaldf

7 Створити спеціального користувача для робочих станцій під управлінням

ОС Linux:

a Запустити оснастку управління користувачами в Active Directory

(Start ⇒ Programs ⇒ Administrative tools ⇒ Active Directory Users

and Computers)

b У контекстному меню контейнера «Users» вибрати пункт «New»,

обєкт «User»

c У якості «First name» і «Users logon name» вказати «proxyuser», задати пароль «P @ ssw0rd», зняти опцію «User must change pass-word at next logon» і виставити опції «User cannot change pass-word» і «Password never expires»

d У контекстному меню контейнера «Users» вибрати пункт «New»,

обєкт «Group»

e Вказати імя групи «proxygroup», інші опції залишити за замовчуванням

f У вікні властивостей користувача відкрити закладку «Member Of», до-

бавить групу «proxygroup», зробити цю групу основний (натиснути кнопку «Set as primary»), видалити групу «Domain Users» Тим са-мим ми домоглися того, що користувач «proxyuser» не володіє ніякими правами на обєкти каталогу

8 Налаштувати обмежені права користувача «proxyuser» на обєкти ката-

логу:

a Запустити оснастку ADSI Edit (Start ⇒ Run adsieditmsc)

b Перейти на закладку «Security» властивостей контейнера «Users», на-

жати кнопку «Advanced»

c У вікні натиснути кнопку «Add» Вказати «proxygroup»

в якості обєкта

d У вікні вибрати в розділі «Apply onto» варіант

«This object and all child objects»

e Призначити права «List contents» і «Read all properties»

9 Запустити віртуальну машину WS-Linux

10 Отримати список груп, членом яких є користувач «Adminis-trator», зареєструвавшись на LDAP-сервері з правами користувача

«Proxyuser» Для чого на віртуальній машині WS-Linux запустити коман-

ду:

ldapsearch –h dc –b cn=Users,dc=example,dc=com -D

cn=proxyuser,cn=Users,dc=example,dc=com –w P@ssw0rd

–x “(&amp(objectClass=user)(cn=Administrator))”

memberOf

11 Переконатися, що список груп присутній в виведеної на екран інфор-

мації

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*