| Kapitola 25. LDAP — adresářové služby | ||
|---|---|---|
 | Část 4. Služby |  |
| Kapitola 25. LDAP — adresářové služby | ||
|---|---|---|
| | Část 4. Služby | |
Obsah
Abstrakt
LDAP (Lightweight Directory Access Protocol) je sada protokolů určených ke správě a přístupu k informačním adresářům. LDAP lze využít k mnoha účelům, jako je správa uživatelů a skupin, správa systémové konfigurace nebo správa adres. V této kapitole jsou popsány základy funkce LDAP a jeho konfigurace pomocí nástroje YaST.
V síťovém prostředí je velmi důležité uchovávat důležité informace na dostupném místě a v uspořádané podobě. To lze zajistit adresářovou službou, která, podobně jako zlaté stránky, poskytuje informace ve strukturované a přehledné formě s možností snadného vyhledávání.
V ideálním případe server všechna data uloží do adresáře a pomocí jednotného protokolu je pak distribuuje všem klientům. Data jsou strukturována tak, aby s nimi mohla pracovat celá řada různých aplikací. Není tak nutné, aby každá kalendářová aplikace či poštovní klient udržoval nezávislou databázi, stačí vytvořit jednu centrální. Tím se uspoří čas a náklady na údržbu několika databází. Použitím otevřeného a standardizovaného protokolu LDAP navíc zajistíte, že tato data budou dostupná pro různé typy aplikací a klientů.
Pojmem adresář v této souvislosti rozumíme databázi optimalizovanou pro rychlé a efektivní čtení a vyhledávání, která má tyto vlastnosti:
Aby bylo umožněno vícenásobné čtení v maximálním objemu, je zápis omezen na aktualizace administrátorem databáze. Běžné typy databází jsou optimalizovány pro zápis maximálního množství dat v krátkém čase.
Protože jsou možnosti zápisu značně omezeny, slouží adresářové služby především pro uchovávání neměnných statických informací. V normální databázi se naopak data mění velmi často (dynamická data). Např. telefonní číslo společnosti se nemění tak často jako účetní údaje.
Administrace statických dat vyžaduje jen výjimečné aktualizace a změny. Při práci s dynamickými daty, jako např. zůstatky na účtech, je kladen vysoký důraz na konzistenci dat. Pokud je například z jednoho účtu odečtena částka a připsána na jiný, musí obě operace proběhnout současně v rámci jedné transakce. Databáze takové transakce podporují, ale adresářové služby nikoliv. Krátkodobé nekonzistence nevedou u adresářové služby k žádným závažným problémům.
Adresářové služby jako LDAP nejsou navrženy pro podporu komplexní aktualizace a dotazovacího mechanizmu. Přístup musí být rychlý a jednoduchý.
Řada adresářových služeb existovala a dosud existuje jak na platformě Unix, tak mimo ní. Několika příklady jsou Novell NDS, Microsoft ADS, Banyan Street Talk a OSI standard X.500. LDAP byl původně navržen jako verze DAP (Directory Access Protocol) navrženého pro přístup k X.500. Standard X.500 se zabývá hierarchickou organizací adresářové struktury.
LDAP je zjednodušená verze DAP, která neobsahuje některé funkce DAP, což umožňuje úspory zdrojů. Použití protokolu TCP/IP usnadňuje spojení aplikací se službou LDAP.
LDAP je dnes samostatným řešením pracujícím bez podpory X.500. LDAPv3 (verze
protokolu v balíčku openldap2)
podporuje tzv. referrals, které umožňují vytváření
distribuovaných databází. Nové je také využití SASL (Simple Authentication
and Security Layer).
LDAP není omezen na X.500 servery, jak bylo původně v plánu. Opensource server slapd dokáže ukládat objektové informace v lokální databázi. Díky rozšíření slurpd je možné LDAP servery replikovat.
Balíček openldap2 obsahuje
následující programy:
LDAPv3 server spravující informace v databázi typu BerkeleyDB.
Program pro replikaci změn dat z lokálního serveru na ostatní LDAP servery v síti.
slapcat, slapadd, slapindex.
Unixoví administrátoři pro převod jmen a distribuci dat v síti tradičně
používají službu NIS. Konfigurační data se nacházejí v souborech v adresáři
/etc: group,
hosts, mail,
netgroup, networks,
passwd, printcap,
protocols, rpc a
services, odkud jsou distribuována klientům v síti.
Tyto soubory lze velmi jednoduše spravovat, protože jde o prosté textové
soubory. Správa většího množství dat je ovšem náročnější vzhledem k
neexistující strukturalizaci. Služba NIS je určena pouze pro unixové
systémy, což znesnadňuje nasazení v heterogenních sítích.
Na rozdíl od NIS není služba LDAP omezená jen na čistě unixové sítě. LDAP podporují Windows servery (od verze 2000) a podporu nabízí také Novell.
LDAP je vhodný všude, kde je zapotřebí centrálně spravovat datovou strukturu, např.:
Náhrada NIS.
Směrování pošty (postfix, sendmail).
Adresář pro poštovní klienty jako je Mozilla, Evolution či Outlook.
Administrace popisů zón BIND9 name serveru.
Tento seznam by mohl být mnohem delší, protože LDAP je na rozdíl od NIS rozšiřitelný. Jasně definovaná hierarchická struktura dat usnadňuje administraci velkého množství dat.
| |  | |
| 24.3. Nastavení lokálních referenčních hodin |  | 25.2. Struktura adresářového stromu LDAP |