Sistemi di autenticazione Protocollo LDAP

Transcript

1 L'esigenza Laboratorio di Amministrazione di Sistemi L-A A.A. 2006/2007 Sistemi di autenticazione Protocollo LDAP Ancora... L'approccio afilediventainefficiente Occorretrovareun databasecentralizzatoein particolareun servizio centralizzato di autenticazione Nel corsodel temposonostatepensatediversesoluzioni: Nis Nisgateway Materiale preparato da Fabio Bucciarelli - DEIS Pam Ldap 3 L'esigenza NIS Un sistemacorrettamentefunzionantedipendedaparecchi file di configurazione Ma... In unaretepossonoesserci centinaiadi macchinechehanno gli stessi file di configurazione Aggiungereun utente,aggiungereun host,vuol dire cam biare centinaia di file di configurazione Allora... Nascel'esigenzadi condividerequesteinformazioni tra sistem i diversi Basatosu RPC RilasciatodaSUNnegli anni '80 Unoopiù server su cui giraypbind Nei filepasswd/shadow/group unalineacon + cheindicaal sistemaoperativo cheil filenon contienetutto,mache occorre interrogare NIS Problemi:complicato,non trasparentealleapplicazioni,non esportabile fuori da unix, NON FLESSIBILE Oramai solo storico 2 4

2 NIS gateway PAM(Pluggable Authentication Modules) Separazionefralesorgentidi informazioneelealtre componenti del sistema Il file/etc/nsswitch.conf indicaper ogni risorsalefonti da consultareecon cheordine Es. passwd: files nis ldap Group: hosts: files ldap ldap [NOTFOUND=return] dns files E'unaseriedi shared librarychepermettono all'amministratore di scegliere quali applicazioni usare per l'autenticazione Scopodi PAMèdi separarelo strato di softwareapplicativo da quello dagli appropriati schem i di autenticazione Leapplicazioni chedevonoautenticareun utentepossono usare la libreria di funzioni fornita con PAM Chiunquepuò scriverei propri moduli PAM Laconfigurazionedi PAMattraversoil file/etc/pam.d oppure una serie di file di configurazione nella directory/ etc/pam.d 5 7 NSS Un altro passo <entry> ::= <database> ":"[<source> [<criteria>]]* <criteria> ::= "["<criterion>+ "]" <criterion> ::= <status> "="<action> <status> ::= "success" "notfound" "unavail" "tryagain" <action> ::= "return" "continue" <action> ::= "return" "continue" "forever" <n> <n> ::= 0...MAX_INT Nascitadiun'interfaccialocalestandard Lafontexxxèimplementatadallalibrerianssxxx.o: chiunque può scrivere la propria fonte PAM risolveiproblemi di standardizzazionediinterfaccein locale. Non risolve il problema della complessità di una gestione per migliaia di utenti Primoapproccio: Scrivereunalibrerianssoun modulopamper accederead un database Problemi: Ogni sistemistascrivelasuelibrerie:incompatibilità, difficiletestabilitàemanutenzione 6 8

3 Un altro passo LDAP Secondoapproccio Cosaèdirectoryservice Standardizzareil protocollodi accessoad unabasedati standardizzata LDAPedirectoryservice Utilizzodi nssldap Utilizzodi pam_ldap Lightweight DirectoryAccessProtocol MutuatadaX.500 (OSI) DirectoryServices(RFC1777) Molteletturepochescritture(elencodel telefono) Nétransizioni nérollback Replicadei dati 9 11 E per quel che riguarda Windows? LDAP ApartiredaWindows2000 èpresentelatecnologiaactive Directory AllabasedellatecnologiaActiveDirectoryc'èun directory server ActiveDirectorycontienetutteleinformazioni riguardanti la macchina stessa e l'unità organizzativa di cui fa parte Architetturamaster slave Consistenzafralecopielasca Possibilitàdi avereamministratori locali Gli oggetti di dati sono relativamentepiccoli L'informazioneèbasatasu attributi Si apreunoscenariointeressante:poter gestiretuttele informazioni da un'unica interfaccia che utilizzi il protocollo LDAP Laricercaèun'operazionecomune In ambienti misti Unix / Windowsèpossibileavereun repository centralizzato e comune degli utenti Es:inostri laboratori 10 12

4 LDAP Dir Name Space DBI &DIT Labasedi dati delladirèdettadbi(directoryinformation Base) DBIèunaseriedi entries(o objects) Leentriesconsistonoin unaseriedi attributes Gli attributi consistonodi typescon (molteplici)values Ogni entryhaun DN(Distinguish name) Leentriessonogerarchicamentelegate.Lagerarchiaè chiamata DIT(Dir Inform ation Tree). Una DBI è rappresentata in un DIT LDAP Dir Name Space Scopi DBI DIT Riferimentoai dati entry Organizzazionedei dati entry entry entry entry entry entry entry Partizionamentodei dati Replicadei dati entry entry Controllodegli accessi Supportoalleapplicazioni 14 16

5 Dir Name Space LDAP Flat namespace Distinguished Name Elenco degli attributi separati davirgoleapartiredal fondo DN= BDN(BaseDN)+ RDN(RelativeDN) dc=com Hierarchical namespace dc=pisoftware dc=sun ou=people ou=people Stesso RDN Confronto con un file system DN:esempio / dc=com DN:uid=bmarshal,ou=People,dc=psoftware,dc=com RDN:uid=bmarshal us r lib dc=pisoftware dc=sun BDN:ou=People,dc=psoftware,dc=com Ogni RDNdistingueleentriesfrai pari local bin ssh X11R6 ou=people ou=group ou=sysadmin uid=bmarshal In ogni BDNogni RDNèunico:ogni entrieshaundn unico Ogni RDNpuòesserecompostodallaconcatenazionedi più attributi (per renderlo unico) In ogni entryèspecificatoquali attributi necostituisconoil RDN NelFSesplorazione dalla radice,nella DIRdalle foglie 18 20

6 Il prot ocollo LDAP Filtri (RFC 1558) UsailprotocolloTCP/IPinunamanieramoltoefficiente Esempiodi interazioneclient / server Il client si connetteal server erichiedeun'operazionedi bind Il server restituisceun codicedi successoochiudela connessione Il client richiedeun'operazionedi search (oun'altra operazione) Il server restituisceun messaggio con leentrytrovateo niente se niente è stato trovato Il server restituisceun codiceasecondadel risultato dell'operazione Selezionesugli attributi <filter> ::= '('<filtercomp> ')' <filtercomp> ::= <and> <or> <not> <item> <and> ::= '&'<filterlist> <or> ::= ' '<filterlist> <not> ::= '!'<filter> <filterlist> ::= <filter> <filter> <filterlist> <item> ::= <simple> <present> <substring> <simple> ::= <attr> <filtertype> <value> <filtertype> ::= <equal> <approx> <greater> <less> <equal> ::= '=' <approx> ::= '~=' <greater> ::= '>=' <less> ::= '<=' <present> ::= <attr> '=*' <substring> ::= <attr> '='<initial> <any> <final> <initial> ::= NULL <value> <any> ::= '*'<starval> <starval> ::= NULL <value> '*'<starval> <final> ::= NULL <value> Il client richiedeun'operazionedi unbind L'operazione di search Filtri Consistedi unarichiestadel client,di unlavorodapartedel server edi un risultato Alcuni parametri specificanocosacercareecomecercare Esempi difiltri (cn= Babs Jensen) (!(cn=tim Howes)) BaseDN Bind DN Unoscope base one subtree Filtro (& (objectclass= Person) ( (sn= Jensen)(cn= Babs J*) ) ) (o= univ*of*mich*) (objectclass= posixaccount) (&( (uid= jack)(uid= jill))(objectclass= posixaccount)) 22 24

7 Attributi in gerarchia Schem a Sonopossibili gerarchiedi attributi Il modoper descriverelepartidelsistemaèdettoschemae lasintassi usataèasn1 Telefono Telefono Dipartimento Telefono Ufficio Telefono Diretto più specifico In risposta ad una interrogazione vengono restituiti tutti gli attributi più specifici (oltre a quello richiesto) Schema definition usa DIT schema Obje ct Class Attribute Type regole per DIT element DIT Entrie s (Objects) Attribute dipende da Attribute Sy ntax Value Schem a Esem pi di attributes L'insiemedelleregolechedescrivonoidatiimmagazzinati L'usodischemi rendechiarolastrutturadelledir Per ogni entries(object)loschemaindicalaregolada seguire per memorizzare i dati indicando: Attributi indispensabili / facoltativi Comecompararegli attributi Il tipodi dato memorizzabilein un attributo attributetype( NAME'uidNumber' DESC'An integer uniquely identifying a user' EQUALITY integermatch SYNTAX SINGLE- VALUE) attributetype( NAME'loginShell' DESC'Thepath to thelogin shell' EQUALITY caseex actia5match SYNTAX SINGLE- VALUE) 26 28

8 Schem a Esempi di object class Alcuni attributi standard uid User id cn Common name sn Surname l Location ou o dc st Organization Unit organization Domain Component State objectclass( NAME'posixAccount' SUP top AUXILIARY DESC'Abstraction of an account with POSIX attributes' MUST(cn $ uid $ uidnumber $ gidnumber $ homedirectory) MAY( userpassword $ loginshell $ gecos $ description ) ) objectclass( NAME'OpenLDAPperson' DESC'OpenLDAP Person' SUP( pilotperson $ inetorgperson ) MUST(uid $ cn ) MAY(givenName$ labeleduri$ o ) ) c Country Schem a Operazioni su ldap Ereditarietàdell'object class Search Compare Add Delete Modify ModifyRDN Rinominaunaentryospostalaentryall'internodella directory Strumenti arigadi comando:ldapsearch,ldapadd, ldapmodify,

9 LDAP URL(RFC 1959) LDIF <ldapurl> ::= "ldap://"[<hostport> ]"/"<dn> ["?"<attributes>["?" <scope> "?"<filter> ]] <hostport> ::= <hostname> [":"<portnumber> ] <dn> ::= a string(rfc1485) <attributes> ::= NULL <attributelist> <attributelist> ::= <attributetype> <attributetype> [","<attributelist> ] <attributetype> ::= a string(rfc1777) <scope> ::= "base" "one" "sub <filter> ::= a string(rfc1558) ldap://foo.bar.com/dc=bar,dc=com ldap://argle.bargle.com/dc=bar,dc=com??sub?uid=barn ey ldap://ldap.bedrock.com/dc=bar,dc=com?cn?sub?uid=b arney Esempio dn: uid=lab2n36$,ou=people,o=labx,dc=ing,dc=unibo,dc=it objectclass:account objectclass:posixaccount objectclass:shadowaccount objectclass:top userpassword:e2nsex28fxg= loginshell:/bin/false uidnumber:62036 gidnumber:0 homedirectory:/dev/null gecos:macchina windows uid:lab2n36$ cn:lab2n LDIF Replica Formatodi scambioascii (LDAPInterchangeFormat) Avererepliche:fault tolerance,performance Entriesrappresentatein ascii Umanamenteleggibili Permettefacilmentedi trasferire/ modificarei dati LDAPhaun'architetturamaster replica:lemodifiche vengono propagate dal m aster alle repliche Lo standard non dicecon chetempisticanéin chemodo Lo standard attualein sviluppo(v3)prevedeun'architettura multimaster (protocolli ad hocper lareplica) Nel casomonomaster più modalitàper gestirelascrittura delle entries(on m aster, by referral, by chain) 34 36

10 Modellomultimaster By referrals On master By chain 38 40

11 Directory distribuit e Directory distribuit e Un sottoalberodelladirectoryvienedelegatoad un altro server Superior knowledgelink Performance Contienel'URIdel server acui ci si riferisceper laparte superiore della directory Locazionegeografica Subordinateknowledgelink Delegaamministrativa Occorronoduelink:unosul latodel server principaleeuno sul latodel server cheottieneladelega Chiamato semplicementereference,connettelogicamente un nodoall'internodi un albero al context naming di un altro server Nell'esempioprecedente,laentry ou= people,dc= plainjoe,dc= org contiene un referral al server acui si delegail sottoalbero Directory distribuit e Directory distribuit e L'object classreferral èdefinito L'LDIFdellaentrynellafiguraprecedenteèdefinita: dn:ou=people,dc=plainjoe,dc=org objectclass: referral ref: ldap:// server2.plainjoe.org/ ou= people,dc= plainjoe,dc= org 42 44

12 Alcune im plem entazioni di LDAP Act ive Directory Treprincipali prodotti RealizzatodaMicrosoft,che,apartiredaWindows2000,ne hafattolabasedei proprisistemi server OpenLDAP StrettamentelegatoaWindows Microsoft ActiveDirectory Faciledagestireeamministrare Buonalascalabilità DirectoryServer ActiveDirectoryApplication Mode( promessa di una completalibertànel design del proprio namespaceenella definizione di schem i personalizzati) OpenLDAP Directory Server Realizzatodall'UniversitàdelMichigan,secondolafilosofia Open Source RealizzatodaNetscape,èilprimoDirectoryServer commerciale apparso sul mercato E'gratuitoel'accessoal codicesorgenteèlibero Cambiatomoltevolte,orain dueversioni moltosimili: Può girare su qualsiasi piattaforma NetscapeDirectoryServer Lacomunitàdegli sviluppatori edegli utilizzatori èmolto attiva Lapossibilitàdi controllosugli accessi èimponente Implementalareplicasoloattraversoil modello monom aster, la possibilità di Directory distribuite è stata introdotta solo nelle ultim e versioni, m entre m ancano altre possibilità più evolute Sun ONEDirectoryServer Diversi prodotti si integranocon DirectoryServer Disponibileper tutteleprincipali piattaforme Halemigliori prestazioni sul mercato Ladocumentazioneèottima 46 48

13 $ * $. #(((! "# $ "% "# & '#( '#( ) * $! * $! "# $ %&! '( ) * %& + '( (, $ + +,! " ##! * $ #((( $! " # $ % 0 1. # & # ' # ( )# *+ 2! 0 1 &( )*, -! # -. -/012#.! $ %5 6 & *# 7, 4, & *#, &' * & *!. - # * $ /

14

15

16

17

18

19