SlideShare una empresa de Scribd logo

Betriebssysteme - Verzeichnisdienst LDAP

Markus Groß
Markus Groß
1 de 27
Betriebssysteme – Verzeichnisdienst LDAP Markus Groß
AGENDA 2 Inhaltsverzeichnis
 Ein Verzeichnisdienst dient der Verwaltung von Informationen zu Objekten wie Systeme, Netzkomponenten und Benutzer Wieso Verzeichnisdienste? 1 GRUNDLAGEN 3 Motivation Mail System Personal Verwaltung TK-Anlage Datenbank Betriebssystem Netzwerk
Motivation II 4 Wieso Verzeichnisdienste?  Informationen müssen über Unternehmensgrenzen hinweg bereit gestellt werden  E-Mail Adressen  Telefonnummern  FAX-Nummer  Konfigurationen  Benutzerdaten  X.509 Zertifikate (PKI)  Komplexe Unternehmensanforderung fordern das Informationen global zur Verfügung stehen 1 GRUNDLAGEN
 Hohe Kosten und geringe Kontrolle  Unterschiedliche Messaging-Systeme in Organisationen  Verschiedene Betriebssysteme in einer Infrastruktur  viele Anwendungen, die administriert werden müssen  Schwachstellen in der Sicherheit  Ungeschützte elektronische Dokumente  Unzureichend verwalteter Zugriffschutz  Veraltete Einträge in Zugriffslisten  Schwer realisierbare Mehrwertdienste  unternehmensweite Datenbank-Integration  Unified Messaging (E-Mail, Fax, Telefonie) Probleme bei unterschiedlichen Verzeichnisdiensten 1 GRUNDLAGEN 5 Motivation III
 Am Anfang war der ISO Standard X.500  Das Directory Access Protocol (DAP) regelt den Zugriff auf die Daten  DAP - umfangreich, komplex, schwierig zu Implementieren  Dies führte zu einer geringer Verbreitung  Daher Entwicklung von LDAP  L ightweight  D irectory  A ccess  P rotokoll Von 1988 bis heute 1 GRUNDLAGEN 6 Die Geschichte von LDAP
Von 1988 bis heute 1 GRUNDLAGEN 7 Die Meilensteine von LDAP Entwicklungsschritte X.500 ISO IS9594 LDAP v1 RFC 1487 LDAP v2 RFC 1777 LDAP v3 RFC 2251 LDAP v4
 ist ein effizientes auf TCP/IP basiertes Kommunikationsprotokoll für Verzeichnisdienste  ist eine normierte Sprache wie LDAP Client und Server miteinander kommunizieren  ist kompatibel zwischen LDAP Anbietern durch standardisierte Daten-Schemen  ist ein hierarchisches objektorientiertes Datenbankmodell  ist einfach zu implementieren, da es schlank (lightweight) und effizient ist 1 GRUNDLAGEN 8 Was ist LDAP?
Das LDAP Modell 9 4 Schichten Architektur 1 GRUNDLAGEN Informationsmodell – beschreibt was in ein Verzeichnis abgelegt werden kann Namensmodell – beschreibt wie Daten angeordnet und angesprochen werden Funktionsmodell – beschreibt was man alles mit Daten machen kann Sicherheitsmodell – beschreibt wie Verzeichnisse geschützt werden können
 Informationen werden als Einträge in einem Baum, dem Directory Information Tree (DIT) dargestellt.  Jeder Eintrag besitzt einen eindeutigen Distinguished Name  Jeder Eintrag gehört zu (mindestens) einer Objektklasse  Objektklassen werden durch ihre Attribute definiert  Ein Attribut besitzt einen Typ und einen oder mehrere Werte Wie werden Informationen gespeichert? 2 LDAPINFORMATIONSMODELL 10 LDAP Struktur
2 LDAPINFORMATIONSMODELL 11 Einträge und Attribute Objekt 1 Das Verzeichnis Objekt 2 Objekt 3 Objekt n Attribut 1 Attribut 2 Attribut nObjekt +49 221 5551234Telefonnummer 0173 7716345 Typ Werte Schema
LDAP Struktur 12 Was kann gespeichert werden?  Alphanumerische Daten z.B. Namen, Adressen, E-Mail  Binärdaten z.B. Fotos, Grafiken, X.509 Zertifikate  Zeiger auf andere Daten  Innerhalb des DIT können Zeiger auf externe Daten gesetzt werden  Durch eigene Schemata beliebig erweiterbar 2 LDAPINFORMATIONSMODELL
 OID des Schemas  Eindeutiger Name und Klasse von der geerbt wird  Textliche Beschreibung  Attribute die angegeben werden müssen  Attribute die angegeben werden können 2 LDAPINFORMATIONSMODELL 13 Beschreibung der Objekte objectclass ( 1.3.6.1.1.1.2.0 NAME ‘userAccount' SUP top AUXILIARY DESC 'Beschreibung eines Nutzer Accounts mit Attributen' MUST ( cn $ uid $ uidNumber $ serialNumber $ homeDirectory ) MAY ( userPassword $ loginShell $ gecos $ description ) )
 Eindeutige OID des Attributs  Eindeutiger Name innerhalb des Schemas  Textliche Beschreibung  Vergleichsregeln (Matching Rules) die bei der Suche gelten  Attribtsdefinition über Schema OID 2 LDAPINFORMATIONSMODELL 14 Beschreibung der Attribute attributetype ( 2.5.4.5 NAME 'serialNumber' DESC 'Seriennummer' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.44{64} )
 Der OID ist eine durch Punkte getrennte dezimale Ziffernfolge  OIDs werden von der der Internet Assigned Numbers Authority (IANA) vergeben  Eine OID ist weltweit eindeutig Zentrales Element des Informationsmodells 2 LDAPINFORMATIONSMODELL 15 Der Object Identifier (OID) Auszug aus www.alvestrand.no OID Bedeutung 1. Durch die ISO zugewiesen 1.3.6.1 Der Internet OID 1.3.6.1.1.1 RFC2307 NIS Netgroup 1.3.6.1.1.1.1 NISSchema Syntax 1.3.6.1.1.1.1.4 loginShell im NIS Schema
 Das Verzeichnis organisiert die Objekte in Baumform  Die Basiselemte zur Strukturierung sind: Organisation des Verzeichnisses 3 LDAPNAMENSMODELL 16 Wie arbeitet LDAP Symbol Bezeichnung c country l locality o organsisation ou organisational unit cn common name uid user id
Wie arbeitet LDAP 17 Aufbau des Verzeichnisses  Daten werden als Einträge gespeichert  Einträge werden als Baumknoten gespeichert  Jeder Knoten hat 0 bis n Kinderknoten  Jeder Knoten hat genau 1 Elternknoten  Mit Ausnahme des Wurzelknotens  Jeder Knoten hat einen eindeutigen Namen  RDN (Relative Distinguished Name)  DN (Distinguished Name) 3 LDAPNAMENSMODELL
Aufbau des Verzeichnisses 3 LDAPNAMENSMODELL 18 Wie arbeitet LDAP o = root ou = Firma ou = FHDW c = de c = nl c = us cn = Prof Y cn = Prof X c = de ou = FHDW cn = Prof X RDN: c=de countryName DIT Directory Information Tree RDN: ou = FHDW organizationName o = root RDN: cn= Prof X commonName DN: cn = Prof X, ou = FHDW, c = de Telefon = 0900 / 5551234 Fax = 0900 / 55512345 Mail = profX@fhdw.de … cn = Prof X
Wie arbeitet LDAP 19 Funktionsmodell  Abfrage Operationen  search (zentrale Funktion)  compare  Update Operationen  add  delete  modify  Authentifizierung  bind / unbind (Authentifizierung)  abandom (Anfrage abbrechen) 4 LDAPFUNKTIONSMODELL
 Mit dem Kommando "ldapsearch" können Objekte auf Grund bestimmter Attribute gesucht werden.  Hier wird als Benutzer „prof“ nach einen CN „Michael“ durchsucht (mit Passwort „prof“)  Hier wird als "anonymer Benutzer" nach der Organisation „fhdw" gesucht. Als Ergebnis werden nur die Attribute “mail“und „cn“ ausgegeben Beispiele für den Suchen-Befehl 4 LDAPFUNKTIONSMODELL 20 Funktionenmodell ldapsearch -h localhost -D "cn=prof, dc=fhdw, o=home" "(cn=Michael)" -W ldapseach -x -h localhost -LLL "(ou=fhdw)" mail cn
Der Sicherheitsgedanke 21  Informationen vor unbefugtem Zugriff schützen  ACLs (Access Control Lists) regeln den Zugriff bis auf Attributsebene  Bis LDAP v2 unsicher (Passwort als Klartext)  LDAP v3 bietet SSL- TLS- Verschlüsselung  Simple Authentification and Security Layer (SASL) wird unterstützt um verschiedene Authentifizierungs- Methoden einzubinden 5 LDAPSICHERHEITSMODELL
5 LDAPSICHERHEITSMODELL 22 Authentisieren als LDAP Nutzer Benutzer Verzeichnisdienst Authentisierung (bind Operation) als Person X Abfrage/Suche/Änderung Ergebnis gemäß Berechtigung Abmeldung (unbind Operation) als Person X
Single Sign On 5 LDAPSICHERHEITSMODELL 23 LDAP als Authentisierungsdienst Benutzer VerzeichnisdienstAnwendung Ich bin Person X mit „Passwort“ Bind als Person X mit „Passwort“ Erfolg!OK Anmeldung an weiteren Anwendungen über Ticket ohne weitere Authentifizierung
LDAP unter Windows 24 Das Active Directory  Active Diretory (AD) ist seit 1999 ab Windows 2000 verfügbar  Das AD ist ein objektorientierte Datenbank bestehend aus Klassen, Schemata und Objekten, die hierarchisch angeordnet sind  Es werden Informationen über Netzwerkobjekte und Ressourcen gespeichert und verwaltet  Abwärtskompatibel zum Windows NT Directory Service 6 LDAPAUSPRÄGUNG
LDAP unter Windows 25 Vorteile  Replikation über LDAP möglich  Gruppenrichtlinien können im AD gespeichert werden  Integration von DNS und Exchange Server in der Verzeichnisdatenbank  Single-Sign-On über Kerberos Tickets  Integration in den Webserver (Authentifizierung im IIS)  Loadbalancing und Failover werden unterstützt 6 LDAPAUSPRÄGUNG
 LDAP ist standardisiert und durch Schemen (unterschiedlicher) Hersteller beliebig erweiterbar  Funktionen sind optimiert für typische Aufgaben eines Verzeichnisdienstes (performante Suche)  Hierarchische Struktur sorgt für einen global Verteilbarkeit und eindeutigen Namen  Anwendungsübergreifender Zugriff auf unterschiedliche Datenquellen  Verbesserte Aktualität der gespeicherten Daten  Zukunftssichere Plattform 7 ZUSAMMENFASSUNG 26 Fazit
Vielen Dank für Ihre Aufmerksamkeit Noch Fragen?

Recomendados

Block Cipher and its Design Principles
Block Cipher and its Design PrinciplesBlock Cipher and its Design Principles
Block Cipher and its Design PrinciplesSHUBHA CHATURVEDI
 
Unit 1
Unit 1Unit 1
Unit 1Baskarkncet
 
Design and Simulation Triple-DES
Design and Simulation Triple-DESDesign and Simulation Triple-DES
Design and Simulation Triple-DESchatsiri
 
Fraud and Risk in Big Data
Fraud and Risk in Big DataFraud and Risk in Big Data
Fraud and Risk in Big DataUmma Khatuna Jannat
 
OSI Model - Every Detail Explained
OSI Model - Every Detail ExplainedOSI Model - Every Detail Explained
OSI Model - Every Detail ExplainedAshish Malik
 
Hl7 overview
Hl7 overviewHl7 overview
Hl7 overviewNorman Gilliam
 
Client-Server Model
Client-Server ModelClient-Server Model
Client-Server ModelHTS Hosting
 
web communication protocols in IoT
web communication protocols in IoTweb communication protocols in IoT
web communication protocols in IoTFabMinds
 

Recomendados

Block Cipher and its Design Principles
Block Cipher and its Design PrinciplesBlock Cipher and its Design Principles
Block Cipher and its Design PrinciplesSHUBHA CHATURVEDI
 
Unit 1
Unit 1Unit 1
Unit 1Baskarkncet
 
Design and Simulation Triple-DES
Design and Simulation Triple-DESDesign and Simulation Triple-DES
Design and Simulation Triple-DESchatsiri
 
Fraud and Risk in Big Data
Fraud and Risk in Big DataFraud and Risk in Big Data
Fraud and Risk in Big DataUmma Khatuna Jannat
 
OSI Model - Every Detail Explained
OSI Model - Every Detail ExplainedOSI Model - Every Detail Explained
OSI Model - Every Detail ExplainedAshish Malik
 
Hl7 overview
Hl7 overviewHl7 overview
Hl7 overviewNorman Gilliam
 
Client-Server Model
Client-Server ModelClient-Server Model
Client-Server ModelHTS Hosting
 
web communication protocols in IoT
web communication protocols in IoTweb communication protocols in IoT
web communication protocols in IoTFabMinds
 
Query optimization in SQL
Query optimization in SQLQuery optimization in SQL
Query optimization in SQLAbdul Rehman
 
Microsoft Active Directory.pptx
Microsoft Active Directory.pptxMicrosoft Active Directory.pptx
Microsoft Active Directory.pptxmasbulosoke
 
X.25 and frame relay
X.25 and frame relayX.25 and frame relay
X.25 and frame relayTharindu Darshana
 
Osi model
Osi modelOsi model
Osi modelInternational Islamic University
 
NoSQL databases and managing big data
NoSQL databases and managing big dataNoSQL databases and managing big data
NoSQL databases and managing big dataSteven Francia
 
Exploring HL7 CDA & Its Structures
Exploring HL7 CDA & Its StructuresExploring HL7 CDA & Its Structures
Exploring HL7 CDA & Its StructuresNawanan Theera-Ampornpunt
 
Indexing and Hashing
Indexing and HashingIndexing and Hashing
Indexing and Hashingsathish sak
 
Clustering: Large Databases in data mining
Clustering: Large Databases in data miningClustering: Large Databases in data mining
Clustering: Large Databases in data miningZHAO Sam
 
Introduction to Distributed System
Introduction to Distributed SystemIntroduction to Distributed System
Introduction to Distributed SystemRKGhosh3
 
Data warehouse
Data warehouseData warehouse
Data warehouseshachibattar
 
Destination Sequenced Distance Vector Routing (DSDV)
Destination Sequenced Distance Vector Routing (DSDV)Destination Sequenced Distance Vector Routing (DSDV)
Destination Sequenced Distance Vector Routing (DSDV)ArunChokkalingam
 
Lecture 10 distributed database management system
Lecture 10 distributed database management systemLecture 10 distributed database management system
Lecture 10 distributed database management systememailharmeet
 
Subnetting
SubnettingSubnetting
SubnettingKishore Kumar
 
Fault tolerance in wsn
Fault tolerance in wsnFault tolerance in wsn
Fault tolerance in wsnElham Hormozi
 
Big data unit i
Big data unit iBig data unit i
Big data unit iNavjot Kaur
 
Comparison between-ipv6-and-6 lowpan
Comparison between-ipv6-and-6 lowpanComparison between-ipv6-and-6 lowpan
Comparison between-ipv6-and-6 lowpanInformation Technology University
 
OSI and TCPIP Model
OSI and TCPIP ModelOSI and TCPIP Model
OSI and TCPIP ModelTapan Khilar
 
TCP- Transmission Control Protocol
TCP- Transmission Control Protocol TCP- Transmission Control Protocol
TCP- Transmission Control Protocol Akhil .B
 
Unit 2 : Internet Address
Unit 2 : Internet AddressUnit 2 : Internet Address
Unit 2 : Internet AddressChandan Gupta Bhagat
 
Creator IoT Framework
Creator IoT FrameworkCreator IoT Framework
Creator IoT FrameworkPaul Evans
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkUdo Ornik
 
Was ist der Verzeichnisdienst X500
Was ist der Verzeichnisdienst X500 Was ist der Verzeichnisdienst X500
Was ist der Verzeichnisdienst X500 Thorsten Weiskopf
 

Más contenido relacionado

La actualidad más candente

Query optimization in SQL
Query optimization in SQLQuery optimization in SQL
Query optimization in SQLAbdul Rehman
 
Microsoft Active Directory.pptx
Microsoft Active Directory.pptxMicrosoft Active Directory.pptx
Microsoft Active Directory.pptxmasbulosoke
 
NoSQL databases and managing big data
NoSQL databases and managing big dataNoSQL databases and managing big data
NoSQL databases and managing big dataSteven Francia
 
Indexing and Hashing
Indexing and HashingIndexing and Hashing
Indexing and Hashingsathish sak
 
Clustering: Large Databases in data mining
Clustering: Large Databases in data miningClustering: Large Databases in data mining
Clustering: Large Databases in data miningZHAO Sam
 
Introduction to Distributed System
Introduction to Distributed SystemIntroduction to Distributed System
Introduction to Distributed SystemRKGhosh3
 
Destination Sequenced Distance Vector Routing (DSDV)
Destination Sequenced Distance Vector Routing (DSDV)Destination Sequenced Distance Vector Routing (DSDV)
Destination Sequenced Distance Vector Routing (DSDV)ArunChokkalingam
 
Lecture 10 distributed database management system
Lecture 10 distributed database management systemLecture 10 distributed database management system
Lecture 10 distributed database management systememailharmeet
 
Fault tolerance in wsn
Fault tolerance in wsnFault tolerance in wsn
Fault tolerance in wsnElham Hormozi
 
OSI and TCPIP Model
OSI and TCPIP ModelOSI and TCPIP Model
OSI and TCPIP ModelTapan Khilar
 
TCP- Transmission Control Protocol
TCP- Transmission Control Protocol TCP- Transmission Control Protocol
TCP- Transmission Control Protocol Akhil .B
 
Creator IoT Framework
Creator IoT FrameworkCreator IoT Framework
Creator IoT FrameworkPaul Evans
 

La actualidad más candente (20)

Query optimization in SQL
Query optimization in SQLQuery optimization in SQL
Query optimization in SQL
 
Microsoft Active Directory.pptx
Microsoft Active Directory.pptxMicrosoft Active Directory.pptx
Microsoft Active Directory.pptx
 
X.25 and frame relay
X.25 and frame relayX.25 and frame relay
X.25 and frame relay
 
Osi model
Osi modelOsi model
Osi model
 
NoSQL databases and managing big data
NoSQL databases and managing big dataNoSQL databases and managing big data
NoSQL databases and managing big data
 
Exploring HL7 CDA & Its Structures
Exploring HL7 CDA & Its StructuresExploring HL7 CDA & Its Structures
Exploring HL7 CDA & Its Structures
 
Indexing and Hashing
Indexing and HashingIndexing and Hashing
Indexing and Hashing
 
Clustering: Large Databases in data mining
Clustering: Large Databases in data miningClustering: Large Databases in data mining
Clustering: Large Databases in data mining
 
Introduction to Distributed System
Introduction to Distributed SystemIntroduction to Distributed System
Introduction to Distributed System
 
Data warehouse
Data warehouseData warehouse
Data warehouse
 
Destination Sequenced Distance Vector Routing (DSDV)
Destination Sequenced Distance Vector Routing (DSDV)Destination Sequenced Distance Vector Routing (DSDV)
Destination Sequenced Distance Vector Routing (DSDV)
 
Lecture 10 distributed database management system
Lecture 10 distributed database management systemLecture 10 distributed database management system
Lecture 10 distributed database management system
 
Subnetting
SubnettingSubnetting
Subnetting
 
Fault tolerance in wsn
Fault tolerance in wsnFault tolerance in wsn
Fault tolerance in wsn
 
Big data unit i
Big data unit iBig data unit i
Big data unit i
 
Comparison between-ipv6-and-6 lowpan
Comparison between-ipv6-and-6 lowpanComparison between-ipv6-and-6 lowpan
Comparison between-ipv6-and-6 lowpan
 
OSI and TCPIP Model
OSI and TCPIP ModelOSI and TCPIP Model
OSI and TCPIP Model
 
TCP- Transmission Control Protocol
TCP- Transmission Control Protocol TCP- Transmission Control Protocol
TCP- Transmission Control Protocol
 
Unit 2 : Internet Address
Unit 2 : Internet AddressUnit 2 : Internet Address
Unit 2 : Internet Address
 
Creator IoT Framework
Creator IoT FrameworkCreator IoT Framework
Creator IoT Framework
 

Similar a Betriebssysteme - Verzeichnisdienst LDAP

Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkUdo Ornik
 
Was ist der Verzeichnisdienst X500
Was ist der Verzeichnisdienst X500 Was ist der Verzeichnisdienst X500
Was ist der Verzeichnisdienst X500 Thorsten Weiskopf
 
Microsoft security workshop komplett
Microsoft security workshop komplettMicrosoft security workshop komplett
Microsoft security workshop komplettAllessandra Negri
 
SharePoint 2013 Security (IT Pro)
SharePoint 2013 Security (IT Pro)SharePoint 2013 Security (IT Pro)
SharePoint 2013 Security (IT Pro)fabianmoritz
 
Fabian Moritz - SharePoint 2013 Security V2
Fabian Moritz - SharePoint 2013 Security V2Fabian Moritz - SharePoint 2013 Security V2
Fabian Moritz - SharePoint 2013 Security V2fabianmoritz
 
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die DatenbankDOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die DatenbankMarcel Pils
 
AMSL Kick-off-Meeting sächsischer Hochschulbibliotheken
AMSL Kick-off-Meeting sächsischer HochschulbibliothekenAMSL Kick-off-Meeting sächsischer Hochschulbibliotheken
AMSL Kick-off-Meeting sächsischer HochschulbibliothekenBjörn Muschall
 
Kickoff Workshop zum Projekt amsl mit den sächsischen Hochschulbibliotheken
Kickoff Workshop zum Projekt amsl mit den sächsischen HochschulbibliothekenKickoff Workshop zum Projekt amsl mit den sächsischen Hochschulbibliotheken
Kickoff Workshop zum Projekt amsl mit den sächsischen HochschulbibliothekenLydiaU
 

Similar a Betriebssysteme - Verzeichnisdienst LDAP (11)

Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
 
Was ist der Verzeichnisdienst X500
Was ist der Verzeichnisdienst X500 Was ist der Verzeichnisdienst X500
Was ist der Verzeichnisdienst X500
 
Microsoft security workshop komplett
Microsoft security workshop komplettMicrosoft security workshop komplett
Microsoft security workshop komplett
 
Dynamic Access Control
Dynamic Access ControlDynamic Access Control
Dynamic Access Control
 
SharePoint 2013 Security (IT Pro)
SharePoint 2013 Security (IT Pro)SharePoint 2013 Security (IT Pro)
SharePoint 2013 Security (IT Pro)
 
Fabian Moritz - SharePoint 2013 Security V2
Fabian Moritz - SharePoint 2013 Security V2Fabian Moritz - SharePoint 2013 Security V2
Fabian Moritz - SharePoint 2013 Security V2
 
Linked Library Data & RDA
Linked Library Data & RDALinked Library Data & RDA
Linked Library Data & RDA
 
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die DatenbankDOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
 
Windows Powershell
Windows PowershellWindows Powershell
Windows Powershell
 
AMSL Kick-off-Meeting sächsischer Hochschulbibliotheken
AMSL Kick-off-Meeting sächsischer HochschulbibliothekenAMSL Kick-off-Meeting sächsischer Hochschulbibliotheken
AMSL Kick-off-Meeting sächsischer Hochschulbibliotheken
 
Kickoff Workshop zum Projekt amsl mit den sächsischen Hochschulbibliotheken
Kickoff Workshop zum Projekt amsl mit den sächsischen HochschulbibliothekenKickoff Workshop zum Projekt amsl mit den sächsischen Hochschulbibliotheken
Kickoff Workshop zum Projekt amsl mit den sächsischen Hochschulbibliotheken
 

Más de Markus Groß

Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSMarkus Groß
 
Dissertation Proposal - ITIL für den Mittelstand
Dissertation Proposal - ITIL für den MittelstandDissertation Proposal - ITIL für den Mittelstand
Dissertation Proposal - ITIL für den MittelstandMarkus Groß
 
IT Consulting - Multiprojektmanagement
IT Consulting - MultiprojektmanagementIT Consulting - Multiprojektmanagement
IT Consulting - MultiprojektmanagementMarkus Groß
 
E-Commerce als Managementaufgabe
E-Commerce als ManagementaufgabeE-Commerce als Managementaufgabe
E-Commerce als ManagementaufgabeMarkus Groß
 
Einführung Change Management
Einführung Change ManagementEinführung Change Management
Einführung Change ManagementMarkus Groß
 
Strategische Controlling Instrumente - Die Balanced Scorecard
Strategische Controlling Instrumente - Die Balanced ScorecardStrategische Controlling Instrumente - Die Balanced Scorecard
Strategische Controlling Instrumente - Die Balanced ScorecardMarkus Groß
 
Teambildung in Projekten
Teambildung in ProjektenTeambildung in Projekten
Teambildung in ProjektenMarkus Groß
 

Más de Markus Groß (7)

Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
 
Dissertation Proposal - ITIL für den Mittelstand
Dissertation Proposal - ITIL für den MittelstandDissertation Proposal - ITIL für den Mittelstand
Dissertation Proposal - ITIL für den Mittelstand
 
IT Consulting - Multiprojektmanagement
IT Consulting - MultiprojektmanagementIT Consulting - Multiprojektmanagement
IT Consulting - Multiprojektmanagement
 
E-Commerce als Managementaufgabe
E-Commerce als ManagementaufgabeE-Commerce als Managementaufgabe
E-Commerce als Managementaufgabe
 
Einführung Change Management
Einführung Change ManagementEinführung Change Management
Einführung Change Management
 
Strategische Controlling Instrumente - Die Balanced Scorecard
Strategische Controlling Instrumente - Die Balanced ScorecardStrategische Controlling Instrumente - Die Balanced Scorecard
Strategische Controlling Instrumente - Die Balanced Scorecard
 
Teambildung in Projekten
Teambildung in ProjektenTeambildung in Projekten
Teambildung in Projekten
 

Betriebssysteme - Verzeichnisdienst LDAP

  • 3.  Ein Verzeichnisdienst dient der Verwaltung von Informationen zu Objekten wie Systeme, Netzkomponenten und Benutzer Wieso Verzeichnisdienste? 1 GRUNDLAGEN 3 Motivation Mail System Personal Verwaltung TK-Anlage Datenbank Betriebssystem Netzwerk
  • 4. Motivation II 4 Wieso Verzeichnisdienste?  Informationen müssen über Unternehmensgrenzen hinweg bereit gestellt werden  E-Mail Adressen  Telefonnummern  FAX-Nummer  Konfigurationen  Benutzerdaten  X.509 Zertifikate (PKI)  Komplexe Unternehmensanforderung fordern das Informationen global zur Verfügung stehen 1 GRUNDLAGEN
  • 5.  Hohe Kosten und geringe Kontrolle  Unterschiedliche Messaging-Systeme in Organisationen  Verschiedene Betriebssysteme in einer Infrastruktur  viele Anwendungen, die administriert werden müssen  Schwachstellen in der Sicherheit  Ungeschützte elektronische Dokumente  Unzureichend verwalteter Zugriffschutz  Veraltete Einträge in Zugriffslisten  Schwer realisierbare Mehrwertdienste  unternehmensweite Datenbank-Integration  Unified Messaging (E-Mail, Fax, Telefonie) Probleme bei unterschiedlichen Verzeichnisdiensten 1 GRUNDLAGEN 5 Motivation III
  • 6.  Am Anfang war der ISO Standard X.500  Das Directory Access Protocol (DAP) regelt den Zugriff auf die Daten  DAP - umfangreich, komplex, schwierig zu Implementieren  Dies führte zu einer geringer Verbreitung  Daher Entwicklung von LDAP  L ightweight  D irectory  A ccess  P rotokoll Von 1988 bis heute 1 GRUNDLAGEN 6 Die Geschichte von LDAP
  • 7. Von 1988 bis heute 1 GRUNDLAGEN 7 Die Meilensteine von LDAP Entwicklungsschritte X.500 ISO IS9594 LDAP v1 RFC 1487 LDAP v2 RFC 1777 LDAP v3 RFC 2251 LDAP v4
  • 8.  ist ein effizientes auf TCP/IP basiertes Kommunikationsprotokoll für Verzeichnisdienste  ist eine normierte Sprache wie LDAP Client und Server miteinander kommunizieren  ist kompatibel zwischen LDAP Anbietern durch standardisierte Daten-Schemen  ist ein hierarchisches objektorientiertes Datenbankmodell  ist einfach zu implementieren, da es schlank (lightweight) und effizient ist 1 GRUNDLAGEN 8 Was ist LDAP?
  • 9. Das LDAP Modell 9 4 Schichten Architektur 1 GRUNDLAGEN Informationsmodell – beschreibt was in ein Verzeichnis abgelegt werden kann Namensmodell – beschreibt wie Daten angeordnet und angesprochen werden Funktionsmodell – beschreibt was man alles mit Daten machen kann Sicherheitsmodell – beschreibt wie Verzeichnisse geschützt werden können
  • 10.  Informationen werden als Einträge in einem Baum, dem Directory Information Tree (DIT) dargestellt.  Jeder Eintrag besitzt einen eindeutigen Distinguished Name  Jeder Eintrag gehört zu (mindestens) einer Objektklasse  Objektklassen werden durch ihre Attribute definiert  Ein Attribut besitzt einen Typ und einen oder mehrere Werte Wie werden Informationen gespeichert? 2 LDAPINFORMATIONSMODELL 10 LDAP Struktur
  • 11. 2 LDAPINFORMATIONSMODELL 11 Einträge und Attribute Objekt 1 Das Verzeichnis Objekt 2 Objekt 3 Objekt n Attribut 1 Attribut 2 Attribut nObjekt +49 221 5551234Telefonnummer 0173 7716345 Typ Werte Schema
  • 12. LDAP Struktur 12 Was kann gespeichert werden?  Alphanumerische Daten z.B. Namen, Adressen, E-Mail  Binärdaten z.B. Fotos, Grafiken, X.509 Zertifikate  Zeiger auf andere Daten  Innerhalb des DIT können Zeiger auf externe Daten gesetzt werden  Durch eigene Schemata beliebig erweiterbar 2 LDAPINFORMATIONSMODELL
  • 13.  OID des Schemas  Eindeutiger Name und Klasse von der geerbt wird  Textliche Beschreibung  Attribute die angegeben werden müssen  Attribute die angegeben werden können 2 LDAPINFORMATIONSMODELL 13 Beschreibung der Objekte objectclass ( 1.3.6.1.1.1.2.0 NAME ‘userAccount' SUP top AUXILIARY DESC 'Beschreibung eines Nutzer Accounts mit Attributen' MUST ( cn $ uid $ uidNumber $ serialNumber $ homeDirectory ) MAY ( userPassword $ loginShell $ gecos $ description ) )
  • 14.  Eindeutige OID des Attributs  Eindeutiger Name innerhalb des Schemas  Textliche Beschreibung  Vergleichsregeln (Matching Rules) die bei der Suche gelten  Attribtsdefinition über Schema OID 2 LDAPINFORMATIONSMODELL 14 Beschreibung der Attribute attributetype ( 2.5.4.5 NAME 'serialNumber' DESC 'Seriennummer' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.44{64} )
  • 15.  Der OID ist eine durch Punkte getrennte dezimale Ziffernfolge  OIDs werden von der der Internet Assigned Numbers Authority (IANA) vergeben  Eine OID ist weltweit eindeutig Zentrales Element des Informationsmodells 2 LDAPINFORMATIONSMODELL 15 Der Object Identifier (OID) Auszug aus www.alvestrand.no OID Bedeutung 1. Durch die ISO zugewiesen 1.3.6.1 Der Internet OID 1.3.6.1.1.1 RFC2307 NIS Netgroup 1.3.6.1.1.1.1 NISSchema Syntax 1.3.6.1.1.1.1.4 loginShell im NIS Schema
  • 16.  Das Verzeichnis organisiert die Objekte in Baumform  Die Basiselemte zur Strukturierung sind: Organisation des Verzeichnisses 3 LDAPNAMENSMODELL 16 Wie arbeitet LDAP Symbol Bezeichnung c country l locality o organsisation ou organisational unit cn common name uid user id
  • 17. Wie arbeitet LDAP 17 Aufbau des Verzeichnisses  Daten werden als Einträge gespeichert  Einträge werden als Baumknoten gespeichert  Jeder Knoten hat 0 bis n Kinderknoten  Jeder Knoten hat genau 1 Elternknoten  Mit Ausnahme des Wurzelknotens  Jeder Knoten hat einen eindeutigen Namen  RDN (Relative Distinguished Name)  DN (Distinguished Name) 3 LDAPNAMENSMODELL
  • 18. Aufbau des Verzeichnisses 3 LDAPNAMENSMODELL 18 Wie arbeitet LDAP o = root ou = Firma ou = FHDW c = de c = nl c = us cn = Prof Y cn = Prof X c = de ou = FHDW cn = Prof X RDN: c=de countryName DIT Directory Information Tree RDN: ou = FHDW organizationName o = root RDN: cn= Prof X commonName DN: cn = Prof X, ou = FHDW, c = de Telefon = 0900 / 5551234 Fax = 0900 / 55512345 Mail = profX@fhdw.de … cn = Prof X
  • 19. Wie arbeitet LDAP 19 Funktionsmodell  Abfrage Operationen  search (zentrale Funktion)  compare  Update Operationen  add  delete  modify  Authentifizierung  bind / unbind (Authentifizierung)  abandom (Anfrage abbrechen) 4 LDAPFUNKTIONSMODELL
  • 20.  Mit dem Kommando "ldapsearch" können Objekte auf Grund bestimmter Attribute gesucht werden.  Hier wird als Benutzer „prof“ nach einen CN „Michael“ durchsucht (mit Passwort „prof“)  Hier wird als "anonymer Benutzer" nach der Organisation „fhdw" gesucht. Als Ergebnis werden nur die Attribute “mail“und „cn“ ausgegeben Beispiele für den Suchen-Befehl 4 LDAPFUNKTIONSMODELL 20 Funktionenmodell ldapsearch -h localhost -D "cn=prof, dc=fhdw, o=home" "(cn=Michael)" -W ldapseach -x -h localhost -LLL "(ou=fhdw)" mail cn
  • 21. Der Sicherheitsgedanke 21  Informationen vor unbefugtem Zugriff schützen  ACLs (Access Control Lists) regeln den Zugriff bis auf Attributsebene  Bis LDAP v2 unsicher (Passwort als Klartext)  LDAP v3 bietet SSL- TLS- Verschlüsselung  Simple Authentification and Security Layer (SASL) wird unterstützt um verschiedene Authentifizierungs- Methoden einzubinden 5 LDAPSICHERHEITSMODELL
  • 22. 5 LDAPSICHERHEITSMODELL 22 Authentisieren als LDAP Nutzer Benutzer Verzeichnisdienst Authentisierung (bind Operation) als Person X Abfrage/Suche/Änderung Ergebnis gemäß Berechtigung Abmeldung (unbind Operation) als Person X
  • 23. Single Sign On 5 LDAPSICHERHEITSMODELL 23 LDAP als Authentisierungsdienst Benutzer VerzeichnisdienstAnwendung Ich bin Person X mit „Passwort“ Bind als Person X mit „Passwort“ Erfolg!OK Anmeldung an weiteren Anwendungen über Ticket ohne weitere Authentifizierung
  • 24. LDAP unter Windows 24 Das Active Directory  Active Diretory (AD) ist seit 1999 ab Windows 2000 verfügbar  Das AD ist ein objektorientierte Datenbank bestehend aus Klassen, Schemata und Objekten, die hierarchisch angeordnet sind  Es werden Informationen über Netzwerkobjekte und Ressourcen gespeichert und verwaltet  Abwärtskompatibel zum Windows NT Directory Service 6 LDAPAUSPRÄGUNG
  • 25. LDAP unter Windows 25 Vorteile  Replikation über LDAP möglich  Gruppenrichtlinien können im AD gespeichert werden  Integration von DNS und Exchange Server in der Verzeichnisdatenbank  Single-Sign-On über Kerberos Tickets  Integration in den Webserver (Authentifizierung im IIS)  Loadbalancing und Failover werden unterstützt 6 LDAPAUSPRÄGUNG
  • 26.  LDAP ist standardisiert und durch Schemen (unterschiedlicher) Hersteller beliebig erweiterbar  Funktionen sind optimiert für typische Aufgaben eines Verzeichnisdienstes (performante Suche)  Hierarchische Struktur sorgt für einen global Verteilbarkeit und eindeutigen Namen  Anwendungsübergreifender Zugriff auf unterschiedliche Datenquellen  Verbesserte Aktualität der gespeicherten Daten  Zukunftssichere Plattform 7 ZUSAMMENFASSUNG 26 Fazit
  • 27. Vielen Dank für Ihre Aufmerksamkeit Noch Fragen?