Администрирование сервиса хранения учетных данных openLDAP

В ОС Linux существует несколько сервисов, позволяющих централизованно управлять учетными записями пользователей и другой сервисной информацией. К таким сервисам относятся сервис NIS и LDAP.
Сервис NIS позволяет хранить следующую информацию по учетным записям пользователей:

• имена пользователей;
• пароли пользователей;
• группы пользователей;
• расположения домашних каталогов.

В настоящее время на смену сервису NIS пришел более защищенный и производительный сервис каталогов LDAP.
При выборе способа управления учетными записями пользователей, следует учитывать ОС, с которой работает большинство пользователей предприятия. В случае использования сервиса LDAP для хранения учетных данных, пользователи могут работать как на ОС Unix/Linux, так и на ОС Windows. Более того, в ОС Linux существует возможность реализовать подобие домена Active Directory для аутентификации пользователей с использованием протокола Kerberos.
При использовании сервиса NIS для хранения учетных данных, пользователи могут работать только на ОС Unix/Linux. Существуют, конечно, средства, позволяющие установить клиенты NIS на ОС Windows, однако данное решение не является разумным с точки зрения безопасности.

Для реализации сервиса каталогов LDAP в ОС Linux используется ПО openLDAP. Данное ПО можно разделить на следующие компоненты:

• Серверы: предоставляют службы LDAP
• Клиенты: оперируют данными LDAP
• Утилиты: поддерживают работоспособность сервера LDAP
• Библиотеки: предоставляют API для доступа к данным LDAP

Серверная часть сервиса LDAP представлена демоном slapd, который предоставляет доступ к одному или нескольким каталогам данных. Серверная часть LDAP может хранить данные локально или предоставлять доступ к внешним источникам данных. LDAP предоставляет возможности по аутентификации компьютеров и пользователей, поиску и изменению данных, таких как, например, группы и адресная книга,
Клиенты, например, инструменты командной строки для поиска данных ldapsearch и изменения данных ldapmodify, получают доступ к сервису LDAP через LDAP протокол. Их функция заключается в формировании и передачи запросов к демону slapd, который выполняет необходимые операции над данными в каталогах. Обычно, сначала клиент подключается к демону slapd, выполняет аутентификацию и привязку (binding), а затем осуществляет

необходимые операции путем посылки LDAP запросов (поиск, изменение, удаление и прочее). После получения ответа на посланный запрос, клиент завершает процесс биндинга и отключается.

Структура взаимодействия компонентов LDAP.

Утилиты Шар, в отличие от клиентов, не используют LDAP протокол для доступа к каталогам. Вместо этого, они подключаются к серверу на более низком уровне и выполняют служебные операции над данными, например, такие как создание новых каталогов. В основном данные утилиты используются для сопровождения демона slapd.
В ОС Linux при установке пакета openldap устанавливается несколько библиотек, которые используются LDAP приложениями. Данные библиотеки позволяют сторонним разработчикам создавать ПО, взаимодействующее с каталогом по протоколу LDAP. Для развертывания сервиса LDAP в ОС Linux должны быть установлены пакеты openldap и openldap-servers. В общем случае процесс развертывания сервиса LDAP можно разделить на следующие этапы:

• Установка бинарных пакетов openldap и openldap-servers
• Настройка сервера LDAP при помощи конфигурационного файла slapd.conf
• Проверка конфигурационного файла slapd.conf при помощи утилиты slaptest
• Создание каталога LDAP
• Настройка клиентов LDAP при помощи конфигурационного файла ldap.conf.