|
Das ist der zweite Teil einer fünfteiligen Reihe, in der ich meine aktuelle Liste der nützlichsten breitgefächert einsetzbaren Open Source-Werkzeuge für die Administration vorstelle. Diese Tools können Ihren Job einfacher machen, ganz egal, welches Unix-Betriebssystem Sie verwenden.
Nummer 4: LDAP
LDAP ist seit einigen Jahren ein heißes Thema für Systemadministratoren. LDAP stellt einen Verzeichnisdienst zur Verfügung, der zur Speicherung und zum Wiederabruf von Informationen über einzelne Personen (z.B. Mitarbeiter) einer Organisation genutzt werden kann. Die Bandbreite der Informationen, die auf diese Weise verfügbar gemacht werden können, ist recht groß: traditionelle Telefon- oder andere institutionelle Verzeichnisse (Lage von Büros, Telefonnummern usw.), Daten von Unix-Benutzer-Accounts, persönlichere Daten, wie private Telefonnummern und Fotografien, zusammen mit weiteren spezifischen Daten. In diesem Artikel wollen wir uns die Dienste ansehen, die LDAP zur Verfügung stellen kann.
|
In dieser Serie
Nummer fünf: Amanda
Unser Countdown beginnt mit Amanda, einem Utility für unternehmensweite Backups.
|
LDAP ist die Abkürzung für Lightweight Directory Access Protocol. Wie es der Name andeutet, unterstützt dieses Protokoll einen Verzeichnisdienst. Ein Verzeichnisdienst (Directory Service) ähnelt in seiner Funktionsweise einer Datenbank, unterscheidet sich aber von traditionellen relationalen Datenbanken auf verschiedene Weise:
Er ist für Leseoperationen optimiert. Das Einfügen und Aktualisieren von Einträgen kann recht aufwendig sein. Er stellt fortgeschrittene Such-Features zur Verfügung. Seine grundlegenden Datenstrukturen, die insgesamt als Schema bezeichnet werden, können entsprechend den lokalen Bedürfnissen erweitert werden. Er hält an offenen Standards fest, um das Zusammenspiel zwischen Implementierungen verschiedener Hersteller sicherzustellen. Genauer gesagt, hält er sich an eine Reihe von RFCs. Er nutzt die Vorteile von Techniken zur verteilten Speicherung und Datenreplikation, was eine effiziente Skalierung erlaubt.
Aufgrund dieser und weiterer Vorteile verdrängt LDAP das NIS-System im Bereich unternehmensweiter Benutzer-Accounts und der Benutzer-Authentifizierung.
Um die Unterschiede zu den normalen relationalen Datenbanken deutlich zu machen, wird eine andere Terminologie verwendet, um die Datenstrukturen eines Verzeichnisdienstes zu benennen: Records (also Datensätze) werden als Einträge (Entries) bezeichnet, und jedes Feld innerhalb eines Records wird Attribut genannt.
Hinweis: Auch wenn der Begriff LDAP in der Praxis sehr locker verwendet wird, bezeichnet er eigentlich nur ein (in einem Daemon implementieres) Protokoll, über das auf die in einem Verzeichnis gespeicherten Daten zugegriffen wird. Die eigentlichen Datenbankfähigkeiten werden von einem separaten Backend-Programm oder -Paket bereitgestellt.
LDAP wurde erstmals in den frühen 90ern an der University of Michigan implementiert. Es stehen verschiedene kommerzielle LDAP-Server zur Verfügung. Darüber hinaus ist OpenLDAP eine auf der Arbeit von Michigan basierende Open Source-Implementierung von LDAP. OpenLDAP wird standardmäßig bei Linux und BSD-Betriebssystemen verwendet und kann mit den meisten Unix-Systemen genutzt werden. Wir werden es an einigen Stellen als Beispiel verwenden.
Über Schema
LDAP-Objekte sind standardisiert, um ein Miteinander einer Vielzahl von Verzeichnisdienst-Servern zu gewährleisten. Ein LDAP-Schema definiert die Liste möglicher Typen von Einträgen (die man als Objektklassen bezeichnet) zusammen mit den mit ihnen verknüpften Attributen.
Schema-Definitionen werden in Dateien gespeichert. Bei OpenLDAP liegen die Schema-Dateien im Unterverzeichnis /etc/openldap/schema.
Die Attribute werden über ihre Datentypen, Formate, Vergleichsmethoden usw. definiert. Innerhalb einer Objektklasse können Attribute erforderlich oder optional sein. Das gleiche Attribut kann Teil von mehr als einer Objektklasse sein.
Objektklassen sind hierarchisch angeordnet, wobei die Objektklasse top die Wurzel des Baums bildet. Objekte der ersten Ebene (Level) sind Child-Objekte dieser Klasse, und alle darunterliegenden Objektklassen sind deren Nachkommen. Child-Klassen enthalten automatisch alle Attribute ihrer übergeordneten Parent-Klasse.
Ein Verzeichniseintrag kann in mehreren Objektklassen vorhanden sein, wie der folgende Datensatz für Daphne Frisch zeigt:
dn: cn=Daphne Frisch,ou=Pets,dc=ahania,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
|
|
Unterscheidet Namen(Schlüsselfeld) und Objektklassen für diesen Verzeichniseintrag. |
sn: Frisch
cn: Daphne Frisch
telephoneNumber: 555-1212
userPassword: {crypt}meeoooowww
description: Toy chaser and purrrring fuzz ball |
|
Attribute der Objektklasse person. |
ou: Pets
title: HRH
street: 125 N. Main Street
postOfficeBox: 4224
st: CT
postalCode: 06512
facsimileTelephoneNumber: 888-555-1212 |
|
Attribute der Objektklasse organizationalPerson. |
departmentNumber: 14
employeeType: permanent
givenName: Daphne
initials: DF
jpegPhoto: daphne.jpg
audio: daphne.wav
homePhone: 555-2121
pager: Opening the toy cabinet
preferredLanguage: Fenglish
userCertificate: certs/df_cert.pem |
|
Attribute der Objektklasse inetOrgPerson.
|
Das in diesem Beispiel-Datensatz verwendete Datenformat ist als LDIF (LDAP Data Interchange
Format) bekannt. Es ist als Folge von Attributen und (durch Doppelpunkte getrennten) Wertepaaren organisiert. So hat zum Beispiel das Attribut telephoneNumber den Wert 555-2121. Die verschiedenen Attribute sind farblich hervorgehoben, um die Objektklasse zu zeigen, von der sie stammen.
Der Ldap Schema Viewer stellt eine sehr praktische Schnittstelle für die Untersuchung von Standard-LDAP-Schema-Objekten zur Verfügung. Eines der flexibelsten Features von LDAP ist die Tatsache, daß das Schema erweitert werden kann. Man kann Objektklassen und Attribute ganz nach Bedarf hinzufügen, um die jeweiligen Ansprüche erfüllen zu können.
|
