Imenik LDAP - Delavnice LDAP, Eduroam in ArnesAAI
Transcription
Imenik LDAP - Delavnice LDAP, Eduroam in ArnesAAI
Delavnica AAI Arnes 2013 21. januar 2014, Ljubljana, Tehnološki park Imenik LDAP Rok Papež Arnes rok.papez@arnes.si Na meniju: • osnove certifikatov X.509 • splošno o imenikih LDAP • sheme LDAP (za raziskovalne in izobraževalne organizacije) • dnevno upravljanje • povezovanje aplikacij z imenikom LDAP • vzpostavitev imenika LDAP • vzpostavitev varne povezave s certifikati * http://aai.arnes.si - uradna Arnes dokumentacija za sisteme AAI Simetrična kriptografija • A in B želita komunicirati varno • Simetrična kriptografija – isti ključ za šifriranje in dešifriranje – hitro (de)šifriranje – AES, Twofish, Blowfish, 3DES, IDEA, RC4 – izmenjava ključev • Težava: Kaj če se A in B še ne poznata?! Asimetrična kriptografija • Javni in zasebni ključ • Javni je objavljen in dobro poznan • A in B želita komunicirati • Šifriranje podatkov – A šifrira z javnim ključem B – B šifrira z javnim ključem A • Podpisovanje sporočil ali dokumentov – A šifrira checksum z zasebnim ključem A – B šifrira cehcksum z zasebnim ključem B • Algoritmi: RSA, DSA, ElGamel, EC (Elliptic Curve) • Kdo jamči, da je javni ključ X res od X? • Dobro poznani C jamči za A in za B tako, da njun javni ključ podpiše s svojim zasebnim ključem C Certifikati X.509 • HTTPS, LDAPS, StartTLS • Standard za (asimetrično) kriptografijo • Certifikat = (podpisan) javni ključ • CA angl. Certificate Authority – Če se A in B ne poznata!!! – Seznami certifikatov CA – Veriga CA = CA + Sub CA + Sub CA + ... + Cert • $ openssl x509 -in cert.pem -text -noout • Issuer – izdajatelj, garancija • Subject – naslovnik, osebek • http://aai.arnes.si/certs Kaj je imenik? Imenik LDAP • Lightweight Directory Access Protocol • Je vse drugi kot “light” • Baza podatkov, ki ni SQL ni in noSQL • “Objekti” oziroma zapisi, strukturirani podatki • Predstavlja osebe, tiskalnike, računalnike, zapise DNS, DHCP ... • LDAP je standard – Protokol – Sheme – Podatki Pojmovnik LDAP • LDIF angl. LDAP Data Interchange Format – standardna oblika zapisa podatkov • DIT angl. Data information tree – drevo LDAP • Bind – Prijava v imenik • Schema – Registrirana oblika in struktura podatkov (SNMP MIB) • LDAPS – LDAP over SSL • Reference – preusmeritev na drugi imenik LDAP • Attribute – atribut, eden izmed podatkov o zapisu • Operational attributes – atributi o zapisu, ki jih vodi LDAP sam Drevo LDAP Struktura imenika dc=ss-primer,dc=si • ou=People,dc=ss-primer,dc=si - fizični uporabniki • ou=Groups,dc=ss-primer,dc=si - skupine uporabnikov • ou=System,dc=ss-primer,dc=si - sistemski računi za recimo samodejno preverjanje • ou=Computers,dc=ss-primer,dc=si - objekti, ki predstavljajo računalnike, na primer računalniki vključeni v domeno Windows • cn=config,dc=ss-primer,dc=si - nastavitve imenika openldap • cn=subschema,dc=ss-primer,dc=si - podatki o aktivnih shemah • dc=primorska,dc=ss-primer,dc=si • dc=anglija,dc=ss-primer,dc=si • dc=london,dc=ss-primer,dc=si Distinguished Name - dn • dn: cn=vpn,ou=Groups,dc=ss-primer,dc=si • dn: uid=mjohn,ou=People,dc=ss-primer,dc=si • dn: eduPersonPrincipalName=rp213@ssprimer.si,dc=ss-primer,dc=si • Bind se vedno izvaja na “dn” • Iskanje se lahko izvaja po poljubnem atributu (če imamo dostop do njega!) Primer zapisa LDIF dn: cn=radius,ou=System,dc=os-prva,dc=si changetype: add objectClass: top objectClass: person cn: radius sn: radius userPassword: skritogesloradius LDAP vs. <baza podatkov> • LDAP ima strukturo • “On-wire” protokol – standard! • Schema • Interoperabilnost* med različnimi LDAPi – OpenLDAP – 389DS (FedoraDS, CentosDS, RedHat DS) – Apache DS • Multimaster, replikacija, audit • Predvsem za branje • Namembnost!!! Pomembne datoteke • /etc/openldap/slapd.conf • /etc/sysconfig/slapd -ali- ldap • /etc/openldap/ldap.conf • /etc/openldap/certs/* – Pravice key.pem - 0640, root:ldap • /etc/openldap/schema/* Openldap replikacija • Master – Slave vs. Multimaster • Kateri je boljši? Openldap replikacija • Master – Slave vs. Multimaster • Split brain!!! • Master – Slave boljše zmogljivosti • Multimaster – enostavnejše • /etc/sysconfig/slapd -ali- ldap • Dodamo URL v SLAPD_URLS="ldapi:/// ldap:/// ldaps:/// ldap://10.0.99.305:6301/" • V slapd.conf dodamo serverID 1 "ldap://10.0.99.305:6301/" Sheme NREN ArnesAAI • NREN angl. National Research and Education Network • EduPerson – Ameriška • SCHAC – Schema for Academia • http://aai-lab.arnes.si/ldap/struktura Obvezni atributi • http://aai-lab.arnes.si/ldap/atributi • cn • displayName • sn • givenName • eduPersonPrincipalName • mail • eduPersonAffiliation • eduPersonPrimaryAffiliation • schacHomeOrganization • schacExpiryDate • schacUUID • userPassword ldapsearch cn=”Janez Novak” --lego-style Razvoj atributov • Predvidene so nadgradnje • Zahteve iz šolstva in podjetij, ki delajo s šolstvom ali za šolstvo • Zahteve eduGain / evropske skupnosti NREN Uporaba LDAP v aplikacijah • RO ali RW dostop • ACLji • Avtentikacijski načini – Bind – Bind – Search – Authenticate (dostop do userPassword) – Bind – Search – Rebind Aplikacije, ki dostopajo do LDAP • RADIUS – Eduroam – VPN (StrongSWAN, OpenVPN) • Web SSO (ArnesAAI) • Windows Domena (Samba) • Strežniki UNIX (Linux SSSD) • Večina spletnih aplikacij • Kopirni stroj Primer LDAP ACL access to dn.sub="dc=os-prva,dc=si" attrs=entry,eduPersonPrincipalName,userPassword,schacE xpiryDate by dn="cn=radius,ou=System,dc=os-prva,dc=si" read by * break Varnostne kopije in nadgradnje • slapd.conf • schema • certifikati • slapcat -n 2 • slapcat -b dc=os-prva,dc=si • slapadd • db_upgrade (BDB nadgradnje) • Nadgradnja: /etc/openldap/slapd.conf.bkp Zgoščena ali čista gesla • Zgoščeno geslo v bazi ali na povezavi • Varnost ali uporabnost • Gesla v aplikaciji ali centralizirana avtentikacija? • PEAP -> MSCHAPv2 -> RC4 • EAP-TTLS -> PAP, MSCHAPv2, ... • http://deployingradius.com/documents/protoc ols/compatibility.html • Bind – Search – Rebind zahteva čisto geslo Združljivost protokolov z gesli http://deployingradius.com/documents/protocols/compatibility.html Upravljanje digitalnih identitet Printing servers Data flow Queries Portals Personal computers Web Classrooms Content management Active Directory (AD) Student enrollment Employees e-mail Calendar Identity management Alumn Address book Student apps LDAP Student membership Library system VPN RADIUS Dial-up WLAN Sedaj ste vi na vrsti! ● CC vienze ziction /flickr Naloga LDAP 1.Navodila LDAP: http://aai-lab.arnes.si/ldap/postavitev 2.Prijavite se v svoj strežnik Linux a.Prijava: root@student??.lab.arnes.si b.Spremenite geslo: passwd (netrivialno geslo <- si-cert) c.Posodobite OS: yum update d.Uredite ime računalnika: vim /etc/sysconfig/network 3.Postavite imenik OpenLDAP 4.Vnesite uporabnike in preverite vnose 5.Preverite operational attributes: ldapsearch -x -D [...] -W \* + 6.Bonus: S poljubnim sotrpinom vzpostavite Multimaster LDAP a. System-config-firewall b. LDAP – tcp/389 in tcp/636 c. iptables-save + preveri /etc/sysconfig/iptables http://aai.arnes.si aaa-podpora@arnes.si (CC) Blackandecker/Flickr.