OpenLDAP
centralizacja infrastruktury IT
Power Media sp. z o.o.
Cel wykładu
Cel wykładu
Jak w sposób elegancki, łatwy i przyjemny
zarządzać rozrastającym się systemem IT
(w firmie, na uczelni, w akademiku, w
domu)
Infrastruktura IT - początek
Infrastruktura IT - początek
Infrastruktura IT – początek
Infrastruktura IT – początek
✔
Mało użytkowników
✔
Nieliczne usługi
✔
Konta użytkowników i maszyn można
zakładać ręcznie
Infrastruktura IT - rozbudowa
Infrastruktura IT - rozbudowa
Infrastruktura IT - rozbudowa
Infrastruktura IT - rozbudowa
✔
Wzrasta liczba użytkowników
✔
Wzrasta narzut na obsługę
✔
Informacje powtarzane w konfiguracji
różnych usług
✔
Ręczne zakładanie kont – coraz
trudniejsze
Infrastruktura IT - rozbudowa
Infrastruktura IT - rozbudowa
✔
Dodawanie nowego użytkownika
✔
Lotus (poczta)
✔
Jabber
✔
Samba
✔
Konto shellowe (osobno na każdym
komputerze)
✔
Grupy (osobno na każdym komputerze)
Infrastruktura IT - rozbudowa
Infrastruktura IT - rozbudowa
✔
Dodawanie nowego komputera
✔
DNS
✔
DHCP
✔
Samba
✔
Zasoby sieciowe
Rozwiązanie
Rozwiązanie
?
Infrastruktura IT - centralizacja
Infrastruktura IT - centralizacja
Infrastruktura IT – centralizacja
Infrastruktura IT – centralizacja
✔
Centralny punkt zarządzania
informacjami o użytkownikach i
maszynach
✔
Powtarzające się informacje zebrane w
jednym punkcie
Wybór technologii – NIS
Wybór technologii – NIS
✔
passwd.byuid
✔
uid1 => name1,
password1, ...
✔
uid2 => name2,
password2, ...
✔
group.byname
✔
name1 => gid1,
members1, ...
✔
name2 => gid2,
members2, ...
✔
Informacje przechowywane w
mapach:
Wybór technologii - NIS
Wybór technologii - NIS
✔
Zalety
✔
Prostota
✔
Zdefiniowany schemat danych
✔
Wady
✔
Słabe bezpieczeństwo
✔
Mała elastyczność
✔
Słabe wsparcie ze strony usług
Wybór technologii – RDBMS
Wybór technologii – RDBMS
Użytkownik
login
imię
nazwisko
uid
Komputer
nazwa
adres IP
administrator
Usługa
nazwa
opis
serwer
Wybór technologii – RDBMS
Wybór technologii – RDBMS
✔
Zalety
✔
Dobrze znana technologia
✔
Elastyczność
✔
Przyzwoite wsparcie ze strony usług
✔
Wady
✔
Brak zdefiniowanego schematu danych
Wybór technologii - LDAP
Wybór technologii - LDAP
uid=jacek
uid=marek
ou=Mounts
ou=Hosts
ou=People
dc=power,dc=com,dc=pl
Wybór technologii - LDAP
Wybór technologii - LDAP
DN: uid=marek,ou=People,dc=power,dc=com,dc=pl
uid = marek
cn = Marek Janukowicz
uidNumber = 1002
objectClass = inetOrgPerson, posixAccount, apple
user
jpegPhoto =
Wybór technologii – LDAP
Wybór technologii – LDAP
✔
Obiekty (
DN: uid=marek,ou=People,
dc=power,dc=com,dc=pl
)
✔
Klasy (
objectClass = inetOrgPerson,
posixAccount, appleuser
)
✔
Atrybuty (
uidNumber = 1002
)
LDAP - zalety
LDAP - zalety
Konfiguracja prosta ...
host ldaphost
base dc=power,dc=com,dc=pl
... ale elastyczna
ldap://ldaphost/dc=power,dc=com,dc=pl?mail
sub?(uid=marek)
LDAP - zalety
LDAP - zalety
Bezpieczeństwo dostępu (SSL, SASL, ACL)
access to
dn="uid=.*,ou=People,dc=power,dc=com,dc=pl"
attr=maildrop,pmFlags,uid,uidNumber,gidNumber
by self read
by dnattr=owner write
by * none break
LDAP - zalety
LDAP - zalety
Replikacja
LDAP - zalety
LDAP - zalety
✔
Zdefiniowany, ale rozszerzalny schemat
danych
✔
Optymalizacja pod kątem wyszukiwania
✔
Bardzo dobre wsparcie ze strony usług
✔
API dla wielu języków programowania
LDAP - zalety
LDAP - zalety
✔
Wsparcie ze strony programów
pocztowych
✔
Książki adresowe
Wdrożenie - usługi
Wdrożenie - usługi
✔
Poczta (Postfix, Cyrus)
✔
Konta shell (Linux, Mac OS X)
✔
Domena Windows (Samba)
✔
DNS, DHCP
✔
Zasoby sieciowe (NFS)
✔
Apache
✔
Aplikacje wewnętrzne
LDAP - wady
LDAP - wady
✔
Brak wewnętrznych więzów integralności
✔
Np. podanie nieistniejącego DNa
✔
Brak ostrzeżenia przy usuwaniu
LDAP - wady
LDAP - wady
✔
Reorganizacja – problematyczna
✔
Przenoszenie obiektów w drzewie –
zmiana DNa
✔
Usuwanie atrybutów i klas ze schematu
danych - niebezpieczne
LDAP - wady
LDAP - wady
✔
Niektóre schematy dla usług –
niewygodne
✔
DNS
✔
DHCP
✔
Samba
Po wdrożeniu - plany
Po wdrożeniu - plany
✔
Do zintegrowania
✔
Nagios – monitoring
✔
Bacula – backup
✔
Klient LDAP dla zwykłych użytkowników
Podsumowanie
Podsumowanie
Wszystkie informacje nt. użytkowników,
komputerów, zasobów, kontaktów w
jednym miejscu