Schemat zasobów LDAP
18
LDAP, Toruń, 03.07.2002 Schemat zasobów LDAP Maja Górecka-Wolniewicz, UCI UMK
description
Schemat zasobów LDAP. Maja Górecka-Wolniewicz, UCI UMK. Postać drzewa danych usługi ogólnopolskiej. gałęzie organizacyjne odzwierciedlenie struktury organizacyjnej jednostek lokalizacja danych typu „white pages” lokalizacja danych wspomagających autoryzację - PowerPoint PPT Presentation
Transcript of Schemat zasobów LDAP
LDAP, Toruń, 03.07.2002
Schemat zasobów LDAP
Maja Górecka-Wolniewicz, UCI UMK
LDAP, Toruń, 03.07.2002
Postać drzewa danych usługi ogólnopolskiej
gałęzie organizacyjneodzwierciedlenie struktury organizacyjnej jednostek lokalizacja danych typu „white pages”lokalizacja danych wspomagających autoryzacjęlokalizacja certyfikatów kluczy publicznych
gałęzie domenoweodzwierciedlenie internetowej struktury domenowej lokalizacja danych uwierzytelniających lokalizacja danych o użytkownikach, urządzeniach sieciowych, serwerach, serwisach sieciowych
synchronizacja zawartości informacyjnej obu drzew
LDAP, Toruń, 03.07.2002
Drzewo organizacyjneOpcja 1
poziom 0: PLpoziom 1: pełna nazwa jednostki, uwzględniająca polskie znaki diakrytyczne
• Uniwersytet Mikołaja Kopernika w Toruniu• Uniwersytet Marii Curie-Skłodowskiej w Lublinie• Politechnika Wrocławska
poziom 2: jednostki ogólnouczelnianepoziom 3: zakłady, zespoły, pracownie – zgodnie ze strukturą organizacyjną uczelni ......itd.
Opcja 2drzewo organizacyjne w ramach domenowego: ou=people, dc=uni, dc=torun, dc=plou=organization, dc=uni, dc=torun, dc=pl
LDAP, Toruń, 03.07.2002
Nazwy alternatywne obiektówPopularne nazwy instytucji / jednostek organizacyjnychNazwy w innych językach
o;lang-enou;lang-en
Znane skróty instytucji / jednostek organizacyjnych polskie i ew. w innych językachPopularne nazwy osób
atrybut displayName powinien zawierać również nazwę popularnąatrybut displayName odpowiednikiem plRDN
Zaleca się utrzymywanie angielskojęzycznych nazw instytucji / jednostek organizacyjnych
LDAP, Toruń, 03.07.2002
Translacja danych X.500 – LDAP (1)
Zostaną wycofane polskie klasy obiektów i polskie atrybuty stosowane w projekcie X.500 (polishObject, newPolishObject, polishPerson, polishOrganizationalRole, polishOrganizationalUnit, polishOrganization oraz atrybuty pl*, polish*)Konwersja polskich atrybutów:
plcn cn;lang-plplou ou;lang-plplo o;lang-plpll l;lang-plplsn sn;lang-plplDescription description;lang-plpolishpostalAddress postalAddress;lang-pl
LDAP, Toruń, 03.07.2002
Translacja danych X.500 – LDAP (2)
Konwersja polskich atrybutów c.d.:polishtitle title;lang-plplPosition title;lang-plplFunction title;lang-plplDegree personalTitle;lang-plplmgr personalTitle;lang-plplDescription description;lang-plident (UMK) employeeNumberplRDN displayName;lang-pl
LDAP, Toruń, 03.07.2002
Funkcje i tytuły zawodowe / naukowe osób
personalTitle zgodnie z RFC 1274 tytuł stosowany przez osobę:
The Personal Title attribute type specifies a personal title for a person. Examples of personal titles are "Ms", "Dr", "Prof" and "Rev".
titlezgodnie z RFC 2256 funkcja sprawowana przez osobę, stanowisko:
This attribute contains the title, such as "Vice President", of a person in their organizational context. The "personalTitle„ attribute would be used for a person's title independent of their job function.
LDAP, Toruń, 03.07.2002
Klasa eduPerson
amerykańska inicjatywa stworzenia klasy obiektów opisującej osoby zgodnie z potrzebami środowiska akademickiego
zestaw dodatkowych atrybutów, m.in. eduPersonAffiliation (student, pracownik, doktorant), eduPersonNickname, eduPersonOrgDN (wyróżniona nazwa instytucji związanej z pracownikiem), eduPersonOrgUnitDN (wyróżniona nazwa jednostki związanej z pracownikiem), eduPersonPrimaryAffiliation, eduPersonPrincipalName („sieciowy” identyfikator osoby, np. w postaci adresu e-mail)dokument eduPerson 1.5 Specification
LDAP, Toruń, 03.07.2002
Wykorzystanie klasy eduPersoneduPersonNickname – popularne imię osobyeduPersonOrgDN – instytucja, w której pracuje osobaeduPersonOrgUnitDN – jednostka organizacyjna instytucji, w której pracuje osobaeduPersonPrimaryOrgUnitDN – podstawowa jednostka organizacyjna instytucji, w której pracuje osobaeduPersonAffiliation – określenie przynależności osoby do grupeduPersonPrincipalName – identyfikator sieciowy (NetId) osoby o postaci user@domain, niepowtarzalny
• oryginalne zastosowanie – uwierzytelnianie/autoryzacja między instytucjami
• planowane zastosowanie – łącznik między drzewem organizacyjnym i domenowym
eduPersonEntitlement – URI wskazujący zestaw uprawnień do konkretnych zasobów, np. URL kontraktu dotyczącego licencjonowanego oprogramowania
LDAP, Toruń, 03.07.2002
Identyfikatory osóbRozróżnianie osób, użytkowników systemuIntegracja identyfikatorów umożliwia konsolidację różnych systemów, m.in. w celu synchronizacji danychWłasności identyfikatorów
stopień czytelności, sposób generacji (centralny, lokalny), trwałość, dostępnośćrelacje między różnymi identyfikatorami
Rodzaje identyfikatorówuid, netid, account, e-mailidentyfikator w systemie bibliotecznymidentyfikatory osobowe: PESEL, ident. w bazie kadrowej itp.
Dokument Internet2 pt. „Identifiers, Authentication, and Directories: Best Practices for Higher Education”
opis istotnych aspektów zastosowania identyfikatorów w kontekście usługi katalogowej
LDAP, Toruń, 03.07.2002
Informacje wspomagające autoryzację
Lokalizacja użytkownika w grupie roboczej, zespole itp.Dwie możliwości:
definicja grup jako wpisów w drzewie domenowym lub organizacyjnym
• klasa obiektów groupOfNames z core.schema, obowiązkowe atrybuty cn oraz member
• klasa obiektów groupOfUniqueNames z core.schema, obowiązkowe atrybuty cn oraz uniquemember
• klasa groupOfURLs z core.schema, obowiązkowy atrybut memberURL
definicja atrybutów we wpisie dotyczącym osoby, np. eduPersonAffiliation
LDAP, Toruń, 03.07.2002
Inne problemy i propozycjeAtrybut associatedDomain
zdefiniowany w ramach schematu Cosinew projekcie X.500 stosowany do wskazania w obiektach organization i organizationalUnit domeny związanej z instytucją / jednostką organizacyjną – takie obiekty dodatkowo należały do klasy domainRelatedObjectpropozycja: dodanie atrybutu associatedDomain (zdefiniowany w core.schema) do własnych klas pleduOrgUnit i pleduOrganization
Atrybut labeledURIzdefiniowany w klasie labeledURIObjectpropozycja: dodanie klasy obiektów labeledURIObject dla wpisów dotyczących instytucji / jednostek organizacyjnych i stosowanie opcjonalnego atrybutu labeledURI do umieszczania adresu strony WWW
LDAP, Toruń, 03.07.2002
Schemat danych drzewa organizacyjnego (1)
zgodny ze schematem stosowanym w projekcie OpenLDAP
core.schema inetorgperson.schema rezygnacja z cosine.schema
dodatkowoeduPerson.schemarozszerzenia własne projektu, m.in. definicja personalTitle i innych specyficznych atrybutów w pleduPerson.schema
LDAP, Toruń, 03.07.2002
Schemat danych drzewa organizacyjnego (2)
opis własności związanych z infrastrukturą kluczy publicznych
klasa certificationAuthority w core.schemaatrybuty klasy inetOrgPerson klasy pkiUser i pkiCA zgodnie z RFC2587ostatnie podejście: Internet-Draft, An LDAPv3 Schema for X.509 Certificates, draft-klasen-x509certificate-schema
LDAP, Toruń, 03.07.2002
Schemat danych drzewa domenowego (1)
Schematy: core.schema, nis.schema, samba.schemaWpisy dotyczące domen
klasa obiektów dcObject (core.schema)atrybut wymagany dc
Wpisy dotyczące użytkownikówklasa obiektów posixAccount oraz sambaAccount (samba.schema)atrybuty obowiązkowe dla klasy posixAccount: cn, uid, uidNumber, gidNumber, homeDirectoryatrybuty opcjonalne dla klasy posixAccount: userPassword, loginShell, gecos, descriptionatrybuty obowiązkowe dla klasy sambaAccount: uid, ridatrybuty opcjonalne dla klasy sambaAccount: cn, lmPassword, ntPassword, pwdLastSet, logonTime, logoffTime, kickoffTime, pwdCanChange, pwdMustChange, acctFlags, displayName, smbHome, homeDrive, scriptPath, profilePath, description, userWorkstations, primaryGroupID, domain
LDAP, Toruń, 03.07.2002
Schemat danych drzewa domenowego (2)
Klasa obiektów account zdefiniowana w cosine.schemaobowiązkowy atrybut userid (uid)atrybuty opcjonalne: description, seeAlso, localityName, organizationName, organizationalUnitName , host zbędna w drzewie domenowym, jeśli wpisy użytkowników będą powiązane z wpisami w drzewie organizacyjnym (eduPersonPrincipalName jako łącznik)
Rozszerzenia dla potrzeb dystrybucji maili (misc.schema)
Internet-Draft – LDAP Schema for Internet Mail Routing (draft-lachman-laser-ldap-mail-routing-02.txt), np. wykorzystywane w programie sendmail skonfigurowanym do współpracy z LDAP-emwe wpisach użytkowników dodatkowo klasa obiektów inetLocalMailRecipientatrybuty: mailLocalAddress, mailHost, mailRoutingAddress
LDAP, Toruń, 03.07.2002
Inne zastosowania drzewa domenowegoInformacja wspomagająca działanie programu qmail umieszczana we wpisach użytkowników
schemat qmail.schemaklasa obiektów qmailUserobowiązkowe atrybuty: mail, uidatrybuty opcjonalne: m.in.mailMessageStore , homeDirectory , userPassword , mailAlternateAddress, qmailUID, qmailGID, mailQuota, mailHost , mailForwardingAddress , deliveryProgramPath , qmailDotMode , deliveryMode , mailReplyText , accountStatus , qmailAccountPurge
Strefy domen DNS w LDAP-iecentralizacja źródła informacji DNSzgodnie z draft-miller-dns-ldap-schema-00klasy obiektów: DNSZone, DNSRRSet, DNSServeratrybuty: DNIPZoneDomainName, DNIPSecondaryZone, DNIPSOASerial, DNIPRR, DNIPMACAddress
LDAP, Toruń, 03.07.2002
Rozproszona usługa katalogowa
Przechowywanie informacji o innych serwerach LDAP
Internet-Draft „Named Subordinate Reference in LDAP Directories”klasa obiektów referral (core.schema)Obowiązujący atrybut ref
Ochrona danych umieszczanych we wpisachbrak standardowego podejściawłasne rozwiązania w projekcie OpenLDAP:
• klasa obiektów OpenLDAPacl• atrybut OpenLDAPaci
