Red Hat SummitÜberblick
Lightweight Directory Access Protocol (LDAP) ist ein Protokoll, mit dem Nutzerinnen und Nutzer Daten über Organisationen, Personen und so weiter finden können. LDAP hat zwei Hauptfunktionen: Daten im LDAP-Verzeichnis zu speichern und Personen für den Zugriff auf das Verzeichnis zu authentifizieren. Es stellt auch die Kommunikationssprache bereit, die Anwendungen benötigen, um Informationen von Directory Services zu senden und zu empfangen. Ein Directory Service bietet Zugriff darauf, wo sich Informationen zu Organisationen, Einzelpersonen und andere Daten innerhalb eines Netzwerks befinden.
Der häufigste Use Case von LDAP ist die Bereitstellung eines zentralen Orts für den Zugriff auf und die Verwaltung von Directory Services. LDAP ermöglicht Organisationen das Speichern, Verwalten und Sichern von Informationen über die Organisation, ihre Nutzenden und Assets – wie Benutzernamen und Passwörter. Dadurch wird der Speicherzugriff vereinfacht, indem eine hierarchische Informationsstruktur bereitgestellt wird. Dies kann für Unternehmen von entscheidender Bedeutung sein, wenn sie wachsen und mehr Benutzerdaten und Assets erwerben.
LDAP fungiert auch als Identity- und Access Management-Lösung (IAM), die auf die Benutzerauthentifizierung abzielt, einschließlich Unterstützung für Kerberos und Single Sign-On (SSO), Simple Authentication Security Layer (SASL) und Secure Sockets Layer (SSL).
LDAP oder Active Directory
LDAP ist das Kernprotokoll, das – allerdings nicht ausschließlich – im Active Directory-Verzeichnisdienst (AD) von Microsoft verwendet wird, einer großen Directory Service-Datenbank, die Informationen für alle Benutzeraccounts in einem Netzwerk enthält. Genauer gesagt ist LDAP eine vereinfachte („lightweight") Version des Directory Access Protocols (DAP) und bietet einen zentralen Ort für Zugriff und Verwaltung von Directory Services, die auf dem Transmission Control Protocol/Internet Protocol (TCP/IP) laufen. Die neueste Version ist LDAPv3.
AD bietet die Authentifizierung und Verwaltung von Nutzenden und Gruppen. Letztendlich authentifiziert es eine Person oder einen Computer. Die Datenbank enthält eine größere Menge an Attributen als die, die in LDAP aufgerufen werden. LDAP ist jedoch darauf spezialisiert, Verzeichnisobjekte mithilfe nur weniger Informationen zu finden, sodass nicht alle Attribute aus AD oder dem Directory Service extrahiert werden müssen, aus dem Daten abgerufen werden.
Das Hauptziel von LDAP ist die Kommunikation mit Objekten sowie das Speichern und Extrahieren von Objekten (d. h. Domains, Nutzende, Gruppen usw.) aus AD in ein nutzbares Format für das eigene Verzeichnis, das sich auf dem LDAP-Server befindet.
Stellen Sie sich das so vor: AD ist die größte Bibliothek der Welt, und Sie suchen nach einem Buch, dessen Titel Zombies erwähnt. In der Welt von LDAP spielen die Details, ob das Buch in den USA veröffentlicht wurde oder nicht, mehr als 1.000 Seiten umfasst oder eine Anleitung zum Überleben der Zombie-Apokalypse enthält, keine Rolle – obwohl sie helfen würden, die verfügbaren Optionen einzugrenzen. LDAP ist wie eine erfahrene Bibliothekarin, die genau weiß, wo sie alle Optionen findet, die Ihre Anfrage erfüllen, und sicherstellt, dass Sie gefunden haben, wonach Sie suchen.
LDAP-Authentifizierungsprozess
Was veranlasst eine LDAP-Suche und wie funktioniert sie?
Der LDAP-Authentifizierungsprozess ist ein Client-Server-Authentifizierungsmodell und besteht aus diesen Hauptakteuren:
- Directory System Agent (DSA): ein Server, der LDAP in seinem Netzwerk ausführt
- Directory User Agent (DUA): greift als Client auf DSAs zu (wie etwa der PC einer Nutzerin oder eines Nutzers)
- DN: der Distinguished Name, der einen Pfad durch den Verzeichnisinformationsbaum (Directory Information Tree, DIT) enthält, durch den LDAP navigieren kann (wie etwa cn=Susan, ou=users, o=Company)
- Relative Distinguished Name (RDN): jede Komponente im Pfad innerhalb des DN (wie etwa cn=Susan)
- Application Programming Interface (API): ermöglicht Ihren Produkten oder Services unabhängig von ihrer Implementierung, untereinander zu kommunizieren
Der Prozess beginnt, wenn eine Nutzerin oder ein Nutzer versucht, am PC auf ein LDAP-fähiges Client-Programm (beispielsweise eine geschäftliche E-Mail-Anwendung) zuzugreifen. Mit LDAPv3 werden eine von zwei möglichen Methoden der Benutzerauthentifizierung durchlaufen: einfache Authentifizierung, wie SSO mit Zugangsdaten, oder SASL-Authentifizierung, die eine Verbindung vom LDAP-Server zu einem Programm wie Kerberos herstellt. Der Anmeldeversuch sendet eine Anfrage zur Authentifizierung des der Nutzerin oder dem Nutzer zugewiesenen DN. Der DN wird über die Client-API oder den Service gesendet, der den DSA startet.
Der Client stellt automatisch eine Verbindung zum DSA her, und LDAP verwendet den DN, um anhand der Datensätze in der LDAP-Datenbank nach dem übereinstimmenden Objekt oder Satz von Objekten zu suchen. Die RDNs im DN sind in dieser Phase sehr wichtig, da sie jeden Schritt in der LDAP-Suche durch den DIT bereitstellen, um die Person zu finden. Wenn dem Pfad ein verbindender RDN im Backend fehlt, kann das Ergebnis ungültig sein. In diesem Fall ist das Objekt, nach dem LDAP sucht, das individuelle Benutzeraccount (cn=Susan), und die Nutzerin oder der Nutzer kann nur validiert werden, wenn das Account im Verzeichnis die übereinstimmende UID und das übereinstimmende UserPassword enthält. Benutzergruppen werden auch als Objekte innerhalb des LDAP-Verzeichnisses identifiziert.
Sobald die Nutzerin oder der Nutzer eine Antwort erhält (gültig oder nicht gültig), hebt der Client die Verbindung zum LDAP-Server auf. Authentifizierte Personen können dann basierend auf den vom Systemadministrator erteilten Berechtigungen auf die API und ihre Services zugreifen, einschließlich erforderlicher Dateien, Benutzerinformationen und anderer Anwendungsdaten.
LDAP-Komponenten
Die schlanke Struktur von LDAP und die Verwendung eines DIT ermöglichen es, schnell eine LDAP-Suche durchzuführen und erfolgreich Ergebnisse bereitzustellen. Ein gutes Verständnis des DIT ist entscheidend, um erfolgreich auf einem LDAP-Server zu navigieren und zu verstehen, wie LDAP-Suchen funktionieren.
Mit dem DIT können Sie schnell durch die verschiedenen Ebenen des LDAP-Verzeichnisses navigieren, um Suchergebnisse einzugrenzen und eine Antwort auf eine Anfrage bereitzustellen. Der DIT beginnt im Root-Verzeichnis, gefolgt von Ländern, die sich dann in zwei Unterklassen verzweigen: Domain Component (dc) und Organization Name (o).
Domain Access Component (dc)
Die Komponente dc (d. h. dc=com, dc=example) verwendet die DNS-Zuordnung (Domain Name System), um Internet-Domain-Namen zu lokalisieren und sie in IP-Adressen zu übersetzen.
Die meisten Nutzenden kennen den Domain-Namen und/oder die IP-Adresse der gesuchten Person nicht. In diesem Fall verwendet LDAP den der Nutzerin oder dem Nutzer zugewiesenen Distinguished Name (DN) als Pfad, um schnell durch den DIT zu navigieren und das Suchergebnis zu finden. Hier kommt die Unterklasse o ins Spiel.
Organization Name (o)
Die Unterklasse o (wie etwa o-Company) ist eine der allgemeinsten Unterklassen, die im DN aufgelistet sind. Normalerweise beginnt LDAP bei dieser Unterklasse, wenn es eine Suche ausführt. Beispielsweise beginnt ein einfacher Pfad normalerweise mit der Unterklasse o und verzweigt sich zur Organizational Unit (ou), gefolgt von einem Benutzeraccount oder einer Gruppe.
Organizational Unit (ou)
Wie bereits erwähnt, ist ou eine Unterklasse von o und wird oft als ou=users oder ou=group angesehen, wobei jede eine Liste von Benutzeraccounts oder Gruppen enthält. So könnte das in einem Verzeichnis aussehen:
o-Company
ou=groups
cn=developers
ou=users
cn=Susan
Common Name (cn)
Ein Common Name oder cn wird verwendet, um den Namen einer Gruppe oder eines einzelnen Benutzeraccounts zu identifizieren (wie etwa cn=developers, cn=Susan). Eine Nutzerin oder ein Nutzer kann einer Gruppe angehören. Wenn Susan also eine Entwicklerin ist, könnte sie auch unter cn=developers vorhanden sein.
Attribute und Werte
Jede Unterklasse im LDAP-DIT (d. h. o, ou, cn) enthält Attribute und Werte oder ein Schema, das Informationen über die Struktur eines LDAP-Verzeichnisses enthält, die helfen können, eine Suche einzugrenzen. Attribute lassen sich mit Adressbucheinträgen vergleichen, mit Bezeichnungen wie Name, Telefonnummer und Adresse. Jedem Attribut sind Werte zugewiesen. Beispielsweise wäre Susan der Wert des Attributs Name.
Im Benutzeraccount cn=Susan sind User ID (UID) und UserPassword Attribute. Die Zugangsdaten einer Nutzerin oder eines Nutzers sind die Werte. In einer Gruppe wie cn=developers hätte Susan jedoch das Attribut uniqueMember (wie etwa uniqueMember=cn-Susan,ou-Users,o-Company). Dies bildet einen Pfad zu Susans individuellem Benutzeraccount, zusammen mit den Informationen, nach denen LDAP sucht. Ein Benutzeraccount ist das Ende der Zeile im DIT. Dort extrahiert LDAP letztendlich die Ergebnisse der Suche.
Es gibt viele andere Attributtypen und -syntaxen, mit denen Sie eine Suche eingrenzen können, darunter ObjectClasses, wie organizationalPerson (strukturell) oder personal (structurell). Die Anzahl der Attribute in LDAP ist jedoch begrenzt, um es leicht und benutzerfreundlich zu halten.
Warum LDAP?
Admins von Unternehmensnetzwerken verwalten in der Regel Tausende von Nutzenden gleichzeitig. Das bedeutet, dass sie für die Zuweisung von Zugriffskontrollen und -richtlinien basierend auf Benutzerrollen und für den Zugriff auf Dateien für alltägliche Aufgaben, etwa über ein Unternehmens-Intranet, verantwortlich sind.
LDAP vereinfacht das Management von Nutzenden, spart Netzwerk-Admins wertvolle Zeit und zentralisiert den Authentifizierungsprozess. Bevor Sie LDAP in Ihre Umgebung integrieren, sollten Sie Folgendes berücksichtigen:
Kapazität: Wie viele Benutzerverwaltungsdaten müssen Sie speichern? Überlegen Sie, ob die Produkte, die LDAP-Lösungen implementieren, über ausreichend Kapazität verfügen, um alle erforderlichen Daten zu speichern und zu verwalten.
Suchhäufigkeit: Gibt es Daten, auf die Nutzende täglich zugreifen müssen, wie ein Unternehmens-Intranet, eine E-Mail-Anwendung oder einen Service? Wenn ja, dann könnte LDAP für Sie das Richtige sein.
Organisation: Bietet der einfache DIT in LDAP genügend Organisationsmöglichkeiten für Ihre Daten, oder benötigen Sie ein detaillierteres System?
LDAP wird zwar häufig in AD verwendet, aber es kann auch verwendet werden, um Personen für andere Tools und Client-Umgebungen zu authentifizieren, darunter Red Hat Directory Server unter UNIX und OpenLDAP, eine Open Source-Anwendung, unter Windows. Sie können auch die Authentifizierungs- und Benutzerverwaltungsfunktionen von LDAP für das API-Management, Role-Based Access Control (RBAC) oder andere Anwendungen und Services wie Docker und Kubernetes nutzen.
LDAP-Authentifizierung mit Red Hat Enterprise Linux
Red Hat® Enterprise Linux® umfasst zentralisierte Identity Management-Funktionen (IdM), mit denen Sie Nutzerinnen und Nutzer authentifizieren und RBAC über eine einzige, skalierbare Schnittstelle implementieren können, die sich über Ihr gesamtes Rechenzentrum erstreckt.
Das Identity Management mit Red Hat Enterprise Linux umfasst eine Reihe von Authentifizierungs- und Autorisierungsfunktionen, darunter:
Domain Controller für Linux: Verwalten Sie zentral Identitäten, Zugriff und Richtlinien für alle Nutzenden, Services und Hosts in diesem vertrauenswürdigen und zentralisierten Identity Storage. Dadurch können Sie den Verwaltungsaufwand reduzieren und die Domain-Registrierung vereinfachen, um eine vertrauenswürdige Sicherheitsgrenze zu schaffen. Nutzende können von einer optimierten Benutzerauthentifizierung profitieren.
AD-Integration: Schließen Sie die Benutzer-ID-Lücke zwischen Linux und Windows mit der nativen Integration von Red Hat Enterprise Linux mit Active Directory. Verwenden Sie Active Directory als Single Source of Truth für Benutzer-IDs, und wenden Sie maßgeschneiderte Richtlinien für die Zugriffskontrolle direkt auf die Linux-Domain an, um die Verwaltungseffizienz zu verbessern und die Richtlinienerstellung zu zentralisieren.
Kerberos SSO: Vereinfachen Sie die Benutzerauthentifizierung mit Kerberos, dem Kern der Identity Management-Authentifizierung, um SSO für die Infrastruktur zu unterstützen. Weiten Sie SSO auf Services aus, damit sich Nutzende ohne Passwörter authentifizieren können, und unterstützen Sie die Webauthentifizierung mit SSO (basierend auf Keycloak).
Systemrollen: Sparen Sie Zeit und Ressourcen, indem Sie konsistente und wiederholbare Konfigurations-Workflows nutzen. Die Automatisierung reduziert zunehmend den technischen Aufwand und die manuellen Aufgaben im Zusammenhang mit dem Deployment und der Identitätsadministration.
Red Hat bietet auch Red Hat Directory Server als Add-On für speziellere Anforderungen an.
Red Hat Directory Server ist ein LDAP-basiertes Verzeichnis, das für große, vielfältige Umgebungen skalierbar ist. Verwenden Sie einen quasi einsatzbereiten Ersatz für vorhandene kostspielige LDAP-Lösungen von Drittanbietern und verwalten Sie verteilte und komplexe Verzeichnistopologien mit einem ganzen Spektrum an Replikationsoptionen. Diese Lösung bietet Flexibilität durch anpassbare Attribute und Schemata für Ihre Verzeichnisdaten.
