OpenLDAP Proxy -- Introduction

  sonic0002        2017-10-28 11:20:00       28,149        0          English  简体中文  繁体中文  ภาษาไทย  Tiếng Việt 

OpenLDAP คือโครงการโอเพนซอร์สที่มุ่งหวังที่จะให้แอปพลิเคชันและเครื่องมือพัฒนาที่ครบครันระดับเชิงพาณิชย์โดยอิงตามโปรโตคอลการเข้าถึงไดเร็กทอรีแบบไลท์เวทที่รู้จักกันดี (LDAP) ดังนั้นองค์กรที่ต้องการจัดการข้อมูลผู้ใช้และกลุ่มสามารถใช้เครื่องมือเหล่านี้ได้อย่างอิสระ 

OpenLDAP ให้บริการเซิร์ฟเวอร์ ldap ไคลเอนต์ ldap และเครื่องมือที่เกี่ยวข้องสำหรับการทำงานกับ LDAP เซิร์ฟเวอร์ LDAP เรียกว่า slapd (Stand-alone LDAP  daemon) และจะทำหน้าที่เป็นเซิร์ฟเวอร์ที่ให้ความสามารถในการสร้าง การอัปเดต และการลบข้อมูลองค์กร กลุ่ม และผู้ใช้เป็นต้น นอกจากนี้ยังมีอีกหนึ่งความสามารถที่สำคัญคือ -- พร็อกซี ซึ่งหมายความว่ามันสามารถทำหน้าที่เป็นพร็อกซีสำหรับไคลเอนต์ LDAP ในการติดต่อกับเซิร์ฟเวอร์ LDAP ต่างๆ โดยไม่ต้องทราบรายละเอียดของเซิร์ฟเวอร์ LDAP เหล่านั้น นี่จะเป็นตัวเลือกที่ดีหากเซิร์ฟเวอร์ LDAP อยู่หลังไฟร์วอลล์บางตัวและไคลเอนต์ LDAP ไม่สามารถเข้าถึงได้โดยตรง นอกจากนี้ยังจะเป็นประโยชน์อย่างมากหากองค์กรต้องการรวมข้อมูลจากเซิร์ฟเวอร์ LDAP ต่างๆ เพื่อให้สามารถดูได้เหมือนเป็นเซิร์ฟเวอร์ LDAP เพียงตัวเดียว

ในชุดบทความนี้ เราจะแนะนำพร็อกซี OpenLDAP หัวข้อต่างๆ รวมถึงตัวเลือกประเภทต่างๆ ของพร็อกซี การตั้งค่าพร็อกซี การเปิดใช้งาน SSL ของพร็อกซี การเปิดใช้งานการตรวจสอบสิทธิ์แบบง่ายของพร็อกซี และการแมปแอตทริบิวต์ของพร็อกซี 

ในบทความนี้ เราจะให้คำแนะนำโดยย่อเกี่ยวกับตัวเลือกต่างๆ ในการสร้างพร็อกซี OpenLDAP

การออกแบบ backend ใน OpenLDAP นำเสนอความเป็นไปได้ในการตั้งค่าพร็อกซี แบคเอนด์แต่ละตัวแทนแหล่งข้อมูลไดเร็กทอรีเฉพาะแหล่งที่มาจะเป็นที่เก็บข้อมูลในเครื่อง ฐานข้อมูล เซิร์ฟเวอร์ LDAP ระยะไกล เป็นต้น ด้านล่างนี้เป็นรายการของแบ็คเอนด์ที่มีอยู่จาก OpenLDAP

ในบรรดาแบ็คเอนด์เหล่านี้ สองตัวเป็นผู้สมัครที่ดีสำหรับพร็อกซี -- ldap และ meta 

บริการ slapd อาจใช้ slapd.conf เป็นไฟล์กำหนดค่าสำหรับบริการ ใน slapd.conf สามารถกำหนดชนิดของแบ็คเอนด์และตัวเลือกอื่นๆ ได้

ldap

Backend ldap หมายความว่าข้อมูลไดเร็กทอรีมาจากเซิร์ฟเวอร์ LDAP ระยะไกลอื่น ดังนั้นเมื่อไคลเอนต์ทำการสอบถามไปยังพร็อกซี พร็อกซีจะเปลี่ยนเส้นทางการสอบถามไปยังเซิร์ฟเวอร์ LDAP ระยะไกลที่เกี่ยวข้องโดยอิงตามฐาน/คำต่อท้ายที่ให้มา

แบ็คเอนด์ ldap อนุญาตให้มีรายการของเซิร์ฟเวอร์ ldap ระยะไกลได้หลายรายการ อย่างไรก็ตาม จะมีเพียงเซิร์ฟเวอร์ LDAP ระยะไกลเพียงตัวเดียวเท่านั้นที่จะถูกค้นหาในรายการเซิร์ฟเวอร์ LDAP ระยะไกลที่กำหนดค่าไว้ สถาปัตยกรรมระดับสูงมีลักษณะดังนี้

meta

Backend meta เป็นอีกหนึ่งประเภทของแบ็คเอนด์ที่สามารถค้นหาเซิร์ฟเวอร์ LDAP ระยะไกลได้หลายตัวพร้อมกัน มันถูกสร้างขึ้นบนแบ็คเอนด์ ldap แต่มีการปรับปรุงบางอย่าง แบคเอนด์ meta อนุญาตให้ใช้ บริบทการตั้งชื่อเสมือน (ฐาน) ซึ่งไคลเอนต์สามารถใช้เพื่อสอบถามพร็อกซี LDAP ด้วยวิธีนี้ ไคลเอนต์สามารถสอบถามการรวมกันของเซิร์ฟเวอร์ LDAP ระยะไกลด้วยการสอบถามเพียงครั้งเดียว พร็อกซีจะให้การแมปของบริบทการตั้งชื่อเสมือนและฐานจริงของเซิร์ฟเวอร์ LDAP ระยะไกลแต่ละตัวผ่าน suffixmassage 

สถาปัตยกรรมระดับสูงของแบ็คเอนด์ meta จะเป็น

จาก slapd.conf มีตัวเลือก suffix หลังจาก database meta คำต่อท้ายจะประกาศบริบทการตั้งชื่อเสมือน (ฐาน) ที่ไคลเอนต์สามารถใช้เพื่อสอบถามพร็อกซี หลังจากนั้นจะมีตัวเลือก suffixmassage ซึ่งกำหนดการแมประหว่างบริบทการตั้งชื่อเสมือนและฐานจริงของเซิร์ฟเวอร์ LDAP ระยะไกล 

ความแตกต่างที่สำคัญระหว่างแบ็คเอนด์ ldap และแบ็คเอนด์ meta คือจะมีการค้นหาเซิร์ฟเวอร์ LDAP ระยะไกลเพียงตัวเดียวเท่านั้นในเวลาเดียวกันสำหรับแบ็คเอนด์ ldap ในขณะที่สามารถค้นหาเซิร์ฟเวอร์ LDAP ระยะไกลได้หลายตัวพร้อมกันสำหรับแบ็คเอนด์ meta เพื่อให้ผลลัพธ์สะสมโดยการวนซ้ำผ่านเซิร์ฟเวอร์ LDAP ระยะไกลแต่ละตัว 

ในอีกไม่กี่บทความถัดไป เราจะแนะนำวิธีการกำหนดค่าพร็อกซี OpenLDAP โดยใช้ slapd.conf และวิธีการเปิดใช้งาน SSL และวิธีการเปิดใช้งานการตรวจสอบสิทธิ์แบบง่ายโดยใช้พร็อกซี OpenLDAP

META  OPENLDAP  OPENLDAP PROXY  SLAPD  SLAPD.CONF  LDAP 

       

  RELATED

  0 COMMENT

No comment for this article.


  RANDOM FUN

Client server communication