Смекни!
smekni.com

работа по специальности на тему «Синхронизация с ldap» (стр. 1 из 4)

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК

КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

КУРСОВАЯ РАБОТА

по специальности

на тему «Синхронизация с LDAP»

Выполнил:

студент 358 группы

Шишкин Артём Игоревич

Научный руководитель:

к.т.н., доцент кафедры ИБ

Широких Андрей Валерьевич

Дата сдачи:________________

Оценка:___________________

Тюмень, 2009 г.

Оглавление

Аннотация. 3

Введение. 4

1. Теоретическая часть. 6

1.1 LDAP. 6

1.2 Active Directory. 9

2 Практическая часть. 17

2.1 Постановка задачи. 17

2.2 API для Active Directory. 17

2.4 Программный интерфейс службы мониторинга. 21

3. Заключение. 23

Список использованной литературы. 24


Аннотация.

В рамках данной темы разработано программное средство, предназначенное для воссоздания структуры каталога LDAP службы Active Directory на заданном контроллере домена. Воссозданная модель позволяет производить анализ структуры Active Directory без непосредственного влияния на сервер – контроллер домена.

Программа представляет собой сервисное приложение, осуществляющее мониторинг событий, связанных с изменением в структуре службы каталогов, и предоставляющее внешний программный интерфейс для непосредственной передачи полученной информации.

Основными чертами приложения являются:

· Синхронность предоставления информации с изменением структуры каталога, что обеспечивает актуальность воссоздаваемой модели;

· Атомарность передаваемых данных, что позволяет избежать лишней нагрузки и на сервер, и на канал, если внешний программный интерфейс находится не на локальном компьютере;

· Независимость от конкретной реализации протокола LDAP, что обуславливает возможность работы с сетью с несколькими контроллерами домена без проблем с синхронизацией записей между ними.

Введение.

В настоящее время практически любая корпоративная сеть, состоящая из большого числа компьютеров, имеет доменную структуру. И чаще всего она основана на использовании технологии Microsoft под названием Active Directory. С помощью данной технологии работа системных администраторов облегчается в разы, поскольку непосредственное обслуживание компьютера становится необходимым только при проблемах с его аппаратной частью, все программные настройки можно осуществлять удаленно и для нескольких машин одновременно.

Сервера, которые возлагают на себя ответственность за функционирование сети с доменной структурой являются контроллерами домена. Вся информация о домене и большая часть операций с его членами осуществляется через контроллер. Следовательно, существует объективная нагрузка на такие сервера, причем тем она больше, чем больше компьютеров в сети. Сама по себе технология Active Directory является видом другой технологии – LDAP, то есть представляет собой каталог с данными об объектах домена. Зачастую приходится работать с каталогом непосредственно, делая различные запросы об объектах, например, для получения статистических данных. Но так как даже пустой домен имеет довольное большое количество записей в каталоге, операция выборки создает ощутимую нагрузку на контроллер домена и на сеть, создавая большой объем трафика. Это может стать проблемой безопасности, создавая атаку класса DoS (Denial of service – отказ в обслуживании).

С целью предотвращения проблем с безопасностью сети имеет смысл воссоздать модель каталога Active Directory и работать с ней, осуществляя те же самые запросы, не влияя на функционирование сервера и локальной сети.

Итак, актуальность данной работы подчеркивается распространенностью применения технологии Active Directory.

Целью этой работы является воссоздание модели каталога Active Directory для последующей безопасной работы с ним.

Для достижения данной цели необходимо решить следующие задачи:

· Исследование принципов работы протокола LDAP и его разновидности – Active Directory;

· Создание программного средства – монитора, обеспечивающего поддержку актуальности модели;

· Обеспечение атомарности обновления структуры каталога.

1. Теоретическая часть.

1.1 LDAP.

По мере того как почтовые сервисы приобретали популярность, у пользователей стали возникать проблемы с поиском людей и их почтовых адресов. Очевидной стала необходимость в больших специализированных базах данных, которые бы хранили тысячи, а то и миллионы записей, а также в механизмах доступа к этим данным по сети, включая надежную аутентификацию.

Задача заключалась в создании централизованных адресных книг для целых корпораций с развитой сетью отделений, а также с международными филиалами, подключаемыми по интернету. Ко всему, было принято решение сделать этот каталог платформонезависимым. Поэтому IBM, Lotus, Microsoft и Netscape договорились о применении единого метода доступа — LDAP — для доступа к адресной информации. К этому соглашению приложили усилия и многие другие гранды сетевого компьютинга, к примеру Sun и Novell.

LDAP расшифровывается как Lightweight Directory Access Protocol — то есть "легковесный протокол доступа к каталогам". Эта самая "легковесность" LDAP наводит на мысль, что где-то должен существовать и его "тяжеловесный" собрат. И действительно: в качестве прототипа выступал полновесный протокол доступа к каталогам DAP, известный также как X.500 или "Проект "Белые Страницы”" (White Pages Project).

Этот протокол был разработан консорциумом OSI и ориентирован на локальные корпоративные сети и большие мэйнфреймы. Адаптацию этого сложного и редко используемого всуе протокола к нуждам современного интернета и персональным компьютерам выполнили хакеры Мичиганского университета, которые вообще известны креативными поделками.

На сегодня существует три версии LDAP. Причем первая не в счет — в ней сразу же были найдены серьезные проблемы. Вторая, и самая распространенная, версия LDAP2 зафиксирована в документах RFC 1777, 1778 и 1779. Наиболее современной на момент написания этой статьи была версия LDAPv3, окончательно утвержденная в 1997 г. В этой версии, с одной стороны, лучше поддерживается X.500, а с другой — больше внимания уделено не-X.500-серверам.

Каталог LDAP, аналогично файловой системе UNIX, построен в виде дерева: корневой узел содержит ссылки на записи, некоторые из которых могут указывать на другие каталоги. Обычно всей организации соответствует корневой каталог. В качестве подкаталогов выступают отделы, филиалы или любые другие имеющие обобщающий смысл атрибуты. Подкаталоги могут быть автоматически реплицированы в обоих направлениях — любая из сторон может инициировать процесс синхронизации подкаталога. Типичное применение автоматических обновлений — синхронизация между главным каталогом компании и каталогами подразделений.

Возможность построения сетей каталогов — это основа для постепенного развертывания служб LDAP: можно начать с одного минимально настроенного сервера и постепенно расширять его функциональность.

Собственно LDAP реализуется в виде клиента и сервера. Сервер LDAP хранит и индексирует записи определенного формата. В качестве полей выступают имя пользователя, его физический и электронный адреса, телефоны и т.д. Администрирование сервера производится по правилам среды: для Linux это файлы настройки и командная строка, для Windows и Mac OS — графические приложения. В последнее время для администрирования, в том числе удаленного, все чаще применяется веб-интерфейс. Серверы, согласно X.500, могут объединяться в сеть, так что пользователь в поисках нужной информации может переходить от одного сервера к другому.

Кроме того, для повышения производительности существуют и LDAP-прокси серверы, эффективно кэширующие частые запросы.

Клиентом чаще всего выступает почтовый клиент. Он содержит форму запроса к удаленному серверу, наподобие той, что используется для поиска в ICQ. Обычно клиентское ПО реализует не все возможности (которых очень много), а какое-то их подмножество. В той или иной мере LDAP поддерживают все современные почтовые клиенты, такие как Outlook Express, Eudora, Netscape, OS X Mail и т.д. Часто доступ к LDAP-серверу, особенно глобальному, можно получить через веб-интерфейс.

Быстро получить окно поиска на заданном сервере обычно можно, введя в окне браузера URL вида ldap://server[:port]. Через косую черту вы можете сразу указать параметры поиска (конечно же, обычно эту строку будет формировать какое-то приложение). Так, ввод в браузер ldap://192.168.0.80/cn=Antonchuk,dc=comizdat,dc=com непосредственно отобразит информацию о главном редакторе К+П. Этот тип URL поддерживается Internet Explorer и Firefox (Netscape) — но не поддерживается, например, в Opera.

Как уже было сказано, LDAP, помимо системы обслуживания запросов, изначально включает и систему аутентификации. Администратор задает привилегии пользователей и определяет записи, к которым тот или иной из них может осуществлять доступ. Списки правил доступа (ACL, Access Control List) позволяют настроить доступ любым образом: в типичном случае пользователь имеет право изменять собственную частную информацию, а все остальные — просматривать ее. Однако можно, например, защитить отдельные поля частной записи от просмотра или модификации.

Собственно, существуют и общественные LDAP-серверы, доступные для поиска всему миру (к примеру, BigFoot или Infospace) — но все-таки основное применение протокол находит на уровне больших и средних корпораций. Не прекращаются попытки создать методы объединения отдельных серверов с целью создания "глобального каталожества". Но до реального воплощения пока далеко.