LDAP Client in SUSE

Qui vediamo il lato client di LDAP (Lightweight Directory Access Protocol) che è un servizio anagrafico che può servire per diverse cose, reperire informazioni su utenti, accessi, che email usa, foto identificativa, tipo di accesso, ecc..

Esistono sistemi più potenti e peccato che il suo standard è spesso distorto da Microsoft, ma proprio perchè supportato da MS è quello più diffuso e implementato

ATTENZIONE: Esistono due LDAP Server, una della Microsoft e una libera, la OpenLDAP, ​​ ma per ragioni commerciali con quelle di MS non sono molto compatibili.

Si può collegare con qualsiasi programma e per questo è stato sviluppato tutta una serie di librerie software in ogni OS, anche se le migliori risultano quelle in Java per via delle sue librerie SUN.

Funziona come un database e come tale i Campi possono essere aggiunti o gestiti come si vuole.

I Campi più usati sono:

name= matricola interna

givenname= nome

SN= cognome

CN= matricola generale

Company= se legata ad altra compagnia

dysplayname= nome(spazio)cognome visualizzato

OU= tipo d’utente

mail= principale email utente

accountexpiries= data di scadenza dell’account in formato “contatore” o “arabo”

telephonenumber= numero di telefono principale

postalcode= CAP o ZIP postale

address= indirizzo postale

photoalbum= indirizzo http dove reperire la fototessera

jpegPhoto= fototessera codificata in stringa.

Questo è il guaio o pregio principale di LDAP: Ovviamente ogni amministratore può iscrivere proprie variabili nel database, ma di solito queste sono previste, anche se poi l’uso e introduzione dipende dall’estro di chi lo fa.

Un guai è che sono stati previste ben tre versioni di LDAP anche se la 3 è quella ora universalmente accettata e che non forza una connessione sicura, quindi i dati possono viaggiare in chiaro. ​​ Un altro che non è prevista un controllo tra maiuscolo e minuscolo sia per il nome delle variabili che per il loro contenuto e altri possibili controlli di formato d’introduzione.

l client inizia una sessione LDAP collegandosi ad un server LDAP (chiamato anche DSA, Directory System Agent). Sono comunemente definite due porte TCP per la connessione in chiaro (porta 389) e la connessione cifrata (solo TSL su porta 636). Le comunicazioni sono sempre iniziate dal client che invia una richiesta alla quale il server deve rispondere (vi sono alcune eccezioni a questo pattern di comunicazione, definite nelle RFC). Tutte le informazioni sono codificate e trasmesse utilizzando Basic Encoding Rules (BER).

Il client può richiedere le seguenti operazioni:

• Bind — esegue l’autenticazione

• Search — esegue una ricerca

• Compare — esegue un test di confronto tra un valore e il valore assegnato ad un attributo

• Add – aggiunge un nuovo oggetto

• Delete – cancella un oggetto

• Modify – modifica gli attributi di un oggetto

• Modify Distinguished Name (DN) — sposta o rinomina un oggetto

• Abandon — annulla una richiesta inviata in precedenza

• Extended Operation — richiesta di operazioni estese (definite in altre RFC)

• Unbind — indica al server di chiudere la connessione (non è esattamente l’inverso della Bind)

• StartTLS — estensione per utilizzare Transport Layer Security (TLS) per eseguire la Bind

Il server può inviare “Unsolicited Notifications” che non sono risposte a richieste del client. La RFC 4511 definisce un unico tipo di “Unsolicited Notifications” che il server deve inviare a tutte le connessioni aperte quando sta per chiudersi.

Un metodo alternativo di rendere sicura la connessione è quello di usare un tunnel SSL ma sconsiglio se usate server/client Windows. Per consuetudine questo è indicato con lo “scheme” ldaps:// nella URL ma questa notazione non è standardizzata in nessuna RFC, anzi questo comportamento è deprecato fin dal 2003 nella RFC 3494 che ha ufficialmente abbandonato LDAPv2 ma è comunque rimasto comodo da usare. Il formato è:

ldap://host:port/DN?attributes?scope?filter?extensions

o

ldap://host:port/[email protected]?attributes?scope?filter?extensions

Vediamo qui i vari client che usano LDAP:

-LDAP e Mozilla

Nelle rubriche di Seamonkey e Thunderbird (ma anche folk di questi) possiamo usarlo per reperire email e altro di una azienda per la propria rubrica e quindi è implementato nativamente.

Apriamo quindi la rubrica della email. Menu → Modifica → Preferenze → ​​ (guardare Categoria) ​​ Posta e gruppi di discussione → Indirizzi.

Qui guardate su Rubrica remota.

Immagine tratta da Seamonkey, per Thunderbird è quasi uguale.

Cliccare sul bottone “Modifica rubrica”.

Cliccare su Bottone “Aggiungi”

Sul “Nome” dobbiamo mettere un nome di nostra scelta per identificarlo.

Il resto ​​ lo fornisce l’amministratore di sistema:

Sul “Nome host” dobbiamo mettere il nome del host LDAP in modo semplice, ad esempio “vds.services.ditta.intranet”, quindi di niente “ldap://” o simili.

Sul “DN base” mettiamo un eventuale filtro per limitare ​​ che vi mostri tutto anzi troppo, esempio filtro: “dc=pippoditta,dc=intranet”.

Sul “Numero porta” dobbiamo mettere la porta usata, di solito è 389 se non cifrata, altrimenti è 636 se SSL.

Sul “DN associato” è il nome utente che accede o più raramente l’identificativo ma può anche essere vuota (attenzione è case-sensitive), nel caso per quella al primo accesso può chiedervi la password relativa.

Cliccando su “Utilizza connessione sicura(SSL)” abilitate la connessione sicura SSL e attenzione vi cambierà la porta in 636.

Di solito questo è tutto mentre le altre TAB “Non in linea” e “Avanzate” servono se volete personalizzare di più, dategli uno sguardo.

Adesso avete sulla vostra rubrica anche la possibilità di accedere sulla rubrica LDAP, nello stesso modo della vostra rubrica privata, se è prevista la password alla prima ricerca vi chiederà d’introdurla.

–Altri programmi di Rubrica

Molti programmi fanno solo vedere la rubrica come il caso precedente. In questo caso seguite le stesse indicazioni date prima.

Per Kmail , Kontact e Korganize (ovvero KDE) :

Possono essere trovati come LDAP tramite Kontact / Kaddressbook in Impostazioni KAddressbook -> Configura KAddressbook. Quindi selezionare sulla colonna sinistra Impostazioni server LDAP e fare clic su Aggiungi host.

Impostalo (è un esempio per capire) come “host: localhost”, “port: 1389”, “DN = ou.people”, “authentication: simple” “Bind DN” come “[email protected]” e password, La prossima volta che componi una nuova mail, ora puoi utilizzare il pulsante Seleziona e quindi il servizio di directory di ricerca.

https://userbase.kde.org/KAddressBook_4.3

https://userbase.kde.org/Tutorials/Kontact/Office365

Sono programmi con tanto di GUI che consentono di vedere comodamente gli elementi di LDAP. Qui vediamo i più popolari:

-JXplorer

http://jxplorer.org/

Un ottimo client per guardare tutte le informazioni di LDAP ed eventualmente modificare è Jxplorer. È scritto in Java quindi in Suse non è un problema ma anzi un pregio.

ATTENZIONE: È un prodotto professionale, non è fatto per neofiti.

Esiste nella versione libera che quella pagata (JXWorkBench) ed ovviamente quella pagata è molto più evoluta.

JXWorkBench estende JXplorer con nuove funzionalità di amministrazione, come il potente motore di reporting open source di Jasper Reports con una serie di report di esempio estensibili disponibili in web, MS office, pdf e altri formati.

Il pacchetto JXWorkBench include:
-Rapporti e documenti di sintesi
-Operazioni di ricerca e sostituzione estese
-Regexp cross-directory e sostituzione degli attributi
-Un vault (contenitore) della password per il salvataggio delle credenziali
-Salvataggio e importazione di file CSV

Per iniziare basta cliccare sul bottone connetti e appare la finestra che ti consente di connetterti, se introdotti i dati ​​ è meglio da qui premere il bottone “Save” in modo da reperire la connessione sempre in questo riquadro ma selezionandolo subito dopo la “tendina” al fianco di “Save” e “Delete”.

Nota: Host va dato in maniera semplice, esempio: “vds.services.ditta.intranet”. Oramai tutti accettano protocollo “LDAP V3”.

Una volta entrati in LDAP vi comparirà la lista ad albero sul riquadro sinistra, mentre sula destra tutti i dati che potete abbellire la vista con un vostro “form”.

Esiste pure una “Quick search”, basta specificare quale variabile usare sulla prima tendina, sulla seconda tendina se uguale o altro, e sulla terza tendina l’eventuale stringa di ricerca.

Per il resto vi rimando alla loro documentazione.

http://jxplorer.org/documents/index.html

-GQ Explorer

Uno più facile da usare ma ovviamente non per un uso di un professionista è questo.

Prima di usarlo è meglio configurarlo prima. Potete usare i template.

ATTENZIONE: Non funziona tanto bene, qualche volta si impianta, questo perché usa librerie GTK sono molto vecchie.

-Altri

LDAPE

ldaptool

LDAP Browser (uso professionale)

Nota: Non sono gli unici comandi per LDAP ma è solo per far capire.

È possibile effettuare ricerche da riga di comando tramite il comando ldifde (per Windows) e ldif (per Linux/UNIX).

Esempio struttura (ricerca) in Windows :

ldifde -d “DC=witaylorroot,DC=com” -f c:\output.txt -r “(&(objectClass=user)(mailNickName=jeff*))

Un ottima guida per usarlo in Windows è qui:

https://technet.microsoft.com/it-it/library/cc765206.aspx

e qui per Linux :

https://linux.die.net/man/5/ldap

Formato per la ricerca:

ldapsearch [-V[V]] [-d debuglevel] [-n] [-v] [-c] [-u] [-t[t]] [-T path] [-F prefix] [-A] [-L[L[L]]] [-S attribute] [-b searchbase] [-s {base|one|sub|children}] [-a {never|always|search|find}] [-l timelimit] [-z sizelimit] [-f file] [-M[M]] [-x] [-D binddn] [-W] [-w passwd] [-y passwdfile] [-H ldapuri] [-h ldaphost] [-p ldapport] [-P {2|3}] [-e [!]ext[=extparam]] [-E [!]ext[=extparam]] [-o opt[=optparam]] [-O security-properties] [-I] [-Q] [-N] [-U authcid] [-R realm] [-X authzid] [-Y mech] [-Z[Z]] filter [attrs…]

Yast

Yast dispone di una sezione “Client LDAP e kerberos”, in questo caso si può configurarlo per accettare le connessioni tipo kerberos con la base dati LDAP.

Non usarla se non si è sicuri, può bloccare il login anche root.