Authentizierung unter Linux/Unix mit Hilfe des Lightweight Directory Access Protocol (LDAP)

Studienarbeit von Thomas Stein

Einleitung:

Das Thema dieser Studienarbeit ist der ‘Aufbau eines Lightweight Directory Access Protocol Systems mit Anbindung an mindestens 2 reale Anwendungen’. Das Ziel dieses Projektes ist das selbstständige und praktische Erarbeiten des Themas LDAP, dessen theoretische Grundlagen in der zugehörigen Vorlesung ‘Cross-Plattform Authentisierungssysteme II’ behandelt wurden. Im Rahmen dieses Projektthemas beschreibt das themenbezogene Teilprojekt ‘Authentifizierung unter Linux/Unix mit Hilfe des Lightweight Directory Access Protocol (LDAP)’ eine der möglichen Anwendungen von LDAP. Das Ziel dieses Teilprojektes ist neben der Erläuterung der Grundlagen von Verzeichnisdiensten, die Realisation einer Anmeldung an verschiedenen Rechnersystemen mit dem gleichen Passwort, was durch eine zentrale Speicherung der Benutzerdaten im Verzeichnisdienst erreicht wird. Die Umsetzung dieser Funktionalität wird in diesem Bericht beschrieben. Dies beinhaltet auch den Aufbau einer technischen Infrastruktur, z.B. zu Test- oder Demonstrationszwecken.

Inhaltsverzeichnis:

Textprobe:

Kapitel 2, Lightweight Directory Access Protocol (LDAP):

2.1, LDAP Grundlagen:

2.1.1, Aufgaben & Eigenschaften eines Verzeichnisdienstes:

Die Aufgabe von Verzeichnisdiensten ist die Bereitstellung und Speicherung von Informationen über beliebige Objekte, die z.B. Adressen, Personen, Abteilungen oder Computer-Hardware sein können. Jedes Objekt hat eine Menge von zugehörigen Attributen (Eigenschaften), deren Art und Anzahl von seiner jeweiligen Objektart (bzw. seiner Objektklasse) abhängig ist. Als Beispiel für ein Objekt, welches in einem Verzeichnisdienst abgespeichert werden soll, kann eine konkrete Person 'Herr Müller' verwendet werden, welcher zur Objektklasse 'Person' gehört und z.B. die möglichen Attribute Anrede, Vorname, Nachname, Haarfarbe, usw. besitzt. Ein passender Attributwert zum Attribut Nachname wäre somit Müller. Objekte können mehreren Objektklassen angehören und von diesem Attribute erben. Hier kann eine Analogie zur objektorientierten Programmierung gezogen werden, da die Objekte in einem Verzeichnisdienst - z.B. wie in modernen Programmiersprachen - einer gewissen Klassenhierarchie unterworfen sind, welche im weiteren Verlauf noch ausführlicher behandelt wird.

Ein Verzeichnisdienst, welcher auch als Directory Server Agent (DSA) bezeichnet wird, besitzt bestimmte Eigenschaften, die ihn von anderen Arten der Datenspeicherung unterscheidet. Die typischen Eigenschaften eines Verzeichnisdienstes sind:

Verwaltet Objekte und deren zugehörige Eigenschaften (Attribute), Auf ein Verzeichnis wird hauptsächlich lesend und eher selten schreibend zugegriffen, daher ist es auf das schnelle Auffinden von Informationen optimiert, Organisation der Daten in einer hierarchischen Baumstruktur, dem Verzeichnisbaum (keine Schleifen erlaubt), Teilbereiche des Verzeichnisbaumes können auf verschiedene Host verteilt werden, Die Administration von Teilbereichen eines Verzeichnisbaumes kann einfach delegiert werden, Aufgrund seiner Datenstruktur ermöglicht der Verzeichnisbaum, Suchanfragen nur auf relevante Teilbäume zu beschränken.

Das Vorbild für LDAP ist dabei der ITU-T X.500 Standard, welcher im folgenden Kapitel genauer betrachtet wird.

2.1.2, Historie & und Eigenschaften von LDAP:

Das in diesem Bericht betrachtete Lightweight Directory Access Protocol (LDAP) beruht auf dem X.500 Standard der International Telecommunication Union (ITU-T), welcher 1988 in der ersten Version veröffentlicht wurde und das Namens- und Datenmodell eines Verzeichnisdienstes spezifiziert. Da der X.500 Standard jedoch nicht auf dem TCP/IP-Protokollstack aufsetzt und zudem dessen Spezifikation sehr umfangreich ist, gestaltete sich dessen Implementierung in der Praxis als äußerst komplex. In der Praxis hatte dies zur Folge, dass bis heute keine vollständige X.500 Implementierung existiert und daher an mehreren vereinfachten Varianten entwickelt wurde.

Eine dieser 'leichtgewichtigen' Varianten stellt das Lightweight Directory Access Protocol (LDAP) dar, welches sich seitdem einer immer größeren Verbreitung erfreut. LDAP ist ein effizientes auf TCP/IP basierendes Protokoll für den Zugriff auf Verzeichnisdienste und stellt ein Client/Server Protokoll dar. Es ist daher vom Design her z.B. vergleichbar mit dem Hypertext Transfer Protocol (HTTP), um auf Webseiten zuzugreifen, oder mit Internet Message Access Protocol (IMAP), welches verwendet wird, um Emails zu bearbeiten. Im Vergleich zu X.500 ist LDAP wesentlich schlanker (lightweight) und daher einfacher zu implementieren, u.a. auch deshalb, da es auf dem TCP/IP-Protokollstack aufsetzt. Die aktuelle Version 3 von LDAP ist in RFC4511 der Internet Engineering Task Force (IETF) aus dem Jahr 2006 spezifiziert.

2.1.3, Unterschiede zwischen LDAPv2 & LDAPv3:

In der aktuellen Version 3 von LDAP (RFC4511) sind im Vergleich zu LDAPv2 viele Verbesserungen eingeflossen, von denen hier nur die wichtigsten erwähnt werden können. Einer der wichtigsten Verbesserungen stellt die stärkere Authentifizierung dar, welche durch das Einbinden des Simple Authentication & Security Layer (SASL) Framework erreicht wurde. Hierdurch hat der Benutzer u.a. folgende Authentifizierungsmechanismen zur Auswahl:

Anonymous: keine Authentifizierung, Plain: Authentifizierung meist durch Passwort, Daten werden im Klartext übertragen, CRAM-MD5: Authentifizierung durch Challange Response Verfahren, Digest-MD5: im Vergleich zu CRAM-MD5 zusätzliche Parameter zur Integritätssicherung.

Zur Verschlüsselung der Datenübertragung wird in LDAPv3 das Transport Layer Security (TLS) Protokoll verwendet, welches manchmal auch synonym als Secure Socket Layer (SSL) bezeichnet wird. Zudem unterstützt die aktuelle LDAP Version die Verwendung von UNICODE zur Codierung von Schriftzeichen und unterstützt damit die Speicherung von wesentlich mehr Zeichensystemen als die Version 2. Eine weitere wichtige Erweiterung der Version LDAPv3 betrifft den Betrieb eines Directory Information Trees (DIT) auf mehreren unterschiedlichen Servern, da seit LDAPv3 so genannte Referrals unterstützt werden. Dieses Thema wird im weiteren Verlauf des Berichtes noch genauer betrachtet.

2.1.4, Server für Verzeichnisdienste:

Es existieren verschiedene Implementierungen für Verzeichnisdienste von unterschiedlichen Herstellern. Die bekanntesten Produkte sind im Folgenden als Beispiele aufgelistet:

University of Michigan LDAP-Server (Umich), Microsoft Active Directory, Novell Directory Server, Sun One Directory Server.