Инфраструктура Открытого Ключа (часть 2)

Модели LDAP

Основными моделями LDAP, которые определяют характеристики сервиса, являются:

• Информационная модель – определяет типы данных, хранящихся в Каталоге, их взаимосвязи и способы обращения к ним (именование).
• Функциональная модель – определяет операции в протоколе LDAP.
• Модель безопасности – определяет способы и методы защиты хранящейся в Каталоге информации.
• Распределенное множество серверов LDAP – определяет способы взаимодействия серверов LDAP и возможность поиска информации на нескольких серверах LDAP.

Информационная модель

Рассмотрим информационную модель Каталога LDAP.

Каталог, как определено в стандарте Х.500, есть набор открытых систем, взаимодействующих для предоставления сервисов Каталога. Информация, хранящаяся в Каталоге, называется Информационной Базой Каталога (Directory Information Base – DIB). Пользователь Каталога, который может быть как человеком, так и машиной, получает доступ к Каталогу посредством клиента. Клиент от имени пользователя Каталога взаимодействует с одним или более серверами. Сервер хранит фрагмент DIB.

DIB содержит два типа информации:

1. Пользовательская информация – информация, предоставляемая пользователям и, быть может, изменяемая ими.
2. Административная и функциональная информация – информация, используемая для администрирования и/или функционирования Каталога.

Функция Каталога состоит в том, чтобы хранить информацию об объектах и предоставлять к ней доступ. Объектом может быть все, что может быть идентифицировано (поименовано).

Класс объекта есть идентифицированное семейство объектов, которые имеют общие характеристики. Каждый объект принадлежит, по крайней мере, одному классу. Класс объекта может быть подклассом других классов объектов, в этом случае члены первого класса (подкласса) также считаются членами второго класса (суперкласса). Цепочка подклассов может быть произвольной длины.

Запись Каталога – это поименованный набор информации. Она является основной единицей информации, хранящейся в Каталоге. Существует несколько видов записей Каталога.

Запись объекта представляет конкретный объект. Запись alias обеспечивает альтернативное именование того же самого объекта.

Множество записей, представленных в DIB, организовано иерархически в структуру дерева, известную как Информационное Дерево Каталога – Directory Information Tree (DIT) .

Сначала мы рассмотрим DIT, затем обсудим именование записей, структуру записей, классы объектов, описания атрибутов и записи alias’ов.

Информационное дерево Каталога

DIB является композицией множества записей, организованных иерархически в структуру дерева, известную как информационное дерево Каталога (Directory Information Tree – DIT). Вершинами дерева являются записи.

Дуги между вершинами определяют отношения между записями. Если существует дуга от Х к Y, то запись Х является родителем Y, и Y непосредственно подчиняется Х. Вышестоящими записями являются записи непосредственного родителя и его родителей. Подчиненными записями являются все записи, непосредственно подчиненные данной, и все их подчиненные.

В данном случае dc=msu и cn=oit – примеры записей. Запись dc=msu является родителем для записи dc=cmc, запись dc=cmc является подчиненной для записи dc=msu.

Рис. 14.1. Пример дерева Каталога

Модель именования

LDAP определяет иерархическую структуру данных, называемую DIT. Дерево Каталога в чем-то подобно файловой системе. Отличие от файловой системы состоит в следующем:

1. Каждая запись в LDAP может как содержать данные, так и служить контейнером, т.е. содержать поддерево. В файловой системе каждая запись является либо файлом, либо Каталогом, но не тем и другим одновременно.
2. Уникальные имена LDAP читаются от данной точки к корневой точке, в файловой системе наоборот, от корневой точки к данной.

Относительные уникальные имена

Каждая запись поименована относительно своей непосредственной вышестоящей записи. Данное относительное имя, известное как ее Relative Distinguished Name (RDN) является композицией неупорядоченного множества одного или более выражений значений атрибутов – attribute value assertions (AVA) – состоящих из описания атрибута и его значения. Эти AVAs выбраны из атрибутов записи.

RDN записи должно быть уникальным среди всех непосредственных подчиненных вышестоящей записи.

Приведем примеры RDNs:

UID=12345
OU=Engineering
CN=Kurt Zeilenga+L=Redwood Shores

Последний вариант является примером RDN с несколькими значениями. Это означает, что RDN составлено из нескольких AVAs.

Принципы именования следующие:

• Все записи должны иметь имена.
• Имена не должны допускать конфликтов, т.е. все потомки некоторого родителя должны иметь уникальные имена (желательно, чтобы имена были информативными, хотя, естественно, понятие информативности является неформальным, и стандартом не определяется).

Полные уникальные имена

Полное имя записи, известное как Distinguished Name (DN), является конкатенацией ее RDN и DN ее родителя. DN уникально определяет запись в дереве.

Приведем примеры DNs:

UID=nobody@example.com,
    DC=example,DC=com
cn=oit,ou=laboratories,
    dc=cmc,dc=msu,c=ru

В LDAPv3 для представления уникального имени ( DN ) используется строка UTF-8.

Построение начинается с последнего элемента путем присоединения с помощью запятой каждого следующего уровня.

Уникальные имена имеют две части.

• Левая часть называется относительным уникальным именем (RDN).
• Оставшаяся часть является базовым уникальным именем.

В приведенном выше примере RDN есть cn=oit.

Базовое уникальное имя есть ou=laboratories,dc=cmc,c=msu.

Для каждого базового DN каждый RDN является уникальным. Это гарантирует, что никакие две записи не имеют один и тот же DN.