Burak DAYIOĞLU ve Dilmurad VAHABDJANOV Ağ ve Sistem Destek Grubu 4/12/2017 Dizin Hizmetleri ve LDAP Burak DAYIOĞLU ve Dilmurad VAHABDJANOV {burak,dil}@hacettepe.edu.tr Ağ ve Sistem Destek Grubu Akademik Bilişim 2000
Sunum Planı Dizin nedir? Dizinler ve veritabanları LDAP nedir? 4/12/2017 Sunum Planı Dizin nedir? Dizinler ve veritabanları LDAP nedir? Dizin hizmetlerinin kurumsal önemi Temel tasarım konuları Hacettepe Üniversitesi Hastaneleri Uygulaması LDAP’in geleceğine bakış
4/12/2017 Dizin nedir? “Belirli türden nesnelerin oluşturduğu küme ve bu küme üzerinde sorgulama imkanı sağlayan yapı” Telefon rehberi Personel kimlik bilgileri Yerel ağ üzerindeki bilgisayarlara ilişkin kayıtlar Kurumsal BT kullanıcı envanterleri
Dizinler ve Veritabanları 4/12/2017 Dizinler ve Veritabanları Veritabanı Nitelikleri: Yapısal depolama Depolanan nesneler arasında karmaşık ilişkiler Transaction desteği Genellikle merkeziyetçi Tümüyle kullanıcı tarafından tanımlanan şema(lar) Dizin Nitelikleri: Yapısal depolama Depolanan nesneler büyük ölçüde bağımsız; hiyerarşik düzenlenmiş Genellikle dağıtık Sabit çekirdek şema ve genişletilmesi imkanı
Dizinler ve Veritabanları 4/12/2017 Dizinler ve Veritabanları Veritabanı Avantajları: Nesneler arasında karmaşık ilişkilere imkan Doğal dile yakın sorgulama dilleri Transaction desteği Denenmiş teknolojiler ve gerçekleştirimler Güncelleme ve ekleme ağırlıklı işlemlerde yüksek performans Daha gelişkin referential-integrity Dizin Avantajları: Dağıtık yapısı Uygun maliyetli dağıtık yapılar ve daha iyi replikasyon Çekirdek şemanın varlığı İstemciler dizinle ilgili “temel” bilgiye sahip ortak ve üretici-bağımsız dizin erişim protokolü mümkün Veri alanlarına >1 değer atayabilme
Dizin ve/veya Veritabanı 4/12/2017 Dizin ve/veya Veritabanı Uygulama doğası birisini seçmeye zorlayabilir: Veriler arasında bağlara ihtiyaç duyan yapılar için VT ERP, Muhasebe vb. Dağıtık çalışmaya ihtiyaç duyan yapılar için Dizin Kurumsal ya da küresel e-posta adres defteri DNS sistemi PKI altyapıları Bazı uygulamalar her ikisini de mümkün kılabilir: Telefon rehberi MPI
LDAP nedir? Lightweight Directory Access Protocol 4/12/2017 LDAP nedir? Lightweight Directory Access Protocol X.500 standardı ile tanımlanan Dizin Erişim Protokolü’nün “hafifletilmiş” sürümü İletim protokolü TCP/IP Üreticilerin kendi dizin erişim arabirimlerine alternatif bir endüstri standardı RFC1777 ve RFC2251 ile tanımlı LDAP yanlış biçimde ilgili protokol, veri biçimi, sunucu ve API anlamında da kullanılmaktadır
LDAP Veri Yapısı Veri yapısı nesne tabanlı ve sıradüzensel 4/12/2017 LDAP Veri Yapısı Veri yapısı nesne tabanlı ve sıradüzensel Miras alma yolu ile çocuk sınıflar (objectclass) türetilebiliyor Her nesne, nitelikler ve değerlerden oluşuyor Her nitelik için birden fazla değerin atanması mümkün Nitelikler metin ya da binary olabiliyor Büyük binary içerik yerine içeriğin URL’inin saklanması öneriliyor Depolanan her nesnenin biricik bir tanımlayıcısı (distinguished name - DN) var DN’ler ülke, şehir, kurum, birim ve nesne ilk adı gibi bileşenlerden oluşuyor
Sıradüzensel Yapı c=TR o=Hacettepe ou=People ou=Groups ou=Locations 4/12/2017 Sıradüzensel Yapı c=TR o=Hacettepe ou=People ou=Groups ou=Locations ou=Apps ou=Systems ou=Printers cn =Burak cn=Directory User site=Sıhhiye cn =Dilmurad cn=Mail Admin site=Beytepe cn =Kerem cn=Calendar Admin site=Kaman cn = Zafer cn=Web Admin site=Polatlı cn =Çağlar ou=Web Site ou=Calendar ou=Mail
Directory-Enabled Ağ ve Uygulama nedir? 4/12/2017 Directory-Enabled Ağ ve Uygulama nedir? Dizin kullanımı yeni bir grup uygulamanın gerçekleştirilmesini mümkün kılabilir Ağ üzerindeki her türlü “kaynağa” ilişkin ayarların dizinler üzerinde saklanması yolu ile kolay özelleştirme ve kişiselleştirme Bilgilere ağ üzerindeki herhangi bir yerden erişilebilir Kurumsal politikaların düzenlenebileceği tek bir altyapı Kurumsal politikalara uygun erişim denetimleri için depolama Dizinleri veri deposu olarak kullanan uygulamalara ve bu uygulamaların işletildiği ağlara Directory-Enabled denir
Dizin Kullanımının Kurumlar için Önemi 4/12/2017 Dizin Kullanımının Kurumlar için Önemi Dizin kullanımı ile farklı uygulamalarda/sistemlerde birden çok kopyası saklanan veriler teke indirilebilir Üzerinde veri yönetilen sistem sayısı ve bu sistemlerin yönetim gereksinimleri azaltılabilir Hareketli kullanıcılar ve kaynaklar için daha elverişli bir altyapı sağlanabilir Kurumsal politikaların uygulanacağı nokta sayısı azaltılabilir; uygulama basitleştirilebilir Verilere erişim denetimi daha kolay ve detaylı biçimde gerçekleştirilebilir Ölçeklenebilir ve dağıtık ağ temelli kayıtlar (registry) oluşturulabilir
Bugün Kullanıcı Yönetimi 4/12/2017 Bugün Kullanıcı Yönetimi Kullanıcılar Süreçler İşletmenler Sistemler Günler / Haftalar
Dizin Temelli Kullanıcı Yönetimi 4/12/2017 Dizin Temelli Kullanıcı Yönetimi Kullanıcılar Sistemler LDAP Temelli Dizin Gerçek Zaman
Central Policy Repository Intelligent Infrastructure 4/12/2017 Directory Enabled Networking (DEN) Distributed Policy Enforcement Central Policy Repository Intelligent Infrastructure Security Policy Engine RADIUS User and Devices LDAP Profiles and Policies QoS Server Policy Engine Cache Services and SLAs LDAP LDAP Addresses Policy Engine DNS/DHCP LDAP
Temel Tasarım Konuları 4/12/2017 Temel Tasarım Konuları Verilerin sahipliği (güvenlik, politika, mevcut dağıtım durum) İş süreçlerine etkisi Süreçler bağlamında bilginin sahipliğinin ve akışının tanımının net olmaması Son kullanıcının yeni süreçlere katılımı Bazı bilgilerin tümüyle son kullanıcıya teslim edilmesi Dizin kullanımının karlılığının sağlanması Yeni işlemler ya da değişikliklerin maliyeti Dizinin uygulamalar ile entegrasyonu Dizin sıradüzeninin tasarımı
H.Ü. Hastaneleri: Başlangıç ve İstenen 4/12/2017 H.Ü. Hastaneleri: Başlangıç ve İstenen PC Erişim Denetimleri Hasta Takip Yazılımı Windows NT Oracle Diğer İnternet Hizmetleri Web Hizmetleri E-posta Hizmetleri UNIX Prototip Web Uygulamaları Grup Takvimi Uygulaması Haber Grupları
H.Ü. Hastaneleri: Gerçekleştirilen 4/12/2017 H.Ü. Hastaneleri: Gerçekleştirilen PC Erişim Denetimleri Hareketli Kullanım UNIX NIS E-posta Hizmetleri Diğer İnternet Hizmetleri Windows NT NT SAM Dizin Sunucusu Uzak Erişim Denetimi Sayısal Sertifika Hizm. Kullanıcı Yönetim Sist. Prototip web uygulamaları Grup Takvimi Uygulaması Web Hizmetleri Haber Grupları
Stanford Üniversitesi E-Posta Yönlendirmesi 4/12/2017 Stanford Üniversitesi E-Posta Yönlendirmesi Posta Sunucusu To: kullanıcı@Stanford.edu (Gelen E-posta Mesaji) 1. SMTP “kullanıcı@stanford.edu için mesaj...” (#1) 2. LDAP Depolama Sistemleri Dizin “Sözkonusu kullanıcının Dizin üzerinde olup olmadığını denetleme işlemi... (#2) 3. LDAP “kullanıcının doğrulanması: mailDrop=kullanıcı@host.stanford.edu (#3), Host.stanford.edu 4. SMTP mesajın doğru adrese yönlendiril-mesi (#4)”
Dizin Hizmetleri ve LDAP için Gelecek Hedefleri 4/12/2017 Dizin Hizmetleri ve LDAP için Gelecek Hedefleri Altyapı hedefleri Daha yüksek ölçeklenebilirlik Standart replikasyon Farklı dizin sunucuları arasında daha iyi uyumluluk Güvenlik Sayısal sertifikaların daha yoğun kullanımı Vekil-bağlantılar ve erişim denetimi Transaction desteği Uygulama hedefleri Dizin sıradüzenini ve görünümünü düzenlemek için araçlar Şema tasarım ve genişletmesi için araçlar