Servicio de Nombres. Sistemas Operativos Distribuidos. Índice. Ejemplo: Traducción de URL. Nombres. 4-Servicio de nombres 1

Transcripción

1 Índice Servicio de Nombres Introducción Jerarquía de nombres Distribución y replicación del espacio de nombres Estudio de un ejemplo práctico: DNS Servicio de directorio Estudio de un ejemplo práctico: LDAP 2 Nombres Los necesito para interaccionar con entidades Quiero imprimir el fichero en aquella impresora Nombre permite referirse a una entidad única en SD Aunque puede estar replicada (p.e. fichero en Coda) y puede haber varios nombres para la misma entidad (alias) Persona: nombre y apellidos nº DNI o pasaporte Mejor nombres de texto versus Mejor independientes de la posición Facilita migración de entidad Identificar persona por nº teléfono o dirección postal no es adecuado Traducción de nombre permite contactar con entidad Para enviarle el fichero a imprimir Ejemplo: Traducción de URL DNS IP Puerto 80 TCP ARP httpd 00:06:5B:F0:2B:F1 /usr/local/apache/htdocs/informacion.html SF Disco 0; partición 5; inodo Servicio de nombres 1

2 5 Servicio de nombres Nombre de entidad punto(s) de acceso a la entidad Nombre y apellidos nº teléfono o dirección postal Sockets: Dir(s) IP+ puerto(s)+ protocolo(s) RMI o CORBA: referencia(s) a objeto(s) Hay diversos tipos de entidades en SD ficheros, usuarios, grupos, procesos, dispositivos, máquinas,... específicas de aplicaciones (clientes, proveedores,...) Serv. de nombres específicos para algunos tipos de entidades para ficheros (SFD), para máquinas (DNS),... Ideal: servicio de nombres integral para todas las entidades Excepto ficheros por gran volumen y frecuencia de actualizaciones 6 Jerarquía de nombres SD incluye muchas entidades muy diversas Como SFD, organización jerárquica facilita asignación y gestión Impresoras de distintos departamentos con el mismo nombre Espacio de nombres jerárquico Entidades contenedoras de otras entidades (directorios) Traducción de nombres (pathnames): Proceso iterativo que parte de un nodo inicial Necesidad de conocer traducción de nodo inicial Absoluta (nodo raíz) vs. Relativa (nodo intermedio) Proceso costoso: Uso de caché en traducción Información inválida si migración Alternativa: 2 niveles de traducción (p.e. AFS) pathname ID interno (servicio de nombres) ID interno punto de acceso a entidad (servicio de localización) Interfaz de servicio de nombres Operaciones del servicio de nombres (p.ej. CORBA) Asociar nombre (path) a entidad bind(nombre, Referencia_objeto) Desasociar nombre de entidad unbind(nombre) Traducir nombre resolve(nombre) Crear nuevo directorio (contexto en CORBA) bind_new_context(nombre_dir) Listar directorio list(...) Nombre interpretado respecto a un directorio (contexto) inicial Dir_root.resolve(path) CORBA dispone también de servicio de directorio (trading) 7 Implementación de espacio de nombres Servidor de nombres único: Problemas de escala, rendimiento y fiabilidad Tres técnicas para paliarlos: Caché de traducciones Distribución de espacio de nombres Replicación de espacio de nombres Caché de traducciones: Problema de coherencia En DNS: No hay garantía Servidor retorna TTL ( tiempo de vida ) de información 8 4-Servicio de nombres 2

3 Distribución y replicación Espacio de nombres partido y distribuido entre servidores Se requiere info. que monte particiones para formar árbol único Cada partición gestionada por (al menos) un servidor Posibilita administración distribuida Mismas alternativas de navegación que en SFD Iterativa, Transitiva y Recursiva Partición replicada en varios servidores Fiabilidad y rendimiento, pero hay que asegurar coherencia Esquema simétrico: Consulta a cualquier réplica Actualización simultánea en todas las réplicas Esquema asimétrico: 1 primario y N secundarios Consulta a cualquier réplica Actualización en primario con propagación a réplicas Modo push o pull Domain Name System (DNS) Servicio de nombres de máquinas en Internet No es un servicio de nombres general pero es ilustrativo Espacio de nombres de DNS Nombre: secuencia de dominios (directorios) (raíz) + es + upm + fi + datsi Cada dominio contiene resource records (RR): Traducciones de máquinas (A) Alias (CNAME) Otros (MX, HINFO, SRV, PTR,...) y subdominios IN CNAME IN CNAME IN A IN A IN A Zonas de DNS Extracto de zona upm.es. Espacio de nombres distribuido en particiones (zonas) Cada zona gestionada por un servidor primario y N secundarios RR de tipo NS especifica servidores de dominio Secundario pide info. de zona periódicamente a primario (p.e. 1 vez/día) Un mismo servidor puede gestionar varias zonas Fichero de zona (sólo en primario): Contiene los RR de un dominio Puede incluir RR de subdominios, pero no es habitual Típico: subdominio tiene su propia zona delegación Actualización de DNS: cambio en fichero de zona o DNS UPDATE Delegación de zonas: dominio padre incluye punto de montaje NS: Nombre de subdominio Servidor que lo gestiona Podría ser el mismo que para el padre Si servidor de subdominio (Ssub) pertenece a subdominio Padre incluye dir. de Ssub (glue record) (problemas de coherencia) 11 IN SOA einstein.ccupm.upm.es. hostmaster.upm.es Clase Internet; Start Of Authority; S. primario; responsable; nº de serie (++por cada cambio); Periodo de actualización de secundario; Tiempo de reintento de secundario antes actualización fallida; Tiempo de expiración de info. de secundario ante actualización fallida; TTL mínimo Dominio TTL Clase Tipo Valor Comentario upm.es IN NS einstein.ccupm.upm.es. Servidor primario upm.es IN NS galileo.ccupm.upm.es. Servidor secundario upm.es IN MX 10 relay.upm.es. S. de correo preferente upm.es IN MX 20 relay2.upm.es. S. de correo secundario fi.upm.es IN NS zape.fi.upm.es. S. de subdominio ( padre) zape.fi.upm.es IN A Glue record eui.upm.es IN NS fenix.eui.upm.es. S. de subdominio ( padre) fenix.eui.upm.es IN A Glue record etsia.upm.es IN NS einstein.ccupm.upm.es. S. de subdominio (=padre) ccupm.upm.es IN NS einstein.ccupm.upm.es. S. de subdominio (=padre) IN CNAME newton.ccupm.upm.es Alias 12 4-Servicio de nombres 3

4 Extracto de zona fi.upm.es. IN SOA goofy.fi.upm.es. hostmaster.fi.upm.es fi.upm.es IN NS goofy.fi.upm.es. Servidor primario fi.upm.es IN NS ns.fi.upm.es. Servidor secundario fi.upm.es IN NS zape.fi.upm.es. Servidor secundario goofy.fi.upm.es IN A Dirección de máquina ns.fi.upm.es IN A Dirección de máquina zape.fi.upm.es IN A Dirección de máquina IN A Dirección de máquina IN A Dirección de máquina raticulin.fi.upm.es. 600 IN A Dirección de máquina backup.fi.upm.es IN CNAME raticulin.fi.upm.es. Alias fi.upm.es. 60 IN MX 10 relay.fi.upm.es. Servidor de correo preferente fi.upm.es. 60 IN MX 100 relay.upm.es. Servidor de correo secundario datsi.fi.upm.es IN NS goofy.fi.upm.es. Servidor de subdominio (=padre) datsi.fi.upm.es IN NS ns.fi.upm.es. Servidor de subdominio (=padre) datsi.fi.upm.es IN NS zape.fi.upm.es. Servidor de subdominio (=padre) Estructura de nombres de Internet Hay 13 servidores de dominio raíz (.) replicados a.root-servers.net ( ) hasta m.root-servers.net ( ) Incluyen NS de subdominios de nivel 1º (com, es,...) y glue records Servidores de dominios de primer nivel los de segundo, etc. a.root-servers.net. es IN NS ns1.nic.es. ns1.nic.es IN A ns1.nic.es. upm.es IN NS galileo.ccupm.upm.es. galileo.ccupm.upm.es IN A galileo.ccupm.upm.es. fi.upm.es IN NS zape.fi.upm.es. zape.fi.upm.es IN A Traducción en DNS Servidor debe ofrecer navegación iterativa; recursiva opcional Tres tipos de servidores de nombres: Primario, secundario y sólo caché Operación de traducción ( Aplicación requiere traducción de nombre de máquina gethostbyname( ) Si configurado uso de DNS (/etc/nsswitch.conf) Contacta con su servidor de nombres SN (/etc/resolv.conf) Requiere dirección IP de SN 2 posibles situaciones en la traducción: Dominio de SN es subcadena de nombre (p.e. SN gestiona upm.es.) SN, y delegados si necesario, traducen el camino restante En caso contrario (p.e. SN gestiona miempresa.com.) Hay que traducir todo el camino desde dominio raíz Traducción desde dominio raíz S. nombres tiene dir. de servidores raíz (fichero root.hints) Administrador debe actualizarlas periódicamente Secuencia de operaciones (supuestos: iterativa y caché vacía) SN contacta con un s. raíz: obtiene dir. de un s. nombres de es. (Ses) a.root-servers.net ( ) ns1.nic.es. ( ) SN contacta con Ses: obtiene dir. de un s. nombres de upm. (Supm) ns1.nic.es. ( ) galileo.ccupm.upm.es. ( ) SN contacta con Supm: obtiene dir. de un s. nombres de fi. (Sfi) galileo.ccupm.upm.es. ( ) zape.fi.upm.es. ( ) SN contacta con Sfi: obtiene dir. de máquina pedida zape.fi.upm.es. ( ) ( ) Información en caché para la próxima vez: Traducción de backup.fi.upm.es sólo requiere el último paso Uso de TTL: no garantiza coherencia (info. non-authoritative ) Servicio de nombres 4

5 Traducción desde dominio no raíz SN (ns.fi.upm.es.) gestiona dominio pedido (fi.upm.es.) Retorna directamente traducción ( ) SN (galileo.ccupm.upm.es.) gestiona dominio padre (upm.es.) Encuentra registro NS (y glue record) para un s. nombres de fi. (Sfi) zape.fi.upm.es. ( ) SN contacta con Sfi: obtiene dir. de máquina pedida zape.fi.upm.es. ( ) ( ) Traducción inversa IP nombre (gethostbyaddr: Gestionada también por DNS: dominio especial in-addr.arpa. Traducir in-addr.arpa. Servidores raíz incluyen NS de *.in-addr.arpa. y así sucesivamente Traducción final usa registro PTR en vez de A a.root-servers.net. 138.in-addr.arpa IN NS chia.arin.net. chia.arin.net in-addr.arpa IN NS galileo.ccupm.upm.es. galileo.ccupm.upm.es in-addr.arpa IN NS zape.fi.upm.es. zape.fi.upm.es in-addr.arpa IN PTR web1.fi.upm.es Servicio de directorio Punto de acceso es sólo uno de los atributos de una entidad Nombre impresora modelo, color, ubicación, formatos soportados,... Pueden gestionarlos servidores específicos Servicio de impresión gestiona información de impresoras Problema: Duplicidad de funcionalidad Solución: Generalización del servicio de nombres Nombre conjunto de atributos de la entidad Servicio de directorio (Sdir): Repositorio de información de entidades de SD Sun: globalización de /etc Network Information System (NIS) No todo atributo Sdir: no incluir atributos muy dinámicos Tamaño cola de trabajos debería gestionarlo el servicio de impresión Mejor servicio estándar para facilitar convivencia de sistemas Tipos de resolución de nombres Convencional (Páginas blancas): nombre atributos Por atributos (Páginas amarillas): atributos entidades Quiero imprimir fichero en impresora en color cerca de mi despacho Parámetros típicos en resolución por atributos: Nodo de inicio de búsqueda (base) P.e. Sólo buscar entidades en determinada sucursal de la empresa Profundidad de la búsqueda (p.e. todo el sub-árbol) Criterio/filtro de búsqueda: Función lógica que deben satisfacer las entidades buscadas P.e. Impresoras en color que estén ubicadas en el tercer piso Límite de tiempo de búsqueda Nº máximo de entidades que se retornarán Atributos que se retornarán de las entidades seleccionadas Servicio de nombres 5

6 Tipos de entidades gestionadas Qué tipos de entidades gestiona un servidor de nombres? Predeterminado: Tipos de entidades predefinidas Configurable: Existe un mecanismo para definir los tipos de las entidades hay que definir: nombre del tipo, atribs., tipos de los atribs., etc. Separación entre definición de tipos de entidades y de entidades Similitud con base de datos: esquemas y datos Similitud con POO: clases y objetos Extensible: tipos predefinidos pero se pueden definir adicionales Puede ser útil la herencia (simple o múltiple) Serv. directorio vs. Base de datos Hay alguna similitud Repositorio de información Permite búsqueda sofisticada Pero muchas diferencias. Servicio de directorio: Muchas consultas pero muy pocas modificaciones Transacciones muy simples Uso de esquemas estándar, siempre que sea posible Más facilidad para cambiar esquemas para datos ya creados Si datos replicados, no requiere coherencia estricta Lightweight Directory Access Protocol Precedente: X.500 servicio de directorio de ISO Concebido para ser un directorio mundial Complejo Pesado: Ejecuta sobre la pila OSI Protocolo de acceso DAP (Directory Access Protocol) LDAP (Lightweight Directory Access Protocol, RFC 4510) Basado en X.500 Más sencillo Más ligero: ejecuta sobre la pila TCP/IP Es un protocolo pero define implícitamente un modelo de datos No define aspectos de implementación Distintos sistemas ofrecen una interfaz LDAP (p.e. Active Directory) Actualmente versión Objetos y clases Entidad Objeto (entrada) en LDAP Orientado a objetos: Objeto Clase (atributo objectclass) Clase define conjunto de atributos del objeto Tipo del atributo obligatorio(ob) u optativo(op) único o múltiples Herencia: clases forman una jerarquía (top raíz de jerarquía) Clase derivada hereda atributos de superclases Tipos de clases: Abstracta (AB): no pueden definirse objetos de esa clase (p.e. top) Estructural (ES): Objeto Una y solo una clase estructural No puede cambiar la clase estructural de un objeto Auxiliar (AU): Objeto puede estar asociado a varias clases auxiliares Pueden añadirse dinámicamente: Facilitan extensión de objetos Superclase(ES)=ES AB; Superclase(AU)=AU AB 4-Servicio de nombres 6

7 Ejemplos de clases top: raíz; AB; ob: objectclass person: top; ES; ob: cn, sn; op: telephonenumber,... residentialperson: person; ES; ob: l; op: postaladdress,... organization: top; ES; ob: o; op: postaladdress,... organizationalunit: top; ES; ob: ou; op: postaladdress,... dcobject: top; AU; ob: dc (valor único) device: top; ES; ob: cn; op: serialnumber, o, ou, owner,... groupofnames: top; ES; ob: cn, member; op: o, ou,... alias: top; ES; ob: aliasedobjectname referral: top; ES; ob: ref Extracto de mi entrada en LDAP de FI Formato de texto LDIF (LDAP Data Interchange Format): protocolo LDAP es binario objectclass: inetorgperson estructural (top person organizationalperson inetorgperson) objectclass: posixaccount auxiliar (top posixaccount) cn: Fernando Perez Costoya cn: F. P. Costoya sn: Perez Costoya person organizationalperson telephonenumber: mail: inetorgperson roomnumber: 4201 departmentnumber: DATSI uid: fperez uidnumber:????? gidnumber:????? Específicos de posixaccount homedirectory: /homefi/?????? Extracto de entrada FI en LDAP de FI objectclass: dcobject auxiliar (top dcobject) objectclass: organization estructural (top organization) dc: fi atributo específico de dcobject o:: RmFjdWx0YWQgZGUgSW5mb3Jtw6F0aWNhIC0gVVBN postalcode: l: Boadilla del Monte st: Madrid description:: RmFjdWx0YWQgZGUgSW5mb3Jtw6F0aWNhIChVbml2ZXJzaWRhZCBQb2xpdMOpY25p Y2EgZGUgTWFkcmlkKQ== telephonenumber: facsimiletelephonenumber: Decodificación de base 64 o: Facultad de Informática UPM description: Facultad de Informática (Universidad Politécnica de Madrid) Modelo de nombres Entrada tiene un nombre: Relative Distinguished Name (RDN) 1 o más atributos de la entrada que la hacen única entre hermanos uid=fperez (ej. múltiples: cn=fernando Perez Costoya+dni= ) Jerarquía de nombres (Directory Information Tree, DIT) Nombre completo (path): Distinguished Name (DN) RDN de la entrada + DN del padre (separados por comas) dn: uid=fperez,ou=personal,dc=fi,dc=upm,dc=es No confundir con jerarquía de clases Similar a SF pero directorios también tienen información asociada Nombre del objeto raíz (sufijo o base): a discreción Convenio: a partir de dominio DNS usando clase auxiliar dcobject dn: dc=fi,dc=upm,dc=es Servidor LDAP gestiona 1 ó más DIT Servidor devuelve metainformación en objetos/atrib. operacionales DIT gestionados por el servidor, esquemas soportados,... 4-Servicio de nombres 7

8 Extracto de rama del DIT del LDAP de FI # fi.upm.es dn: dc=fi,dc=upm,dc=es dc: fi objectclass: dcobject objectclass: organization... # personal, fi.upm.es dn: ou=personal,dc=fi,dc=upm,dc=es ou: personal objectclass: organizationalunit dn: uid=fperez,ou=personal,dc=fi,dc=upm,dc=es uid: fperez... Extracto de rama del DIT del LDAP de FI dc: fi objectclass: dcobject objectclass: organization o:: RmFjdWx0YWQgZGUgSW5mb3Jtw6F0aWNhIC0gVVBN postalcode: l: Boadilla del Monte st: Madrid... objectclass: inetorgperson objectclass: posixaccount cn: Fernando Perez Costoya cn: F. P. Costoya sn: Perez Costoya telephonenumber: mail: fperez@fi.upm.es roomnumber: 4201 departmentnumber: DATSI uid: fperez... dn: ou=personal,dc=fi,dc=upm,dc=es dn: dc=fi,dc=upm,dc=es ou: personal objectclass: organizationalunit dn: uid=fperez,ou=personal,dc=fi,dc=upm,dc=es Distribución y replicación Diseño del DIT Espacio de nombres distribuido usando referrals Objeto en DIT especifica punto de montaje No definido el modelo de navegación Implementación más habitual iterativa Aunque también recursiva (chaining) Replicación de espacio de nombres no definida por estándar OpenLDAP admite dos esquemas: Maestro-esclavo: asimétrico Multi-maestro: simétrico OpenLDAP no garantiza coherencia No trivial: requiere experiencia Análisis previo de info. del SD y cómo evolucionará Diseño debería evitar que cambios previstos en info. modifiquen DIT Cambio debería afectar a atributos en vez de a estructura de DIT Mejor árbol poco profundo Ej.: empresa donde personal cambia de dpto. con frecuencia Diseño 1 1 organizationalunit/dpto. + 1 inetorgperson/persona Entrada de persona hija de entrada de su departamento Diseño 2 1 organizationalunit para todo el personal + 1 inetorgperson/persona 1 groupofnames/dpto. con 1 atributo member/persona Persona cambia de departamento: cambio atributos, no cambio DIT Aunque ciertas búsquedas pueden ralentizarse Servicio de nombres 8

9 Extracto de jerarquía de LDAP de FI dn: dc=fi,dc=upm,dc=es (organization) dn: ou=personal,dc=fi,dc=upm,dc=es (organizationalunit) dn: uid=alberto,ou=personal,dc=fi,dc=upm,dc=es (inetorgperson) dn: ou=grupos,dc=fi,dc=upm,dc=es (organizationalunit) dn: cn=datsi,ou=grupos,dc=fi,dc=upm,dc=es (posixgroup) dn: cn=ccfi,ou=grupos,dc=fi,dc=upm,dc=es (posixgroup) dn: cn=pas,ou=grupos,dc=fi,dc=upm,dc=es (posixgroup) dn: cn=matriculas,ou=grupos,dc=fi,dc=upm,dc=es (posixgroup) dn: ou=administracion,dc=fi,dc=upm,dc=es (organizationalunit) dn: ou=alumnos,dc=fi,dc=upm,dc=es (organizationalunit) dn: uid=cprueba,ou=alumnos,dc=fi,dc=upm,dc=es (inetorgperson) dn: ou=metabase,dc=fi,dc=upm,dc=es (organizationalunit) dn: ou=departmentnumber,ou=metabase,dc=fi,dc=upm,dc=es (organizationalunit) dn: cn=ccfi,ou=departmentnumber,ou=metabase,dc=fi,dc=upm,dc=es (applicationprocess) dn: cn=datsi,ou=departmentnumber,ou=metabase,dc=fi,dc=upm,dc=es (applicationprocess) dn: ou=proyectos,dc=fi,dc=upm,dc=es (organizationalunit) 33 Diseño hipotético del DIT de FI: 1ª opción objectclass: inetorgperson objectclass: posixaccount cn: Fernando Perez Costoya uid: fperez... dn: uid=fperez,ou=datsi, dc=fi,dc=upm,dc=es 34 dc: fi objectclass: dcobject objectclass: organization... dn: dc=fi,dc=upm,dc=es dn: ou=datsi,dc=fi,dc=upm,dc=es dn: ou=dlsiis,dc=fi,dc=upm,dc=es ou: DATSI ou: DLSIIS... objectclass: organizationalunit objectclass: organizationalunit objectclass: inetorgperson objectclass: posixaccount cn: Francisco Rosales Garcia uid: frosal... dn: uid=frosal,ou=datsi, dc=fi,dc=upm,dc=es... Diseño hipotético del DIT de FI: 2ª opción dn: ou=personal,dc=fi, dc=upm,dc=es ou: personal objectclass: organizationalunit objectclass: inetorgperson objectclass: posixaccount cn: Fernando Perez Costoya uid: fperez... dn: uid=fperez,ou=personal, dc=fi,dc=upm,dc=es 35 dc: fi objectclass: dcobject objectclass: organization... dn: cn=datsi,dc=fi, dc=upm,dc=es cn: DATSI objectclass: posixgroup memberuid: fperez memberuid: frosal... objectclass: inetorgperson objectclass: posixaccount cn: Francisco Rosales Garcia uid: frosal... dn: uid=frosal,ou=personal, dc=fi,dc=upm,dc=es dn: dc=fi,dc=upm,dc=es dn: cn=dlsiis,dc=fi, dc=upm,dc=es cn: DLSIIS objectclass: posixgroup memberuid: agonzalez memberuid: aherranz Operaciones de LDAP Bind/Unbind: conecta y autentica/desconecta Search: realiza una búsqueda basada en los parámetros: DN base de la búsqueda Ámbito: Sólo la entrada base, sólo hijos o todo el sub-árbol Filtro de búsqueda Atributos que se devuelven (además, si valores o sólo tipos) Si se siguen los alias o no durante la búsqueda Límite de tiempo y máximo nº de entradas retornadas Compare: comprueba si DN dado tiene un valor en atributo Add/Delete: Añade/Elimina la entrada del DN dado Modify: Modifica atributos (añade, elimina o cambia) de un DN Modify DN: Cambia DN de una entrada Renombra si sólo cambia RDN final; mueve en DIT en caso contrario 4-Servicio de nombres 9

10 Acceso a operaciones de LDAP API de programación en C ldap_bind(),ldap_search(),ldap_add(),ldap_delete(),ldap_modify(),... Mandatos ldapsearch, ldapadd, ldapdelete, ldapmodify, ldapmodrdn,... La mayoría usan el formato LDIF como entrada o salida Formato URL estándar para LDAP ldap://máquina:puerto/dnbase?atributos?ámbito?filtro ldaps si usa comunicación segura Ejemplos de búsquedas Leer mi entrada ldapsearch -Z -x -W -h info.fi.upm.es -b 'uid=fperez,ou=personal,dc=fi,dc=upm,dc=es' -s base -D 'uid=fperez,ou=personal,dc=fi,dc=upm,dc=es' Nombre de profesores que comparten un despacho dado ldapsearch -Z -x -W -h info.fi.upm.es -b 'ou=personal,dc=fi,dc=upm,dc=es' -D 'uid=fperez,ou=personal,dc=fi,dc=upm,dc=es' '(roomnumber=4201)' cn sn Nº tel. de personal de nombre Fernando y no sean del DATSI ldapsearch -Z -x -W -h info.fi.upm.es -b 'ou=personal,dc=fi,dc=upm,dc=es' -D 'uid=fperez,ou=personal,dc=fi,dc=upm,dc=es' '(&(!(departmentnumber=datsi))(cn=*fernando*))' cn telephonenumber Nombre de secciones de la FI ldapsearch -Z -x -W -h info.fi.upm.es -b 'dc=fi,dc=upm,dc=es' -s one -D 'uid=fperez,ou=personal,dc=fi,dc=upm,dc=es' '(objectclass=organizationalunit)' ou Esquema Definición de atributos Paquete que incluye definiciones de clases, atributos y reglas Definiciones están escritas en ASN.1 y usan OIDs Se usa herencia tanto en clases como en atributos Esquema incluye reglas que controlan: Comparaciones de atributos (p.e. no distinguir entre mayús/minús) Contenido de c. estructural (p.e. a qué c. auxiliares puede pertenecer) Estructura: qué clases pueden ser padres de una clase estructural Hay esquemas estandarizados: core, cosine, inetorgperson, nis,... Servidor configurado con esquemas que soporta Puede hacerlos accesibles a través de objetos/atrib. operacionales ldapsearch -x -h info.fi.upm.es -b cn=subschema -s base objectclasses attributetypes attributetype ( NAME 'name' EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX {32768} ) attributetype ( NAME ( 'cn' 'commonname' ) SUP name ) attributetype ( NAME ( 'dc' 'domaincomponent' ) DESC 'RFC1274/2247: domain component EQUALITY caseignoreia5match SUBSTR caseignoreia5substringsmatch SYNTAX SINGLE-VALUE ) Servicio de nombres 10

11 Definición de objetos objectclass ( NAME 'top' ABSTRACT MUST objectclass ) objectclass ( NAME 'person' SUP top STRUCTURAL MUST ( sn $ cn ) MAY ( userpassword $ telephonenumber $ seealso $ description ) ) objectclass ( NAME 'organizationalperson' SUP person STRUCTURAL MAY ( title $ x121address $ registeredaddress $ destinationindicator $ preferreddeliverymethod $ telexnumber $ teletexterminalidentifier $ telephonenumber $ internationalisdnnumber $ facsimiletelephonenumber $ street $ postofficebox $ postalcode $ postaladdress $ physicaldeliveryofficename $ ou $ st $ l ) ) objectclass ( NAME 'dcobject' DESC 'RFC2247: domain component object' SUP top AUXILIARY MUST dc ) Creación de un nuevo esquema Sólo si es estrictamente necesario Nunca cambiar comportamiento de objetos/atrib. estándar 2 alternativas para extender clase ya existente Crear nueva clase estructural derivada de clase existente Permite mejor control: se pueden definir reglas de contenido/estructura Pero requiere eliminar y reinsertar todos los objetos existentes Crear clase auxiliar derivada de top e incluirla en definición de objetos Se puede añadir directamente usando Modify C. auxiliar también permite incluir atrib. en objetos de clases p.e. fecha de alta en organización, tanto personas como dispositivos Extracto de esquema del LDAP de FI attributetype ( NAME 'firelationship' DESC 'R elacion del usuario con la Escuela' EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX ) attributetype ( NAME 'figender' DESC 'Sexo de la persona (ISO 5218)' EQUALITY integermatch SYNTAX SINGLE-VALUE ) objectclass ( NAME 'irisperson' DESC 'Persons inside the IRIS community SUP top AUXILIARY MAY ( sn1 $ sn2 $ irispersonaltitle $ irispersonaluniqueid $ irisuserentitlement $ irisuserprivateattribute $ irisuserstatus $ irismailhost $ irismailroutingaddress $ irismailbox $ irismailmainaddress $ irismailalternateaddress $ irisuserpresenceid $ irisclassifcode ) ) objectclass ( NAME 'fiperson' DESC 'Persona perteneciente a la Facultad de Informatica (UPM)' SUP irisperson AUXILIARY MUST ( uid $ mail ) MAY ( fipwdchangedopertime $ fimailquotasize $ figender $firelationship ) ) Modelo de seguridad 3 métodos de autenticación Sin autenticación: se considera usuario anónimo Autenticación básica: DN del usuario + contraseña Simple Authentication and Security Layer (SASL) Marco general de seguridad que permite varios mecanismos Kerberos, TSL,... Protección de entradas no definida por el estándar Habitualmente se usan listas de control de acceso (ACL) Controlan acceso a cada atributo de una entrada Más sobre estos aspectos en el tema de seguridad Servicio de nombres 11