Firewall IDS/IPS Antivirus Honeypots QoS VPN LDAP
PKI Autentizace Šifrování High Availability

Systémové adresářové služby LDAP

Adresářová služba LDAP slouží jako centrální strukturované uložiště informací. Může se jednat např. o informace charakteru identifikačních a autentizaních parametrů uživatelů, konfiguračních údajů systémů a aplikací atd. Hlavní výhoda centrálního uložení těchto informací je rychlost přístupu a v zabezpečení přístupu k informaci, a hlavně k možnosti modelovat interakce toku informací.

Existují dva hlavní typy návrhu:
  • LDAP jako centrální zdroj dat. Do LDAP serveru se zadávají všechna data coby do centrálního skladu dat. Data jsou distribuována jednotlivým systémům na požádání.
  • LDAP jako kolektor dat. Pro LDAP server jsou definovány autoritativní zdroje dat (např. telefonní ústředna coby zdroj informací o telefonních číslech, mail server jako zdroj informací o mailových adresách a Personalní systém jako zdroj personalních dat). LDAP tato data automaticky pomocí importních scriptů importuje a kolektuje do příslušných záznamů. Celá databáze je pak k dispozici všem systémům na požádání.
V obou případech je hlavním úkolem při navrhování Adresářové služby správně určit zdroje dat a správně nadefinovat profily jednotlivých záznamů (třídy) a jejich atributy.

Další důležitým bodem je nadefinování primární hierarchie - tedy jakési stromové uspořádání jednotlivých záznamů, aby měl každý záznam v hierarchii k sobě svou pevně danou logickou cestu a aby se v celém stromě vyskytoval pouze jednou.

Kromě základního nástroje Adresářové služby, který zajišťuje vyhledávání, přidávání a modofikaci záznamů a schematu, existují další volitelné funkce:
  • Funkce Metadirectory - Funkce umožňuje kolektovat data z jiných adresářových služeb pomocí tzv. konektorů bežících přímo v prostředí kolektované adresářové služby (např. Active Directory, Novell Directory Services, atd..) nebo např. v prostředí databázovch systémů, ve kterých jsou uložena adresářová data.
  • Role, Class Of Service - Služby umožňující v prostředí LDAP serveru přidat k záznamům nebo pouze do vsledků hledání globální parametry (např. pracovníkům v daném objektu jednu poštovní adresu tak aby se v případě změny nemusela měnit ručně ve všech profilech) nebo zajišťovat automatickou interakci záznamů, popř. dynamickou modifikaci schematu.
  • LDAP Proxy - konfigurovatelný LDAP interface umožňující nastavovat bezpečnostní filtry na celou strukturu nebo vytvořit jiný stromový pohled na existující uspořádání adresářové struktury.
Příklady aplikace LDAP v řešeních:
  • Centrální databáze uživatelů pro aplikace a systémy.
  • Single-Sign-On - pomocí systémových konektorů provádět autentizaci systémů a aplikací do LDAPu - přihlášení pomocí jednoho autentizačního místa.
  • PKI - jako ditribuční bod CRL a veřejných klíčů.
  • Centrální konfigurační nástroj - centrální registr parametrů pro konfiguraci systémů a aplikací.
  • Metadirectory - sjednocení adresářovýh informací v rámci informačního systému.
  • Strukturovaný databázový back-end.