La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

LDAP – Mario Baioli GLAD (gruppo di lavoro drupal Sapienza) Corso Drupal advanced.

Presentazioni simili


Presentazione sul tema: "LDAP – Mario Baioli GLAD (gruppo di lavoro drupal Sapienza) Corso Drupal advanced."— Transcript della presentazione:

1 LDAP – Mario Baioli GLAD (gruppo di lavoro drupal Sapienza) Corso Drupal advanced

2 04/02/2014LDAP Sapienza - Mario BaioliPagina 2 Centralizzazione delle utenze Avere a che fare con una utenza numerosa e con servizi informatici eterogenei e distribuiti spesso si risolve nella creazione di innumerevoli account per scopi diversi. Al crescere delle attività e dei servizi del sito si rende necessaria la manutenzione degli account, che potrebbe diventare un problema per la sicurezza generale del sistema informatico per la presenza di account validi non usati, account dimenticati…, password da cambiare ecc. oltre che un onere da parte di chi gestisce i contatti. Il nostro Drupal ha una ottima gestione degli account ed il nostro obbiettivo è di sfruttare i ruoli, ognuno dei quali può aver associati dei permessi specifici, in modo che lamministratore del sito possa decidere in modo preciso quali sono le operazioni consentite per ciascun utente. Centralizzare la gestione delle utenze é un modo per risolvere il problema perché da un lato ci esonera dalla raccolta e manutenzione dei dati identificativi dellutente e dallaltra ci offre la sicurezza che gli utenti che si stanno autenticando fanno di sicuro parte dellAteneo. Ci farebbe molto comodo se lutente avesse già un ruolo assegnato dallAteneo.

3 Gestione centralizzata delle utenze con LDAP In questo contesto ci si propone di dare una descrizione di come implementare un sistema per la gestione centralizzata delle utenze facendo uso di LDAP. 04/02/2014LDAP Sapienza - Mario BaioliPagina 3

4 LDAP un po di date … Negli anni 90 era X.500/DAP (ISO/OSI) 1991: denizione di LDAP (TCP/IP) Da gateway verso X.500 a server LDAP standalone. Nel 1993 università del Michigan, LDAP soppianta il protocollo DAP. 1996: LDAPv3 è una versione alleggerita del protocollo DAP, da cui deriva il suo nome di Lightweight Directory Access Protocol 04/02/2014LDAP Sapienza - Mario BaioliPagina 4

5 ancora storia Prima di LDAP, per accedere a dati memorizzati in una directory X.500 un client doveva supportare il DAP (DIRECTORY ACCESS PROTOCOL), il quale imponeva una notevole penalizzazione delle risorse in gioco in quanto richiedeva l'utilizzo della specifica OSI (Open System Interconnection) che oggi é sostituita largamente dalla suite di protocolli TCP/IP ed altri protocolli. LDAP nasce proprio per sostituire DAP in quanto molto oneroso dal punto di vista dell'impiego delle risorse. Infatti la L aggiunta nellacronimo sta per Lightweight 04/02/2014LDAP Sapienza - Mario BaioliPagina 5

6 Quindi LDAP cosè? LDAP è un protocollo di accesso a Directory Servers (RFC 1777)RFC 1777 Usa un modello gerarchico delle informazioni, che sono organizzate in un albero (DIT) Il modello informativo é basato sulle entry, le quali sono composte da attributi che possono avere uno o più valori E possibile determinare il tipo degli attributi e il loro comportamento. 04/02/2014LDAP Sapienza - Mario BaioliPagina 6

7 LDAP LDAP è client-sever: un client LDAP invia una richiesta ad un server LDAP, che processa la richiesta ricevuta, accede eventualmente ad un directory database e ritorna dei risultati al client. 04/02/2014LDAP Sapienza - Mario BaioliPagina 7

8 Tipo di informazioni che possono essere memorizzate in una directory Il modello di informazioni di LDAP è basato sulle entry. Una entry è una collezione di attributi aventi un unico nome globale: il Distinguished Name (DN). Il DN è usato per riferirsi ad una particolare entry, senza avere ambiguità infatti ogni attributo dellentry ha un tipo ed uno o più valori. I tipi di solito sono stringhe mnemoniche, come cn per i common name (i nomi comuni), oppure mail per gli indirizzi di posta elettronica. 04/02/2014LDAP Sapienza - Mario BaioliPagina 8

9 Nel nostro caso Per la sintassi dei valori: %username and %basedn are valid tokens in the expression. Typically it will be: cn=%username,%basedn which might evaluate to cn=jdoe,ou=campus accounts, dc=ad, dc=mycampus, dc=edu Base DNs are entered above. Utilizziamo cn=%username 04/02/2014LDAP Sapienza - Mario BaioliPagina 9

10 DN identifica in maniera univoca un elemento uid (userid), si tratta di un identificativo unico obbligatorio cn (common name), si tratta del cognome della persona o (organization), si tratta dell'azienda della persona u (organization unit), si tratta dellunità organizzativa dellAteneo dove la persona lavora mail, si tratta dell'indirizzo di posta elettronica 04/02/2014LDAP Sapienza - Mario BaioliPagina 10

11 Dati LDAP Sapienza 04/02/2014LDAP Sapienza - Mario BaioliPagina 11 Valore LDAP Sapienzadescrizione Prof. Ordinario Professore I fascia – ordinario Prof. Associato Professore II fascia – associato Ricercatore e assimilato Ricercatore universitario Area Biblioteche Personale tecnico amministrativo area biblioteche Tecnico-AmministrativoPersonale tecnico amministrativo delle altre aree Professore a ContrattoDocenti non strutturati Collaboratore a ContrattoPersonale amministrativo non strutturato Organizzazione InternaAccount per ufficio esempio: Area sociosanitaria non è ancora importata (!) Immagino che ci saranno anche i colleghi dellarea infermieristica del Policlinico Umberto I

12 LDAP LDAP configurato … ora cosa dobbiamo fare? Il ruolo è associato allutente già dallAteneo e la nostra gestione profili utenti, ruoli e permessi si popola automaticamente al solo accesso da parte dellutente. 04/02/2014LDAP Sapienza - Mario BaioliPagina 12

13 LDAP Una volta che lutente si autentica con successo sul nostro sito Drupal con LDAP Sapienza, resterà tra gli utenti del sito portandosi con se il ruolo assegnato da Sapienza. Quindi noi cosa dobbiamo fare 04/02/2014LDAP Sapienza - Mario BaioliPagina 13

14 LDAP Ora conosciamo i ruoli che possono arrivare sul sito da autenticazione LDAP e possiamo progettare linsieme dei permessi associati a ciascuno di questi ruoli dal pannello Permessi dove verranno mostrati tutti i permessi associati ai ruoli esistenti: in questo modo possiamo prevedere quali permessi avrà un utente registrato. Il nuovo utente che arriva da LDAP avrà un ruolo già assegnato con i suoi permessi che noi gli abbiamo costruito. 04/02/2014LDAP Sapienza - Mario BaioliPagina 14

15 LDAP Lunico sforzo da parte dellamministratore è la configurazione iniziale ed una buona progettazione sui ruoli e permessi. Niente altro … ;-) 04/02/2014LDAP Sapienza - Mario BaioliPagina 15

16 Utenti diversi da LDAP D. Vogliamo usare anche altri LDAP server per gestire ulteriori gruppi di utenti (es. studenti) o altre modalità di autenticazione come quelle standard di drupal, open id o altro. Drupal come gestisce lautenticazione? R. Modulo LDAP 7.x -1.0-beta12 Menu: Authentication logon options, Allowable Authentications selezionare Mixed mode. Drupal authentication is tried first. On failure, LDAP authentication is performed. help at 04/02/2014LDAP Sapienza - Mario BaioliPagina 16

17 Download modulo LDAP Al momento sul mio sito è up questo modulo: 04/02/2014LDAP Sapienza - Mario BaioliPagina 17 Versione DownloadsDataLinks 7.x-1.0-beta12 tar.gz ( KB)zip ( KB)15 aprile 2013notes

18 Modulo LDAP 7.x-1.0-beta12 attivonomeversionedescrizione LDAP Authentication 7.x-1.0-beta12 Implements LDAP authentication Richiede: LDAP Servers (attivato) Richiesto da: LDAP SSO (attivato) LDAP Authorization 7.x-1.0-beta12 Implements LDAP authorization (previously LDAP Groups) Richiede: LDAP Servers (attivato) Richiesto da: LDAP Authorization - Drupal Roles (attivato), LDAP Authorization - OG (Organic Groups) (disattivato) LDAP Authorization - Drupal Roles 7.x-1.0-beta12 Implements LDAP authorization for Drupal roles Richiede: LDAP Authorization (attivato), LDAP Servers (attivato) LDAP Authorization - OG (Organic Groups) 7.x-1.0-beta12 Implements LDAP authorization for Organic Groups Richiede: LDAP Authorization (attivato), LDAP Servers (attivato), Og (mancante) LDAP Feeds 7.x-1.0-beta12 VERY MUCH IN ALPHA STATE. Included feeds fetcher for a generic ldap query and ldap entry parser to turn fetcher data into feeds compatible parser result. Used to automate content creation based on ldap queries. Richiede: Feeds (mancante), LDAP Servers (attivato), LDAP Query (attivato) LDAP Help 7.x-1.0-beta12 LDAP Help for configuration and reporting issues. Richiede: LDAP Servers (attivato) LDAP Profile 7.x-1.0-beta12 Implements LDAP Profile. Allows you to map Drupal profile fields to LDAP profile fields Richiede: LDAP Servers (attivato) LDAP Query 7.x-1.0-beta12 LDAP Query Builder and Storage for queries used by other ldap modules such as ldap feeds, ldap provision, etc Richiede: LDAP Servers (attivato) Richiesto da: LDAP Feeds (disattivato), LDAP Views (attivato) LDAP Servers 7.x-1.0-beta12 Implements LDAP Server Configuration Richiesto da: LDAP Authentication (attivato), LDAP Authorization (attivato), LDAP Authorization - Drupal Roles (attivato), LDAP Authorization - OG (Organic Groups) (disattivato), LDAP Query (attivato), LDAP Feeds (disattivato), LDAP Help (attivato), LDAP Profile (attivato), LDAP SSO (attivato), LDAP Views (attivato) LDAP SSO 7.x-1.0-beta12 Implements Single Sign On (SSO) LDAP Authentication Richiede: LDAP Servers (attivato), LDAP Authentication (attivato) LDAP Views 7.x-1.0-beta12 Implements LDAP integration with ViewsRichiede: LDAP Query (attivato), LDAP Servers (attivato), Views (attivato), Chaos tools (attivato) 04/02/2014LDAP Sapienza - Mario BaioliPagina 18

19 04/02/2014LDAP Sapienza - Mario BaioliPagina 19


Scaricare ppt "LDAP – Mario Baioli GLAD (gruppo di lavoro drupal Sapienza) Corso Drupal advanced."

Presentazioni simili


Annunci Google