Saiba o que são diretórios e LDAP, em que momentos devemos usar um diretório ao invés de um banco de dados relacional, quais vantagens e desvantagens, além de implementações usando OpenLDAP.
[ Hits: 557.425 ]
Por: Francisco jonathan Rebouças Maia em 21/11/2005
Não iremos explicar aqui o processo de instalação do OpenLdap a partir
do código fonte (pode ser visto na documentação que acompanha o software).
Você também poderá usar o apt-get para instalar o OpenLdap:
# apt-get install slapd
Caso deseje removê-lo através do apt, é só usar o comando:
# apt-get remove slapd
Caso deseje instalar a partir dos fontes, é necessário que sejam instalados antecipadamente os pré-requisitos, que são os seguintes:
No momento da instalação do OpenLdap, será perguntado a você o DN
da raiz da DIT de seu diretório. Geralmente, como raiz da árvore,
é colocado o domínio da empresa ou algo que represente o local onde
o diretório está instalado. Seguindo o exemplo da figura 2, o DN da
raiz de nosso diretório será:
dc=rnp
Onde dc (domain component - componente de domínio) é um atributo da
objectclass dcObjet. Você poderia especificar um DN com mais subdivisões
para a raiz, por exemplo, poderíamos ter o DN da seguinte forma:
dc=popce,dc=rnp
ou
o=popce,dc=rnp
Perceba que para o último e penúltimo caso, onde o DN da raiz é composto
por mais de um atributo, não precisamos criar antecipadamente o registro
cujo DN é dc=rnp. Podemos dizer logo o DN completo da raiz como nós
queremos que fique, pois o DN da raiz é (intuitivamente) como se fosse
um sufixo para todos os DNs de todos os registros de nosso diretório.
O DN da raiz pode conter um ou mais atributos, fica a seu critério. Outra
coisa a ser observada é que podemos usar outros atributos além de dc
para especificar o DN da raiz. No OpenLdap, o registro da raiz (que é
criado automaticamente durante a instalação) pertence a três objectclasses:
objectClass: top
objectClass: dcObject
objectClass: organization
A top é apenas para indicar que é obrigatório que o registro contenha
outras objectclasses em sua declaração. As outras duas indicam os
atributos que podem ser usados para elaborar o DN da raiz (também
comumente chamada de base do diretório). Os atributos mais usados são dc e o (organization - organização).
Durante a instalação, também será pedido a você a senha do administrador do diretório, cujo DN de seu registro será:
cn=admin,dc=rnp
O registro do administrador é criado automaticamente durante as instalação, já com seu DN levando em consideração ao DN da raiz escolhida. É interessante ver como os usuários do LDAP são também guardados como registro no próprio diretório. Lembre-se da senha do administrador, pois ela será importante na hora de fazermos alterações no diretório.
Após instalar, você perceberá dois daemons novos: o slapd (Standalone Ldap Daemon - Daemon autônomo Ldap) e o slurpd (Standalone Ldap Update Replication Daemon - Daemon de replicação e atualização autônomo Ldap).
O slapd é o que inicia o serviço de diretórios e o slurp é o responsável
por propagar as informações entre diretórios que estão conectados (é
um sistema bastante interessante que o LDAP disponibiliza, que permite
que servidores LDAP possam ser mantidos como réplicas de outros, ou que
vários servidores LDAP se integrem, cada um contendo uma parte de uma
DIT global).
Para iniciar o slapd basta digitar em qualquer shell:
# slapd
Para finalizar o servidor LDAP você pode digitar:
# killall slapd
Após fazer qualquer modificação no arquivo de configuração do
Slapd (/etc/ldap/slapd.conf), lembre-se de finalizar e reiniciar o servidor, pois só ai as novas mudanças irão vigorar.
[1] Comentário enviado por thekind em 21/11/2005 - 15:22h
Excelente artigo, até agora não conseguia entender direito o LDAP mas depois de ler este artigo esse problema acabou, parabéns cara, segue assim, a comunidade agradece :)
[5] Comentário enviado por agk em 23/11/2005 - 13:40h
Muito bom o artigo, bem didático.
Para quem não sabe o LDAP é utilizado para autenticação, catálogo de endereços e tem muitas outras funcionalidades também.
Pode-se utilizar o LDAP para autenticar com o squid, samba, e-mail, enfim são diversas as utilidades dele.
Estou há algum tempo realizando testes com um servidor LDAP, que será o pdc da rede, para autenticar estações GNU/Linux e Windows e também para autenticar o proxy.
[7] Comentário enviado por balani em 24/11/2005 - 13:29h
Parebens pelo artigo, há alguma possibilidade usar o ldap num gw para ser autenticado por usuarios de um dominio controlado pelo win2003, infelizmente tenho que usa-lo no server de dados, mas os dias dele estão contados.......
[10] Comentário enviado por m4sk4r4 em 29/08/2006 - 17:36h
Bacana o artigo,
Tenho uma dúvida aqui no trabalho, temos o OpenLDAP implantado e funcionando.
Nas estações linux e windows os usuários logam-se perfeitamente, a única
diferença é que no windows cada usuário acessam suas pastas na rede sem precisar ficar digitando login e senha toda hora..
É como se as estações linux estivessem fora do dominio.
[13] Comentário enviado por removido em 06/12/2006 - 10:43h
Só para complementar a resposta do "agk" e para esclarecer melhor para o "manser", o LDAP também é usado em esquemas de autenticações de banco de dados. No Oracle, por exemplo, eu tenho que distribuir um arquivo texto com informações sobre as conexões disponíveis para cada cliente da rede. (o famoso "tnsname.ora") Ex: IP, porta, SID, etc... O LDAP dispensa esse trabalho porque os clientes enxergam os dados de conexão mencionados através do diretório LDAP disponível para a rede toda.
[18] Comentário enviado por mtutucv em 25/07/2008 - 09:34h
estava mesmo precisando de configurar o LDAP, Pelo que li achei muito facil agora configurar o LDAP. vejá se escrevas mais alguma coisa do tipo porque isso ficou Legal o proximo pode ficar melhor
[21] Comentário enviado por andersoneugenio em 14/07/2009 - 16:32h
não estou conseguindo alterar a senha dos usuários cadastrados ele sempre dá a mensagem:
ldap_bind:invalid credentials(49) , alguém sabe o que é? acho que poderia ser a senha errada, mas não é.
[22] Comentário enviado por marujo em 24/08/2009 - 11:33h
Rpz... Meus parabens pelo artigo, otimas explanaçoes, sem duvida um documento exelente para pesquisas... Assim fica bem mais facil entender certos conceitos...
[24] Comentário enviado por jnetux em 29/09/2010 - 21:06h
Caro jonathanmaia, obrigado pelo excelente e esclarecedor tutorial.
Tenho só uma dúvida. Na máquina cliente, como faço para o usuário logar caso ela esteja desconectada?
Pois o login do usuário na máquina com LDAP, só é aceito se ela estiver conectada à rede.
Pois, aqui na minha configuração do trabalho, preciso que o usuário acesse a máquina mesmo com o servidor desligado.
Mais uma vez obrigado.
JNetux
[25] Comentário enviado por onilson em 21/04/2011 - 20:04h
amigos desculpa pela minha ignorância, mas eu já li alguns artigos e tutoriais pela internet e mesmo assim eu ainda não consegui entender para que serve o LDAP.Minhas dúvidas são: Para que serve? Que vantagens ele me traz?Quando devo usar?
[26] Comentário enviado por jeff.jno em 18/10/2011 - 16:12h
Pessoal LDap serve de uma maneira bem simplória de dizer para identificar máquinas e objetos na rede.
Cada computador cada usuário podem ser conectados a base Ladp assim quando alguem for usar um recurso de rede, como por exemplo, impressão ou internet ele precisa se identificar na LDap.
Até mesmo rede sem fio vocês podem utilizar a Ldap usando o FreeRadius, OpenLdap.
Serviço de impressão com autenticação de usuário a mesma coisa onde o FreeRadius é o "protocolo" que fornece o usuario e senha para os outros aplicativos sendo a ldap responsável apenas pela estrutura de dados.
O artigo está excelente, agora uma dúvida. Na minha instalação não veio o arquivo sldap.conf tenho apenas o ldap.conf.
Devo fazer essa configuração no arquivo ldap.conf mesmo ou devo criaro sldap.conf?
Outra coisa como eu troco a senha do usuario admin acho que esqueci ela :p
[29] Comentário enviado por acsoprana em 03/06/2017 - 02:48h
Jonatham, muito bom ... mais tenho uma dúvida com relação de como o ldap faz a busca de um usuário que solicitou autenticação.. vc tem a figura que organiza a DIT certo, então levando em consideração este exemplo (registro 2), se eu fosse autenticar um usuário na minha aplicação com base nesta DIT como o Ldap faria a busca??
Registro 2
DN: ou=pop-ce,dc=rnp (identificador único)
RDN: ou=pop-ce (identificador no nível)
Registro 5
DN: cn=voip,ou=pop-ce,dc=rnp (identificador único)
RDN: cn=voip (identificador no nível)
Registro 6
DN: cn=gerencia,ou=pop-ce,dc=rnp
RDN: cn=gerencia
Neste caso como ele faz a busca do usuário? ele percorre toda a raiz do registro 2 indo para os diversos níveis a baixo automaticamente independente dos CN e de onde o usuário foi cadastrado? Ou deve ser passado toda vez que o usuário for autenticar a DN completa a que ele pertence "DN: cn=gerencia,ou=pop-ce,dc=rnp"..?