LDAP目录资源整合-以RADIUS为例.doc

專題報導- LDAP目錄資源整合-以RADIUS為例 27LDAP目錄資源整合-以RADIUS為例吳欣蒨國立中興大學計算機及資訊網路中心台中市402國光路250號(04-22840306轉735)E-mail:.tw壹、前言以一家大型企業或學校而言，通常都會提供各式各樣的網路服務或者是系統服務供員工或教職員生所使用。然而這麼多的服務通常不會只交給同一台主機來處理，也就是說同一台伺服器不會同時擔任多種角色，加上這種形態的單位使用者人數眾多，人員的流動率並不是非常固定。這麼一來，各種的服務分散在不同的主機，不管對主機管理員或使用者來說，帳號管理成了最頭痛的問題。現實環境中己存在各項網路服務，這些服務分屬於不同的實體主機裡，圖(一)。倘若這些主機的帳號資源是在沒有經過整合的情況下，就使用者而言，每使用一種服務就必需申請一次帳號密碼，往往時間一長使用者往往搞不清楚當初所申請的帳號密碼為何。並得求救於管理者，所以對管理者而言也得耗費相當多的精力在帳號的維護上，更別提當面臨新進人員或人員離職時大批的帳號異動了。Lightweight Directory Access Protocol (LDAP)是一種可讓任何人找到網路中的組織，個人或檔案或裝置等其他資源的一種軟體協定。運用LDAP，即可讓系統管理者完成資料統一管理。本文將以中興大學為例，簡介無線AP(Access Point)如何從經由Radius伺服器對LDAP上既有的帳號來做認證，使用者在經過驗證後取得授權後的資源，進而存取網路上的資源，無需再另申請無線上網的帳號，以達到帳號資源整合的目的。圖一 使用者面對不同服務申請不同帳號貳、LDAP簡介Lightweight Directory Access Protocol (LDAP)2，顧名思義LDAP是輕量級版本的DAP（Directory Access Protocol)，DAP是網路目錄服務標準X.500的一部分，將目錄定義為階層式架構以存放大量的資訊。而LDAP是X.500的簡化版本， LDAP不同於X.500的OSI的七層架構而是採用TCP/IP圖(二)。圖二 X.500 vs LDAP網路中，目錄可協助尋找特定物件的位置。在TCP/IP網路(including the Internet)中相對於特定網路位置的網名，構成的是目錄系統我們則稱為網域名稱系統（DNS）。LDAP中可以儲存許多的物件，每一個物件代表某一筆資料。當然，LDAP裡不會只有一筆資料存在，資料量可能小則幾百筆，大則上萬筆皆有可能。而這龐大的資料通常都被儲存在LDAP的目錄資訊樹(Directory Information Tree，DIT)。從根目錄下，細分國家、地區、組織、小組織及個人，每當我們透過LDAP搜尋資料時，LDAP便會從目錄資訊樹的根目錄開始搜尋該資料(圖三)。LDAP除了使用目錄資訊樹來儲存資料外，並使用OU(Organization Unit)來儲存LDAP物件資料，另外使用DN(Distinguish Name)來識別LDAP物件的名稱與DNS中的FQDN(Fully Qualified Domain Name)有著異曲同工之妙。 圖三 LDAP的樹狀架構參、FreeRADIUSFreeRADIUS 3是標準化且具有特色的RADIUS( Remote Access Dial In User Service)伺服器， RADIUS它允許網路訪問伺服器（NAS）執行對用戶的驗證、授權和記帳(AAA， Authentication、Authorization、Accounting)。不同等級的Authentication requests可以觸發不同的Authentication及Authorization資料庫，且 Accounting records可以同時記錄在多個不同的資料庫上。也就是說使用者輸入的身份與密碼，在驗證通過之後，經由Authorization授權使用者登入網域使用相關資源，並提供Accounting機制，保存使用者的網路使用記錄。以麥當勞與中華電信合作的例子來說，所提供之無線熱點（Hotspot）的寬頻上網服務，使用者利用中華電信HiNet撥接、ADSL客戶或會員、行動電話客戶的帳號及密碼於麥當勞進行無線上網，而中華電信每月將使用者的使用記錄加以統計，再將其通信費用合併於各項帳單進行收費。一、 Authorization methods FreeRadius所支援的 Authorization的methods如下: Local files Local DB/DBM database LDAP Database o Novell eDirectory o Sun One Directory Server o OpenLDAP o Any LDAPv3 compliant directory A locally executed program (like a CGI program) Perl program Python program SQL Database o Oracle o MySQL o PostgreSQL o Sybase o IBM DB2 o Any iODBC or unixODBC supported database 二、 Authentication methods 下列驗証型態為部份伺服器所支援的一些方法: Clear-text password in local configuration file (PAP) Encrypted password in local configuration file CHAP MS-CHAP MS-CHAPv2 Windows Domain Controller Authentication (via ntlm_auth and winbind) Proxy to another RADIUS server System authentication (usually through /etc/passwd) PAM (Pluggable Authentication Modules) LDAP (PAP only) PAM (PAP only) CRAM Perl program Python program SIP Digest (Cisco VoIP boxes， SER) A locally executed program. (like a CGI program.) Netscape-MTA-MD5 encrypted passwords Kerberos authentication X9.9 authentication token (e.g. CRYPTOCard) EAP wireless with embedded authentication methods o EAP-MD5 o Cisco LEAP o EAP-MSCHAP-V2 (as implemented by Microsoft)， o EAP-GTC o EAP-SIM o EAP-TLS o EAP-TTLS (with any authentication protocol inside of the TLS tunnel) o EAP-PEAP (with tunnelled EAP ) 三、 Accounting methods Accounting records可以同時記錄許多不同的儲存資料庫，以下列出FreeRADIUS所支援的logging methods: Local detail files Local wtmp and utmp files Proxy to another RADIUS server Replicate to one or more RADIUS servers SQL Database o Oracle o MySQL o PostgreSQL o Sybase o DB2 o Any iODBC or unixODBC supported database Call external application synchronously or asynchronously 肆、FreeRADIUS整合OpenLDAP一、組成架構本文即是介紹如何將Authentication的對象指向OpenLDAP，以達到帳號單一化的目標。將如圖的網路架構所示，我們希望使用者只要輸入LDAP上的帳號密碼(E-mail)就可以取得無線網路的存取權，即便他過去並未申請無線網路的帳號。圖四 LDAP與RADIUS之網路架構二、組態設定本文假設系統中己安裝OpenLDAP與FreeRADIUS服務，針對二者之間的整合必需調整以下幾個設定檔:(1) radiusd.conf # Lightweight Directory Access Protocol (LDAP) # This module definition allows you to use LDAP for # authorization and authentication (Auth-Type := LDAP) # See doc/rlm_ldap for description of configuration options # and sample authorize and authenticate blocks 首先必需針對radiusd.conf將LDAP的相關資訊寫入 # Lightweight Directory Access Protocol (LDAP) # This module definition allows you to use LDAP for # authorization and authentication (Auth-Type := LDAP) # See doc/rlm_ldap for description of configuration options # and sample authorize and authenticate blocks ldap #以下需填入LDAP Server的相關資訊 server = localhost identity = cn=xxxxxx，dc=xxxx，dc=xxxx，dc=tw password = xxxxxxxx basedn = dc=xxxx，dc=xxxx，dc=xxx filter = (&(!(objectClass=alias)(uid=%Stripped-User-Name:-%User-Name) start_tls = nodictionary_mapping = $raddbdir/ldap.attrmap ldap_connections_number = 5 ldap_connections_number = 5 password_header = crypt password_attribute = userPassword timeout = 4 timelimit = 3 net_timeout = 1 (2) proxy.conf指定所要接受的領域名稱4# This realm is for ALL OTHER requests.#realm DEFAULT # type = radius# authhost = :1600# accthost = :1601# secret = testing123#realm .tw type = radius authhost = LOCAL accthost = LOCAL secret = nchu secretkey = nchu(3)clients.confclient secret = nchu shortname = localhost nastype = other # localhost isnt usually a NAS.client /16 secret = nchu shortname = radius三、測試我們針對在clients.conf中所定義的資訊及LDAP中既有的帳號直在本機上直接使用radtest這個指令做測試。 # radtest .tw test localhost 0 nchu或透過AP上的WEB連線認證畫面上輸入帳號及密碼，並觀察radius.log看看是否認證成功。Mon Apr 17 10:15:55 2006 : Auth: Login OK: .tw (from client raduius port 0 cli 00-0C-F1-21-63-87)如果在本機測試上沒有問題則可在Client進行測試，如果無法認證成功時則得查驗AP設定檔在 Authentication method的部份是否正確。如果一切測試皆沒問題則可大功告成。伍、結論本文以FreeRadius為例簡介如何將服務與OpenLdap上的電子郵件帳號相互整合，其目的在於加強眾多帳號的管理性。如此一來資訊人員不必面對眾多