Learning Directory 2000/09/16 이니텍 보안기술연구소 권용철

Goal Directory 의 개념을 이해해보도록 노력해 본다 LDAP 으로 검색 정도는 할 줄 아는 소양 을 기른다

What is Directory? Directory Noun. 주소 성명록 X.500 : X.400 을 구현하기 위해 만들어진 일 종의 distributed DB Directory 를 이루는 entry 들에 주소로 접근 Object Oriented 관점에서 실 세계를 표현할 수 있는 가장 강력한 수단

At the Beginning … Requirement of X.400 Naming person ’ s address Search, Add, Remove, Modify address organizing hierarchically because it ’ s more intuitive That ’ s exactly same as Phone Book!!

Directory 에 관련된 용어 DIT Entry Attribute Schema DN & RDN

DIT DIT : Directory Information Tree 정보를 가지고 있는 Entry 혹은 Object 들의 집합체 구조는 n-ary tree 로서, DIT 에서의 관계를 설명하는 데는 tree 자료구조의 표현을 그대 로 따른다

Entry Entry : DIT 를 구성하는 단위. Object 라 불리기도 한다 Entry 는 여러 가지 속성 (Attribute) 로 구성 되며, 이 속성들에 따라서 다른 Entry 와 구별된다

Attribute Attribute : Entry 에 의미를 부여하는 정보 Attribute 는 Attribute 의 종류를 나타내는 type 과 그 값을 나타내는 value 들로 정의 된다. Entry 는 objectclass 라는 attribute 를 반드 시 가져야 한다

Schema Schema : a syntax of DIT Schema 는 DIT 에서 사용될 objectclass 의 설계도, attribute 의 이름과 값에 대한 정의, 그리고 기타 필요한 여러 가지 정 보들에 대한 설계도를 말한다. Schema checking = Syntax checking

Sample Schema Attribute Definition ( NAME 'creatorsName' EQUALITY distinguishedNameMatch SYNTAX SINGLE-VALUE NO-USER-MODIFICATION USAGE directoryOperation )

Sample Schema Object Class objectclass person requires objectClass, sn, cn allows description, seeAlso, telephoneNumber, userPassword

난 흑인이야 나도 흑인이야 Me too So am I 사람의 이름은 … ? ????

난 Smith 난 Eric 난 Martin 난 Robert 난 Rocky 사람의 이름은 …

DN & RDN DN : distinguished name RDN : relative distinguished name DN 은 DIT 내에서 유일하게 한 Entity 를 가리키는 이름. RDN 은 sibiling 사이에서 유일하게 한 Entity 를 가리키는 이름

DN & RDN (continued) Entry 의 이름은 Entry 가 가지고 있는 임의 attribute 의 값이 될 수 있다. RDN 의 경우에는 sibiling entry 사이에서 현 entry 가 가지고 있는 유일한 attribute&value 의 집합으로 나타낼 수 있다. DN 은 DIT 의 Root Entry 로 부터 특정 Entry 를 포함하는 경로 상에 있는 Entry 들의 RDN 의 열 거이다 (not 집합 )

Sample DIT Entry CN= 권용철,OU= 학부생, OU= 전산학과, O= 한국과학기술원, L= 대전광역시,C=KR

Directory 의 강점 분산 환경에 적합하다 Replication Referral Scalable High performance Logical DataBase Connectivity with CORBA and JAVA …

Object Oriented DIT 를 구성하는 Entry 는 Object ObjectClass : Entry 의 설계도 Structural Class Entry 의 주된 속성을 표현 Auxiliary Class – like interface in JAVA Entry 의 부가적인 속성을 표현

Object Oriented – Example Initech is organization(company), but now it does CA service. How can we make entry of Initech in DIT? Objectclass organization + Objectclass Certification Authority = Organization & Certification Authority

X.500 DAP and LDAP X.500 DAP DAP : Directory Access Protocol Too heavy to use(full ASN.1 BER encoding, etc) LDAP Light-weight Directory Access Protocol Protocol carried directly over TCP or other transport Use direct string encoding rather than BER encoding as many as possible LDAP is subset of DAP

Compare DAP & LDAP DN encoding SEQUENCE { SET { SEQUENCE { OBJECT IDENTIFIER ( ) PRINTABLE STRING ‘ KR ’ } SEQUENCE { OBJECT IDENTIFIER ( ) PRINTABLE STRING ‘ Initech, Inc ’ } When DER encoded, it ’ s 34 byte. And complex encoding process. O= “ Initech, Inc ”,C=KR It ’ s 21 byte. And simple encoding process.

Directory 어디까지 왔나 ? Many Directory enabled applications Internet Explorer, Netscape Communicator, Eudora, etc Sendmail/named/ … – support LDAP as backend DataBase Various language support LDAP(ex. PHP/MFC/JAVA/Perl/ … ) Backend Repository of Intranet or Internet Service

Directory 로 검색을 해 보자 ! 준비물 : Netscape Navigator or IE LDAP URL Search filter Ldap://ldap.host.name:port/ou=search,o=b ase?returnattributelist?searchmethod?sear chfilter Searchmethod : one,base,sub Searchfilter : prefix expression Operators : &,|,!,>=,<=,~=,=,*

검색 예제 Ldap://venus.initech.com/o=initech,c=kr??sub?(&(m ail=*initech*)(cn=* 용철 )) Ldap://venus.initech.com/o=initech,c=kr??one?(|(cn = 이 *)(cn= 김 *)) Ldap://venus.initech.com/ou=people,o=initech,c=kr? ?sub?(&(cn= 김 *)(!(mail=*initech*)))

References RFC-2251 LDAP v3 를 필두로 RFC 줄줄 이 … IETF LDAP working group