Identity Management con Red Hat Directory Server

di Luigi Santangelo

scritto il

Gestione semplice di terminali e utenti con i Directory Server: focus su RedHat e Fedora.

Sistemi informativi con differenti modalità di autenticazione, gestione delle autorizzazioni molto complessa, utenti costretti a “tentare” più volte le credenziali prima di accedere ai dati: è lo scenario tipico delle imprese prive di un servizio di directory per gestire gli accessi alle risorse. Questi sistemi di backend per l’Identity Management garantiscono risposte rapide alle operazioni di lettura e gestiscono informazioni su dispositivi hardware (dislocazione, data di acquisto, numero di serie…), impiegati (anagrafica, email…) o contatti (nomi, consegne, fatturazione…).

Tra quelli disponibili in commercio spicca Red Hat Directory Server, soluzione altamente scalabile, e performante, con una interfaccia grafica molto intuitiva che semplifica l’amministrazione e la gestione dei privilegi di accesso alle informazioni. Si basa su OpenLdap – implementazione open source del protocollo LDAP, utilizzato per l’interrogazione e la modifica dei servizi di directory – e si compone di due servizi principali: Admin Server per scopi amministrativi e Directory Server per i servizi di autenticazione e autorizzazione utenti.Le informazioni (entry) vengono memorizzate in una struttura ad albero composta da unità organizzative, nelle quali collocare le risorse (oltre che da interfaccia, per gli appassionati della shell è possibile eseguire le operazioni interamente da riga di comando).

Di default le connessioni avvengono in chiaro, ma Red Hat Directory Server supporta anche quelle tramite protocollo LDAPS (LDAP over SSL e TLS, che forniscono un layer di cifratura). Per abilitarla è necessario creare un certificato per il server: ci si può rivolgere a una Authority riconosciuta (es.: VeriSign, Thawte…), o utilizzare un certificato rilasciato da un’infrastruttura self-signed.

Una delle caratteristiche più interessanti di RHDS è la possibilità di sincronizzare gli utenti con Active Directory di Microsoft Windows, responsabile dell’autenticazione e autorizzazione degli utenti e dei computer appartenenti a un dominio di Windows. La sincronizzazione di utenti, gruppi e password viene eseguita da Directory Server Windows Sync e Password Sync Service. Il primo permette di replicare utenti e gruppi (replica bidirezionale) e password (replica unidirezionale dal Directory Server all’Active Directory); il secondo sincronizza solo le password dell’Active Directory eventualmente modificate dall’utente (replica unidirezionale).

Ogni modifica su utenti, gruppi e password del Directory Server viene mantenuta in un changelog, registro che memorizza gli update agli attributi delle entry e successivamente replicati sull’Active Directory. Per rendere questo processo bidirezionale, ogni cinque minuti il Directory Server Windows Sync esegue delle search sull’AD per individuare eventuali modifiche a utenti e gruppi: in caso di differenze di informazioni procederà con l’aggiornamento del DB di backend.  La comunicazione tra i due sistemi deve necessariamente avvenire su canale cifrato, altrimenti Active Directory non consentirà l’update delle password. Eventuali modifiche di password intercettate dal Directory Server, verranno replicate sul RedHat Directory Server grazie alla utility PassSync da installare sulla macchina Windows per rendere bidirezionale la di sincronizzazione.

Per garantire disponibilità e performance, RHDS supporta differenti modalità di replica automatica. Il sistema permette di configurare più scenari per altrettante strategie di replica:

  • single-master: su un unico repository master (supplier) vengono eseguite operazioni di lettura e scrittura e uno o più slave (consumer) che ricevono dal supplier gli aggiornamenti, ma ai dati si accede in sola lettura.
  • multi-master: due o più supplier si scambiano dati a vicenda e si accede ai dati in lettura e scrittura.
  • a cascata: un hub supplier (elemento ibrido, simile a un consumer ma con al suo interno un changelog come per i supplier) riceve gli aggiornamenti dal supplier e li replica sui consumer.

Le tre configurazioni possono essere combinate tra loro dando vita a una ambiente misto in cui vengono implementate differenti strategie.

Attualmente il prodotto è disponibile anche sotto licenza GPL col nome di Fedora Directory Server (FDS) e rappresenta una delle migliori soluzioni di identity management sul mercato.  Al momento Red Hat Directory Server è giunto alla versione 9.1 mentre FDS alla release 1.3.2.3.