LDAP: Introducció

ficoactualitzat el

15 Comentaris

Hola Amics !. Comencem una nova sèrie d'articles que esperem siguin d'utilitat. Hem decidit escriure'ls per a aquells que agraden conèixer amb quina treballen, i fer les seves pròpies implementacions sense dependre de programari propietari total, o dels que són meitat lliures i meitat comercials.

Lectura obligada és el OpenLDAP Programari 2.4 Administrator 's Guide. Sí, en anglès, perquè estem utilitzant un programari pensat i escrit en la llengua de Shakespeare. 🙂 També recomanem fortament la lectura d'el Ubuntu ServerGuide 12.04., La qual donem per a baixar.

La documentació existent està en anglès. No he trobat traduccions a l'espanyol de cap de les dues abans recomanades.

Tot l'escrit en aquesta introducció està pres de Wikipedia o traduït lliurement a l'espanyol dels documents esmentats anteriorment.

veurem:

definició resumida

De Wikipedia:

LDAP són les sigles de Lightweight Directory Access Protocol (en espanyol Protocol Lleuger d'Accés a Directoris) que fan referència a un protocol a nivell d'aplicació que permet l'accés a un servei de directori ordenat i distribuït per buscar diversa informació en un entorn de xarxa . LDAP també es considera una base de dades (encara que el seu sistema d'emmagatzematge pot ser diferent) a la qual poden realitzar-se consultes.

Un directori és un conjunt d'objectes amb atributs organitzats en una manera lògica i jeràrquica. L'exemple més comú és el directori telefònic, que consisteix en una sèrie de noms (persones o organitzacions) que estan ordenats alfabèticament, amb cada nom tenint una adreça i un número de telèfon adjunts. Per entendre millor, és un llibre o carpeta, en la qual s'escriuen noms de persones, telèfons i adreces, i s'ordena alfabèticament.

Un arbre de directori LDAP de vegades reflecteix diversos límits polítics, geogràfics o organitzacionals, depenent de el model triat. Els desplegaments actuals de LDAP tendeixen a usar noms de Sistema de Noms de Domini (DNS per les seves sigles en anglès) per estructurar els nivells més alts de la jerarquia. A mesura que es descendeix en el directori poden aparèixer entrades que representen persones, unitats organitzacionals, impressores, documents, grups de persones o qualsevol cosa que representa una entrada donada a l'arbre (o múltiples entrades).

Habitualment, emmagatzema la informació d'accés (usuari i contrasenya) i és utilitzat per autenticar encara que és possible emmagatzemar una altra informació (dades de contacte de l'usuari, ubicació de diversos recursos de la xarxa, permisos, certificats, etc.). A manera de síntesi, LDAP és un protocol d'accés unificat a un conjunt d'informació sobre una xarxa.

La versió actual és LDAPv3, i es troba definit en els RFCs RFC 2251 i RFC 2256 (document base de LDAP), RFC 2829 (mètode d'autenticació per LDAP), RFC 2830 (extensió per TLS), i RFC 3377 (especificació tècnica) .

Algunes implementacions LDAP:

Active Directory: És el nom utilitzat per Microsoft (des de Windows 2000) com a magatzem centralitzat d'informació d'un dels seus dominis d'administració. Un Servei d'Directori és un dipòsit estructurat de la informació dels diversos objectes que conté l'Active Directory, en aquest cas podrien ser impressores, usuaris, equips ... Utilitza diferents protocols (principalment, LDAP, DNS, DHCP, Kerberos...).

Sota aquest nom es troba realment un esquema (definició dels camps que poden ser consultats) LDAP versió 3, la qual cosa permet integrar altres sistemes que suportin el protocol. En aquest LDAP s'emmagatzema informació d'usuaris, recursos de la xarxa, polítiques de seguretat, configuració, assignació de permisos, etc.

Serveis de directoris de Novell: També conegut com eDirectory és la implementació de Novell utilitzada per gestionar l'accés a recursos en diferents servidors i ordinadors d'una xarxa. Bàsicament està compost per una base de dades jeràrquica i orientada a objectes, representant cada servidor, ordinador, impressora, servei, persones, etc. entre els quals es creen permisos per al control d'accés, per mitjà d'herència. L'avantatge d'aquesta implementació és que corre en diverses plataformes, pel que pot adaptar-se fàcilment a entorns que utilitzin més d'un sistema operatiu.

És el precursor en matèria d'estructures de Directori, ja que va ser introduït en 1990 amb la versió de Novell Netware 4.0. Encara que AD de Microsoft va aconseguir major popularitat, encara no pot igualar la fiabilitat i qualitat de eDirectory i la seva capacitat Multiplataforma.

OpenLDAP: Es tracta d'una implementació lliure de el protocol que suporta múltiples esquemes pel que pot utilitzar-se per connectar-se a qualsevol altre LDAP. Té la seva pròpia llicència, la OpenLDAP Public License. A l'ésser un protocol independent de la plataforma, diverses distribucions GNU / Linux i BSD ho inclouen, a l'igual que AIX, HP-UX, Mac OS X, Solaris, Windows (2000 / XP) i z / OS.

OpenLDAP té quatre components principals:

  • slapd - dimoni LDAP autònom.
  • slurpd - dimoni de replicació d'actualitzacions LDAP autònom.
  • Rutines de biblioteca de suport de l'protocol LDAP
  • Utilitats, eines i clients.

Característiques principals de LDAP des de la perspectiva de l'usuari

Quin tipus d'informació podem emmagatzemar en un Directori?. El model de la informació en un directori LDAP es basa en entrades. Una entrada és una col·lecció d'atributs que posseeix un únic Nom Distingit o «Distinguished Name (DN)». El DN s'utilitza per referir-se a l'entrada de manera unívoca.

Cada atribut d'una entrada té un tipus i un o més valors. Els tipus són típicament cadenes mnemotècniques com cn o «Common Name» per als noms comuns, o correu per a les adreces de correu electrònic. La sintaxi dels valors depèn de el tipus d'atribut.

Per exemple, un atribut cn pot contenir el valor de Frodo Bagins. un atribut correu pot tenir el valor frodobagins@amigos.cu. un atribut jpgePhoto pot contenir una foto al format binari JPEG.

Com està organitzada la informació?. En LDAP, les entrades de directori s'organitzen en una estructura jeràrquica en forma d'arbre invertit. Tradicionalment, aquesta estructura reflecteix les fronteres o límits geogràfics i / o organitzatius.

Les entrades que representen els països apareixen a la part superior de l'arbre. A sota d'elles hi haurà les entrades que representen a estats i organitzacions nacionals.

Després hi pot haver entrades que representin unitats organitzatives, persones, impressores, documents, o qualsevol altra cosa que siguem capaços de pensar.

La figura a continuació és un exemple de l'arbre d'un directori LDAP en què s'utilitzen els noms tradicionals.

Diagrama1

LDAP permet el control de quins atributs necessitem per a una entrada mitjançant l'ús d'un atribut especial denominat objectClass. El valor de l'atribut objectClass determina les Regles de l'Esquema o Schema Rules que l'entrada ha d'obeir.

Com fem referència la informació?. Fem referència a una entrada mitjançant el seu Nom Distingit o Nom distingit, El qual es construeix a partir de el nom de l'entrada en si mateixa (anomenada Nom Relatiu Distingit o Nom distingit relatiu o RDN), Concatenada amb el nom de les entrades dels seus ancestres o antecessors.

Per exemple, a la figura anterior l'entrada Frodo Bagins té un RDN cn = Frodo Bagins i la seva DN complet és cn = Frodo Bagins, ou = Anells, o = Amics, st = Havana, c = cu.

¿Com accedim a la informació?. LDAP té definides les operacions necessàries per interrogar i actualitzar el directori. Entre elles es consideren les operacions d'afegir i esborrar una entrada, modificar una entrada existent, i canviar el nom d'una entrada.

No obstant això, la major part de el temps LDAP s'utilitza per buscar informació emmagatzemada en el directori. Les operacions de recerca permeten que en una porció de directori es busquin entrades que compleixin amb algun criteri especificat en el filtre de cerca. D'aquesta manera podem buscar a cada entrada que va complir amb el criteri de cerca.

Com protegim la informació d'accessos no autoritzats?. Alguns serveis de directoris no tenen protecció i permeten que qualsevol persona consulti el seu informació.

LDAP proveeix un mecanisme perquè els clients s'autentiquin, o confirmeu la vostra identitat davant d'un servei de directori, amb l'objectiu de garantir un control d'accés per protegir la informació que el servidor conté.

LDAP suporta més els serveis de seguretat de dades, tant pel que fa a la integritat com a la confidencialitat.

¿Quan hem d'utilitzar LDAP?

Aquesta és una molt bona pregunta. En general, hem de fer servir el Servei de Directori quan necessitem que la informació sigui emmagatzemada i administrada de forma centralitzada, i que es pugui accedir a ella mitjançant mètodes basats en estàndards.

Alguns exemples de tipus d'informació que trobem en l'ambient empresarial i industrial:

  • Autenticació de Màquines
  • Autenticació d'Usuaris
  • Usuaris i Grups de el Sistema
  • Llibreta d'Adreces
  • representacions Organitzatives
  • Seguiment de Recursos
  • Magatzem d'Informació Telefònica
  • Administració de Recursos d'Usuaris
  • Cerca de Direccions de Correu
  • Magatzem de Configuracions d'Aplicacions
  • Magatzem de Configuracions de plantes telefòniques PBX
  • etcètera ...

Hi ha diversos Arxius de Esquemes Distribuïts -Distributed Schemas Files- basats en estàndards. No obstant això, sempre podem crear la nostra pròpia Especificació d'Esquema ... quan siguem Experts en LDAP. 🙂

¿Quan no hem d'utilitzar LDAP?

Quan ens adonem que estem retorçant o forçant el nostre LDAP per a que faci el que necessitem. En aquest cas, tal vegada sigui necessari dissenyar-novament. O si necessitem que una sola aplicació utilitzi i manipuli les nostres dades.

¿Quins serveis i programari tenim planejat instal·lar i configurar?

  • Servei de Directori o Directory Service basat en OpenLDAP
  • Serveis NTP, DNS y DHCP independents
  • integrar Samba a l'LDAP
  • Possiblement desenvoluparem la integració de LDAP y Kerberos
  • Administrar el Directori amb l'aplicació web Ldap Account Manager.

I això és tot per ara, amics !.

Fonts consultades:

  • https://wiki.debian.org/LDAP
  • OpenLDAP Programari 2.4 Administrator 's Guide
  • Ubuntu 12.04 serverguide

15 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Oscar va dir
    fa 10 anys

    FreeIPA crec que és un projecte integral (LDAP, Kerberos, DNS, etc.) interessant a estudiar, basat en el servidor LDAP 389.

    Respondre a Oscar
  2.   Guido Rolon va dir
    fa 10 anys

    Per començar els liks dels PFS no funcionen. M'interessa molt educar-me en ldap. Gràcies per compartir.

    Respondre a Guido Rolon
    1.    ILAV va dir
      fa 10 anys

      Corregits els enllaços.

      Respondre a ILAV
  3.   eliotime3000 va dir
    fa 10 anys

    Interessant.

    Respondre a eliotime3000
  4.   usemoslinux va dir
    fa 10 anys

    Et vas passar fic, un cop més!
    Gran aportació.
    Abraçada! Pau.

    Respondre a usemoslinux
  5.   federico va dir
    fa 10 anys

    Gràcies a tots per fer comentaris !!!. No vaig poder connectar-me abans amb el meu mòdem a 28000 bauds / segon. Que classe de velocitat. 🙂
    Salutacions a tots

    Respondre a federico
  6.   federico va dir
    fa 10 anys

    Moltes Gràcies a Tots per comentar !!!. Ozkar, FreeIPA és molt més que un LDAP. Integra a l'Active Directory 389 de Red Hat amb tot un seguit de serveis relacionats. És un animal de projecte de Fedora. Massa immens per als meus modestos coneixements.

    Respondre a federico
  7.   TheSandman86 va dir
    fa 10 anys

    Excel·lent article, em ve com anell a el dit ja que estava planejant interiorizarme en aquests temes, espero amb ànsies nous articles.

    Respondre a TheSandman86
  8.   Euphoria va dir
    fa 10 anys

    Moltes gràcies per compartir, amb això i el de ClearOS tinc per estona 🙂

    Respondre a Euphoria
  9.   vidagnu va dir
    fa 10 anys

    Excel·lent tutorial, també ja descarregui el llibre de Ubunto, gràcies!

    Respondre a vidagnu
    1.    vidagnu va dir
      fa 10 anys

      Ubuntu jejjeej encara estic adormit ...

      Respondre a vidagnu
  10.   alunat va dir
    fa 10 anys

    encara que faltant-li el respecte al teu treball fic, ho he llegit per sobre i si vaig entendre tot molt malament o masomenos bé es pot entendre en aquest acudit:
    «Però si em faig capo capo d'open-ldap em desenvolupament meva cercador web i tremola google!»

    Respondre a alunado
    1.    alunat va dir
      fa 10 anys

      gràcies pel esfuerzito i llàstima que no alla material en espanyol. mmm ...

      Respondre a alunado
    2.    alunat va dir
      fa 10 anys

      Fico, fijate si aquesta guia en espanyol serveix per afegir-la a l'material ...

      http://www.google.com.ar/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CEwQFjAD&url=http%3A%2F%2Felpuig.xeill.net%2Fdepartaments%2Finformatica%2Ffitxers%2Fsistemes-operatius%2Fcurso-de-ldap-en-gnu-linux%2Fat_download%2Ffile&ei=NwXgUrIOxLaRB4LHgYgG&usg=AFQjCNGj7BjNtzfdlu1gsl3YSWK1U1ELpw&sig2=aKABXgHookIGYhYXevUQew&bvm=bv.59568121,d.eW0

      Respondre a alunado
  11.   edgar va dir
    fa 10 anys

    Ara avançant una mica segueixo llegint els post de la pàgina https://blog.desdelinux.net/ldap-introduccion/ voldria que em aclarís una mica a què es refereix amb Autenticació de Màquines aquest punt no ho tinc clar i estic molt entusiasmat amb això de OpenLdap ja li he dedicat diverses hores de lectura a aquest blog però vull poder dominar els tòpics i conceptes per això la meva intervenció en les seves activitats per endavant moltes gràcies senyor Fico continuem en contacte salutacions

    Respondre a edgar