Embed Size (px)
Citation preview
LDAPLightweight Directory Access Protocol
Diego Leon Gil BarrientosFicha: 464327
¿Qué es LDAP?• El Protocolo ligero de acceso a directorios (en inglés,
Lightweight Directory Access Protocol, LDAP) es un conjunto de protocolos abiertos usados para acceder información guardada centralmente a través de la red. Está basado en el estándar X.500 para compartir directorios, pero es menos complejo e intensivo en el uso de recursos. Por esta razón, a veces se habla de LDAP como "X.500 Lite." El estándar X.500 es un directorio que contiene información de forma jerárquica y categorizada, que puede incluir nombres, directorios y números telefónicos.
Como X.500, LDAP organiza la información en un modo jerárquico usando directorios. Estos directorios pueden almacenar una gran variedad de información y se pueden incluso usar de forma similar al Servicio de información de red (NIS), permitiendo que cualquiera pueda acceder a su cuenta desde cualquier máquina en la red acreditada con LDAP.
¿Cómo se originó?
• El objetivo del protocolo LDAP, desarrollado en 1993 en la Universidad de Michigan, fue reemplazar al protocolo DAP (utilizado para acceder a los servicios de directorio X.500 por OSI) integrándolo al TCP/IP. Desde 1995, DAP se convirtió en LDAP independiente, con lo cual se dejó de utilizar sólo para acceder a los directorios tipo X500. LDAP es una versión más simple del protocolo DAP, de allí deriva su nombre Protocolo compacto de acceso a directorios.
¿Cuál es su objetivo principal?
Define el método para acceder a datos en el servidor a nivel cliente pero no la manera en la que se almacena la información.
¿Cuáles son sus ventajas?
• Se puede consolidar información para toda una organización dentro de un repositorio central. Por ejemplo, en vez de administrar listas de usuarios para cada grupo dentro de una organización, puede usar LDAP como directorio central, accesible desde cualquier parte de la red.
• Puesto que LDAP soporta la Capa de conexión segura (SSL) y la Seguridad de la capa de transporte (TLS), los datos confidenciales se pueden proteger de los curiosos.
Mas Ventajas…
• LDAP también soporta un número de bases de datos back-end en las que se guardan directorios. Esto permite que los administradores tengan la flexibilidad para desplegar la base de datos más indicada para el tipo de información que el servidor tiene que diseminar. También, ya que LDAP tiene una interfaz de programación de aplicaciones (API) bien definida, el número de aplicaciones acreditadas para LDAP son numerosas y están aumentando en cantidad y calidad.
¿Qué aplicaciones usan los servicios de LDAP?
Existen diversas implementaciones y aplicaciones reales del protocolo LDAP:
• Active Directory
Un Servicio de Directorio es un depósito estructurado de la información de los diversos objetos que contiene el Active Directory, en este caso podrían ser impresoras, usuarios, equipos...Bajo este nombre se encuentra realmente un esquema (definición de los campos que pueden ser consultados) LDAP versión 3, lo cual permite integrar otros sistemas que soporten el protocolo. En este LDAP se almacena información de usuarios, recursos de la red, políticas de seguridad, configuración, asignación de permisos, etc.
• Novell Directory Services
También conocido como eDirectory es la implementación de Novell utilizada para manejar el acceso a recursos en diferentes servidores y computadoras de una red. Básicamente está compuesto por una base de datos jerárquica y orientada a objetos, que representa cada servidor, computadora, impresora, servicio, personas, etc. entre los cuales se crean permisos para el control de acceso, por medio de herencia. La ventaja de esta implementación es que corre en diversas plataformas, por lo que puede adaptarse fácilmente a entornos que utilicen más de un sistema operativo.
• IPlanet - Sun ONE Directory Server
Basado en la antigua implementación de Netscape, iPlanet se desarrolló cuando AOL adquirió Netscape Communications Corporation y luego conjuntamente con Sun Microsystems comercializaron software para servidores, entre ellos el iPlanet Directory Server, su implementación de LDAP... Actualmente se denomina Sun ONE Directory Server.
• OpenLDAP
Se trata de una implementación libre del protocolo que soporta múltiples esquemas por lo que puede utilizarse para conectarse a cualquier otro LDAP.Tiene su propia licencia, la OpenLDAP Public License. Al ser un protocolo independiente de la plataforma, varias distribuciones GNU/Linux y BSD lo incluyen, al igual que AIX, HP-UX, Mac OS X, Solaris, Windows (2000/XP) y z/OS.
OpenLDAP tiene cuatro componentes principales:
slapd - demonio LDAP autónomo.slurpd - demonio de replicación de actualizaciones LDAP autónomo.Rutinas de biblioteca de soporte del protocolo LDAP.Utilidades, herramientas y clientes.
• Red Hat Directory Server
Directory Server es un servidor basado en LDAP que centraliza configuración de aplicaciones, perfiles de usuarios, información de grupos, políticas así como información de control de acceso dentro de un sistema operativo independiente de la plataforma.
Forma un repositorio central para la infraestructura de manejo de identidad, Red Hat Directory Server simplifica el manejo de usuarios, eliminando la redundancia de datos y automatizando su mantenimiento.
• Apache Directory Server
Apache Directory Server (ApacheDS), es un servidor de directorio escrito completamente en Java disponible bajo la licencia de Apache Software, es compatible con LDAPv3 certificado por el Open Group, soporta otros protocolos de red tal como Kerberos y NTP, además provee Procedimientos Almacenados, triggers y vistas; características que están presente en las Base de Datos Relacionales pero que no estaban presentes en el mundo LDAP.
• Open DS
Basado en los estándares LDAPv3 y DSMLv2, OpenDS surgió como un proyecto interno de SUN, aunque posteriormente se puso a disposición de la comunidad. Está desarrollado en JAVA y precisa de un entorno de ejecución para funcionar. Es multiplataforma.
¿Cuál es la arquitectura de LDAP?
¿Cómo funciona LDAP?
El servicio de directorio LDAP se basa en un modelo cliente-servidor. Uno o más servidores LDAP contienen los datos que conforman el árbol del directorio LDAP o base de datos troncal. El cliente ldap se conecta con el servidor LDAP y le hace una consulta. El servidor contesta con la respuesta correspondiente, o bien con una indicación de dónde puede el cliente hallar más información (normalmente otro servidor LDAP). No importa con qué servidor LDAP se conecte el cliente: siempre observará la misma vista del directorio; el nombre que se le presenta a un servidor LDAP hace referencia a la misma entrada a la que haría referencia en otro servidor LDAP.
¿Qué es un objeto dentro de LDAP?Los objetos de directorio se componen de un conjunto de atributos: Estos son los contenidos reales de datos, que son - unidos al objeto referente - almacenados en la base de datos de directorio. No todos los posibles atributos tienen que ser llenados con datos reales. Por otro lado muchos de los atributos de los objetos puede constar de varios valores en una matriz.
¿Cuáles son los RFC que definen LDAP?BIND Lista RFC - Una lista más completa administrada en el sitio web de BIND
RFC1487 -- X.500 Lightweight Directory Access Protocol (obsoleted by RFC 1777) RFC 1558 -- A String Representation of LDAP Search Filters (obsoleted by RFC 1960) RFC 1777 -- Lightweight Directory Access Protocol RFC 1778 -- The String Representation of Standard Attribute Syntaxes RFC 1779 -- String Representation of Distinguished Names RFC 1959 -- An LDAP URL Format (obsoleted by RFC 2255) RFC 1960 -- A String Representation of LDAP Search Filters (obsoleted by RFC 2254)
LDAPV3
RFC 2251 -- Lightweight Directory Access Protocol (v3) RFC 2252 -- Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions RFC 2253 -- UTF-8 String Representation of Distinguished NamesRFC 2254 -- The String Representation of LDAP Search Filters RFC 2255 -- The LDAP URL Format RFC 2256 -- A Summary of the X.500(96) User Schema for use with LDAPv3
Compare LDAP con directorio activo: Semejanzas y Diferencias
• Active Directory es un sistema basado en la base de datos que proporciona autenticación, directorio, la política, y otros servicios en un entorno Windows
• LDAP (Lightweight Directory Access Protocol) es un protocolo de aplicación para consultar y modificar los elementos de los proveedores de servicios de directorio como Active Directory, lo que es compatible con una forma de LDAP.
AD es una base de datos de servicios de directorio y LDAP es uno de los protocolos que
puede utilizar para hablar con él.
Active Directory vs OpenLDAP
OpenLDAP se podría llamar un servidor LDAP genérico similar a los servidores LDAP de muchos otros proveedores. Active Directory es un poco más personalizada para una suite de Microsoft producto (es decir: la ejecución de un dominio de Microsoft). Hay pros y los contras de cada uno.
OpenLDAP está vacío después de la instalación y no tiene una estructura (denominada DIT). Ni siquiera tiene una entrada "top" de la caja. AD va a con una estructura básica y cuenta con las herramientas de la GUI listo para empezar a poblar los usuarios.
OpenLDAP espera de usted para crear el DIT a mano por lo que tendrá que diseñar una estructura. Así que tendrás que planificar dónde va a poner sus usuarios, grupos, roles y pensar en las ACL o delegación rama si eres proyecto implica cosas como esas.
Cuáles servicios necesita LDAP para funcionar.
En LDAP se pueden distinguir cuatro modelos que representan los servicios que proporciona un servidor LDAP vistos por el cliente.
- El modelo de información : establece la estructura y los tipos de datos que tiene el directorio: esquemas, entradas, atributos, etc.Según este modelo un directorio está formado por entradas estructuradas en forma de árbol. Cada entrada estará definida por un conjunto de atributos y cada atributo está compuesto por un nombre y su valor.
-El modelo de asignación de nombres define cómo referenciar de forma única las entradas y los datos en el árbol de directorios. Cada entrada tendrá un identificador único llamado DN (Distinguished Name). El DN se construye a partir de un RDN (relative DN) que se compone de varios atributos de la entrada, seguido de los DN de sus ancestros.
- El modelo funcional establece las operaciones para acceder al árbol de directorio: autenticación, solicitudes y actualizaciones.
- Por ultimo el modelo de seguridad establece los mecanismos que garantizan para el cliente cómo probar su identidad (autenticación) y para el servidor cómo controlar acceso (autorización)
Qué tipos de organizaciones usan LDAP
¿Cuándo se debe utilizar LDAP para almacenar sus datos?
La mayoría de los servidores LDAP están fuertemente optimizados para operaciones intensivas de lectura. Debido a esto, uno normalmente puede ver un orden de magnitud de diferencia al leer los datos de un directorio LDAP frente a la obtención de los mismos datos de un servidor de base de datos relacional optimizada para OLTP. Debido a esta optimización, sin embargo, la mayoría de los directorios LDAP no son muy adecuadas para el almacenamiento de datos en el que los cambios son frecuentes. Por ejemplo, un servidor de directorio LDAP es ideal para almacenar el directorio telefónico interno de su empresa, pero ni se te ocurra utilizarlo como un back-end de base de datos para su sitio de comercio electrónico de alto volumen.
WEBGRAFIAS
http://ldapman.org/articles/intro_to_ldap.html
http://stackoverflow.com/questions/239385/what-is-ldap-used-for
http://www.adminso.es/index.php/OPENLDAP_caracteristicas
http://docs.oracle.com/cd/E37929_01/html/E36688/ldapsecure-66.html
http://stackoverflow.com/questions/663402/what-are-the-differences-between-ldap-and-active-directory
http://tools.ietf.org/html/rfc4523
http://www.openldap.org/doc/admin24/
http://www.ldapexplorer.com/en/manual/107060000-ldap-object-classes.htm
http://www.zytrax.com/books/ldap/ape/
http://www.pearsonhighered.com/samplechapter/020178792X.pdf
https://wiki.zimbra.com/wiki/LDAP_Architecture
