(60 horas) Teora, Gua de prcicas ! e"ercicios Pgina 1 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Creative Commons Reconocimiento-No comercial-Compartir bajo la misma licencia 3.0 Used es #i$re de% copia! disti"#i $ epod#ci p%"&icamente &a o"a 'ace o"as deivadas &a"o #as si'uienes condiciones% (econoci)ieno( De"e econoce &os c)ditos de &a o"a de &a manea especi*icada po e& a#to o e& &icenciante +peo no de #na manea ,#e s#giea ,#e tiene s# apo$o o apo$an e& #so ,#e 'ace de s# o"a-( No co)ercia#( .o p#ede #ti&i/a esta o"a paa *ines comecia&es( Co)parir $a"o #a )is)a #icencia( Si a&tea o tans*oma esta o"a! o genea #na o"a deivada! s0&o p#ede disti"#i &a o"a geneada "a1o #na &icencia id)ntica a )sta( A& e#ti&i/a o disti"#i &a o"a! tiene ,#e de1a "ien c&ao &os t)minos de &a &icencia de esta o"a( A&g#na de estas condiciones p#ede no ap&icase si se o"tiene e& pemiso de& tit#&a de &os deec'os de a#to .ada en esta &icencia menosca"a o estinge &os deec'os moa&es de& a#to( Los derechos deri*ados de usos #e'i)os u oras #i)iaciones reconocidas por #e! no se *en a+ecados por #o anerior, 2sto es #n es#men *ci&mente &egi"&e de& te3to &ega& de vesi0n oigina& en 4dioma 4ng&)s +&a &icencia comp&eta- 'ttp566ceativecommons(og6&icenses6"$-nc-sa67(06ec6&ega&code Pgina 2 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 -ndice de conenido 8"1etivos de& c#so(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((5 Re,#isitos(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((5 4ntod#cci0n(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((9 :;#e es LDAP<(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((= Ra/ones paa #ti&i/a LDAP(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((= :;#) es #n sevicio de diectoio<((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((8 :;#) tipo de in*omaci0n se p#ede a&macena en #n diectoio<(((((((((((((((((((((((((((((((((((((10 :C0mo se a&macena &a in*omaci0n en LDAP<((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((10 :C0mo se e*eencia &a in*omaci0n en LDAP<(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((12 :C0mo se accede a &a in*omaci0n en LDAP<(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((12 :C0mo &o accede<(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((17 :C0mo potege &a in*omaci0n de accesos no a#toi/ados<(((((((((((((((((((((((((((((((((((((((((((((((17 :C0mo ta"a1a LDAP<((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((17 >(500(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((1? Di*eencias ente LDAP v2 $ v7(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((15 :;#) es SLAPD<(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((19 La vesi0n 7 de LDAP((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((19 SASL(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((1@ SLDAP +Sevido LDAP- en de"ian((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((20 Pasos paa &a insta&aci0n de SLAPD((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((20 Recon*ig#aci0n de& pa,#ete s&apd(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((20 P#e"as de &a insta&aci0n(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((25 Administaci0n de #s#aios(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2= Ceaci0n de &os ac'ivos &di*(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((28 Agega &os contenidos de &os &di*(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((28 Agega #s#aios(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((71 2&imina #n #s#aio(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((77 Agega ati"#tos((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((75 Aodi*ica #n ati"#to((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((7= Paa e&imina #n ati"#to((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((7@ Aane1o de contaseBa(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?0 Administaci0n de g#pos((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?2 A#tenticaci0n de C&ientes en &dap(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?7 Listas de acceso en LDAP((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?? Accesos #ti&i/ando D.(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?8 Pgina 7 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Cone3iones Seg#as((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?@ A%&tip&es Diectoios R)p&icas $ Cac'e((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((52 Con*ig#aci0n de sevidoes esc&avos LDAP (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((5? Po3$Ldap((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((55 Con*ig#aci0n de #n sevido Po3$Ldap((((((((((((((((((((((((((((((((((((((((((((((((((((((((((55 Pgina ? de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 .$"ei*os de# curso 4nsta&a! con*ig#a $ administa de &os sevicios "asados en LDAP( Apende &as estategias paa &a p#esta en opeaci0n de& sevico LDAP en e& poceso de migaci0n a so*tCae &i"e de &as instit#ciones de& estado( (e/uisios Re,#iee conocimientos "sicos de sopote en G.D6Lin#3( Conocimiento en &a con*ig#aci0n de &os sevicios de ed $ &a seg#idad a #n nive& "sico( A#to-motivaci0n a &a investigaci0n $ est#dio en e& campo de& so*tCae &i"e G.D6Lin#3( Pgina 5 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 0nroducci1n 2sta es #na g#Ea pactica paa &a imp&ementaci0n de LDAP( Compende desde &a insta&aci0n 'asta &a p#esta a p#nto de& sevicio( Como po e1emp&o! &a con*ig#aci0n de& sevicio de modo seg#o con a#tenticaci0n de &os c&ientes ante e& sevido! como se accede a &os datos! &a administaci0n! taeas como aBadi o e&imina #s#aios $ g#pos! agega! e&imina $ cam"ia ati"#tos! ente otos( Se espea ,#e sea de gan #ti&idad a &a 'oa de imp&ementa e& sevicio en s# sitio de ta"a1o( Pgina 9 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 23ue es LDAP4 La inicia&es LDAP en ing&)s signi*ica Lightweight Directory Access Protocol (LDAP-F tad#cido a& espaBo& s# signi*icado es5 Protocolo Ligero para Acceder al Servicio de Directorio! )sta imp&ementaci0n se "asa en e& estnda >(500! e& c#a& es #n con1#nto de estndaes de edes de comp#tadoas de &a 4TD-T so"e e& sevicio de diectoios( LDAP se e1ec#ta so"e TCP/IP o so"e otos sevicios de tans*eencia oientado a cone3i0nF ,#e pemite e& acceso a &a data de #n diectoio odenado $ disti"#ido paa "#sca in*omaci0n( Ga"it#a&mente se a&macena in*omaci0n de &os #s#aios ,#e con*oman #na ed de comp#tadoes! como po e1emp&o e& nom"e de #s#aio! contaseBa! diectoio 'oga! etc( 2s posi"&e a&macena oto tipo de in*omaci0n ta& como! "e"ida pe*eida! n%meo de te&)*ono ce&#&a! *ec'a de c#mp&eaBos! etc( 2n conc&#si0n! LDAP es #n potoco&o de acceso #ni*icado a #n con1#nto de in*omaci0n so"e &os #s#aios de #na ed de comp#tadoes( (a5ones para ui#i5ar LDAP A& #ti&i/a LDAP se p#ede conso&ida in*omaci0n paa toda #na ogani/aci0n dento de #n epositoio centa&( Po e1emp&o! en ve/ de administa &istas de #s#aios paa cada g#po dento de #na ogani/aci0n! p#ede #sa LDAP como diectoio centa&! accesi"&e desde c#a&,#ie pate de &a ed( P#esto ,#e LDAP sopota &a Capa de cone3i0n seg#a +SSL- $ &a Seg#idad de &a capa de tanspote +TLS-! &os datos con*idencia&es se p#eden potege de &os c#iosos( LDAP tam"i)n sopota #n n%meo de "ases de datos Hback-end en &as ,#e se a&macena &a in*omaci0n( 2sto pemite ,#e &os administadoes tengan &a *&e3i"i&idad paa desp&ega &a "ase de datos ms indicada! paa e& tipo de in*omaci0n( LDAP tiene #na inte*a/ de pogamaci0n de ap&icaciones +API- Pgina = de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 "ien de*inida! e3iste #n n%meo de ap&icaciones aceditadas paa LDAP! ests estn a#mentando en cantidad $ ca&idad! &as 'a$ en distintos &eng#a1es de pogamaci0n! ta&es como C! CII! Java! Pe&! PGP! ente otos( 23u6 es un ser*icio de direcorio4 Dn sevicio de diectoio +SD- es #na ap&icaci0n o #n con1#nto de ap&icaciones ,#e a&macena $ ogani/a &a in*omaci0n de &os #s#aios de #na ed de comp#tadoes! pemitiendo a &os administadoes gestiona e& acceso de #s#aios a &os ec#sos so"e dic'a ed( Adems! &os sevicios de diectoio act%an como #na capa de a"stacci0n ente &os #s#aios $ &os ec#sos compatidos( Los diectoios tienden a contene in*omaci0n desciptiva "asada en ati"#tos $ tienen capacidades de *i&tado m#$ so*isticada( Los diectoios genea&mente no sopotan tansacciones comp&icadas ni es,#emas de v#e&ta ats +"oll #ack- como &os ,#e se enc#entan en &os sistemas de "ases de datos diseBados paa mane1a gandes $ comp&e1os vo&%menes de act#a&i/aciones( Las act#a&i/aciones de &os diectoios son noma&mente cam"ios simp&es( Dn sevicio de diectoio no de"eEa con*#ndise con e& epositoio de diectoio! ,#e es &a "ase de datos! esta es &a ,#e contiene &a in*omaci0n so"e &os o"1etos nom"ados! gestionado po e& sevicio de diectoio( 2& sevicio de diectoio popociona &a inte*a/ de acceso a &os datos ,#e se contienen en #nos o ms espacios de nom"e de diectoio( La inte*a/ de& sevicio de diectoio es &a encagada de gestiona &a a#tenticaci0n de &os accesos a& sevicio de *oma seg#a! act#ando como a#toidad centa& paa e& acceso a &os ec#sos de sistema ,#e mane1an &os datos de& diectoio( Pgina 8 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Como "ase de datos! #n sevicio de diectoio est a&tamente optimi/ado paa &ect#as $ popociona a&tenativas avan/adas de "%s,#eda en &os di*eentes ati"#tos ,#e se p#edan asocia a &os o"1etos de #n diectoio( Los datos ,#e se a&macenan en e& diectoio son de*inidos po #n es,#ema e3tensi"&e $ modi*ica"&e( Los sevicios de diectoio #ti&i/an #n mode&o disti"#ido paa a&macena s# in*omaci0n $ esa in*omaci0n genea&mente est ep&icada ente &os sevidoes ,#e *oman e& diectoio( Los diectoios estn a*inados paa da #na pida esp#esta a gandes vo&%menes de "%s,#edas( 2stos tienen &a capacidad de ep&ica &a in*omaci0n paa incementa &a disponi"i&idad $ &a *ia"i&idad! a& tiempo ,#e ed#cen &os tiempos de esp#esta( C#ando &a in*omaci0n de #n diectoio se ep&ica! se p#eden pod#ci inconsistencias tempoa&es ente &as )p&icas mientas esta se est sinconi/ando( Ga$ m#c'as *omas di*eentes de povee #n sevicio de diectoio( Di*eentes m)todos pemiten a&macena distintos tipos de in*omaci0n en e& diectoio! tene distintos e,#isitos so"e c0mo &a in*omaci0n 'a de se e*eenciada! cons#&tada $ act#a&i/ada! c0mo es potegida de &os accesos no a#toi/ados! etc( A&g#nos sevicios de diectoio son &oca&es! es deci! poveen e& sevicio a #n conte3to estingido +como po e1emp&o! e& sevicio H$inger en #na %nica m,#ina-( 8tos sevicios son g&o"a&es $ poveen sevicio a #n conte3to m#c'o ms amp&io +como po e1emp&o! 4ntenet-( Los sevicios g&o"a&es noma&mente son disti"#idos! esto signi*ica ,#e &os datos estn epatidos a &o &ago de distintos e,#ipos! &os c#a&es coopean paa da e& sevicio de diectoio( TEpicamente! #n sevicio g&o"a& de*ine #n espacio de nom"es #ni*ome ,#e da &a misma visi0n de &os datos! independientemente de donde se est)! en e&aci0n a &os popios datos( 2& sevicio D%S +Do&ain %a&e Syste&- es #n e1emp&o de #n sistema de diectoio g&o"a&mente disti"#ido( Pgina @ de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 23u6 ipo de in+or)aci1n se puede a#)acenar en un direcorio4 2n pincipio en #n sevicio de diectoio se p#ede a&macena c#a&,#ie tipo de in*omaci0n( Como po e1emp&o! nom"e! diecci0n de 'a"itaci0n! nom"e de &a mascota! m%sica pe*eida! "e"ida *avoita! etc( Sin em"ago! &a in*omaci0n ,#e se a&macena es a,#e&&a ,#e pemita ogani/a de manea 1e,#ica todos &os #s#aios de &a ed( 2st#ct#a &a in*omaci0n de &os #s#aios de &a ed es de #ti&idad a &a 'oa de estingi e& acceso a &os sevicios $ ec#sos de &a edF Pemitiendo gestiona con ma$o *aci&idad &a ed(
2C1)o se a#)acena #a in+or)aci1n en LDAP4 La in*omaci0n es odenada en e& mode&o de LDAP en entadas( Dna entada es #na co&ecci0n de ati"#tos ,#e tienen #n %nico %o&bre 'lobal Disting(ido +D%-( 2& D% se #ti&i/a paa e*eise a #na entada sin am"igKedades( Cada ati"#to de #na entada posee #n tipo $ #no o ms va&oes( Los tipos son noma&mente pa&a"as nemot)cnicas! como HcnL paa co&&on na&e! o H&ailL paa #na diecci0n de coeo( La sinta3is de &os ati"#tos depende de& tipo de ati"#to( Po e1emp&o! #n ati"#to cn p#ede contene e& va&o HL(is )*r+(e,L( Dn ati"#to e&ail p#ede contene #n va&o H&ar+(e,l-(cla.ed(.veL( 2stas entadas estn ogani/adas en #na est#ct#a 1e,#ica en *oma de "o& invetido! de &a misma manea como se est#ct#a e& sistema de ac'ivos de /%I0( Tadiciona&mente esta est#ct#a e*&e1a"a &os &Emites geog*icos $6o ogani/aciona&es( Las entadas ,#e epesentan paEses apaecen en &a pate s#peio de& "o&( De"a1o de e&&os! estn &as entadas ,#e epesentan &os Pgina 10 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 estados $ &as ogani/aciones naciona&es( Ma1o estas! p#eden esta &as entadas ,#e epesentan &as #nidades ogani/aciona&es! emp&eados! impesoas! doc#mentos o todo a,#e&&o ,#e p#eda imaginase( La sig#iente *ig#a m#esta #n "o& de diectoio LDAP 'aciendo #so de& nom"amiento tadiciona&( 7i'ura N8 9 N"o& de diectoio LDAP +nom"amiento tadiciona&- 2& "o& tam"i)n se p#ede ogani/a "asndose en &os nom"es de dominio de 4ntenet( 2ste tipo de nom"amiento se est vo&viendo m#$ pop#&a $ en &os act#a&es momentos es e& ms #ti&i/ado! $a ,#e pemite &oca&i/a #n sevicio de diectoio 'aciendo #so de &os D.S( La sig#iente *ig#a m#esta #n "o& de diectoio ,#e 'ace #so de &os nom"es "asados en dominios( 7i'ura N8 : N"o& de diectoio LDAP +nom"amiento de 4ntenet- Pgina 11 de 55 dcOve dcOed# dcO#c&a o#Opeop&e o#O#ses o#Oadm cnO&#is cnOoot cnOpedo o#Ote&ecom#nicaciones cOectoado o#Oin*omtica cnOJ#nio 2sca&ona Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Dn e1emp&o de& D. seEa5 dn% cnOL#is A,#e/! ouOpeop&e! dcO#c&a! dcOed#! dcOve 8"seve ,#e e& dn se const#$e de a"a1o 'acia ai"a( A& ig#a& ,#e se const#$en &os nom"es en D%S. Adems! LDAP pemite conto&a ,#) ati"#tos son e,#eidos $ pemitidos en #na entada gacias a& #so de& ati"#to denominado ob1ectClass( 2& va&o de& ati"#to ob1ectClass detemina ,#) eg&as de diseBo +sche&a r(les- 'a de seg#i &a entada( 2C1)o se re+erencia #a in+or)aci1n en LDAP4 Dna entada es e*eenciada po s# nom"e disting#ido! ,#e es const#ido po e& nom"e de &a popia entada &&amado %o&bre "elativo Disting(ido ("D%2 $ &a concatenaci0n de &os nom"es de &as entadas ,#e &e anteceden( Po e1emp&o! &a entada paa l(is en e& e1emp&o de& nom"amiento de 4ntenet anteio tiene e& sig#iente RD.5 (id3l(is $ s# D. seEa5 (id3l(is!o(3people!dc3(cla!dc3ed(!dc3ve( De est manea se p#ede accede a toda &a in*omaci0n ,#e se a&macenada en e& diectoio LDAP( 2C1)o se accede a #a in+or)aci1n en LDAP4 LDAP de*ine opeaciones paa inteoga $ act#a&i/a e& diectoio( Povee opeaciones paa aBadi! modi*ica $ e&imina entadas de& mismo( La ma$o pate de& tiempo! LDAP se #ti&i/a paa "#sca in*omaci0n a&macenada en e& diectoio( Las opeaciones de "%s,#eda de LDAP pemiten enconta entadas Pgina 12 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 ,#e conc#edan con a&g%n citeio especi*icado dado po #n *i&to de "%s,#eda( La in*omaci0n p#ede se so&icitada desde cada entada ,#e conc#eda con dic'o citeio( 2C1)o #o accede4 Po e1emp&o! imagEnese ,#e ,#iee "#sca en e& s#""o& de& diectoio ,#e est po de"a1o de dc3(cla!dc3ed(!dc3ve a pesonas con e& nom"e L(is )*r+(e,! o"teniendo &a diecci0n de coeo e&ect0nico de cada entada ,#e conc#ede( LDAP pemite 'ace esto *ci&mente( 8 ta& ve/ pe*iea "#sca &as ogani/aciones ,#e posean &a cadena (cla en s# nom"e o posean n%meo de $a4( LDAP es m#$ *&e3i"&e $ pemite 'ace esto $ m#c'o ms( 2C1)o proe'e #a in+or)aci1n de accesos no auori5ados4 A&g#nos sevicios de diectoio no poveen potecci0n! pemitiendo a c#a&,#ie pesona accede a &a in*omaci0n( LDAP povee #n mecanismo de a#tenti*icaci0n paa &os c&ientes! o &a con*imaci0n de identidad en #n sevido de diectoio! *aci&itando e& camino paa #n conto& de acceso ,#e pote1a &a in*omaci0n ,#e e& sevido posee( LDAP tam"i)n sopota &os sevicios de pivacidad e integidad( 2C1)o ra$a"a LDAP< 2& sevicio de diectoio de LDAP est "asado en e& mode&o cliente/servidor( Dno o ms sevidoes LDAP contienen &os datos ,#e con*oman &a in*omaci0n de& "o& de& diectoio +DIT-( 2& c&iente se conecta a &os sevidoes $ &es *om#&a peg#ntas( Los sevidoes esponden con #na Pgina 17 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 esp#esta o con #n p#nteo donde e& c&iente p#ede o"tene in*omaci0n adiciona& +noma&mente oto sevido LDAP-( .o impota a ,#e sevido LDAP se conecte #n c&iente! este siempe o"tend &a misma visi0n de& diectoioF #n nom"e pesentado po #n sevido LDAP e*eencia &a misma entada ,#e c#a&,#ie oto sevido LDAP( 2sta es #na caacteEstica m#$ impotante de& sevicio g&o"a& de diectoio! como LDAP( ;,<00 0.560 es #n con1#nto de estndaes de edes de comp#tadoes de &a IT/ +Dni0n 4ntenaciona& de Te&ecom#nicaciones- so"e sevicios de diectoio! entendidos estos como "ases de datos de diecciones e&ect0nicas +o de otos tipos-( 2& estnda se desao&&0 con1#ntamente con &a IS7 como pate de& mode&o de intecone3i0n de sistemas a"ietos! paa #sa&o como sopote de& coeo e&ect0nico 0.866( Los potoco&os de*inidos po 0.566 inc&#$en5 Potoco&o de acceso a& diectoio +DAP- Potoco&o de sistema de diectoio Potoco&o de oc#&taci0n de in*omaci0n de diectoio Potoco&o de gesti0n de en&aces opeativos de diectoio( Dento de &a seie >(500! &a especi*icaci0n ,#e 'a es#&tado se &a ms di*#ndida no tata de potoco&os de diectoio! sino de ceti*icados de c&ave p%"&ica >(50@( 2& potoco&o LDAP *#e ceado como #na vesi0n &iviana de 0.566 $ temin0 po eemp&a/a&o( Po esta a/0n a&g#nos de &os conceptos $ estndaes ,#e #ti&i/a LDAP povienen de &a seie de potoco&os 0.566( Pgina 1? de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 T)cnicamente! LDAP es #n potoco&o de acceso a diectoio paa e& sevicio de diectoio 0.566! de& sevicio de diectoio de 7SI( 4nicia&mente! &os c&iente LDAP accedEan a tav)s de p#etas de en&ace a& sevicio de diectoio 0.566( 2sta p#eta de en&ace e1ec#ta"a LDAP ente e& c&iente $ &a p#eta de en&ace! $ e& Potoco&o 0.566 de Acceso a& Diectoio +DAP- ente &a p#eta de en&ace $ e& sevido 0.566( DAP es #n potoco&o e3temadamente pesado ,#e opea so"e #na pi&a potoco&a 7SI comp&eta $ e,#iee #na cantidad signi*icativa de ec#sos comp#taciona&es( LDAP est diseBado paa opea so"e TCP/IP popocionando #na *#nciona&idad simi&a a &a de DAP! peo con #n costo m#c'Esimo meno( A#n,#e LDAP se #ti&i/a todavEa paa accede a& sevicio de diectoio 0.566 a tav)s de p#etas de en&ace! 'o$ en dEa es ms com%n imp&ementa LDAP diectamente en &os sevidoes 0.566( 2& demonio a#t0nomo de LDAP! o SLAPD! p#ede se visto como #n sevido de diectoio 0.566 &igeo( 2s deci! no imp&ementa e& DAP 0.566! sino #n s#"con1#nto de mode&os de 0.566( 2s posi"&e ep&ica datos desde #n sevido de diectoio LDAP 'acia #n sevido DAP 0.566( 2sta opeaci0n e,#iee #na p#eta de en&ace LDAP/DAP( 7penLDAP no s#minista dic'a p#eta de en&ace! peo e& demonio de ep&icaci0n ,#e posee p#ede se #sado paa &a ep&icaci0n! como si de #na p#eta de en&ace se tatase( Di+erencias enre LDAP *: ! *= LDAPv9 *#e desao&&ado en &os aBos @0 paa eemp&a/a a LDAPv:( Pgina 15 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 LDAPv9 incopoa &as sig#ientes caacteEsticas a LDAP5 A#tenti*icaci0n *#ete 'aciendo #so de SASL (Si&ple A(thentication and Sec(rity Layer2 Potecci0n de integidad $ con*idencia&idad 'aciendo #so de TLS +SSL-! Transpor La!er >ecuri! (>ecure >oc?es La!er) 4ntenaciona&i/aci0n gacias a& #so de Dnicode Remisiones $ contin#aciones Desc#"imiento de es,#emas 23tensi"i&idad +conto&es! opeaciones e3tendidas $ ms- Como LDAPv: di*iee signi*icativamente de LDAPv9! &a inteacci0n ente am"as vesiones p#ede se #n poco po"&emtica( 2s ecomenda"&e no #ti&i/a &a vesi0n de LDAPv:! po &o ,#e en &a imp&ementaci0n de 7penLDAP viene des'a"i&itado po omisi0n( 23u6 es >LAPD4 SLAPD es #n sevido de diectoio LDAP( 2s #na de &as tantas imp&ementaciones de LDAP en So*tCae Li"e( 2sta vesi0n es &a m#$ pop#&a $ se p#ede deci ,#e es &a ms imp&ementadaF va&e &a pena menciona ,#e e3isten vaias imp&ementaciones de LDAP en so*tCae popietaio! como po e1emp&o imp&ementaciones de SD.! 4MA! etc( La *ersi1n = de LDAP Sopota LDAP so"e IPv8! IPv; $ /ni4 IPC Tiene sopote de a#tenti*icaci0n *#ete gacias a& #so de SASL( La imp&ementaci0n SASL de SLAPD 'ace #so de& so*tCae Cyr(s SASL! e& Pgina 19 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 c#a& sopota #n gan n%meo de mecanismos de a#tenti*icaci0n! como5 DI'<ST-)D5! <0T<"%AL! $ 'SSAPI( Povee potecciones de pivacidad e integidad gacias a& #so de TLS o SSL( La imp&ementaci0n TLS de SLAPD 'ace #so de& so*tCae 7penSSL P#ede se con*ig#ado paa estingi e& acceso a &a capa de socket "asndose en &a in*omaci0n topo&0gica de &a ed( 2sta caacteEstica 'ace #so de &os TCP wrappers (Herramienta simple que sirve para monitorear y controlar el trfico que llega por la red) Povee *aci&idades de conto& de acceso m#$ potentes! pemiti)ndo&e conto&a e& acceso a &a in*omaci0n de s#+s- "ase+s- de datos( P#ede conto&a e& acceso a &as entadas "asndose en &a in*omaci0n de a#toi/aci0n de LDAP! en &a diecci0n 4P! en &os nom"es de dominio $ otos citeios( SLAPD sopota tanto e& conto& de acceso a &a in*omaci0n dinmico como esttico( Sopota Dnicode $ eti,#etas de &eng#a1e( Viene con #na seie de backends paa di*eentes "ases de datos( 2stos inc&#$en D#D! #n backend de #na "ase de datos tansacciona& de a&to endimientoF LD#)! #n backend &igeo "asado en D#)F S=<LL! #na inte*ace paa scipts de shellF $ PASS>D! #n backend simp&e paa e& ac'ivo passwd. 2& backend #D# 'ace #so de Sleepcat #erkeley DB( LD#) #ti&i/a c#a&,#iea de &as sig#ientes5 #erkeley D# o 'D#) Se p#ede con*ig#a paa sevi a m%&tip&es "ases de datos a& mismo tiempo( 2sto signi*ica ,#e #n %nico sevido SLAPD p#ede esponde a peticiones de di*eentes pociones &0gicas de& "o& de LDAP! 'aciendo #so de& mismo o distintos backends de "ases de datos( Pgina 1= de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Si necesita ms pesona&i/aci0n! SLAPD &e pemite esci"i s#s popios m0d#&os *ci&mente( SLAPD consiste en dos pates di*eentes5 #n $rontend ,#e mane1a &as com#nicaciones potoco&aes con &os c&ientes LDAPF $ m0d#&os ,#e mane1an taeas especE*icas como &as opeaciones con &as "ases de datos( De"ido a ,#e estas dos pie/as se com#nican a tav)s de #na API "ien de*inida! p#ede esci"i s#s popios m0d#&os! ,#e e3tenden SLAPD de m%&tip&es maneas( Tam"i)n e3isten n#meosos m0d#&os pogama"&es de "ases de datos( 2stos pemiten a SLADP accede a *#entes de datos e3tenos 'aciendo #so de &eng#a1es de pogamaci0n pop#&aes +Perl! shell! S?L $ TCL- Gace #so de 'i&os paa o"tene a&to endimiento( Dn poceso %nico m#&ti'i&o mane1a todas &as peticiones entantes 'aciendo #so de #na piscina de 'i&os( 2sto ed#ce &a caga de& sistema a &a ve/ ,#e povee a&to endimiento( Se p#ede con*ig#a paa ,#e mantenga copias de &a in*omaci0n de& diectoio( 2ste es,#ema de ep&icaci0n! (n @nico &aestro/&@ltiples esclavos! es vita& en am"ientes con #n vo&#men a&to de peticiones! donde #n %nico sevido SLAPD no podEa povee &a disponi"i&idad ni &a con*ia"i&idad necesaias( SLAPD inc&#$e tam"i)n #n sopote e3peimenta& paa &a ep&icaci0n de &@ltiples &aestros( SLAPD sopota dos m)todos de ep&icaci0n5 Sync LDAP $ SL/"P (servidor de replicaciAn LDAP2. P#ede se con*ig#ado como #n sevicio po3$ de cac') LDAP( 2s a&tamente con*ig#a"&e a tav)s de #n %nico ac'ivo de con*ig#aci0n! ,#e pemite modi*ica todo a,#e&&o ,#e se necesite cam"ia( Las opciones po omisi0n son a/ona"&es! &o ,#e *aci&ita m#c'o e& ta"a1o( Pgina 18 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 >A>L HSi&ple A(thentication and Sec(rity LayerL +capa de seg(ridad y a(tenticaciAn si&ple-( 2s #n *amCoP paa mane1a &a a#tenticaci0n $ a#toi/aci0n en potoco&os de intenet( 2ste sepaa &os mecanismos de a#tenticaci0n de &os potoco&os de &a ap&icaci0n( Como SASL s0&o se mane1a &a a#tenticaci0n se e,#ieen otos mecanismos como po e1emp&o TLS paa ci*a e& contenido ,#e se tans*iee( Los potoco&os de*inen s# epesentaci0n de intecam"ios SASL con #n perfil( Dn potoco&o tiene #n no&bre de servicio como QLDAPQ en #n egisto compatido con GSSAP4 +Geneic Sec#it$ Sevices App&ication Pogamming 4nte*ace- $ R2RM2R8S( 2nte &os potoco&os ,#e a'oa mismo #san SASL se inc&#$en 4AAP! LDAP! P8P7! SATP $ >APP( Pgina 1@ de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 >LDAP (>er*idor LDAP) en de$ian Antes de comen/a a desci"i e& poceso de insta&aci0n de& LDAP se de"e tene en c#enta &o sig#iente5 1( A& *ina&i/a &a insta&aci0n $ con*ig#aci0n LDAP esta en &a capacidad de a#tentica #s#aios ante e& sevicio de diectoio( La vesi0n ,#e se #ti&i/a es &a 2(7(70-5Ietc'1F )sta es &a %&tima vesi0n esta"&e paa e& momento de &a ea&i/aci0n de este mateia&( 2( Se #ti&i/a e& dominio #c&a(ed#(ve a &o &ago de todo e& mateia&( Pasos para #a insa#aci1n de SLAPD 21ec#te e& sig#iente comando5 Baptit(de install slapd ldap-(tils Con*ime &a e1ec#ci0n de& comando( Se de"e intod#ci &a c&ave de& administado de& LDAP. Se con*ima &a c&ave( (econ+i'uraci1n de# pa/uee s#apd 21ec#tamos e& sig#iente comando Bdpkg-recon$ig(re slapd 2& o"1etivo es econ*ig#a e& s&apd( .o podemos omiti esta secci0n Pgina 20 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Con*ig#amos e& dominio Pgina 21 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Con*ig#amos e& nom"e de &a ogani/aci0n Con*ig#amos e& passCod de& administado en LDAP. Con*imamos e& passCod de& administado( 2&egimos &a "ase de datos( Pgina 22 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 2s ecomenda"&e se&ecciona ,#e no se em#eva &a "ase de datos c#ando se desinsta&e e& SLAPD Pgina 27 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Como estamos econ*ig#ando e& SLAPD 'aemos #na copia de &a "ase de datos anteio( Ta& $ como ecomienda &a doc#mentaci0n! no daemos sopote paa &a vesi0n 2 de LDAP Pgina 2? de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 S con esto teminamos &a insta&aci0n de& LDAP Prue$as de #a insa#aci1n 2& sevido est esc#c'ando po e& p#eto coespondiente5 netstat -tp(a C &ore 2& es#&tado de& comando anteio de"e se e& sig#iente5 Pgina 25 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Gaemos #na cone3i0n a& LDAP Pgina 29 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 2& es#&tado de& comando anteio de"e se a&go como Ad)inisraci1n de usuarios 2n este apatado se mosta como agega #n #s#aio a& LDAP #ti&i/ando paa e&&o &os ldi$ +LDAP Data Interchange Dor&at-( A contin#aci0n se mosta c#a& es &a est#ct#a de &os ldi$. &di* paa &a ceaci0n de #na #nidad ogani/aciona& Hpeop&eL( 2& nom"e de& ac'ivo es peop&e(&di* dn% ouOpeop&e!dcO#c&a!dcOed#!dcOve ou5 peop&e o$"ecc#ass5 ogani/ationa&Dnit Pgina 2= de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Creaci1n de #os archi*os #di+ &di* paa &a ceaci0n de #na #nidad ogani/aciona& Hgo#pL( 2& nom"e de& ac'ivo es go#p(&di* dn5 o#Ogo#p!dcO#c&a!dcOed#!dcOve o#5 go#p o"1ectc&ass5 ogani/ationa&Dnit &di* paa &a ceaci0n de #n g#po H#sesL( 2& nom"e de& ac'ivo es #ses(&di* dn5 cnO#ses!o#Ogo#p!dcO#c&a!dcOed#!dcOve o"1ectc&ass5 posi3Go#p o"1ectc&ass5 top cn5 #ses #sePassCod5 Tc$ptUV gid.#m"e5 100 A're'ar #os conenidos de #os #di+ Paa agega &os contenidos de &os &di* a& LDAP se e1ec#tan &os sig#ientes comandos( Bdapadd -4 -> -D Ecn3ad&in!dc3(cla!dc3ed(!dc3veE -$ people.ldi$ Bldapadd -4 -> -D Ecn3ad&in!dc3(cla!dc3ed(!dc3veE -$ gro(p.ldi$ Bldapadd -4 -> -D Ecn3ad&in!dc3(cla!dc3ed(!dc3veE -$ (sers.ldi+ Pgina 28 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 A& e1ec#ta estos comandos te pedi e& passCod de& administado LDAP $ e& es#&tado de &os mismos se m#esta en &a sig#iente imagen Pgina 2@ de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Paa evisa e& es#&tado de &a inseci0n e1ec#tamos e& sig#iente comando Bldapsearch -4 -b Edc3(cla!dc3ed(!dc3veE Se p#ede con*ima en &a sa&ida de& comando anteio ,#e &a inseci0n de &os anteioes ldi$ estn pesentes en &a est#ct#a de& "o& de& LDAP Pgina 70 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 A're'ar usuarios Se de"e cea #n ldi$ como se m#esta a contin#aci0n .om"e de& ac'ivo ldi$ ma,#e/&(&di* dn5 #idOma,#e/&!o#Opeop&e!dcO#c&a!dcOed#!dcOve #id5 ma,#e/& cn5 L#is A,#e/ o"1ectC&ass5 acco#nt o"1ectC&ass5 posi3Acco#nt o"1ectC&ass5 top o"1ectC&ass5 s'adoCAcco#nt #sePassCod5 Tc$ptUW1WGnC6>6?WVPn*c;&,2?,GgdnDV'D4p1 s'adoCLastC'ange5 1?001 s'adoCAa35 @@@@@ s'adoCXaning5 = &oginS'e&&5 6"in6"as' #id.#m"e5 1001 gid.#m"e5 100 'omeDiecto$5 6'ome6ma,#e/& gecos5 L#is A,#e/ Pgina 71 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Paa agega e& n#evo #s#aio a& n#evo "o& de LDAP se de"e e1ec#ta e& sig#iente comando Bldapadd -4 -> -D Ecn3ad&in!dc3(cla!dc3ed(!dc3veE -$ &ar+(e,l.ldi$ Paa evisa e& es#&tado de &a inseci0n e1ec#tamos e& sig#iente comando Bldapsearch -4 -b Edc3(cla!dc3ed(!dc3veE Pgina 72 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 @#i)inar un usuario Paa e&imina #n #s#aio de& "o& de& diectoio se de"e cea #n ac'ivo de& tipo ldi$ como se m#esta a contin#aci0n dn: uid=marquezl,ou=people,dc=ucla,dc=edu,dc=ve cangetype: delete 21ec#tamos e& sig#iente comando paa e&imina #n #s#aio de& "o& LDAP Bldap&odi$y -4 -D Ecn3ad&in!dc3(cla!dc3ed(!dc3veE -> -$ boorrar.ldi$ Pgina 77 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Paa evisa e& es#&tado de &a e&iminaci0n e1ec#tamos e& sig#iente comando Bldapsearch -4 -b Edc3(cla!dc3ed(!dc3veE Pgina 7? de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 A're'ar ari$uos Paa agega #n ati"#to se de"e cea #n ldi$ como se m#esta a contin#aci0n( 2& nom"e de& ldi$ es add(&di* dn5 #idOma,#e/&!o#Opeop&e!dcO#c&a!dcOed#!dcOve c'anget$pe5 add o"1ectc&ass5 top o"1ectc&ass5 peson o"1ectc&ass5 ogani/ationa&Peson o"1ectc&ass5 inet8gPeson cn5 L#is A,#e/ sn5 ma,#e/& Pgina 75 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 te&ep'onen#m"e5 0?12=@00022 Se e1ec#ta &a sig#iente sinta3is Paa vei*ica e& es#&tado e1ec#tamos &a sig#iente sinta3is Pgina 79 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Aodi+icar un ari$uo Paa modi*ica #n atii"#to se de"e cea #n ldi$ como se m#esta a contin#aci0n( 2& nom"e &di* es modi*$(&di* dn5 #idOma,#e/&!o#Opeop&e!dcO#c&a!dcOed#!dcOve c'anget$pe5 modi*$ ep&ace5 te&ep'onen#m"e te&ep'onen#m"e5 0?19?=19?21 Pgina 7= de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Se e1ec#ta &a sig#iente sinta3is Paa vei*ica e& cam"io e1ec#tamos &a sig#iente sinta3is Pgina 78 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Para e#i)inar un ari$uo Se de"e cea #n ldi$ como e& ,#e se m#esta a contin#aci0n! e& nom"e de& ac'ivo ldi$ es de&(&di* dn5 #idOma,#e/&!o#Opeop&e!dcO#c&a!dcOed#!dcOve c'anget$pe5 modi*$ de&ete5 te&ep'onen#m"e Se e1ec#ta &a sig#iente sinta3is Pgina 7@ de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Paa vei*ica e& es#&tado e1ec#tamos &a sig#iente sinta3is Aane"o de conraseBa Pimeo se de"e const#i #n passCod! paa e&&o #ti&i/aemos e& comando slappasswd! e& es#&tado &o insetaemos en #n ac'ivo de& tipo ldi$ paa modi*ica e& ati"#to passCod( Cs#appassDd Eh FC(GPTH Ldi* dn5 #idOma,#e/&!o#Opeop&e!dcO#c&a!dcOed#!dcOve c'anget$pe5 modi*$ ep&ace5 #sePassCod #sePassCod5 TCRSPTUA*vpC7;t58Pm; Pgina ?0 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 La sinta3is se m#esta a contin#aci0n Pgina ?1 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Ad)inisraci1n de 'rupos 2n &dap podemos 'ace #n mane1o de &os g#pos de #s#aios! ta& c#a& se p#ede 'ace en e& sistema opeativo Vni3! asE ,#e e& mecanismo paa s# mane1o es e& mismo ,#e &os g#pos de sistemas( De"emos cea #n g#po $ &#ego asocia #s#aios a &os mismos( Cea &os g#pos se ecomienda po a/ones de estndaes( Cea #n #nidad ogani/ativa 8D! $ de"a1o de e&&a co&oca todos &os g#pos( 2sta #nidad es &&amada HGo#psL! asE ,#e &#ego de cea&a ceamos de"a1o de e&&a todo &os g#pos( Paa cea &os g#pos de"emos asocia&e a &os mismo &a c&ase de o"1eto Hposi3Go#pL! e& c#a& me indica ,#e este es #n g#po de sistema opeativo! &a c&ase de o"1eto Hposi3Go#pL consta de tes ati"#tos ,#e son &os sig#ientes 5 .om"e de& Ati"#to Re,#eido Comentaio cn Si .om"e de& G#po gid.#m"e Si 4denti*icado n#m)ico %nico de& G#po mem"eDid .o Did de &os #s#aios petenecientes a este g#po( Pgina ?2 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Paa &a ceaci0n de g#pos se p#ede cea #n ac'ivo LD4Y! como e& sig#iente 5 dn5 cnOadministadoes!o#Ogo#ps!dcO#nivesidad!dcOed#!dcOve cn5 administadoes gid.#m"e5 10100 mem"eDid5 apee/ mem"eDid5 /odig#e/ o"1ectC&ass5 top o"1ectC&ass5 posi3Go#p A,#E se cea #n g#po &&amado administadoes! en e& c#a& e& gid.#m"e es 10100 +de"e se #n n#meo distinto paa cada g#po-! $ &os miem"os de ese g#po son &os #s#aios ,#e poseen e& Did apee/ $ /odig#e/( Paa agega o e&imina #s#aios de &os g#pos! "asta con edita e& egisto de& g#po $ agega o e&imina #s#aios #ti&i/ando e& ati"#to mem"eDid( Auenicaci1n de C#ienes en #dap Dna ve/ con*ig#ado e& sevido de LDAP paa a&macena &a in*omaci0n de& diectoio! podemos con*ig#a todos &os e,#ipos de n#esta ed +sevidoes $ c&ientes- paa ea&i/a &a a#tenticaci0n en e& sevido LDAP( 2n pincipio! &a in*omaci0n administativa ,#e tiene sentido centa&i/a en #n sevicio LDAP son &as c#entas de #s#aio +inc&#$endo contaseBas- $ c#entas de g#po( 2n con1#nto! &a in*omaci0n a&macenada en am"os tipos de c#entas pemite a#tenti*ica a #n #s#aio c#ando )ste desea inicia #na sesi0n inteactiva en #n sistema Lin#3 $! en e& caso de ,#e &a a#tenticaci0n sea positiva! cea e& conte3to de ta"a1o inicia& +es deci! e& poceso sell inicia&- paa ese Pgina ?7 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 #s#aio( Aanteniendo am"os tipos de c#entas en e& diectoio pemitiEa #na gesti0n comp&etamente centa&i/ada de &os #s#aios de& dominio( 4ntenamente! este poceso de a#tenticaci0n $ ceaci0n de& conte3to inicia& ,#e Lin#3 &&eva a ca"o c#ando #n #s#aio desea inicia #na sesi0n inteactiva #ti&i/a dos "i"&iotecas distintas5 1( PAA +!lugga"le #utentication $odule- es #na "i"&ioteca de a#tenticaci0n gen)ica ,#e c#a&,#ie ap&icaci0n p#ede #ti&i/a paa va&ida #s#aios! #ti&i/ando po de"a1o m%&tip&es es,#emas de a#tenticaci0n a&tenativos +ac'ivos &oca&es! Re"eos! LDAP! etc(-( 2sta "i"&ioteca es #ti&i/ada po e& poceso de Q&oginQ paa aveig#a si &as cedencia&es tec&eadas po e& #s#aio +nom"e $ contaseBa- son coectas( 2( N>> +%ame &ervice &'itc- pesenta #na inte*a/ gen)ica paa aveig#a &os pametos de #na c#enta +como s# D4D! G4D! sell inicia&! diectoio de cone3i0n! etc(-! $ es #ti&i/ada po e& poceso de Q&oginQ paa cea e& poceso de atenci0n inicia& de& #s#aio( La venta1a *#ndamenta& de am"as "i"&iotecas consiste en ,#e p#eden econ*ig#ase dinmicamente mediante ac'ivos! sin necesidad de ecompi&a &as ap&icaciones ,#e &as #ti&i/an( Po tanto! &o %nico ,#e necesitamos es econ*ig#a am"as paa ,#e #ti&icen e& sevido LDAP adems de &os ac'ivos &oca&es +6etc6passCd! ente otos(- de cada e,#ipo( 2n De"ian G.D6Lin#3 &a insta&aci0n $ con*ig#aci0n de &os c&ientes &a ea&i/aemos diectamente en &os ac'ivos de con*ig#aci0n( C#ando e& asistente de De"ian peg#nte &a con*ig#aci0n cance&a e& mismo( Rea&i/a &os pasos sig#ientes5 Pgina ?? de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 1( 4nsta&a e& pa,#ete #i$nssE#dap! mediante &a e1ec#ci0n en &a conso&a de Capiude insa## #i$nssE#dap! e& H.ame Sevice SCitc'L pemite a &os sistemas opeativos Vni3! e& eemp&a/o de &os ac'ivos de con*ig#aci0n de &os #s#aios +po e1emp&o5 6etc6passCd! 6etc6go#p-! po "ases de datos de #s#aios centa&i/adas! en este caso se insta&a &a &i"eEa con sopote paa LDAP! ,#e se e& sistema ,#e #ti&i/aemos( 2( 4nsta&a e& pa,#ete #i$pa)E#dap! mediante &a e1ec#ci0n en &a conso&a de Capiude insa## #i$pa)E#dap! este pemiti &a a#tenticaci0n de &os #s#aios de& sistema opeativo en "ase de datos &dap( 7( 4nsta&a e& pa,#ete nscd ! e& c#a& pemiti mantene en e& cac'e de& e,#ipo &as "%s,#edas de &os egistos ,#e ea&i/a e& nss! con e& *in de evita tene ,#e ea&i/a esas cons#&tas a &os sevidoes $ a'oa tiempo $ t*ico en &a ed( Con*ig#aci0n de c&ientes5 1( 2dita e& ac'ivo 6ec/#i$nssE#dap,con+! $ se con*ig#a &os sig#iente 5 1( $ase dcIuni*ersidad,dcIedu,dcI*e! esta es &a "ase de "%s,#eda de n#esto diectoio LDAP( 2( #dapJ*ersion = ! con &o c#a& n#estos c&ientes #ti&i/an &a vesi0n 7 de LDAP( 7( $indJpo#ic! so+! esto nos pemiti ,#e c#ando e& sevido LDAP no est) disponi"&e! pode contin#a con e& poceso de a#tenticaci0n de& sistema #ti&i/ando &os ac'ivos &oca&es( Pgina ?5 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 ?( ss# sarJ#s ! e& sevido intenta 'ace &a cone3i0n #ti&i/ando t&s( 5( #sJchec?peer no! esta opci0n no c'e,#ea e& ceti*icado de& sevido +%ti& c#ando se #ti&i/an ceti*icados geneados &oca&mente-( 2( 2dita e& ac'ivo /ec/nsssDich,con+! $ se con*ig#a &o sig#iente5 1( passDd +i#es #dap! con &o c#a& &a in*omaci0n de &os #s#aios se "#sca pimeo en e& ac'ivo 6etc6passCd $ &#ego en e& sevido LDAP( 2( 'roup +i#es #dap ! con &o c#a& &a in*omaci0n de &os g#pos se "#sca pimeo en e& ac'ivo 6etc6go#p $ &#ego en e& sevido LDAP( 7( 2dita e& ac'ivo /ec/pa)J#dap,con+! $ se con*ig#a &o sig#iente5 1( $ase dcIuni*ersidad,dcIedu,dcI*e! esta es &a "ase de "%s,#eda de n#esto diectoio LDAP( 2( #dapJ*ersi1n = ! con &o c#a& n#estos c&ientes #ti&i/an &a vesi0n 7 de LDAP( 7( $indJpo#ic! so+! esto nos pemiti ,#e c#ando e& sevido LDAP no est) disponi"&e pode contin#a con e& poceso de a#tenticaci0n de& sistema #ti&i/ando &os ac'ivos &oca&es( ?( ss# sarJ#s ! e& sevido intenta 'ace &a cone3i0n #ti&i/ando t&s( 5( #sJchec?peer no! esta opci0n no c'e,#ea e& ceti*icado de& sevido +%ti& c#ando se #ti&i/an ceti*icados geneados &oca&mente-( ?( 2dita e& ac'ivo /ec/pa),d/co))onEaccoun! $ con*ig#a &o sig#iente5 1( acco#nt s#**icient pamZ#ni3(so n#&&oPZsec#e 2( acco#nt s#**icient pamZ&dap(so 7( acco#nt e,#ied pamZpemit(so 5( 2dita e& ac'ivo /ec/pa),d/co))onEauh! $ con*ig#a &o sig#iente5 1( a#t' s#**icient pamZ&dap(so Pgina ?9 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 2( a#t' e,#ied pamZ#ni3(so n#&&oPZsec#e #seZ*istZpass 9( 2dita e& ac'ivo /ec/pa),d/co))onEpassDord! $ con*ig#a &o sig#iente5 1( passCod s#**icient pamZ&dap(so 2( passCod e,#ied pamZ#ni3(so n#&&oP o"sc#e minO? ma3O8 md5 =( 2dita e& ac'ivo /ec/pa),d/co))onEsession! $ con*ig#a &o sig#iente5 1( session optiona& pamZ*oego#nd(so 2( session s#**icient pamZ&dap(so 7( session e,#ied pamZ#ni3(so ?( session e,#ied pamZmP'omedi(so sPe&O6etc6sPe&6 Po"a &a con*ig#aci0n mediante &os comandos 5 Bgetenv passwd o getenv gro(p! esto de"e mosta &os #s#aios ,#e estan en e& sevido LDAP( Lisas de acceso en LDAP La "ase de datos LDAP! contiene in*omaci0n sensi"&e! po e1emp&o e& ati"#to #sePassCod contiene &as contaseBas de &os #s#aios! peo tam"i)n e3iste oto tipo de in*omaci0n como datos pesona&es de &as pesonas ,#e de"en se esg#adados( Paa conto&a &a a#toi/aci0n en &os sevidoes LDAP se #ti&i/an ACLs +Lists de Conto& de Acceso-! c#ando #n sevido LDAP pocesa #n e,#eimiento de #n c&iente eva&%a &os pemisos de acceso de& mismo a &a in*omaci0n so&icitada( 2sta eva&#aci0n vei*ica sec#encia&mente cada #na de &as ACLs! #"icadas en &os ac'ivos de con*ig#aci0n $ ap&ica &as eg&as apopiadas a& Pgina ?= de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 e,#eimiento( La con*ig#aci0n de &as ACLs! se p#eden ea&i/a de dos maneas5 1( Diectamente en e& ac'ivo de con*ig#aci0n de& sevido LDAP! /ec/#dap/s#apd,con+! $ p#eden se co&ocadas a& pincipio de& ac'ivo con &o c#a& a*ectaan a todas &as "ases de datos ,#e posee e& sevido( 2( Dento de &a diectiva H$ac?endL! con &o c#a& so&o a*ecta a &a "ase de datos especi*ica( C#ando se poseen m#c'as eg&as de acceso! es ecomenda"&e co&oca en #n ac'ivo apate $ #ti&i/a &a sinta3is inc#ude /ec/#dap/no)$redearchi*o! con &o c#a& se mantend e& ac'ivo s#apd,con+ menos comp&e1o( Las diectivas de acceso tienen &a sig#iente sinta3is 5 access o [ec#so\ $! [,#ien\ [tipo de pivi&egio\ $! [,#ien\ [tipo de pivi&egio\ Las diectivas access p#eden tene #no o mas H$!L! asE mismo p#eden pemiti accesos po D.! ati"#tos! *i&tos! o #na com"inaci0n de estos( Accesos ui#i5ando DN Paa estingi #n acceso a #n D. en patic#&a! se de"e #ti&i/a #na eg&a como &a sig#iente5 access to dnOQ#idOpedo!o#ODses!dcO#nivesidad!dcOed#!dcOveQ "$ V none 2& H$! K noneL! ec'a/a &os accesos a todos( Las esticciones a &os D.! p#eden se especi*icadas de &a sig#iente manea 5 dn,$ase % Restinge e& acceso paa #n D. especi*ico! es &a opci0n po Pgina ?8 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 de*ecto! dn,exac $ dn("ase&eve& 5 son sin0nimos de dn("ase( dn,one 5 Restinge e& acceso a &a sig#iente entada ,#e este desp#es de& D. especi*icado( dn,su$ree 5 Restinge e& acceso a todo e& "o& de"a1o de& D. especi*icado( Las ACLs! tam"i)n aceptan e3pesiones eg#&aes &o c#a& incementa e& nive& de comp&e1idad ,#e se p#ede #ti&i/a paa *om#&a &as mismas( A contin#aci0n #n e1emp&o #ti&i/ando e3pesiones eg#&aes 5 access to dn(ege3OQ#idO[]!\I!o#ODses!dcO#nivesidad!dcOed#!dcOveQ "$ V none 2n e& e1emp&o anteio se estinge e& acceso a c#a&,#ie D.! con &a e3pesi0n H#idOc#a&,#ie cosaLo#ODses!dcO#nivesidad!dcOed#!dcOve! donde c#a&,#ie cosa de"e se #n te3to con a& menos #n cacte $ sin comas +!-! &as e3pesiones eg#&aes pemiten incementa en gan medida &a #ti&idad de &as &istas de acceso( Conexiones >e'uras Lo pimeo ,#e se de"e eva&#a es &a seg#idad de &a ed( Los c&ientes se conectan a& sevido LDAP a tav)s de &as inte*aces de ed! $ tam"i)n &as esp#estas de& sevido se tans*ieen a tav)s de &a ed( 2& potoco&o LDAP po de*ecto eci"e $ envEa &os datos en te3to p&ano! &o c#a& tiene a&g#nas venta1as ente &as c#&es tenemos 5 Yaci&idad de con*ig#a $ mantene( 2& sevicio *#nciona ms pido! a& no tene ,#e tans*oma &os datos ci*ados! &o c#a& siempe povee de #na caga adiciona& de pocesamiento( Pgina ?@ de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 2stas venta1as tienen #n costo de seg#idad! otos dispositivos en &a ed p#eden intecepta &os datos $ &ee todo e& contenido de &os mismos! mientas ms gande es #na ed esto se conviete en #na amena/a ma$o( Paa evita eso &os sevidoes LDAP imp&ementan SSL +Sec#e SocPets La$e) $ TLS (Tanspot La$e Sec#it$-! am"os mecanismos son #ti&i/ados paa ci*a &os datos antes de tansmiti&os po &a ed( SSL $ TLS son simi&aes $ son amp&iamente #ti&i/ados! &a pincipa& di*eencia es ,#e TLS es mas *&e3i"&e ,#e SSL( 8penLDAP povee dos mecanismos paa ci*a e& t*ico en &a ed! e& pimeo es esc#c'a po #n p#eto especE*ico +p#eto 979 po de*ecto-! &o ,#e 'ace ,#e &as com#nicaciones en ese p#eto sean ci*adas! este mecanismo *#e intod#cido en LDAP v2! $ se considea #n m)todo en des#so( 2& seg#ndo mecanismo es pate de &os estndaes de LDAP v7! e& c#a& pemite a &os c&ientes conectase a tav)s de #n p#eto +78@ po de*ecto-! paa cone3iones ci*adas o en te3to p&ano $ se e& c&iente e& ,#e se&ecciona e& tipo de cone3i0n ,#e desea( 2& #so de ceti*icados pemite no so&o ci*a &a in*omaci0n ente e& sevido $ &os c&ientes! sino tam"i)n gaanti/a ,#e e& sevido a& c#a& se conecta e& c&iente es a#tentico( Act#a&mente e3isten a#toidades paa emiti ceti*icados conocidos como CA +Ceti*ication A#t'oit$-! &os c#a&es a tav)s de #n pocedimiento de eco&ecci0n de in*omaci0n $ #n pago! emiten #n ceti*icado ,#e tiene va&ide/ po #n tiempo especE*ico $ &os sevidoes $ &os c&ientes econocen e& mismo( 23iste tam"i)n &a posi"i&idad de cea &os ceti*icados paa #so de &as ogani/aciones o individ#os de manea intena! paa esto de de"e genea #n CA con &a c#a& se *iman &os ceti*icados ,#e se emitin paa &os c&ientes $ Pgina 50 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 sevidoes( 2stos ceti*icados no sen econocidos como v&idos *#ea de &a ogani/aci0n ,#e &os emite! po &o c#a& so&o se ecomienda paa #so inteno( Paa cea #na CA! con e& *in de *ima n#estos popios ceti*icados! se de"e insta&a e& pa,#ete openss#! e& c#a& en De"ian G.D6Lin#3! insta&a #n scipt ,#e pemite &a ceaci0n de #n CA! e& mismo ,#eda insta&ado en &a #ta /usr/#i$/ss#/)isc/CA,p#! de"e e1ec#tase de &a sig#iente manea 5 C/usr/#i$/ss#/)isc/CA,p# EneDca 1( Se mosta #n mensa1e con &o sig#iente! CA ceri+icae +i#ena)e (or ener o creae) ! en donde 'a$ ,#e p#&sa ente( 2( L#ego de genea &a c&ave de& ceti*icado peg#nta po #na contaseBa paa e& mismo! @ner P@A pass phrase% 7( L#ego so&icita #na seie de in*omaci0n so"e &a ogani/aci0n! $ *ina&mente temina de cea e& ceti*icado paa &a CA( ?( A& *ina&i/a tendemos #n diectoio &&amado demoCA! con &os ceti*icados( L#ego de esto se tend ,#e genea &os ceti*icados paa e& sevido LDAP! &o c#a& se de &a sig#iente manea5 1( 21ec#ta /usr/#i$/ss#/)isc/CA,p# EneDre/ desde #na conso&a &#ego se epetin &os pasos 2 $ 7 de &a ceaci0n de &a CA( 2( A& *ina&i/a tendemos dos ac'ivos &&amados neCPe$(pem +C&ave Pivada- neCe,(pem +Ceti*icado-( 7( L#ego tenemos ,#e *ima &os ceti*icados con e& CA geneado anteiomente! paa esto e1ec#tamos desde &a conso&a 6usr/#i$/ss#/)isc/ CA,p# Esi'nre/! peg#nta &a contaseBa de &a CA $ &#ego tendemos dos ac'ivos! neD?e!,pe)! e& c#a& contiene &a c&ave pivada $ neDcer,pe) e& c#a& contiene e& ceti*icado *imado( Pgina 51 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 ?( Se em#eve &a contaseBa ,#e tiene e& ceti*icado e1ec#tando desde &a conso&a e& comando ^openss# rsa L neD?e!,pe) M c#ear?e!,pe) 5( L#ego de esto copiamos &os ac'ivos c#ear?e!,pe) ! neD?e!,pe) a #n diectoio po conveniencia po e1emp&o 6etc6&dap6ss&( 9( 4nsta&a e& ceti*icado de &a CA! paa 'ace esto copiamos e& ac'ivo cacer,pe) a /usr/share/caEceri+icaes/)iCA,cr! edita e& ac'ivo /ec/caEceri+icaes,con+! $ co&oca a& *ina& de& ac'ivo )iCA,cr! $ e1ec#ta desde &a conso&a ^updaeEcaEceri+icaes, =( Agega en e& ac'ivo de con*ig#aci0n de LDAP! paa &a #ti&i/aci0n de &os ceti*icados $ ,#e e& mismo coa en modo SSL6TLS! &a con*ig#aci0n ,#edaEa de &a sig#iente manea 5 1( TL>CACeri+icaePah /ec/ss#/cers/ 2( TL>Ceri+icae7i#e /ec/#dap/c#ear?e!,pe) 7( TL>Ceri+icaeNe!7i#e /ec/#dap/neD?e!,pe) L#ego de esto e& sevido LDAP esta e1ec#tndose con sopote SSL6TLS( AO#ip#es Direcorios (6p#icas ! Cache 2n entonos de gandes edes $ sevidoes LDAP con gandes "ase de datos! se e,#iee mantene ms de #n sevido LDAP! $ esto se ea&i/a mediante e& demonio s&#pd( 2& ac0nimo s#urpd signi*ica5 Standa&one LDAP Dpdate Rep&ication Daemon $ s# misi0n es popaga &os cam"ios de #na "ase de datos s&apd 'acia ota( Si s&apd est con*ig#ado paa pod#ci &ogs de ep&icaci0n! s&#pd &os &ee $ envEa &os cam"ios a &as instancias s&apd esc&avas a tav)s de& potoco&o LDAP( s&#pd se aanca! noma&mente! en e& aan,#e de& sistema( Pgina 52 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Dna ve/ aancado! s&#pd noma&mente 'ace #n *oP de si mismo $ se independi/a de &a tt$ ,#e &o 'a &&amado! &#ego &ee e& &og de ep&icaci0n +dado "ien po &a diectiva ep&og*i&e de& ac'ivo de con*ig#aci0n de s&apd! 0 "ien po &a opci0n - de &a &Enea de comandos-( Si e& ac'ivo &og de ep&icaci0n no e3iste o est vacEo! s&#pd se d#eme( Desp#)s! cada cieto tiempo! se despieta $ vei*ica si 'a$ cam"ios ,#e popaga( C#ando s&#pd enc#enta cam"ios a popaga 'acia &as instancias s&apd esc&avas! "&o,#ea e& &og de ep&icaci0n! 'ace #na copia pivada de& mismo! &i"ea e& "&o,#eo anteiomente p#esto $ cea #n *oP de si mismo paa )p&ica de s&apd ,#e 'a de se act#a&i/ada( Cada poceso 'i1o se asocia con e& demonio s&apd esc&avo! $ envEa &os cam"ios( 2& *#ncionamiento es e& sig#iente 5 2& c&iente LDAP envEa #na modi*icaci0n LDAP a& s&apd esc&avo( 2& s&apd esc&avo dev#e&ve #na emisi0n 'acia e& c&iente LDAP! e*eenciando&o 'acia e& sevido s&apd maesto( 2& c&iente LDAP envEa &a opeaci0n de modi*icaci0n LDAP 'acia e& s&apd maesto( 2& s&apd maesto ea&i/a &a opeaci0n de modi*icaci0n! esci"e &os cam"ios en s# ac'ivo &og de ep&icaci0n $ dev#e&ve #n c0digo de )3ito 'acia e& c&iente( 2& poceso s&#pd vei*ica ,#e se 'a aBadido #na n#eva entada a& ac'ivo &og de ep&icaci0n! &ee &a entada de& &og de ep&icaci0n $ envEa e& cam"io 'acia e& sevido s&apd esc&avo vEa LDAP( 2& sevido s&apd esc&avo ea&i/a &a opeaci0n de modi*icaci0n $ #n c0digo de )3ito 'acia e& poceso s&#pd( Pgina 57 de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Con+i'uraci1n de ser*idores esc#a*os LDAP La con*ig#aci0n de sevidoes &dap esc&avos se ea&i/a de &a sig#iente manea 5 1( 2n e& ac'ivo de con*ig#aci0n de& sevido maesto se co&oca &o sig#iente5 1( rep#ica uriI#dap%//esc#a*o,uni*ersidad,edu,*e%=PQ $inddnIRcnIrep#icador,dcIuni*ersidad,dcIedu,dcI*eR $ind)ehodIsi)p#e credenia#sIrep#icador 2( rep#o'+i#e /*ar/#i$/#dap/rep#o' 2( 2n e& ac'ivo de con*ig#aci0n de& sevido esc&avo! &o sig#iente5 1( updaedn RcnIrep#icador,dcIuni*ersidad,dcIedu,dcI*eR 2( updaere+ R&dap566maesto(#nivesidad(ed#(veR Pgina 5? de 55 Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01 Prox!Ldap Dn sevido po3$ &dap act%a como #n intemediaio ente &os c&ientes $ &os sevidoes ,#e poseen &os datos! $ son de gan #ti&idad c#ando se tienen gan cantidad de sevidoes $ se e,#iee ag#pa en #no so&o( Con+i'uraci1n de un ser*idor Prox!Ldap 21emp&o de con*ig#aci0n de sevido po3$&dap 2dita e& ac'ivo 6etc6&dap6s&apd(con* $ co&oca &o sig#iente5 1( daa$ase )ea! e& tipo de "ase de datos a #ti&i/a( 2( su++ix RdcIreacciun,dcI*eR! &a "ase de& diectoio po3$( 7( uri R&dap566&dap(#nivesidad(ed#(ve6dcO#nivesidad!dcOeacci#n!dcOveR ?( su++ix)assa'e RdcIuni*ersidad,dcIreacciun,dcI*eR RdcIuni*ersidad,dcIedu,dcI*eR Pgina 55 de 55