Manual LDAP v01 PDF

Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01
Curso de LDAP en GNU/Linux

(60 horas)
Teora, Gua de prcicas ! e"ercicios
Pgina 1 de 55
Creative Commons
Reconocimiento-No comercial-Compartir bajo la misma licencia
3.0
Used es #i$re de%
copia! disti"#i $ epod#ci p%"&icamente &a o"a
'ace o"as deivadas
&a"o #as si'uienes condiciones%
(econoci)ieno( De"e econoce &os c)ditos de &a o"a de &a
manea especi*icada po e& a#to o e& &icenciante +peo no de #na manea
,#e s#giea ,#e tiene s# apo$o o apo$an e& #so ,#e 'ace de s# o"a-(
No co)ercia#( .o p#ede #ti&i/a esta o"a paa *ines comecia&es(
Co)parir $a"o #a )is)a #icencia( Si a&tea o tans*oma esta o"a!
o genea #na o"a deivada! s0&o p#ede disti"#i &a o"a geneada "a1o
#na &icencia id)ntica a )sta(
A& e#ti&i/a o disti"#i &a o"a! tiene ,#e de1a "ien c&ao &os t)minos de
&a &icencia de esta o"a(
A&g#na de estas condiciones p#ede no ap&icase si se o"tiene e& pemiso de&
tit#&a de &os deec'os de a#to
.ada en esta &icencia menosca"a o estinge &os deec'os moa&es de&
a#to(
Los derechos deri*ados de usos #e'i)os u oras #i)iaciones
reconocidas por #e! no se *en a+ecados por #o anerior,
2sto es #n es#men *ci&mente &egi"&e de& te3to &ega& de vesi0n oigina& en
4dioma 4ng&)s +&a &icencia comp&eta-
'ttp566ceativecommons(og6&icenses6"$-nc-sa67(06ec6&ega&code
Pgina 2 de 55
-ndice de conenido
8"1etivos de& c#so(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((5
Re,#isitos(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((5
4ntod#cci0n(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((9
:;#e es LDAP<(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((=
Ra/ones paa #ti&i/a LDAP(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((=
:;#) es #n sevicio de diectoio<((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((8
:;#) tipo de in*omaci0n se p#ede a&macena en #n diectoio<(((((((((((((((((((((((((((((((((((((10
:C0mo se a&macena &a in*omaci0n en LDAP<((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((10
:C0mo se e*eencia &a in*omaci0n en LDAP<(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((12
:C0mo se accede a &a in*omaci0n en LDAP<(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((12
:C0mo &o accede<(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((17
:C0mo potege &a in*omaci0n de accesos no a#toi/ados<(((((((((((((((((((((((((((((((((((((((((((((((17
:C0mo ta"a1a LDAP<((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((17
>(500(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((1?
Di*eencias ente LDAP v2 $ v7(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((15
:;#) es SLAPD<(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((19
La vesi0n 7 de LDAP((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((19
SASL(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((1@
SLDAP +Sevido LDAP- en de"ian((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((20
Pasos paa &a insta&aci0n de SLAPD((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((20
Recon*ig#aci0n de& pa,#ete s&apd(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((20
P#e"as de &a insta&aci0n(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((25
Administaci0n de #s#aios(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2=
Ceaci0n de &os ac'ivos &di*(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((28
Agega &os contenidos de &os &di*(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((28
Agega #s#aios(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((71
2&imina #n #s#aio(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((77
Agega ati"#tos((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((75
Aodi*ica #n ati"#to((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((7=
Paa e&imina #n ati"#to((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((7@
Aane1o de contaseBa(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?0
Administaci0n de g#pos((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?2
A#tenticaci0n de C&ientes en &dap(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?7
Listas de acceso en LDAP((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((??
Accesos #ti&i/ando D.(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?8
Pgina 7 de 55
Cone3iones Seg#as((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((?@
A%&tip&es Diectoios R)p&icas $ Cac'e((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((52
Con*ig#aci0n de sevidoes esc&avos LDAP (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((5?
Po3$Ldap((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((55
Con*ig#aci0n de #n sevido Po3$Ldap((((((((((((((((((((((((((((((((((((((((((((((((((((((((((55
Pgina ? de 55
.$"ei*os de# curso
4nsta&a! con*ig#a $ administa de &os sevicios "asados en LDAP(
Apende &as estategias paa &a p#esta en opeaci0n de& sevico LDAP en
e& poceso de migaci0n a so*tCae &i"e de &as instit#ciones de& estado(
(e/uisios
Re,#iee conocimientos "sicos de sopote en G.D6Lin#3(
Conocimiento en &a con*ig#aci0n de &os sevicios de ed $ &a seg#idad a
#n nive& "sico(
A#to-motivaci0n a &a investigaci0n $ est#dio en e& campo de& so*tCae &i"e
G.D6Lin#3(
Pgina 5 de 55
0nroducci1n
2sta es #na g#Ea pactica paa &a imp&ementaci0n de LDAP( Compende
desde &a insta&aci0n 'asta &a p#esta a p#nto de& sevicio( Como po e1emp&o! &a
con*ig#aci0n de& sevicio de modo seg#o con a#tenticaci0n de &os c&ientes ante
e& sevido! como se accede a &os datos! &a administaci0n! taeas como aBadi o
e&imina #s#aios $ g#pos! agega! e&imina $ cam"ia ati"#tos! ente otos( Se
espea ,#e sea de gan #ti&idad a &a 'oa de imp&ementa e& sevicio en s# sitio
de ta"a1o(
Pgina 9 de 55
23ue es LDAP4
La inicia&es LDAP en ing&)s signi*ica Lightweight Directory Access
Protocol (LDAP-F tad#cido a& espaBo& s# signi*icado es5 Protocolo Ligero
para Acceder al Servicio de Directorio! )sta imp&ementaci0n se "asa en e&
estnda >(500! e& c#a& es #n con1#nto de estndaes de edes de comp#tadoas
de &a 4TD-T so"e e& sevicio de diectoios( LDAP se e1ec#ta so"e TCP/IP o
so"e otos sevicios de tans*eencia oientado a cone3i0nF ,#e pemite e&
acceso a &a data de #n diectoio odenado $ disti"#ido paa "#sca in*omaci0n(
Ga"it#a&mente se a&macena in*omaci0n de &os #s#aios ,#e con*oman
#na ed de comp#tadoes! como po e1emp&o e& nom"e de #s#aio! contaseBa!
diectoio 'oga! etc( 2s posi"&e a&macena oto tipo de in*omaci0n ta& como!
"e"ida pe*eida! n%meo de te&)*ono ce&#&a! *ec'a de c#mp&eaBos! etc(
2n conc&#si0n! LDAP es #n potoco&o de acceso #ni*icado a #n con1#nto de
in*omaci0n so"e &os #s#aios de #na ed de comp#tadoes(
(a5ones para ui#i5ar LDAP
A& #ti&i/a LDAP se p#ede conso&ida in*omaci0n paa toda #na
ogani/aci0n dento de #n epositoio centa&( Po e1emp&o! en ve/ de administa
&istas de #s#aios paa cada g#po dento de #na ogani/aci0n! p#ede #sa
LDAP como diectoio centa&! accesi"&e desde c#a&,#ie pate de &a ed( P#esto
,#e LDAP sopota &a Capa de cone3i0n seg#a +SSL- $ &a Seg#idad de &a capa
de tanspote +TLS-! &os datos con*idencia&es se p#eden potege de &os c#iosos(
LDAP tam"i)n sopota #n n%meo de "ases de datos Hback-end en &as ,#e se
a&macena &a in*omaci0n( 2sto pemite ,#e &os administadoes tengan &a
*&e3i"i&idad paa desp&ega &a "ase de datos ms indicada! paa e& tipo de
in*omaci0n( LDAP tiene #na inte*a/ de pogamaci0n de ap&icaciones +API-
Pgina = de 55
"ien de*inida! e3iste #n n%meo de ap&icaciones aceditadas paa LDAP! ests
estn a#mentando en cantidad $ ca&idad! &as 'a$ en distintos &eng#a1es de
pogamaci0n! ta&es como C! CII! Java! Pe&! PGP! ente otos(
23u6 es un ser*icio de direcorio4
Dn sevicio de diectoio +SD- es #na ap&icaci0n o #n con1#nto de
ap&icaciones ,#e a&macena $ ogani/a &a in*omaci0n de &os #s#aios de #na ed
de comp#tadoes! pemitiendo a &os administadoes gestiona e& acceso de
#s#aios a &os ec#sos so"e dic'a ed( Adems! &os sevicios de diectoio
act%an como #na capa de a"stacci0n ente &os #s#aios $ &os ec#sos
compatidos(
Los diectoios tienden a contene in*omaci0n desciptiva "asada en
ati"#tos $ tienen capacidades de *i&tado m#$ so*isticada( Los diectoios
genea&mente no sopotan tansacciones comp&icadas ni es,#emas de v#e&ta
ats +"oll #ack- como &os ,#e se enc#entan en &os sistemas de "ases de datos
diseBados paa mane1a gandes $ comp&e1os vo&%menes de act#a&i/aciones( Las
act#a&i/aciones de &os diectoios son noma&mente cam"ios simp&es(
Dn sevicio de diectoio no de"eEa con*#ndise con e& epositoio de
diectoio! ,#e es &a "ase de datos! esta es &a ,#e contiene &a in*omaci0n so"e
&os o"1etos nom"ados! gestionado po e& sevicio de diectoio( 2& sevicio de
diectoio popociona &a inte*a/ de acceso a &os datos ,#e se contienen en #nos
o ms espacios de nom"e de diectoio( La inte*a/ de& sevicio de diectoio es
&a encagada de gestiona &a a#tenticaci0n de &os accesos a& sevicio de *oma
seg#a! act#ando como a#toidad centa& paa e& acceso a &os ec#sos de
sistema ,#e mane1an &os datos de& diectoio(
Pgina 8 de 55
Como "ase de datos! #n sevicio de diectoio est a&tamente optimi/ado
paa &ect#as $ popociona a&tenativas avan/adas de "%s,#eda en &os
di*eentes ati"#tos ,#e se p#edan asocia a &os o"1etos de #n diectoio( Los
datos ,#e se a&macenan en e& diectoio son de*inidos po #n es,#ema e3tensi"&e
$ modi*ica"&e( Los sevicios de diectoio #ti&i/an #n mode&o disti"#ido paa
a&macena s# in*omaci0n $ esa in*omaci0n genea&mente est ep&icada ente
&os sevidoes ,#e *oman e& diectoio(
Los diectoios estn a*inados paa da #na pida esp#esta a gandes
vo&%menes de "%s,#edas( 2stos tienen &a capacidad de ep&ica &a in*omaci0n
paa incementa &a disponi"i&idad $ &a *ia"i&idad! a& tiempo ,#e ed#cen &os
tiempos de esp#esta( C#ando &a in*omaci0n de #n diectoio se ep&ica! se
p#eden pod#ci inconsistencias tempoa&es ente &as )p&icas mientas esta se
est sinconi/ando(
Ga$ m#c'as *omas di*eentes de povee #n sevicio de diectoio(
Di*eentes m)todos pemiten a&macena distintos tipos de in*omaci0n en e&
diectoio! tene distintos e,#isitos so"e c0mo &a in*omaci0n 'a de se
e*eenciada! cons#&tada $ act#a&i/ada! c0mo es potegida de &os accesos no
a#toi/ados! etc( A&g#nos sevicios de diectoio son &oca&es! es deci! poveen e&
sevicio a #n conte3to estingido +como po e1emp&o! e& sevicio H$inger en #na
%nica m,#ina-( 8tos sevicios son g&o"a&es $ poveen sevicio a #n conte3to
m#c'o ms amp&io +como po e1emp&o! 4ntenet-( Los sevicios g&o"a&es
noma&mente son disti"#idos! esto signi*ica ,#e &os datos estn epatidos a &o
&ago de distintos e,#ipos! &os c#a&es coopean paa da e& sevicio de diectoio(
TEpicamente! #n sevicio g&o"a& de*ine #n espacio de nom"es #ni*ome ,#e da &a
misma visi0n de &os datos! independientemente de donde se est)! en e&aci0n a
&os popios datos( 2& sevicio D%S +Do&ain %a&e Syste&- es #n e1emp&o de #n
sistema de diectoio g&o"a&mente disti"#ido(
Pgina @ de 55
23u6 ipo de in+or)aci1n se puede a#)acenar en un direcorio4
2n pincipio en #n sevicio de diectoio se p#ede a&macena c#a&,#ie tipo
de in*omaci0n( Como po e1emp&o! nom"e! diecci0n de 'a"itaci0n! nom"e de
&a mascota! m%sica pe*eida! "e"ida *avoita! etc( Sin em"ago! &a in*omaci0n
,#e se a&macena es a,#e&&a ,#e pemita ogani/a de manea 1e,#ica todos
&os #s#aios de &a ed( 2st#ct#a &a in*omaci0n de &os #s#aios de &a ed es de
#ti&idad a &a 'oa de estingi e& acceso a &os sevicios $ ec#sos de &a edF
Pemitiendo gestiona con ma$o *aci&idad &a ed(

2C1)o se a#)acena #a in+or)aci1n en LDAP4
La in*omaci0n es odenada en e& mode&o de LDAP en entadas( Dna
entada es #na co&ecci0n de ati"#tos ,#e tienen #n %nico %o&bre 'lobal
Disting(ido +D%-( 2& D% se #ti&i/a paa e*eise a #na entada sin
am"igKedades( Cada ati"#to de #na entada posee #n tipo $ #no o ms va&oes(
Los tipos son noma&mente pa&a"as nemot)cnicas! como HcnL paa co&&on
na&e! o H&ailL paa #na diecci0n de coeo( La sinta3is de &os ati"#tos
depende de& tipo de ati"#to( Po e1emp&o! #n ati"#to cn p#ede contene e& va&o
HL(is )*r+(e,L( Dn ati"#to e&ail p#ede contene #n va&o
H&ar+(e,l-(cla.ed(.veL(
2stas entadas estn ogani/adas en #na est#ct#a 1e,#ica en *oma de
"o& invetido! de &a misma manea como se est#ct#a e& sistema de ac'ivos
de /%I0( Tadiciona&mente esta est#ct#a e*&e1a"a &os &Emites geog*icos $6o
ogani/aciona&es( Las entadas ,#e epesentan paEses apaecen en &a pate
s#peio de& "o&( De"a1o de e&&os! estn &as entadas ,#e epesentan &os
Pgina 10 de 55
estados $ &as ogani/aciones naciona&es( Ma1o estas! p#eden esta &as entadas
,#e epesentan &as #nidades ogani/aciona&es! emp&eados! impesoas!
doc#mentos o todo a,#e&&o ,#e p#eda imaginase( La sig#iente *ig#a m#esta
#n "o& de diectoio LDAP 'aciendo #so de& nom"amiento tadiciona&(
7i'ura N8 9 N"o& de diectoio LDAP +nom"amiento tadiciona&-
2& "o& tam"i)n se p#ede ogani/a "asndose en &os nom"es de dominio
de 4ntenet( 2ste tipo de nom"amiento se est vo&viendo m#$ pop#&a $ en &os
act#a&es momentos es e& ms #ti&i/ado! $a ,#e pemite &oca&i/a #n sevicio de
diectoio 'aciendo #so de &os D.S( La sig#iente *ig#a m#esta #n "o& de
diectoio ,#e 'ace #so de &os nom"es "asados en dominios(
7i'ura N8 : N"o& de diectoio LDAP +nom"amiento de 4ntenet-
Pgina 11 de 55
dcOve
dcOed#
dcO#c&a
o#Opeop&e o#O#ses
o#Oadm
cnO&#is
cnOoot cnOpedo
o#Ote&ecom#nicaciones
cOectoado
o#Oin*omtica
cnOJ#nio 2sca&ona
Dn e1emp&o de& D. seEa5
dn% cnOL#is A,#e/! ouOpeop&e! dcO#c&a! dcOed#! dcOve
8"seve ,#e e& dn se const#$e de a"a1o 'acia ai"a( A& ig#a& ,#e se
const#$en &os nom"es en D%S.
Adems! LDAP pemite conto&a ,#) ati"#tos son e,#eidos $ pemitidos
en #na entada gacias a& #so de& ati"#to denominado ob1ectClass( 2& va&o de&
ati"#to ob1ectClass detemina ,#) eg&as de diseBo +sche&a r(les- 'a de
seg#i &a entada(
2C1)o se re+erencia #a in+or)aci1n en LDAP4
Dna entada es e*eenciada po s# nom"e disting#ido! ,#e es const#ido
po e& nom"e de &a popia entada &&amado %o&bre "elativo Disting(ido
("D%2 $ &a concatenaci0n de &os nom"es de &as entadas ,#e &e anteceden( Po
e1emp&o! &a entada paa l(is en e& e1emp&o de& nom"amiento de 4ntenet
anteio tiene e& sig#iente RD.5 (id3l(is $ s# D. seEa5
(id3l(is!o(3people!dc3(cla!dc3ed(!dc3ve( De est manea se p#ede
accede a toda &a in*omaci0n ,#e se a&macenada en e& diectoio LDAP(
2C1)o se accede a #a in+or)aci1n en LDAP4
LDAP de*ine opeaciones paa inteoga $ act#a&i/a e& diectoio( Povee
opeaciones paa aBadi! modi*ica $ e&imina entadas de& mismo( La ma$o
pate de& tiempo! LDAP se #ti&i/a paa "#sca in*omaci0n a&macenada en e&
diectoio( Las opeaciones de "%s,#eda de LDAP pemiten enconta entadas
Pgina 12 de 55
,#e conc#edan con a&g%n citeio especi*icado dado po #n *i&to de "%s,#eda(
La in*omaci0n p#ede se so&icitada desde cada entada ,#e conc#eda con
dic'o citeio(
2C1)o #o accede4
Po e1emp&o! imagEnese ,#e ,#iee "#sca en e& s#""o& de& diectoio ,#e est
po de"a1o de dc3(cla!dc3ed(!dc3ve a pesonas con e& nom"e L(is
)*r+(e,! o"teniendo &a diecci0n de coeo e&ect0nico de cada entada ,#e
conc#ede( LDAP pemite 'ace esto *ci&mente( 8 ta& ve/ pe*iea "#sca &as
ogani/aciones ,#e posean &a cadena (cla en s# nom"e o posean n%meo de
$a4( LDAP es m#$ *&e3i"&e $ pemite 'ace esto $ m#c'o ms(
2C1)o proe'e #a in+or)aci1n de accesos no auori5ados4
A&g#nos sevicios de diectoio no poveen potecci0n! pemitiendo a
c#a&,#ie pesona accede a &a in*omaci0n( LDAP povee #n mecanismo de
a#tenti*icaci0n paa &os c&ientes! o &a con*imaci0n de identidad en #n sevido de
diectoio! *aci&itando e& camino paa #n conto& de acceso ,#e pote1a &a
in*omaci0n ,#e e& sevido posee( LDAP tam"i)n sopota &os sevicios de
pivacidad e integidad(
2C1)o ra$a"a LDAP<
2& sevicio de diectoio de LDAP est "asado en e& mode&o
cliente/servidor( Dno o ms sevidoes LDAP contienen &os datos ,#e
con*oman &a in*omaci0n de& "o& de& diectoio +DIT-( 2& c&iente se conecta a
&os sevidoes $ &es *om#&a peg#ntas( Los sevidoes esponden con #na
Pgina 17 de 55
esp#esta o con #n p#nteo donde e& c&iente p#ede o"tene in*omaci0n adiciona&
+noma&mente oto sevido LDAP-( .o impota a ,#e sevido LDAP se conecte
#n c&iente! este siempe o"tend &a misma visi0n de& diectoioF #n nom"e
pesentado po #n sevido LDAP e*eencia &a misma entada ,#e c#a&,#ie
oto sevido LDAP( 2sta es #na caacteEstica m#$ impotante de& sevicio
g&o"a& de diectoio! como LDAP(
;,<00
0.560 es #n con1#nto de estndaes de edes de comp#tadoes de &a IT/
+Dni0n 4ntenaciona& de Te&ecom#nicaciones- so"e sevicios de diectoio!
entendidos estos como "ases de datos de diecciones e&ect0nicas +o de otos
tipos-( 2& estnda se desao&&0 con1#ntamente con &a IS7 como pate de&
mode&o de intecone3i0n de sistemas a"ietos! paa #sa&o como sopote de&
coeo e&ect0nico 0.866(
Los potoco&os de*inidos po 0.566 inc&#$en5
Potoco&o de acceso a& diectoio +DAP-
Potoco&o de sistema de diectoio
Potoco&o de oc#&taci0n de in*omaci0n de diectoio
Potoco&o de gesti0n de en&aces opeativos de diectoio(
Dento de &a seie >(500! &a especi*icaci0n ,#e 'a es#&tado se &a ms
di*#ndida no tata de potoco&os de diectoio! sino de ceti*icados de c&ave
p%"&ica >(50@(
2& potoco&o LDAP *#e ceado como #na vesi0n &iviana de 0.566 $ temin0
po eemp&a/a&o( Po esta a/0n a&g#nos de &os conceptos $ estndaes ,#e
#ti&i/a LDAP povienen de &a seie de potoco&os 0.566(
Pgina 1? de 55
T)cnicamente! LDAP es #n potoco&o de acceso a diectoio paa e& sevicio
de diectoio 0.566! de& sevicio de diectoio de 7SI( 4nicia&mente! &os c&iente
LDAP accedEan a tav)s de p#etas de en&ace a& sevicio de diectoio 0.566(
2sta p#eta de en&ace e1ec#ta"a LDAP ente e& c&iente $ &a p#eta de en&ace! $ e&
Potoco&o 0.566 de Acceso a& Diectoio +DAP- ente &a p#eta de en&ace $ e&
sevido 0.566( DAP es #n potoco&o e3temadamente pesado ,#e opea so"e
#na pi&a potoco&a 7SI comp&eta $ e,#iee #na cantidad signi*icativa de
ec#sos comp#taciona&es( LDAP est diseBado paa opea so"e TCP/IP
popocionando #na *#nciona&idad simi&a a &a de DAP! peo con #n costo
m#c'Esimo meno(
A#n,#e LDAP se #ti&i/a todavEa paa accede a& sevicio de diectoio
0.566 a tav)s de p#etas de en&ace! 'o$ en dEa es ms com%n imp&ementa
LDAP diectamente en &os sevidoes 0.566(
2& demonio a#t0nomo de LDAP! o SLAPD! p#ede se visto como #n
sevido de diectoio 0.566 &igeo( 2s deci! no imp&ementa e& DAP 0.566! sino
#n s#"con1#nto de mode&os de 0.566(
2s posi"&e ep&ica datos desde #n sevido de diectoio LDAP 'acia #n
sevido DAP 0.566( 2sta opeaci0n e,#iee #na p#eta de en&ace LDAP/DAP(
7penLDAP no s#minista dic'a p#eta de en&ace! peo e& demonio de
ep&icaci0n ,#e posee p#ede se #sado paa &a ep&icaci0n! como si de #na p#eta
de en&ace se tatase(
Di+erencias enre LDAP *: ! *=
LDAPv9 *#e desao&&ado en &os aBos @0 paa eemp&a/a a LDAPv:(
Pgina 15 de 55
LDAPv9 incopoa &as sig#ientes caacteEsticas a LDAP5
A#tenti*icaci0n *#ete 'aciendo #so de SASL (Si&ple A(thentication
and Sec(rity Layer2
Potecci0n de integidad $ con*idencia&idad 'aciendo #so de TLS +SSL-!
Transpor La!er >ecuri! (>ecure >oc?es La!er)
4ntenaciona&i/aci0n gacias a& #so de Dnicode
Remisiones $ contin#aciones
Desc#"imiento de es,#emas
23tensi"i&idad +conto&es! opeaciones e3tendidas $ ms-
Como LDAPv: di*iee signi*icativamente de LDAPv9! &a inteacci0n ente
am"as vesiones p#ede se #n poco po"&emtica( 2s ecomenda"&e no #ti&i/a &a
vesi0n de LDAPv:! po &o ,#e en &a imp&ementaci0n de 7penLDAP viene
des'a"i&itado po omisi0n(
23u6 es >LAPD4
SLAPD es #n sevido de diectoio LDAP( 2s #na de &as tantas
imp&ementaciones de LDAP en So*tCae Li"e( 2sta vesi0n es &a m#$ pop#&a $
se p#ede deci ,#e es &a ms imp&ementadaF va&e &a pena menciona ,#e e3isten
vaias imp&ementaciones de LDAP en so*tCae popietaio! como po e1emp&o
imp&ementaciones de SD.! 4MA! etc(
La *ersi1n = de LDAP
Sopota LDAP so"e IPv8! IPv; $ /ni4 IPC
Tiene sopote de a#tenti*icaci0n *#ete gacias a& #so de SASL( La
imp&ementaci0n SASL de SLAPD 'ace #so de& so*tCae Cyr(s SASL! e&
Pgina 19 de 55
c#a& sopota #n gan n%meo de mecanismos de a#tenti*icaci0n! como5
DI'<ST-)D5! <0T<"%AL! $ 'SSAPI(
Povee potecciones de pivacidad e integidad gacias a& #so de TLS o
SSL( La imp&ementaci0n TLS de SLAPD 'ace #so de& so*tCae 7penSSL
P#ede se con*ig#ado paa estingi e& acceso a &a capa de socket
"asndose en &a in*omaci0n topo&0gica de &a ed( 2sta caacteEstica 'ace
#so de &os TCP wrappers (Herramienta simple que sirve para monitorear
y controlar el trfico que llega por la red)
Povee *aci&idades de conto& de acceso m#$ potentes! pemiti)ndo&e
conto&a e& acceso a &a in*omaci0n de s#+s- "ase+s- de datos( P#ede
conto&a e& acceso a &as entadas "asndose en &a in*omaci0n de
a#toi/aci0n de LDAP! en &a diecci0n 4P! en &os nom"es de dominio $
otos citeios( SLAPD sopota tanto e& conto& de acceso a &a in*omaci0n
dinmico como esttico(
Sopota Dnicode $ eti,#etas de &eng#a1e(
Viene con #na seie de backends paa di*eentes "ases de datos( 2stos
inc&#$en D#D! #n backend de #na "ase de datos tansacciona& de a&to
endimientoF LD#)! #n backend &igeo "asado en D#)F S=<LL! #na
inte*ace paa scipts de shellF $ PASS>D! #n backend simp&e paa e&
ac'ivo passwd. 2& backend #D# 'ace #so de Sleepcat #erkeley DB(
LD#) #ti&i/a c#a&,#iea de &as sig#ientes5 #erkeley D# o 'D#)
Se p#ede con*ig#a paa sevi a m%&tip&es "ases de datos a& mismo
tiempo( 2sto signi*ica ,#e #n %nico sevido SLAPD p#ede esponde a
peticiones de di*eentes pociones &0gicas de& "o& de LDAP! 'aciendo #so
de& mismo o distintos backends de "ases de datos(
Pgina 1= de 55
Si necesita ms pesona&i/aci0n! SLAPD &e pemite esci"i s#s popios
m0d#&os *ci&mente( SLAPD consiste en dos pates di*eentes5 #n
$rontend ,#e mane1a &as com#nicaciones potoco&aes con &os c&ientes
LDAPF $ m0d#&os ,#e mane1an taeas especE*icas como &as opeaciones con
&as "ases de datos( De"ido a ,#e estas dos pie/as se com#nican a tav)s de
#na API "ien de*inida! p#ede esci"i s#s popios m0d#&os! ,#e e3tenden
SLAPD de m%&tip&es maneas( Tam"i)n e3isten n#meosos m0d#&os
pogama"&es de "ases de datos( 2stos pemiten a SLADP accede a
*#entes de datos e3tenos 'aciendo #so de &eng#a1es de pogamaci0n
pop#&aes +Perl! shell! S?L $ TCL-
Gace #so de 'i&os paa o"tene a&to endimiento( Dn poceso %nico
m#&ti'i&o mane1a todas &as peticiones entantes 'aciendo #so de #na
piscina de 'i&os( 2sto ed#ce &a caga de& sistema a &a ve/ ,#e povee a&to
endimiento(
Se p#ede con*ig#a paa ,#e mantenga copias de &a in*omaci0n de&
diectoio( 2ste es,#ema de ep&icaci0n! (n @nico &aestro/&@ltiples
esclavos! es vita& en am"ientes con #n vo&#men a&to de peticiones! donde
#n %nico sevido SLAPD no podEa povee &a disponi"i&idad ni &a
con*ia"i&idad necesaias( SLAPD inc&#$e tam"i)n #n sopote e3peimenta&
paa &a ep&icaci0n de &@ltiples &aestros( SLAPD sopota dos m)todos
de ep&icaci0n5 Sync LDAP $ SL/"P (servidor de replicaciAn LDAP2.
P#ede se con*ig#ado como #n sevicio po3$ de cac') LDAP(
2s a&tamente con*ig#a"&e a tav)s de #n %nico ac'ivo de con*ig#aci0n!
,#e pemite modi*ica todo a,#e&&o ,#e se necesite cam"ia( Las opciones
po omisi0n son a/ona"&es! &o ,#e *aci&ita m#c'o e& ta"a1o(
Pgina 18 de 55
>A>L
HSi&ple A(thentication and Sec(rity LayerL +capa de seg(ridad y
a(tenticaciAn si&ple-( 2s #n *amCoP paa mane1a &a a#tenticaci0n $
a#toi/aci0n en potoco&os de intenet( 2ste sepaa &os mecanismos de
a#tenticaci0n de &os potoco&os de &a ap&icaci0n(
Como SASL s0&o se mane1a &a a#tenticaci0n se e,#ieen otos mecanismos
como po e1emp&o TLS paa ci*a e& contenido ,#e se tans*iee(
Los potoco&os de*inen s# epesentaci0n de intecam"ios SASL con #n
perfil( Dn potoco&o tiene #n no&bre de servicio como QLDAPQ en #n egisto
compatido con GSSAP4 +Geneic Sec#it$ Sevices App&ication Pogamming
4nte*ace- $ R2RM2R8S(
2nte &os potoco&os ,#e a'oa mismo #san SASL se inc&#$en 4AAP! LDAP!
P8P7! SATP $ >APP(
Pgina 1@ de 55
>LDAP (>er*idor LDAP) en de$ian
Antes de comen/a a desci"i e& poceso de insta&aci0n de& LDAP se de"e
tene en c#enta &o sig#iente5
1( A& *ina&i/a &a insta&aci0n $ con*ig#aci0n LDAP esta en &a capacidad de
a#tentica #s#aios ante e& sevicio de diectoio( La vesi0n ,#e se
#ti&i/a es &a 2(7(70-5Ietc'1F )sta es &a %&tima vesi0n esta"&e paa e&
momento de &a ea&i/aci0n de este mateia&(
2( Se #ti&i/a e& dominio #c&a(ed#(ve a &o &ago de todo e& mateia&(
Pasos para #a insa#aci1n de SLAPD
21ec#te e& sig#iente comando5
Baptit(de install slapd ldap-(tils
Con*ime &a e1ec#ci0n de& comando(
Se de"e intod#ci &a c&ave de& administado de& LDAP.
Se con*ima &a c&ave(
(econ+i'uraci1n de# pa/uee s#apd
21ec#tamos e& sig#iente comando
Bdpkg-recon$ig(re slapd
2& o"1etivo es econ*ig#a e& s&apd( .o podemos omiti esta secci0n
Pgina 20 de 55
Con*ig#amos e& dominio
Pgina 21 de 55
Con*ig#amos e& nom"e de &a ogani/aci0n
Con*ig#amos e& passCod de& administado en LDAP.
Con*imamos e& passCod de& administado(
2&egimos &a "ase de datos(
Pgina 22 de 55
2s ecomenda"&e se&ecciona ,#e no se em#eva &a "ase de datos c#ando
se desinsta&e e& SLAPD
Pgina 27 de 55
Como estamos econ*ig#ando e& SLAPD 'aemos #na copia de &a "ase de
datos anteio(
Ta& $ como ecomienda &a doc#mentaci0n! no daemos sopote paa &a
vesi0n 2 de LDAP
Pgina 2? de 55
S con esto teminamos &a insta&aci0n de& LDAP
Prue$as de #a insa#aci1n
2& sevido est esc#c'ando po e& p#eto coespondiente5
netstat -tp(a C &ore
2& es#&tado de& comando anteio de"e se e& sig#iente5
Pgina 25 de 55
Gaemos #na cone3i0n a& LDAP
Pgina 29 de 55
2& es#&tado de& comando anteio de"e se a&go como
Ad)inisraci1n de usuarios
2n este apatado se mosta como agega #n #s#aio a& LDAP #ti&i/ando
paa e&&o &os ldi$ +LDAP Data Interchange Dor&at-( A contin#aci0n se
mosta c#a& es &a est#ct#a de &os ldi$.
&di* paa &a ceaci0n de #na #nidad ogani/aciona& Hpeop&eL( 2& nom"e de&
ac'ivo es peop&e(&di*
dn% ouOpeop&e!dcO#c&a!dcOed#!dcOve
ou5 peop&e
o$"ecc#ass5 ogani/ationa&Dnit
Pgina 2= de 55
Creaci1n de #os archi*os #di+
&di* paa &a ceaci0n de #na #nidad ogani/aciona& Hgo#pL(
2& nom"e de& ac'ivo es go#p(&di*
dn5 o#Ogo#p!dcO#c&a!dcOed#!dcOve
o#5 go#p
o"1ectc&ass5 ogani/ationa&Dnit
&di* paa &a ceaci0n de #n g#po H#sesL( 2& nom"e de& ac'ivo es
#ses(&di*
dn5 cnO#ses!o#Ogo#p!dcO#c&a!dcOed#!dcOve
o"1ectc&ass5 posi3Go#p
o"1ectc&ass5 top
cn5 #ses
#sePassCod5 Tc$ptUV
gid.#m"e5 100
A're'ar #os conenidos de #os #di+
Paa agega &os contenidos de &os &di* a& LDAP se e1ec#tan &os sig#ientes
comandos(
Bdapadd -4 -> -D Ecn3ad&in!dc3(cla!dc3ed(!dc3veE -$ people.ldi$
Bldapadd -4 -> -D Ecn3ad&in!dc3(cla!dc3ed(!dc3veE -$ gro(p.ldi$
Bldapadd -4 -> -D Ecn3ad&in!dc3(cla!dc3ed(!dc3veE -$ (sers.ldi+
Pgina 28 de 55
A& e1ec#ta estos comandos te pedi e& passCod de& administado LDAP
$ e& es#&tado de &os mismos se m#esta en &a sig#iente imagen
Pgina 2@ de 55
Paa evisa e& es#&tado de &a inseci0n e1ec#tamos e& sig#iente comando
Bldapsearch -4 -b Edc3(cla!dc3ed(!dc3veE
Se p#ede con*ima en &a sa&ida de& comando anteio ,#e &a inseci0n de
&os anteioes ldi$ estn pesentes en &a est#ct#a de& "o& de& LDAP
Pgina 70 de 55
A're'ar usuarios
Se de"e cea #n ldi$ como se m#esta a contin#aci0n
.om"e de& ac'ivo ldi$ ma,#e/&(&di*
dn5 #idOma,#e/&!o#Opeop&e!dcO#c&a!dcOed#!dcOve
#id5 ma,#e/&
cn5 L#is A,#e/
o"1ectC&ass5 acco#nt
o"1ectC&ass5 posi3Acco#nt
o"1ectC&ass5 top
o"1ectC&ass5 s'adoCAcco#nt
#sePassCod5 Tc$ptUW1WGnC6>6?WVPn*c;&,2?,GgdnDV'D4p1
s'adoCLastC'ange5 1?001
s'adoCAa35 @@@@@
s'adoCXaning5 =
&oginS'e&&5 6"in6"as'
#id.#m"e5 1001
gid.#m"e5 100
'omeDiecto$5 6'ome6ma,#e/&
gecos5 L#is A,#e/
Pgina 71 de 55
Paa agega e& n#evo #s#aio a& n#evo "o& de LDAP se de"e e1ec#ta e&
sig#iente comando
Bldapadd -4 -> -D Ecn3ad&in!dc3(cla!dc3ed(!dc3veE -$ &ar+(e,l.ldi$
Paa evisa e& es#&tado de &a inseci0n e1ec#tamos e& sig#iente comando
Pgina 72 de 55
@#i)inar un usuario
Paa e&imina #n #s#aio de& "o& de& diectoio se de"e cea #n ac'ivo de&
tipo ldi$ como se m#esta a contin#aci0n
dn: uid=marquezl,ou=people,dc=ucla,dc=edu,dc=ve
cangetype: delete
21ec#tamos e& sig#iente comando paa e&imina #n #s#aio de& "o& LDAP
Bldap&odi$y -4 -D Ecn3ad&in!dc3(cla!dc3ed(!dc3veE -> -$ boorrar.ldi$
Pgina 77 de 55
Paa evisa e& es#&tado de &a e&iminaci0n e1ec#tamos e& sig#iente comando
Pgina 7? de 55
A're'ar ari$uos
Paa agega #n ati"#to se de"e cea #n ldi$ como se m#esta a
contin#aci0n( 2& nom"e de& ldi$ es add(&di*
c'anget$pe5 add
o"1ectc&ass5 top
o"1ectc&ass5 peson
o"1ectc&ass5 ogani/ationa&Peson
o"1ectc&ass5 inet8gPeson
cn5 L#is A,#e/
sn5 ma,#e/&
Pgina 75 de 55
te&ep'onen#m"e5 0?12=@00022
Se e1ec#ta &a sig#iente sinta3is
Paa vei*ica e& es#&tado e1ec#tamos &a sig#iente sinta3is
Pgina 79 de 55
Aodi+icar un ari$uo
Paa modi*ica #n atii"#to se de"e cea #n ldi$ como se m#esta a
contin#aci0n( 2& nom"e &di* es modi*$(&di*
c'anget$pe5 modi*$
ep&ace5 te&ep'onen#m"e
te&ep'onen#m"e5 0?19?=19?21
Pgina 7= de 55
Paa vei*ica e& cam"io e1ec#tamos &a sig#iente sinta3is
Pgina 78 de 55
Para e#i)inar un ari$uo
Se de"e cea #n ldi$ como e& ,#e se m#esta a contin#aci0n! e& nom"e
de& ac'ivo ldi$ es de&(&di*
c'anget$pe5 modi*$
de&ete5 te&ep'onen#m"e
Pgina 7@ de 55
Paa vei*ica e& es#&tado e1ec#tamos &a sig#iente sinta3is
Aane"o de conraseBa
Pimeo se de"e const#i #n passCod! paa e&&o #ti&i/aemos e& comando
slappasswd! e& es#&tado &o insetaemos en #n ac'ivo de& tipo ldi$ paa
modi*ica e& ati"#to passCod(
Cs#appassDd Eh FC(GPTH
Ldi*
c'anget$pe5 modi*$
ep&ace5 #sePassCod
#sePassCod5 TCRSPTUA*vpC7;t58Pm;
Pgina ?0 de 55
La sinta3is se m#esta a contin#aci0n
Pgina ?1 de 55
Ad)inisraci1n de 'rupos
2n &dap podemos 'ace #n mane1o de &os g#pos de #s#aios! ta& c#a& se
p#ede 'ace en e& sistema opeativo Vni3! asE ,#e e& mecanismo paa s# mane1o
es e& mismo ,#e &os g#pos de sistemas( De"emos cea #n g#po $ &#ego
asocia #s#aios a &os mismos(
Cea &os g#pos se ecomienda po a/ones de estndaes( Cea #n
#nidad ogani/ativa 8D! $ de"a1o de e&&a co&oca todos &os g#pos( 2sta #nidad es
&&amada HGo#psL! asE ,#e &#ego de cea&a ceamos de"a1o de e&&a todo &os
g#pos(
Paa cea &os g#pos de"emos asocia&e a &os mismo &a c&ase de o"1eto
Hposi3Go#pL! e& c#a& me indica ,#e este es #n g#po de sistema opeativo! &a
c&ase de o"1eto Hposi3Go#pL consta de tes ati"#tos ,#e son &os sig#ientes 5
.om"e de& Ati"#to Re,#eido Comentaio
cn Si .om"e de& G#po
gid.#m"e Si 4denti*icado n#m)ico
%nico de& G#po
mem"eDid .o Did de &os #s#aios
petenecientes a este
g#po(
Pgina ?2 de 55
Paa &a ceaci0n de g#pos se p#ede cea #n ac'ivo LD4Y! como e&
sig#iente 5
dn5 cnOadministadoes!o#Ogo#ps!dcO#nivesidad!dcOed#!dcOve
cn5 administadoes
gid.#m"e5 10100
mem"eDid5 apee/
mem"eDid5 /odig#e/
o"1ectC&ass5 top
o"1ectC&ass5 posi3Go#p
A,#E se cea #n g#po &&amado administadoes! en e& c#a& e& gid.#m"e
es 10100 +de"e se #n n#meo distinto paa cada g#po-! $ &os miem"os de ese
g#po son &os #s#aios ,#e poseen e& Did apee/ $ /odig#e/(
Paa agega o e&imina #s#aios de &os g#pos! "asta con edita e& egisto
de& g#po $ agega o e&imina #s#aios #ti&i/ando e& ati"#to mem"eDid(
Auenicaci1n de C#ienes en #dap
Dna ve/ con*ig#ado e& sevido de LDAP paa a&macena &a in*omaci0n
de& diectoio! podemos con*ig#a todos &os e,#ipos de n#esta ed +sevidoes
$ c&ientes- paa ea&i/a &a a#tenticaci0n en e& sevido LDAP(
2n pincipio! &a in*omaci0n administativa ,#e tiene sentido centa&i/a en
#n sevicio LDAP son &as c#entas de #s#aio +inc&#$endo contaseBas- $ c#entas
de g#po( 2n con1#nto! &a in*omaci0n a&macenada en am"os tipos de c#entas
pemite a#tenti*ica a #n #s#aio c#ando )ste desea inicia #na sesi0n
inteactiva en #n sistema Lin#3 $! en e& caso de ,#e &a a#tenticaci0n sea positiva!
cea e& conte3to de ta"a1o inicia& +es deci! e& poceso sell inicia&- paa ese
Pgina ?7 de 55
#s#aio( Aanteniendo am"os tipos de c#entas en e& diectoio pemitiEa #na
gesti0n comp&etamente centa&i/ada de &os #s#aios de& dominio(
4ntenamente! este poceso de a#tenticaci0n $ ceaci0n de& conte3to inicia&
,#e Lin#3 &&eva a ca"o c#ando #n #s#aio desea inicia #na sesi0n inteactiva
#ti&i/a dos "i"&iotecas distintas5
1( PAA +!lugga"le #utentication $odule- es #na "i"&ioteca de
a#tenticaci0n gen)ica ,#e c#a&,#ie ap&icaci0n p#ede #ti&i/a paa
va&ida #s#aios! #ti&i/ando po de"a1o m%&tip&es es,#emas de
a#tenticaci0n a&tenativos +ac'ivos &oca&es! Re"eos! LDAP! etc(-( 2sta
"i"&ioteca es #ti&i/ada po e& poceso de Q&oginQ paa aveig#a si &as
cedencia&es tec&eadas po e& #s#aio +nom"e $ contaseBa- son
coectas(
2( N>> +%ame &ervice &'itc- pesenta #na inte*a/ gen)ica paa
aveig#a &os pametos de #na c#enta +como s# D4D! G4D! sell inicia&!
diectoio de cone3i0n! etc(-! $ es #ti&i/ada po e& poceso de Q&oginQ
paa cea e& poceso de atenci0n inicia& de& #s#aio(
La venta1a *#ndamenta& de am"as "i"&iotecas consiste en ,#e p#eden
econ*ig#ase dinmicamente mediante ac'ivos! sin necesidad de ecompi&a
&as ap&icaciones ,#e &as #ti&i/an( Po tanto! &o %nico ,#e necesitamos es
econ*ig#a am"as paa ,#e #ti&icen e& sevido LDAP adems de &os ac'ivos
&oca&es +6etc6passCd! ente otos(- de cada e,#ipo(
2n De"ian G.D6Lin#3 &a insta&aci0n $ con*ig#aci0n de &os c&ientes &a
ea&i/aemos diectamente en &os ac'ivos de con*ig#aci0n( C#ando e& asistente
de De"ian peg#nte &a con*ig#aci0n cance&a e& mismo( Rea&i/a &os pasos
sig#ientes5
Pgina ?? de 55
1( 4nsta&a e& pa,#ete #i$nssE#dap! mediante &a e1ec#ci0n en &a conso&a de
Capiude insa## #i$nssE#dap! e& H.ame Sevice SCitc'L pemite a &os
sistemas opeativos Vni3! e& eemp&a/o de &os ac'ivos de con*ig#aci0n de
&os #s#aios +po e1emp&o5 6etc6passCd! 6etc6go#p-! po "ases de datos de
#s#aios centa&i/adas! en este caso se insta&a &a &i"eEa con sopote paa
LDAP! ,#e se e& sistema ,#e #ti&i/aemos(
2( 4nsta&a e& pa,#ete #i$pa)E#dap! mediante &a e1ec#ci0n en &a conso&a de
Capiude insa## #i$pa)E#dap! este pemiti &a a#tenticaci0n de &os
#s#aios de& sistema opeativo en "ase de datos &dap(
7( 4nsta&a e& pa,#ete nscd ! e& c#a& pemiti mantene en e& cac'e de&
e,#ipo &as "%s,#edas de &os egistos ,#e ea&i/a e& nss! con e& *in de evita
tene ,#e ea&i/a esas cons#&tas a &os sevidoes $ a'oa tiempo $
t*ico en &a ed(
Con*ig#aci0n de c&ientes5
1( 2dita e& ac'ivo 6ec/#i$nssE#dap,con+! $ se con*ig#a &os sig#iente 5
1( $ase dcIuni*ersidad,dcIedu,dcI*e! esta es &a "ase de "%s,#eda de
n#esto diectoio LDAP(
2( #dapJ*ersion = ! con &o c#a& n#estos c&ientes #ti&i/an &a vesi0n 7 de
LDAP(
7( $indJpo#ic! so+! esto nos pemiti ,#e c#ando e& sevido LDAP no
est) disponi"&e! pode contin#a con e& poceso de a#tenticaci0n de&
sistema #ti&i/ando &os ac'ivos &oca&es(
Pgina ?5 de 55
?( ss# sarJ#s ! e& sevido intenta 'ace &a cone3i0n #ti&i/ando t&s(
5( #sJchec?peer no! esta opci0n no c'e,#ea e& ceti*icado de& sevido
+%ti& c#ando se #ti&i/an ceti*icados geneados &oca&mente-(
2( 2dita e& ac'ivo /ec/nsssDich,con+! $ se con*ig#a &o sig#iente5
1( passDd +i#es #dap! con &o c#a& &a in*omaci0n de &os #s#aios se
"#sca pimeo en e& ac'ivo 6etc6passCd $ &#ego en e& sevido LDAP(
2( 'roup +i#es #dap ! con &o c#a& &a in*omaci0n de &os g#pos se "#sca
pimeo en e& ac'ivo 6etc6go#p $ &#ego en e& sevido LDAP(
7( 2dita e& ac'ivo /ec/pa)J#dap,con+! $ se con*ig#a &o sig#iente5
1( $ase dcIuni*ersidad,dcIedu,dcI*e! esta es &a "ase de "%s,#eda de
n#esto diectoio LDAP(
2( #dapJ*ersi1n = ! con &o c#a& n#estos c&ientes #ti&i/an &a vesi0n 7 de
LDAP(
7( $indJpo#ic! so+! esto nos pemiti ,#e c#ando e& sevido LDAP no
est) disponi"&e pode contin#a con e& poceso de a#tenticaci0n de&
sistema #ti&i/ando &os ac'ivos &oca&es(
?( ss# sarJ#s ! e& sevido intenta 'ace &a cone3i0n #ti&i/ando t&s(
5( #sJchec?peer no! esta opci0n no c'e,#ea e& ceti*icado de& sevido
+%ti& c#ando se #ti&i/an ceti*icados geneados &oca&mente-(
?( 2dita e& ac'ivo /ec/pa),d/co))onEaccoun! $ con*ig#a &o sig#iente5
1( acco#nt s#**icient pamZ#ni3(so n#&&oPZsec#e
2( acco#nt s#**icient pamZ&dap(so
7( acco#nt e,#ied pamZpemit(so
5( 2dita e& ac'ivo /ec/pa),d/co))onEauh! $ con*ig#a &o sig#iente5
1( a#t' s#**icient pamZ&dap(so
Pgina ?9 de 55
2( a#t' e,#ied pamZ#ni3(so n#&&oPZsec#e #seZ*istZpass
9( 2dita e& ac'ivo /ec/pa),d/co))onEpassDord! $ con*ig#a &o
sig#iente5
1( passCod s#**icient pamZ&dap(so
2( passCod e,#ied pamZ#ni3(so n#&&oP o"sc#e minO? ma3O8
md5
=( 2dita e& ac'ivo /ec/pa),d/co))onEsession! $ con*ig#a &o sig#iente5
1( session optiona& pamZ*oego#nd(so
2( session s#**icient pamZ&dap(so
7( session e,#ied pamZ#ni3(so
?( session e,#ied pamZmP'omedi(so sPe&O6etc6sPe&6
Po"a &a con*ig#aci0n mediante &os comandos 5
Bgetenv passwd o getenv gro(p! esto de"e mosta &os #s#aios ,#e estan en
e& sevido LDAP(
Lisas de acceso en LDAP
La "ase de datos LDAP! contiene in*omaci0n sensi"&e! po e1emp&o e& ati"#to
#sePassCod contiene &as contaseBas de &os #s#aios! peo tam"i)n e3iste oto
tipo de in*omaci0n como datos pesona&es de &as pesonas ,#e de"en se
esg#adados(
Paa conto&a &a a#toi/aci0n en &os sevidoes LDAP se #ti&i/an ACLs
+Lists de Conto& de Acceso-! c#ando #n sevido LDAP pocesa #n e,#eimiento
de #n c&iente eva&%a &os pemisos de acceso de& mismo a &a in*omaci0n
so&icitada( 2sta eva&#aci0n vei*ica sec#encia&mente cada #na de &as ACLs!
#"icadas en &os ac'ivos de con*ig#aci0n $ ap&ica &as eg&as apopiadas a&
Pgina ?= de 55
e,#eimiento(
La con*ig#aci0n de &as ACLs! se p#eden ea&i/a de dos maneas5
1( Diectamente en e& ac'ivo de con*ig#aci0n de& sevido LDAP!
/ec/#dap/s#apd,con+! $ p#eden se co&ocadas a& pincipio de& ac'ivo con
&o c#a& a*ectaan a todas &as "ases de datos ,#e posee e& sevido(
2( Dento de &a diectiva H$ac?endL! con &o c#a& so&o a*ecta a &a "ase de
datos especi*ica(
C#ando se poseen m#c'as eg&as de acceso! es ecomenda"&e co&oca en
#n ac'ivo apate $ #ti&i/a &a sinta3is inc#ude /ec/#dap/no)$redearchi*o! con
&o c#a& se mantend e& ac'ivo s#apd,con+ menos comp&e1o(
Las diectivas de acceso tienen &a sig#iente sinta3is 5
access o [ec#so\
$! [,#ien\ [tipo de pivi&egio\
$! [,#ien\ [tipo de pivi&egio\
Las diectivas access p#eden tene #no o mas H$!L! asE mismo p#eden pemiti
accesos po D.! ati"#tos! *i&tos! o #na com"inaci0n de estos(
Accesos ui#i5ando DN
Paa estingi #n acceso a #n D. en patic#&a! se de"e #ti&i/a #na eg&a
como &a sig#iente5
access to dnOQ#idOpedo!o#ODses!dcO#nivesidad!dcOed#!dcOveQ
"$ V none
2& H$! K noneL! ec'a/a &os accesos a todos(
Las esticciones a &os D.! p#eden se especi*icadas de &a sig#iente
manea 5
dn,$ase % Restinge e& acceso paa #n D. especi*ico! es &a opci0n po
Pgina ?8 de 55
de*ecto!
dn,exac $ dn("ase&eve& 5 son sin0nimos de dn("ase(
dn,one 5 Restinge e& acceso a &a sig#iente entada ,#e este desp#es de&
D. especi*icado(
dn,su$ree 5 Restinge e& acceso a todo e& "o& de"a1o de& D.
especi*icado(
Las ACLs! tam"i)n aceptan e3pesiones eg#&aes &o c#a& incementa e&
nive& de comp&e1idad ,#e se p#ede #ti&i/a paa *om#&a &as mismas(
A contin#aci0n #n e1emp&o #ti&i/ando e3pesiones eg#&aes 5
access to dn(ege3OQ#idO[]!\I!o#ODses!dcO#nivesidad!dcOed#!dcOveQ
"$ V none
2n e& e1emp&o anteio se estinge e& acceso a c#a&,#ie D.! con &a e3pesi0n
H#idOc#a&,#ie cosaLo#ODses!dcO#nivesidad!dcOed#!dcOve! donde c#a&,#ie
cosa de"e se #n te3to con a& menos #n cacte $ sin comas +!-! &as e3pesiones
eg#&aes pemiten incementa en gan medida &a #ti&idad de &as &istas de
acceso(
Conexiones >e'uras
Lo pimeo ,#e se de"e eva&#a es &a seg#idad de &a ed( Los c&ientes se
conectan a& sevido LDAP a tav)s de &as inte*aces de ed! $ tam"i)n &as
esp#estas de& sevido se tans*ieen a tav)s de &a ed(
2& potoco&o LDAP po de*ecto eci"e $ envEa &os datos en te3to p&ano! &o
c#a& tiene a&g#nas venta1as ente &as c#&es tenemos 5
Yaci&idad de con*ig#a $ mantene(
2& sevicio *#nciona ms pido! a& no tene ,#e tans*oma &os datos
ci*ados! &o c#a& siempe povee de #na caga adiciona& de pocesamiento(
Pgina ?@ de 55
2stas venta1as tienen #n costo de seg#idad! otos dispositivos en &a ed p#eden
intecepta &os datos $ &ee todo e& contenido de &os mismos! mientas ms
gande es #na ed esto se conviete en #na amena/a ma$o(
Paa evita eso &os sevidoes LDAP imp&ementan SSL +Sec#e SocPets
La$e) $ TLS (Tanspot La$e Sec#it$-! am"os mecanismos son #ti&i/ados paa
ci*a &os datos antes de tansmiti&os po &a ed( SSL $ TLS son simi&aes $ son
amp&iamente #ti&i/ados! &a pincipa& di*eencia es ,#e TLS es mas *&e3i"&e ,#e
SSL(
8penLDAP povee dos mecanismos paa ci*a e& t*ico en &a ed! e&
pimeo es esc#c'a po #n p#eto especE*ico +p#eto 979 po de*ecto-! &o ,#e
'ace ,#e &as com#nicaciones en ese p#eto sean ci*adas! este mecanismo *#e
intod#cido en LDAP v2! $ se considea #n m)todo en des#so( 2& seg#ndo
mecanismo es pate de &os estndaes de LDAP v7! e& c#a& pemite a &os c&ientes
conectase a tav)s de #n p#eto +78@ po de*ecto-! paa cone3iones ci*adas o
en te3to p&ano $ se e& c&iente e& ,#e se&ecciona e& tipo de cone3i0n ,#e desea(
2& #so de ceti*icados pemite no so&o ci*a &a in*omaci0n ente e& sevido $ &os
c&ientes! sino tam"i)n gaanti/a ,#e e& sevido a& c#a& se conecta e& c&iente es
a#tentico(
Act#a&mente e3isten a#toidades paa emiti ceti*icados conocidos como
CA +Ceti*ication A#t'oit$-! &os c#a&es a tav)s de #n pocedimiento de
eco&ecci0n de in*omaci0n $ #n pago! emiten #n ceti*icado ,#e tiene va&ide/ po
#n tiempo especE*ico $ &os sevidoes $ &os c&ientes econocen e& mismo(
23iste tam"i)n &a posi"i&idad de cea &os ceti*icados paa #so de &as
ogani/aciones o individ#os de manea intena! paa esto de de"e genea #n CA
con &a c#a& se *iman &os ceti*icados ,#e se emitin paa &os c&ientes $
Pgina 50 de 55
sevidoes( 2stos ceti*icados no sen econocidos como v&idos *#ea de &a
ogani/aci0n ,#e &os emite! po &o c#a& so&o se ecomienda paa #so inteno(
Paa cea #na CA! con e& *in de *ima n#estos popios ceti*icados! se
de"e insta&a e& pa,#ete openss#! e& c#a& en De"ian G.D6Lin#3! insta&a #n scipt
,#e pemite &a ceaci0n de #n CA! e& mismo ,#eda insta&ado en &a #ta
/usr/#i$/ss#/)isc/CA,p#! de"e e1ec#tase de &a sig#iente manea 5
C/usr/#i$/ss#/)isc/CA,p# EneDca
1( Se mosta #n mensa1e con &o sig#iente! CA ceri+icae +i#ena)e (or
ener o creae) ! en donde 'a$ ,#e p#&sa ente(
2( L#ego de genea &a c&ave de& ceti*icado peg#nta po #na contaseBa
paa e& mismo! @ner P@A pass phrase%
7( L#ego so&icita #na seie de in*omaci0n so"e &a ogani/aci0n! $
*ina&mente temina de cea e& ceti*icado paa &a CA(
?( A& *ina&i/a tendemos #n diectoio &&amado demoCA! con &os ceti*icados(
L#ego de esto se tend ,#e genea &os ceti*icados paa e& sevido LDAP! &o
c#a& se de &a sig#iente manea5
1( 21ec#ta /usr/#i$/ss#/)isc/CA,p# EneDre/ desde #na conso&a &#ego se
epetin &os pasos 2 $ 7 de &a ceaci0n de &a CA(
2( A& *ina&i/a tendemos dos ac'ivos &&amados neCPe$(pem +C&ave Pivada-
neCe,(pem +Ceti*icado-(
7( L#ego tenemos ,#e *ima &os ceti*icados con e& CA geneado
anteiomente! paa esto e1ec#tamos desde &a conso&a 6usr/#i$/ss#/)isc/
CA,p# Esi'nre/! peg#nta &a contaseBa de &a CA $ &#ego tendemos dos
ac'ivos! neD?e!,pe)! e& c#a& contiene &a c&ave pivada $ neDcer,pe)
e& c#a& contiene e& ceti*icado *imado(
Pgina 51 de 55
?( Se em#eve &a contaseBa ,#e tiene e& ceti*icado e1ec#tando desde &a
conso&a e& comando ^openss# rsa L neD?e!,pe) M c#ear?e!,pe)
5( L#ego de esto copiamos &os ac'ivos c#ear?e!,pe) ! neD?e!,pe) a #n
diectoio po conveniencia po e1emp&o 6etc6&dap6ss&(
9( 4nsta&a e& ceti*icado de &a CA! paa 'ace esto copiamos e& ac'ivo
cacer,pe) a /usr/share/caEceri+icaes/)iCA,cr! edita e& ac'ivo
/ec/caEceri+icaes,con+! $ co&oca a& *ina& de& ac'ivo )iCA,cr! $
e1ec#ta desde &a conso&a ^updaeEcaEceri+icaes,
=( Agega en e& ac'ivo de con*ig#aci0n de LDAP! paa &a #ti&i/aci0n de &os
ceti*icados $ ,#e e& mismo coa en modo SSL6TLS! &a con*ig#aci0n
,#edaEa de &a sig#iente manea 5
1( TL>CACeri+icaePah /ec/ss#/cers/
2( TL>Ceri+icae7i#e /ec/#dap/c#ear?e!,pe)
7( TL>Ceri+icaeNe!7i#e /ec/#dap/neD?e!,pe)
L#ego de esto e& sevido LDAP esta e1ec#tndose con sopote SSL6TLS(
AO#ip#es Direcorios (6p#icas ! Cache
2n entonos de gandes edes $ sevidoes LDAP con gandes "ase de
datos! se e,#iee mantene ms de #n sevido LDAP! $ esto se ea&i/a mediante
e& demonio s&#pd(
2& ac0nimo s#urpd signi*ica5 Standa&one LDAP Dpdate Rep&ication
Daemon $ s# misi0n es popaga &os cam"ios de #na "ase de datos s&apd 'acia
ota( Si s&apd est con*ig#ado paa pod#ci &ogs de ep&icaci0n! s&#pd &os &ee $
envEa &os cam"ios a &as instancias s&apd esc&avas a tav)s de& potoco&o LDAP(
s&#pd se aanca! noma&mente! en e& aan,#e de& sistema(
Pgina 52 de 55
Dna ve/ aancado! s&#pd noma&mente 'ace #n *oP de si mismo $ se
independi/a de &a tt$ ,#e &o 'a &&amado! &#ego &ee e& &og de ep&icaci0n +dado "ien
po &a diectiva ep&og*i&e de& ac'ivo de con*ig#aci0n de s&apd! 0 "ien po &a
opci0n - de &a &Enea de comandos-( Si e& ac'ivo &og de ep&icaci0n no e3iste o
est vacEo! s&#pd se d#eme( Desp#)s! cada cieto tiempo! se despieta $ vei*ica
si 'a$ cam"ios ,#e popaga(
C#ando s&#pd enc#enta cam"ios a popaga 'acia &as instancias s&apd
esc&avas! "&o,#ea e& &og de ep&icaci0n! 'ace #na copia pivada de& mismo! &i"ea
e& "&o,#eo anteiomente p#esto $ cea #n *oP de si mismo paa )p&ica de s&apd
,#e 'a de se act#a&i/ada( Cada poceso 'i1o se asocia con e& demonio s&apd
esc&avo! $ envEa &os cam"ios(
2& *#ncionamiento es e& sig#iente 5
2& c&iente LDAP envEa #na modi*icaci0n LDAP a& s&apd esc&avo(
2& s&apd esc&avo dev#e&ve #na emisi0n 'acia e& c&iente LDAP!
e*eenciando&o 'acia e& sevido s&apd maesto(
2& c&iente LDAP envEa &a opeaci0n de modi*icaci0n LDAP 'acia e& s&apd
maesto(
2& s&apd maesto ea&i/a &a opeaci0n de modi*icaci0n! esci"e &os cam"ios
en s# ac'ivo &og de ep&icaci0n $ dev#e&ve #n c0digo de )3ito 'acia e&
c&iente(
2& poceso s&#pd vei*ica ,#e se 'a aBadido #na n#eva entada a& ac'ivo
&og de ep&icaci0n! &ee &a entada de& &og de ep&icaci0n $ envEa e& cam"io
'acia e& sevido s&apd esc&avo vEa LDAP(
2& sevido s&apd esc&avo ea&i/a &a opeaci0n de modi*icaci0n $ #n c0digo
de )3ito 'acia e& poceso s&#pd(
Pgina 57 de 55
Con+i'uraci1n de ser*idores esc#a*os LDAP
La con*ig#aci0n de sevidoes &dap esc&avos se ea&i/a de &a sig#iente manea 5
1( 2n e& ac'ivo de con*ig#aci0n de& sevido maesto se co&oca &o
sig#iente5
1( rep#ica uriI#dap%//esc#a*o,uni*ersidad,edu,*e%=PQ
$inddnIRcnIrep#icador,dcIuni*ersidad,dcIedu,dcI*eR
$ind)ehodIsi)p#e credenia#sIrep#icador
2( rep#o'+i#e /*ar/#i$/#dap/rep#o'
2( 2n e& ac'ivo de con*ig#aci0n de& sevido esc&avo! &o sig#iente5
1( updaedn RcnIrep#icador,dcIuni*ersidad,dcIedu,dcI*eR
2( updaere+ R&dap566maesto(#nivesidad(ed#(veR
Pgina 5? de 55
Prox!Ldap
Dn sevido po3$ &dap act%a como #n intemediaio ente &os c&ientes $ &os
sevidoes ,#e poseen &os datos! $ son de gan #ti&idad c#ando se tienen gan
cantidad de sevidoes $ se e,#iee ag#pa en #no so&o(
Con+i'uraci1n de un ser*idor Prox!Ldap
21emp&o de con*ig#aci0n de sevido po3$&dap
2dita e& ac'ivo 6etc6&dap6s&apd(con* $ co&oca &o sig#iente5
1( daa$ase )ea! e& tipo de "ase de datos a #ti&i/a(
2( su++ix RdcIreacciun,dcI*eR! &a "ase de& diectoio po3$(
7( uri R&dap566&dap(#nivesidad(ed#(ve6dcO#nivesidad!dcOeacci#n!dcOveR
?( su++ix)assa'e RdcIuni*ersidad,dcIreacciun,dcI*eR
RdcIuni*ersidad,dcIedu,dcI*eR
Pgina 55 de 55

Manual LDAP v01 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual LDAP v01 PDF

Cargado por

Copyright:

Formatos disponibles

Tecno-Redes Sistemas VCG Agosto-2008 LDAP-v01

Curso de LDAP en GNU/Linux

También podría gustarte