Manual - LDAP - Integracion de Servicios en Red PDF

Manual de integracin
de servicios LDAP bajo

Canaima GNU/Linux
Caracas, ctubre de !""#
Cr$ditos % licencia
& !""'(!""# Centro Nacional de )ecnolog*as de
+n,ormacin
& !""'(!""# NU-A +ntegracin de .istemas
Este documento se distribuye al pblico como documentacin y
conocimiento libre bajo los trminos de la Licencia Pblica General
GNU, que puede obtener en la direccin Web:
/tt01//2223gnu3org/co0%le,t/g0l3/tml
Convenciones ti0ogr4,icas
e!to en"ati#ado, an$licismos, texto resaltado, comandos,
salidas, paquetes o contenido de arc%i&os'
(ndica in"ormacin muy importante con respecto al contenido
(ndica comandos, salidas en pantalla o contenido de arc%i&os
(ndica los pasos de un procedimiento
Pgina 2 de 81
)&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Contenido
Crditos y licencia.......................................................................................................................2
Convenciones tipogrficas..........................................................................................................2
Unidad I: Protocolo de acceso ligero a directorios.....................................................................7
Tema 1: ervicio de directorio................................................................................................7
Protocolos !tili"ados en !n servicio directorio ..................................................................8
Informaci#n contenida en !n servicio de directorio .........................................................1$
Tema 2: %as &ases de %'(P ................................................................................................11
Protocolo de aplicaci#n TCP)IP: %'(P ............................................................................11
*odelos %'(P..................................................................................................................11
*odelo de Informaci#n.....................................................................................................12
*odelo de nomenclat!ra..................................................................................................12
*odelo f!ncional..............................................................................................................1+
*odelo de seg!ridad........................................................................................................1,
-epresentaci#n de la informaci#n en !n directorio &asado en %'(P ............................1.
(tri&!tos %'(P ............................................................................................................1.
/&0etos %'(P...............................................................................................................1.
(cceso y referenciaci#n de la informaci#n contenida en el directorio ............................17
(r1!itect!ra de Cliente)ervidor ..........................................................................................17
2s1!emas de !n directorio: metadatos ...............................................................................17
Unidad II: %'(P versi#n + ........................................................................................................21
%a versi#n + de %'(P ..........................................................................................................21
Tema 1: alg!nas diferencias con s! predecesor 3 %'(Pv2 ................................................2,
'iferencias entre %'(P v2 y v+ .......................................................................................2,
Tema 2: 4ormato de intercam&io de informaci#n %'(P 3 %'I4
2n este apartado se mostrar como agregar !n !s!ario al %'(P !tili"ando para ello los
%'I4. ( contin!aci#n se mostrar c!al es la estr!ct!ra de los %'I4. ..................................2.
(gregar los contenidos de los ldif.........................................................................................2.
4ormato para n!evas entradas .......................................................................................25
(gregar !s!arios .........................................................................................................25
4ormato para modificaciones ..........................................................................................27
(gregar atri&!tos..........................................................................................................27
*odificar !n atri&!to.....................................................................................................28
4ormato para eliminaciones ...........................................................................................28
2liminar !n !s!ario...........................................................................................................28
Para eliminar !n atri&!to
e de&e crear !n ldif como el 1!e se m!estra a contin!aci#n6 el nom&re del arc7ivo
ldif es del.ldif ................................................................................................................28
(!tenticaci#n en %'(P ........................................................................................................28
(!tenticaci#n de clientes en %'(P .................................................................................28
(!tenticaci#n an#nima.....................................................................................................+1
(!tenticaci#n simple 9seg!ra y no seg!ra: .....................................................................+1
Pgina + de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Tema +: 'istri&!ci#n de directorios .....................................................................................+2
'istri&!ci#n de directorios ...............................................................................................+2
Unidad III: ervicio de directorio /pen%'(P............................................................................+,
Cone;iones eg!ras ...........................................................................................................+,
2l servidor slapd ..................................................................................................................+5
slapd ................................................................................................................................+5
Tema 1: Implementaci#n de !n servicio de directorio /pen%'(P en Canaima <=U)%in!;
..............................................................................................................................................+8
Instalaci#n del servidor.....................................................................................................+8
2lementos de config!raci#n.............................................................................................+8
Tema 2: Control de acceso al directorio a travs de listas de control de acceso 9(C%s: ...,$
Control de acceso al directorio a travs de listas de control de acceso .........................,$
2str!ct!ra general de !na (C% .......................................................................................,$
Usos com!nes de las (C%s ............................................................................................,1
Tema +: Po&lando el directorio /pen%'(P .........................................................................,+
'efinici#n de la estr!ct!ra inicial del directorio................................................................,+
Incorporaci#n de entradas iniciales..................................................................................,+
*odificando la informaci#n e;istente...............................................................................,.
Tra&a0ando con las contrase>as......................................................................................,7
?erificando el contenido del directorio .............................................................................,8
Unidad I?: Integraci#n con los servicios de directorio %'(P ...................................................,8
Tema 1: Integraci#n con el sistema operativo .....................................................................,8
*apeo de c!entas de !s!ario y gr!pos locales...............................................................,8
-esol!ci#n de nom&re 3 =..........................................................................................,8
Config!raci#n de &ases de datos de &@s1!eda...........................................................$
Config!raci#n del mod!lo %'(P...................................................................................$
(!tenticaci#n de !s!arios 3 *#d!los de a!tenticaci#n apila&les 3 P(*.........................1
Config!raci#n de reglas de a!tenticaci#n.....................................................................1
Config!raci#n de mod!lo %'(P....................................................................................2
Tema 2: Integraci#n con controladores de dominio am&a .................................................+
2s1!emas adicionales.......................................................................................................+
*apeo de c!entas de !s!ario y gr!pos ...........................................................................,
Tema +: Integraci#n con servicios de red .............................................................................5
Pro;y %'(P ......................................................................................................................5
Unidad ?: (dministraci#n avan"ada de directorios /pen%'(P ...............................................7
Tema 1: Cone;iones seg!ras al directorio A %)T% ..........................................................7
Tema 2: 2;istencia de ms de !na copia .............................................................................8
2;istencia de ms de !na copia 9sl!rpd:..........................................................................8
'ecidiendo el mecanismo de replicaci#n.........................................................................5$
2;istencia de ms de !na copia 9syncrepl:......................................................................51
Tema +: Particionando el directorio......................................................................................5+
'efinici#n de la referencia Inferior....................................................................................5+
Pgina , de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
'efinici#n de la referencia s!perior..................................................................................5.
(ne;os..................................................................................................................................55
20ercicio Prop!esto =B1...................................................................................................55
Pgina . de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
5ic/a Descri0tiva
Curso
L=)P con inte$raciones en ,anaima GNU>Linu!'
Modalidad ) distancia'
Duracin 5 semanas
Dirigido a Pblico y comunidad en $eneral, as? como personal docente,
tcnico y estudiantil de ,ole$ios Uni&ersitarios y Politcnicos'
6e7uisitos
0revios
Nociones b@sicas en el manejo de:
Permisos y ),L PAB(C'
Dedes en GNU>Linu!'
Gestin de usuarios y permisos bajo Linu!'
/anejo de ser&icios Bys1'
Gestin de procesos PAB(C'
/anejo de Linu! bajo ,L('
Eerramientas de pa$inacin y &isuali#acin de te!to'
/anejo del sistema de paquetes )P'
bjetivo del
curso
Emplear las estrate$ias necesarias para la puesta en operacin
del ser&icio L=)P en el proceso de mi$racin a so"t<are libre'
Pgina 5 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Unidad +1 Protocolo de acceso ligero a directorios
)ema 81 .ervicio de directorio
Un ser&icio de directorio es una aplicacin o un conjunto de aplicaciones que
almacena y or$ani#a la in"ormacin de los usuarios de una red de computadores,
permitiendo a los administradores $estionar el acceso de usuarios a los recursos sobre
dic%a red' )dem@s, los ser&icios de directorio actan como una capa de abstraccin entre
los usuarios y los recursos compartidos'
Los directorios tienden a contener in"ormacin descripti&a basada en atributos y
tienen capacidades de "iltrado muy so"isticada' Los directorios $eneralmente no soportan
transacciones complicadas ni esquemas de &uelta atr@s 2roll bacF7 como los que se
encuentran en los sistemas de bases de datos diseGados para manejar $randes y
complejos &olmenes de actuali#aciones' Las actuali#aciones de los directorios son
normalmente cambios simples'
Un ser&icio de directorio no deber?a con"undirse con el repositorio de directorio,
que es la base de datos, esta es la que contiene la in"ormacin sobre los objetos
nombrados, $estionado por el ser&icio de directorio' El ser&icio de directorio proporciona
la inter"a# de acceso a los datos que se contienen en unos o m@s espacios de nombre de
directorio' La inter"a# del ser&icio de directorio es la encar$ada de $estionar la
autenticacin de los accesos al ser&icio de "orma se$ura, actuando como autoridad
central para el acceso a los recursos de sistema que manejan los datos del directorio'
,omo base de datos, un ser&icio de directorio est@ altamente optimi#ado para
lecturas y proporciona alternati&as a&an#adas de bsqueda en los di"erentes atributos
que se puedan asociar a los objetos de un directorio' Los datos que se almacenan en el
directorio son de"inidos por un esquema e!tensible y modi"icable' Los ser&icios de
directorio utili#an un modelo distribuido para almacenar su in"ormacin y esa in"ormacin
Pgina 7 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
$eneralmente est@ replicada entre los ser&idores que "orman el directorio'
Los directorios est@n a"inados para dar una r@pida respuesta a $randes &olmenes
de bsquedas' Estos tienen la capacidad de replicar la in"ormacin para incrementar la
disponibilidad y la "iabilidad, al tiempo que reducen los tiempos de respuesta' ,uando la
in"ormacin de un directorio se replica, se pueden producir inconsistencias temporales
entre las rplicas mientras esta se est@ sincroni#ando'
Eay muc%as "ormas di"erentes de pro&eer un ser&icio de directorio' =i"erentes
mtodos permiten almacenar distintos tipos de in"ormacin en el directorio, tener
distintos requisitos sobre cmo la in"ormacin %a de ser re"erenciada, consultada y
actuali#ada, cmo es prote$ida de los accesos no autori#ados, etc' )l$unos ser&icios de
directorio son locales, es decir, pro&een el ser&icio a un conte!to restrin$ido 2como por
ejemplo, el ser&icio "in$er en una nica m@quina7' Atros ser&icios son $lobales y pro&een
ser&icio a un conte!to muc%o m@s amplio 2como por ejemplo, (nternet7' Los ser&icios
$lobales normalmente son distribuidos, esto si$ni"ica que los datos est@n repartidos a lo
lar$o de distintos equipos, los cuales cooperan para dar el ser&icio de directorio'
?picamente, un ser&icio $lobal de"ine un espacio de nombres uni"orme que da la misma
&isin de los datos, independientemente de donde se est, en relacin a los propios
datos' =NB
-
es un ejemplo de un sistema de directorio $lobalmente distribuido'
Protocolos utili9ados en un servicio directorio
C'4;; es un conjunto de est@ndares de redes de computadores de la (U 2Unin
(nternacional de elecomunicaciones7 sobre ser&icios de directorio, entendidos estos
como bases de datos de direcciones electrnicas 2o de otros tipos7' El est@ndar se
desarroll conjuntamente con la (BA como parte del modelo de intercone!in de sistemas
abiertos, para usarlo como soporte del correo electrnico C':;;'
1 ervicio de nom&res de dominio6 por s!s siglas en ingls
Pgina 8 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Los protocolos de"inidos por C'4;; incluyen:
Protocolo de acceso al directorio 2=)P7
Protocolo de sistema de directorio
Protocolo de ocultacin de in"ormacin de directorio
Protocolo de $estin de enlaces operati&os de directorio'
=entro de la serie C'4;;, la especi"icacin que %a resultado ser la m@s di"undida no
trata de protocolos de directorio, sino de certi"icados de cla&e pblica C'4;8' El protocolo
L=)P "ue creado como una &ersin li&iana de C'4;; y termin por reempla#arlo' Por esta
ra#n al$unos de los conceptos y est@ndares que utili#a L=)P pro&ienen de la serie de
protocolos C'4;;'
cnicamente, L=)P es un protocolo de acceso a directorio para el ser&icio de
directorio C'4;;, del ser&icio de directorio de AB(' (nicialmente, los cliente L=)P acced?an
a tra&s de puertas de enlace al ser&icio de directorio C'4;;' Esta puerta de enlace
ejecutaba L=)P entre el cliente y la puerta de enlace, y el Protocolo C'4;; de )cceso al
=irectorio 2=)P7 entre la puerta de enlace y el ser&idor C'4;;' =)P es un protocolo
e!tremadamente pesado que opera sobre una pila protocolar AB( completa y requiere
una cantidad si$ni"icati&a de recursos computacionales' L=)P est@ diseGado para operar
sobre ,P>(P proporcionando una "uncionalidad similar a la de =)P, pero con un costo
muc%?simo menor'
)unque L=)P se utili#a toda&?a para acceder al ser&icio de directorio C'4;; a
tra&s de puertas de enlace, %oy en d?a es m@s comn implementar L=)P directamente
en los ser&idores C'4;;'
El demonio autnomo de L=)P, o BL)P=, puede ser &isto como un ser&idor de
directorio C'4;; li$ero' Es decir, no implementa el =)P C'4;;, sino un subconjunto de
modelos de C'4;;'
Pgina 8 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Es posible replicar datos desde un ser&idor de directorio L=)P %acia un ser&idor
=)P C'4;;' Esta operacin requiere una puerta de enlace L=)P>=)P' ApenL=)P no
suministra dic%a puerta de enlace, pero el demonio de replicacin que posee puede ser
usado para la replicacin, como si de una puerta de enlace se tratase'
+n,ormacin contenida en un servicio de directorio
En principio en un ser&icio de directorio se puede almacenar cualquier tipo de
in"ormacin' ,omo por ejemplo, nombre, direccin de %abitacin, nombre de la mascota,
msica pre"erida, bebida "a&orita, etc' Bin embar$o, la in"ormacin que se almacena es
aquella que permita or$ani#ar de manera jer@rquica todos los usuarios de la red'
Estructurar la in"ormacin de los usuarios de la red es de utilidad a la %ora de restrin$ir el
acceso a los ser&icios y recursos de la redH Permitiendo $estionar con mayor "acilidad la
red'
Pgina 1$ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema !1 Las bases de LDAP
Protocolo de a0licacin )CP/+P1 LDAP
Las iniciales L=)P en in$ls si$ni"ican Lig/t2eig/t Director% Access Protocol
traducido al espaGol su si$ni"icado es: Protocolo li$ero para acceder al ser&icio de
directorio, esta implementacin se basa en el est@ndar C'4;;, el cual es un conjunto de
est@ndares de redes de computadoras de la (UI sobre el ser&icio de directorios' L=)P se
ejecuta sobre ,P>(P o sobre otros ser&icios de trans"erencia orientado a cone!inH que
permite el acceso a la data de un directorio ordenado y distribuido para buscar
in"ormacin'
Eabitualmente se almacena in"ormacin de los usuarios que con"orman una red de
computadores, como por ejemplo el nombre de usuario, contraseGa, directorio %o$ar, etc'
Es posible almacenar otro tipo de in"ormacin tal como, bebida pre"erida, nmero de
tel"ono celular, "ec%a de cumpleaGos, etc'
En conclusin, L=)P es un protocolo de acceso uni"icado a un conjunto de
in"ormacin sobre los usuarios de una red de computadores'
Modelos LDAP
,omo todos los protocolos basados en est@ndares abiertos, L=)P apunta a ser un
protocolo -;;J interoperable entre implementaciones de distintos pro&eedores' Por esta
ra#n, L=)P de"ine cuatro 2:7 modelos de in"ormacin que describen la operacin del
protocolo: in"ormacin, nomenclatura, "uncional y de se$uridad' En este cap?tulo
describiremos estos modelos y su rele&ancia para la correcta implementacin de un
ser&icio de directorios L=)P'
Pgina 11 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Modelo de +n,ormacin
El modelo de in"ormacin de L=)P describe las unidades de in"ormacin que se
almacenan en el directorio' Blo %ay dos tipos de unidades de in"ormacin que se
almacenan en un directorio L=)P:
83De$istros
6
!3ipos de datos de re$istros
Un re$istro es muy similar a la estructura de datos que lle&a el mismo nombre' En
L=)P, los re$istros son estructuras de correspondencia cla&eI&alor que se someten a las
re$las de"inidas por los tipos de datos de los re$istros' Por ejemplo, en un re$istro
pueden %aber entradas repetibles, entradas obli$atorias, entradas que deben con"ormar
con cierta sinta!is, entre otras'
La de"inicin de "orma de los re$istros y sus tipos de datos se reali#a en
estructuras denominadas esquemas' Estos esquemas, as? como los re$istros, se
representan en un "ormato est@ndar de te!to plano denominado L=(+
K
' Este est@ndar, as?
como la adecuada representacin de los modelos descritos en este cap?tulo, "acilita la
interoperatibilidad entre directorios L=)P'
Modelo de nomenclatura
El modelo de nomenclatura especi"ica como se or$ani#a la in"ormacin dentro del
directorio, y como un cliente puede %acer re"erencia a esta in"ormacin, por ejemplo,
para recuperar un re$istro'
La jerarqu?a de nomenclatura del protocolo L=)P es similar a la de los ser&icios
2 Entries6 en ingls
+ Formato de intercambio de datos LDAP6 por s!s siglas en ingls
Pgina 12 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
=NB, por lo que %an sido considerados como protocolos y tecnolo$?as similares que
pueden ser inte$radas en ciertos casos para "a&orecer la inte$racin de ser&icios y su
rendimiento'
*ajo este modelo de nomenclatura buscamos poder %acer re"erencia
un?&ocamente a un elemento del directorio, por lo que debemos ase$urarnos de que el
modelo de nomenclatura a esco$er no admita &alores repetidos' =entro del modelo de
nomenclatura L=)P es posible identi"icar los si$uientes elementos:
83=ominio 2domain7: es el nombre del dominio L=)P que se est@ sir&iendo, por ejemplo,
cnti'$ob'&e
!3,omponente de dominio 2domain component, o =,7: son las porciones del dominio que
corresponden a los ni&eles =NB, por ejemplo: =,Lcnti,=,L$ob,=,L&e
)s? es que, por ejemplo, si utili#amos el atributo uid para identi"icar un?&ocamente
elementos en un directorio L=)P, el modelo de nomenclatura admitir?a una re"erencia del
tipo:
uidLjose,dcLcnti,dcL$ob,dcL&e
Modelo ,uncional
El modelo "uncional de L=)P determina las operaciones que un cliente puede
reali#ar sobre el directorio' Entendiendo que se trata de un ser&icio de directorio y lue$o
de %aber repasado en este manual las e!pectati&as "uncionales de un directorio L=)P,
podemos con"irmar que las "unciones se a$rupan en cuatro 2:7 $randes $rupos:
83Aperaciones de bsqueda 2query7
!3Aperaciones de actuali#acin 2update7
:3Aperaciones de autenticacin 2aut%entication7
Pgina 1+ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
;3Aperaciones de control 2control7
La &asta mayor?a de los directorios "ormales L=)P que son compatibles con los
est@ndares cubren di&ersas e!pectati&as en cada uno de estos $rupos, como por ejemplo
%acer bsquedas por apro!imacin o comparacin )B,((, aGadir, eliminar, renombrar y
modi"icar entradas y autenticar usuarios'
Modelo de seguridad
+inalmente, el modelo de se$uridad de L=)P de"ine de qu "ormas se puede
controlar el acceso no autori#ado a los contenidos del directorio' )s? mismo, de"ine los
mecanismos de autenticacin, por ejemplo:
83,ontraseGas en te!to plano
!3,ontraseGas ci"radas
:3B)BL
:
)s? mismo, en esta capa se o"rece ci"rado de la cone!in utili#ando LB
4
y BBL
.
, dos
protocolos de amplio uso para este propsito'
En la mayor?a de las implementaciones de L=)P, se puede prote$er el acceso a los
contenidos del directorio utili#ando ),Ls
9
, en las que se de"ine qu usuarios o $rupos
pueden reali#ar qu operaciones sobre qu porciones del directorio L=)P' Bin embar$o, el
modelo de se$uridad no de"ine el detalle del control de acceso y es dependiente de la
aplicacin'
, Capa de seguridad y autenticacin simple6 por s!s siglas en ingls
. Seguridad en la capa de transporte6 por s!s siglas en ingls.
5 Protocolo de capa de conexin segura6 por s!s siglas en ingls.
7 Listas de control de acceso6 por s!s siglas en ingls.
Pgina 1, de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
6e0resentacin de la in,ormacin en un directorio basado en LDAP
Atributos LDAP
)l utili#ar L=)P se puede consolidar in"ormacin para toda una or$ani#acin dentro
de un repositorio central' Por ejemplo, en &e# de administrar listas de usuarios para cada
$rupo dentro de una or$ani#acin, puede usar L=)P como directorio central, accesible
desde cualquier parte de la red' Puesto que L=)P soporta LB y BBL, los datos
con"idenciales se pueden prote$er de los curiosos'
L=)P tambin soporta un nmero de bases de datos 2bacFends7 en las que se
almacena la in"ormacin' Esto permite que los administradores ten$an la "le!ibilidad para
desple$ar la base de datos m@s indicada, para el tipo de in"ormacin' L=)P tiene )P(s
5

bien de"inidas, e!iste un nmero de aplicaciones acreditadas para L=)P, estas est@n
aumentando en cantidad y calidad, las %ay en distintos len$uajes de pro$ramacin, tales
como ,, ,33, Ma&a, Perl, PEP, entre otros'
bjetos LDAP
,omo se e!plic anteriormente, los objetos, entradas o re$istros de un directorio
L=)P se representan en el "ormato L=(+' Este es un "ormato basado en te!to en el que se
&isuali#a la estructura de datos 2cla&eI&alor7 y los datos en s? de la estructura'
Usualmente un re$istro de un directorio L=)P pertenece a una o m@s clases,
denominadas objectClasses' Estas clases de"inen qu atributos puede o no puede tener
el re$istro, como se &er@ m@s adelante en el cap?tulo de /etadatos'
) continuacin re&isaremos un ejemplo del objeto L=)P
uidLjose,dcLcnti,dcL$ob,dcL&e en "ormato L=(+:
8 Interfaces de programacin de aplicaciones6 por s!s siglas en ingls
Pgina 1. de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
dn: uidLjose,dcLcnti,dcL$ob,dcL&e
object,lass: posi!)ccount
uid: jose
lo$inB%ell: >bin>bas%
uidNumber: -;;;8
userPass<ord::
e;-ENC;;N=E:Nj/y/W/!Odm/GO#NDi/jFKN$4/D%Oj(
;/)oL
$idNumber: -;;;;
%ome=irectory: >%ome>jose
En este objeto apreciamos distintos componentes que es importante tener en
cuenta:
83Nombre distintivo 2distin$uis%ed name, =N7: es la ubicacin un?&oca del re$istro de
acuerdo al modelo de nomenclatura
!3+D de usuario 2user (=, U(=7: identi"icador PAB(C del usuario
:3Consola de inicio de sesin 2lo$in s%ell7: consola a utili#ar para el inicio de sesin del
usuario
;3+D num$rico del usuario 2user (= number, uidNumber7: identi"icador numrico del
usuario
<3Contrase=a del usuario 2userPass<ord7: ten$a en cuenta aqu? que %ay doble s?mbolo
de dos puntos 2::7 entre la cla&e 2userPass<ord7 y el &alor, lo que si$ni"ica que el &alor
est@ codi"icado bajo el sistema de base .:, lo cual se utili#a "recuentemente para reducir
problemas de codi"icacin de caracteres, pero no es un al$oritmo de ci"rado
>3+D num$rico del gru0o 2$roup (= number, $idNumber7: identi"icador numrico del
$rupo principal del usuario
?3Car0eta 0ersonal del usuario 2%ome directory, %ome=irectory7: carpeta personal del
per"il del usuario
Pgina 15 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Acceso % re,erenciacin de la in,ormacin contenida en el directorio
L=)P de"ine operaciones para interro$ar y actuali#ar el directorio' Pro&ee
operaciones para aGadir, modi"icar y eliminar entradas del mismo' La mayor parte del
tiempo, L=)P se utili#a para buscar in"ormacin almacenada en el directorio' Las
operaciones de bsqueda de L=)P permiten encontrar entradas que concuerdan con
al$n criterio especi"icado dado por un "iltro de bsqueda' La in"ormacin puede ser
solicitada desde cada entrada que concuerda con dic%o criterio'
Una entrada es re"erenciada por su nombre distinti&o, que es construido por el
nombre de la propia entrada llamado Nombre 6elativo Distinguido 2D=N7 y la
concatenacin de los nombres de las entradas que le anteceden' Por ejemplo, la entrada
para luis en el ejemplo del nombramiento de (nternet anterior tiene el si$uiente D=N:
uidLluis y su =N ser?a: uidLluis,ouLpeople,dcLucla,dcLedu,dcL&e' =e est@ manera se
puede acceder a toda la in"ormacin que se almacenada en el directorio L=)P'
Ar7uitectura de Cliente/.ervidor
El ser&icio de directorio de L=)P est@ basado en el modelo cliente>ser&idor' Uno o
m@s ser&idores L=)P contienen los datos que con"orman el =(
8
' El cliente se conecta a
los ser&idores y les "ormula pre$untas' Los ser&idores responden con una respuesta o con
un puntero donde el cliente puede obtener in"ormacin adicional 2normalmente otro
ser&idor L=)P7' No importa a que ser&idor L=)P se conecte un cliente, este siempre
obtendr@ la misma &isin del directorioH un nombre presentado por un ser&idor L=)P
re"erencia la misma entrada que cualquier otro ser&idor L=)P' Esta es una caracter?stica
muy importante del ser&icio $lobal de directorio, como L=)P'
@s7uemas de un directorio1 metadatos
Eemos &enido estudiando cmo un directorio L=)P contiene in"ormacin y la
8 rbol de informacin del directorio6 por s!s siglas en ingls.
Pgina 17 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
estructura y consideraciones de sta in"ormacin' Bin embar$o, en el cap?tulo del modelo
de in"ormacin de L=)P conocimos que un directorio L=)P no slo administra datos sino
tambin in"ormacin sobre el tipo de datos, esquemas y re$las para estos datos' Esto lo
denominamos metadatos y en este tema trataremos sobre ellos'
,uando instalamos un directorio L=)P de cualquier pro&eedor, por ejemplo
ApenL=)P, podemos empe#ar a a$re$ar datos en l' Por ejemplo, podemos a$re$ar el
re$istro uidLjose,dcLcnti,dcL$ob,dcL&e que &imos en cap?tulos anteriores'
Esto es posible porque los distribuidores de ApenL=)P se %an tomado el trabajo de
incluir al$unos metadatos, espec?"icamente esquemas, que de"inen al$unos atributos y
re$las b@sicas y normalmente aceptadas, sobre todo en entornos PAB(C'
Por ejemplo, en ,anaima GNU>Linu! un directorio ApenL=)P incluye los si$uientes
esquemas:
83>etc>ldap>sc%ema>collecti&e'sc%ema
!3>etc>ldap>sc%ema>corba'sc%ema
:3>etc>ldap>sc%ema>core'ldi"
;3>etc>ldap>sc%ema>core'sc%ema
<3>etc>ldap>sc%ema>cosine'ldi"
>3>etc>ldap>sc%ema>cosine'sc%ema
?3>etc>ldap>sc%ema>duacon"'sc%ema
'3>etc>ldap>sc%ema>dyn$roup'sc%ema
#3>etc>ldap>sc%ema>inetor$person'ldi"
8"3>etc>ldap>sc%ema>inetor$person'sc%ema
883>etc>ldap>sc%ema>ja&a'sc%ema
8!3>etc>ldap>sc%ema>misc'sc%ema
8:3>etc>ldap>sc%ema>nad"'sc%ema
8;3>etc>ldap>sc%ema>nis'ldi"
8<3>etc>ldap>sc%ema>nis'sc%ema
8>3>etc>ldap>sc%ema>openldap'ldi"
Pgina 18 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
8?3>etc>ldap>sc%ema>openldap'sc%ema
8'3>etc>ldap>sc%ema>ppolicy'sc%ema
Estudiemos a%ora el contenido de un esquema comn, por ejemplo nis'sc%ema'
=entro de este esquema tenemos la de"inicin de un object,lass, posi!)ccount:
objectclass 2 -'K'.'-'-'-'6'; N)/E Pposi!)ccountP
=EB, P)bstraction o" an account <it% PAB(C attributesP
BUP top )UC(L()DO
/UB 2 cn Q uid Q uidNumber Q $idNumber Q %ome=irectory 7
/)O 2 userPass<ord Q lo$inB%ell Q $ecos Q description 7 7
En esta de"inicin encontramos los si$uientes elementos de inters:
83-'K'.'-'-'-'6'; es el identi"icador de objeto, este es un nmero asi$nado por la
)utoridad de )si$nacin de Nmeros de (nternet y describe al objeto un?&ocamente a
ni&el uni&ersal
!3posi!)ccount es el nombre de la clase de objetos
:3=EB, indica una descripcin en modo te!to de la clase de objetos y el cliente L=)P
puede &isuali#ar esta descripcin
;3BUP top )UC(L()DO indica que esta clase de objetos tiene una clase de objetos maestra
llamada top
<3Los atributos cn, uid, uidNumber, $idNumber y %ome=irectory de"inidos en la l?nea
/UB son atributos A*L(G)AD(AB de esta clase de objetos' Bi no est@n presentes en el
re$istro, el directorio L=)P rec%a#ar@ las operaciones sobre estos re$istros
>3Los atributos userPass<ord, lo$inB%ell, $ecos y description de"inidos en la l?nea /)O
son atributos AP,(AN)LEB de esta clase de objetos' Lo que esto indica es que un re$istro
que slo est en la clase de objetos posi!)ccount slo puede contener atributos listados
en esta de"inicin
)%ora bien, Rcu@les son las re$las para atributos como uid y %ome=irectory que se
Pgina 18 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
de"inen aqu?S =entro del mismo sc%ema, nis'sc%ema, podemos conse$uir esta
in"ormacin:
attributetype 2 -'K'.'-'-'-'-'K N)/E P%ome=irectoryP
=EB, P%e absolute pat% to t%e %ome directoryP
ETU)L(O caseE!act()4/atc%
BON)C -'K'.'-':'-'-:..'--4'-6-'-'6. B(NGLEI1)LUE 7
)qu? &emos el A(= para el atributo %ome=irectory, su descripcin y dos re$las de
inters:
83ETU)L(O indica que una operacin de bsqueda sobre este atributo utili#ar@ la re$la
caseE!act()4/atc%
-;
!3BON)C indica que slo se admite un &alor 2B(NGLEI1)LUE7 de acuerdo a la sint@!is
-'K'.'-':''' que se denomina ()4 Btrin$
--
Es posible crear nue&os atributos y nue&as clases de objetos con tan slo solicitar a
la ()N) un pre"ijo de identi"icadores de objetos y de"inir las re$las de sint@!is y bsqueda'
1$ 7ttp:))rfcAref.org)-4CAT2CT)2+$7)DEAcasee;actia.matc7.7tml
11 7ttp:))EEE.alvestrand.no)o&0ectid)1.+.5.1.,.1.1,55.11..121.1.25.7tml
Pgina 2$ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Unidad ++1 LDAP versin :
La versin : de LDAP
Boporta L=)P sobre (P&:, (P&. y Uni! (P,
iene soporte de autenti"icacin "uerte $racias al uso de B)BL' La implementacin
B)BL de BL)P= %ace uso del so"t<are ,yrus B)BL, el cual soporta un $ran nmero
de mecanismos de autenti"icacin, como: =(GEBI/=4, ECEDN)L, y GBB)P('
Pro&ee protecciones de pri&acidad e inte$ridad $racias al uso de LB o BBL' La
implementacin LB de BL)P= %ace uso del so"t<are ApenBBL
Puede ser con"i$urado para restrin$ir el acceso a la capa de socFet bas@ndose en
la in"ormacin topol$ica de la red' Esta caracter?stica %ace uso de los ,P
<rappers 2Eerramienta simple que sir&e para monitorear y controlar el tr@"ico que
lle$a por la red7
Pro&ee "acilidades de control de acceso muy potentes, permitindole controlar el
acceso a la in"ormacin de su2s7 base2s7 de datos' Puede controlar el acceso a las
entradas bas@ndose en la in"ormacin de autori#acin de L=)P, en la direccin (P,
en los nombres de dominio y otros criterios' BL)P= soporta tanto el control de
acceso a la in"ormacin din@mico como est@tico'
Boporta Unicode y etiquetas de len$uaje'
1iene con una serie de bacFends para di"erentes bases de datos' Estos incluyen
=*=, un bacFend de una base de datos transaccional de alto rendimientoH L=*/,
un bacFend li$ero basado en =*/H BEELL, una inter"ace para scripts de s%ellH y
P)BBW=, un bacFend simple para el arc%i&o pass<d' El bacFend *=* %ace uso de
Bleepcat *erFeley =*' L=*/ utili#a cualquiera de las si$uientes: *erFeley =* o
G=*/
Be puede con"i$urar para ser&ir a mltiples bases de datos al mismo tiempo' Esto
si$ni"ica que un nico ser&idor BL)P= puede responder a peticiones de di"erentes
porciones l$icas del @rbol de L=)P, %aciendo uso del mismo o distintos bacFends
de bases de datos'
Pgina 21 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Bi necesita m@s personali#acin, BL)P= le permite escribir sus propios mdulos
"@cilmente' BL)P= consiste en dos partes di"erentes: un "rontend que maneja las
comunicaciones protocolares con los clientes L=)PH y mdulos que manejan tareas
espec?"icas como las operaciones con las bases de datos' =ebido a que estas dos
pie#as se comunican a tra&s de una )P( bien de"inida, puede escribir sus propios
mdulos, que e!tender@n BL)P= de mltiples maneras' ambin e!isten
numerosos mdulos pro$ramables de bases de datos' Estos permiten a BL)=P
acceder a "uentes de datos e!ternos %aciendo uso de len$uajes de pro$ramacin
populares 2Perl, s%ell, BTL y ,L7
Eace uso de %ilos para obtener alto rendimiento' Un proceso nico multi%ilo
maneja todas las peticiones entrantes %aciendo uso de una piscina de %ilos' Esto
reduce la car$a del sistema a la &e# que pro&ee alto rendimiento'
Be puede con"i$urar para que manten$a copias de la in"ormacin del directorio'
Este esquema de replicacin, un nico maestro>mltiples escla&os, es &ital en
ambientes con un &olumen alto de peticiones, donde un nico ser&idor BL)P= no
podr?a pro&eer la disponibilidad ni la con"iabilidad necesarias' BL)P= incluye
tambin un soporte e!perimental para la replicacin de mltiples maestros' BL)P=
soporta dos mtodos de replicacin: Bync L=)P y BLUDP 2ser&idor de replicacin
L=)P7'
Puede ser con"i$urado como un ser&icio pro!y de cac% L=)P'
Es altamente con"i$urable a tra&s de un nico arc%i&o de con"i$uracin, que
permite modi"icar todo aquello que se necesite cambiar' Las opciones por omisin
son ra#onables, lo que "acilita muc%o el trabajo' B)BL
UBimple )ut%entication and Becurity LayerV 2capa de se$uridad y autenticacin
simple7' Es un "rame<orF para manejar la autenticacin y autori#acin en
protocolos de (nternet' Este separa los mecanismos de autenticacin de los
protocolos de la aplicacin'
,omo B)BL slo se maneja la autenticacin se requieren otros mecanismos como
por ejemplo LB para ci"rar el contenido que se trans"iere'
Los protocolos de"inen su representacin de intercambios B)BL con un per"il' Un
Pgina 22 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
protocolo tiene un nombre de ser&icio como WL=)PW en un re$istro compartido con
GBB)P( 2Generic Becurity Ber&ices )pplication Pro$rammin$ (nter"ace7 y
XED*EDAB'
Entre los protocolos que a%ora mismo usan B)BL se incluyen (/)P, L=)P, PAPK,
B/P y C/PP'
Pgina 2+ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema 81 algunas di,erencias con su 0redecesor A LDAPv!
Di,erencias entre LDAP v! % v:
L=)P&K "ue desarrollado en los aGos 8; para reempla#ar a L=)P&6' L=)P&K
incorpora las si$uientes caracter?sticas a L=)P:
)utenti"icacin "uerte %aciendo uso de B)BL 2Bimple )ut%entication and Becurity
Layer7
Proteccin de inte$ridad y con"idencialidad %aciendo uso de LB 2BBL7, ransport
Layer Becurity 2Becure BocFets Layer7
(nternacionali#acin $racias al uso de Unicode
Demisiones y continuaciones
=escubrimiento de esquemas
E!tensibilidad 2controles, operaciones e!tendidas y m@s7
,omo L=)P&6 di"iere si$ni"icati&amente de L=)P&K, la interaccin entre ambas
&ersiones puede ser un poco problem@tica' Es recomendable no utili#ar la &ersin de
L=)P&6, por lo que en la implementacin de ApenL=)P &iene des%abilitado por omisin'
Pgina 2, de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema !1 5ormato de intercambio de in,ormacin LDAP A LD+5
En este apartado se mostrar@ como a$re$ar un usuario al L=)P utili#ando para ello
los L=(+' ) continuacin se mostrar@ cual es la estructura de los L=(+'
ldi" para la creacin de una unidad or$ani#acional UpeopleV' El nombre del arc%i&o
es people'ldi"
dn1 ouLpeople,dcLucla,dcLedu,dcL&e
ou: people
objectclass: or$ani#ationalUnit
Creacin de los arc/ivos ldi,
ldi" para la creacin de una unidad or$ani#acional U$roupV'
El nombre del arc%i&o es $roup'ldi"
dn1 ouL$roup,dcLucla,dcLedu,dcL&e
ou1 $roup
objectclass1 or$ani#ationalUnit
ldi" para la creacin de un $rupo UusersV' El nombre del arc%i&o es users'ldi"
dn1 cnLusers,ouL$roup,dcLucla,dcLedu,dcL&e
objectclass1 posi!Group
objectclass1 top
cn1 users
userPass2ord1 YcryptZ[
gidNumber1 -;;
Agregar los contenidos de los ldi,
Para a$re$ar los contenidos de los ldi" al L=)P se ejecutan los si$uientes
Pgina 2. de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
comandos:
Blda0add (x (C (D DcnEadmin,dcEucla,dcEedu,dcEveD (, 0eo0le3ldi,
Blda0add (x (C (D DcnEadmin,dcEucla,dcEedu,dcEveD (, grou03ldi,
Blda0add (x (C (D DcnEadmin,dcEucla,dcEedu,dcEveD (, users3ldi,
)l ejecutar estos comandos te pedir@ el pass<ord del administrador LDAP3

Para re&isar el resultado de la insercin ejecutamos el si$uiente comando
BLDAPsearc/ (x (b DdcEucla,dcEedu,dcEveD
Be puede con"irmar en la salida del comando anterior que la insercin de los
anteriores ldi, est@n presentes en la estructura del @rbol del LDAP3
5ormato 0ara nuevas entradas
Agregar usuarios
Be debe crear un ldi, como se muestra a continuacin
Nombre del arc%i&o ldi, marque#l'ldi"
dn1 uidLmarque#l,ouLpeople,dcLucla,dcLedu,dcL&e
uid1 marque#l
cn1 Luis /@rque#
objectClass1 top
objectClass1 inetAr$Person
objectClass1 posi!)ccount
objectClass1 s%ado<)ccount
userPass2ord1 YcryptZQ-QEn,>C>r:Q1Fn"cTlq6:qG$dn=1%=(p-
s/ado2LastC/ange1 -:;;-
s/ado2Max1 88888
Pgina 25 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
s/ado2Carning1 9
login./ell1 >bin>bas%
uidNumber1 -;;-
gidNumber1 -;;
/omeDirector%1 >%ome>marque#l
gecos1 Luis /@rque#
Para a$re$ar el nue&o usuario al nue&o @rbol de LDAP se debe ejecutar el
si$uiente comando:
BLDAPadd (x (C (D DcnEadmin,dcEucla,dcEedu,dcEveD (, mar7ue9l3ldi,

Para re&isar el resultado de la insercin ejecutamos el si$uiente comando
5ormato 0ara modi,icaciones
Agregar atributos
Para a$re$ar un atributo se debe crear un ldi, como se muestra a continuacin' El
nombre del ldi, es add'ldi"
c/anget%0e1 modi"y
add1 description
descri0tion1 Usuario de prueba
I
add1 objectclass
objectclass1 samba)ccount
I
add1 telep%oneNumber
Pgina 27 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
tele0/oneNumber1 ;:-69999999
Be ejecuta la si$uiente sinta!is:
ldapmodi"y I! I= UcnLadmin,dcLucla,dcLedu,dcL&eV IW I" add'ldi"
Modi,icar un atributo
Para modi"icar un atributo se debe crear un ldi, como se muestra a continuacin'
El nombre ldi" es modi"y'ldi"
c/anget%0e1 modi"y
re0lace1 telep%onenumber
tele0/onenumber1 ;:-.:9-.:6-
Be ejecuta la si$uiente sinta!is:
ldapmodi"y I! I= UcnLadmin,dcLucla,dcLedu,dcL&eV IW I" modi"y'ldi"
5ormato 0ara eliminaciones
@liminar un usuario
Para eliminar un usuario del @rbol del directorio se debe crear un arc%i&o del tipo
ldi, como se muestra a continuacin:
dn1 uidEmar7ue9l,ouE0eo0le,dcEucla,dcEedu,dcEve
c/anget%0e1 delete
Ejecutamos el si$uiente comando para eliminar un usuario del @rbol LDAP
BLDAPmodi,% (x (D DcnEadmin,dcEucla,dcEedu,dcEveD (C (, boorrar3ldi,
Para re&isar el resultado de la eliminacin ejecutamos el si$uiente comando
Pgina 28 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e

Para eliminar un atributo
Be debe crear un ldi" como el que se muestra a continuacin, el nombre del
arc%i&o ldi" es del'ldi"
c/anget%0e1 modi"y
delete1 telep%onenumber
Be ejecuta la si$uiente sinta!is
ldapmodi"y I! I= UcnLadmin,dcLucla,dcLedu,dcL&eV IW I" del'ldi"

Autenticacin en LDAP
Autenticacin de clientes en LDAP
Una &e# con"i$urado el ser&idor de L=)P para almacenar la in"ormacin del
directorio, podemos con"i$urar todos los equipos de nuestra red 2ser&idores y clientes7
para reali#ar la autenticacin en el ser&idor L=)P'
En principio, la in"ormacin administrati&a que tiene sentido centrali#ar en un
ser&icio L=)P son las cuentas de usuario 2incluyendo contraseGas7 y cuentas de $rupo'
En conjunto, la in"ormacin almacenada en ambos tipos de cuentas permite autenti"icar a
un usuario cuando ste desea iniciar una sesin interacti&a en un sistema Linu! y, en el
caso de que la autenticacin sea positi&a, crear el conte!to de trabajo inicial 2es decir, el
proceso s/ell inicial7 para ese usuario' /anteniendo ambos tipos de cuentas en el
directorio permitir?a una $estin completamente centrali#ada de los usuarios del dominio'
Pgina 28 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
(nternamente, este proceso de autenticacin y creacin del conte!to inicial que
Linu! lle&a a cabo cuando un usuario desea iniciar una sesin interacti&a utili#a dos
bibliotecas distintas:
83 P)/ 2Plu$$able )ut%entication /odule7 es una biblioteca de autenticacin
$enrica que cualquier aplicacin puede utili#ar para &alidar usuarios,
utili#ando por debajo mltiples esquemas de autenticacin alternati&os
2arc%i&os locales, Xerberos, L=)P, etc'7' Esta biblioteca es utili#ada por el
proceso de Wlo$inW para a&eri$uar si las credenciales tecleadas por el usuario
2nombre y contraseGa7 son correctas'
!3 NBB 2Name Ber&ice B<itc%7 presenta una inter"a# $enrica para a&eri$uar
los par@metros de una cuenta 2como su U(=, G(=, s/ell inicial, directorio de
cone!in, etc'7, y es utili#ada por el proceso de Wlo$inW para crear el proceso de
atencin inicial del usuario'
La &entaja "undamental de ambas bibliotecas consiste en que pueden
recon"i$urarse din@micamente mediante arc%i&os, sin necesidad de recompilar las
aplicaciones que las utili#an' Por tanto, lo nico que necesitamos es recon"i$urar ambas
para que utilicen el ser&idor L=)P adem@s de los arc%i&os locales 2>etc>pass<d, entre
otros'7 de cada equipo'
En ,anaima GNU>Linu! la instalacin y con"i$uracin de los clientes la reali#aremos
directamente en los arc%i&os de con"i$uracin' ,uando el asistente de =ebian pre$unte la
con"i$uracin cancelar el mismo' Deali#ar los pasos si$uientes: (nstalar el paquete libnssI
L=)P, mediante la ejecucin en la consola de \aptitude install libnssIL=)P, el UName
Ber&ice B<itc%V permite a los sistemas operati&os [ni!, el reempla#o de los arc%i&os de
con"i$uracin de los usuarios 2por ejemplo: >etc>pass<d, >etc>$roup7, por bases de datos
de usuarios centrali#adas, en este caso se instala la librer?a con soporte para L=)P, que
ser@ el sistema que utili#aremos:
Pgina +$ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
83 (nstalar el paquete libpamIL=)P, mediante la ejecucin en la consola de
\aptitude install libpamIL=)P, este permitir@ la autenticacin de los usuarios
del sistema operati&o en base de datos L=)P'
!3 (nstalar el paquete nscd, el cual permitir@ mantener en el cac%e del equipo
las bsquedas de los re$istros que reali#a el nss, con el "in de e&itar tener que
reali#ar esas consultas a los ser&idores y a%orrar tiempo y tr@"ico en la red'
Autenticacin annima
La con"i$uracin predeterminada de ApenL=)P, +edora =irectory Ber&er y muc%os
otros productos de L=)P disponibles en el mercado permite que un cliente consulte de
"orma annima al$unos atributos del directorio'
Usualmente se mostrar@n atributos no cr?ticos al estilo de una libreta de
direcciones' Para %acer la autenticacin annima con un cliente como ldapsearc% basta
con indicar la opcin I! y no de"inir nin$n =N para autenticar el usuario'
ldapsearc% I% ser&idor Ip K58 I! uidLp$on#ale#
Autenticacin sim0le Fsegura % no seguraG
UBimple )ut%entication and Becurity LayerV 2capa de se$uridad y autenticacin
simple7' Es un "ram<orF para manejar la autenticacin y autori#acin en protocolos de
internet' Este separa los mecanismos de autenticacin de los protocolos de la aplicacin'
Pgina +1 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema :1 Distribucin de directorios
Distribucin de directorios
La in"ormacin es ordenada en el modelo de L=)P en entradas' Una entrada es una
coleccin de atributos que tienen un nico Nombre Global =istin$uido 2=N7' El =N se
utili#a para re"erirse a una entrada sin ambi$]edades' ,ada atributo de una entrada
posee un tipo y uno o m@s &alores' Los tipos son normalmente palabras nemotcnicas,
como UcnV para common name, o UmailV para una direccin de correo' La sinta!is de los
atributos depende del tipo de atributo' Por ejemplo, un atributo cn puede contener el
&alor ULuis /@rque#V' Un atributo email puede contener un &alor
Umarque#l^ucla'edu'&eV'
Estas entradas est@n or$ani#adas en una estructura jer@rquica en "orma de @rbol
in&ertido, de la misma manera como se estructura el sistema de arc%i&os de UN(C'
radicionalmente esta estructura re"lejaba los l?mites $eo$r@"icos y>o or$ani#acionales'
Las entradas que representan pa?ses aparecen en la parte superior del @rbol' =ebajo de
ellos, est@n las entradas que representan los estados y las or$ani#aciones nacionales'
*ajo estas, pueden estar las entradas que representan las unidades or$ani#acionales,
empleados, impresoras, documentos o todo aquello que pueda ima$inarse' La si$uiente
"i$ura muestra un @rbol de directorio L=)P %aciendo uso del nombramiento tradicional'

5igura NH 8 _rbol de directorio L=)P 2nombramiento tradicional7
El @rbol tambin se puede or$ani#ar bas@ndose en los nombres de dominio de
Pgina +2 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
o!Ftelecom!nicaciones
cFrectorado
o!Finformtica
cnFG!nior 2scalona
(nternet' Este tipo de nombramiento se est@ &ol&iendo muy popular y en los actuales
momentos es el m@s utili#ado, ya que permite locali#ar un ser&icio de directorio %aciendo
uso de los =NB' La si$uiente "i$ura muestra un @rbol de directorio que %ace uso de los
nombres basados en dominios'
5igura NH ! _rbol de directorio L=)P 2nombramiento de (nternet7
Un ejemplo del =N ser?a:
dn: cnLLuis /@rque#, ouLpeople, dcLucla, dcLedu, dcL&e
Abser&e que el dn se construye de abajo %acia arriba' )l i$ual que se construyen
los nombres en =NB' )dem@s, L=)P permite controlar qu atributos son requeridos y
permitidos en una entrada $racias al uso del atributo denominado object,lass' El &alor
del atributo object,lass determina qu re$las de diseGo 2sc%ema rules7 %a de se$uir la
entrada'
Pgina ++ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
dcFve
dcFed!
dcF!cla
o!Fpeople o!F!sers
o!Fadm
cnFl!is
cnFroot cnFpedro
Unidad +++1 .ervicio de directorio 0enLDAP
Conexiones .eguras
Lo primero que se debe e&aluar es la se$uridad de la red' Los clientes se conectan
al ser&idor L=)P a tra&s de las inter"aces de red, y tambin las respuestas del ser&idor
se trans"ieren a tra&s de la red'
El protocolo L=)P por de"ecto recibe y en&?a los datos en te!to plano, lo cual tiene
al$unas &entajas entre las cuales tenemos :
+acilidad de con"i$urar y mantener'
El ser&icio "unciona m@s r@pido, al no tener que trans"ormar los datos ci"rados, lo
cual siempre pro&ee de una car$a adicional de procesamiento'
Estas &entajas tienen un costo de se$uridad, otros dispositi&os en la red pueden
interceptar los datos y leer todo el contenido de los mismos, mientras m@s $rande es una
red esto se con&ierte en una amena#a mayor'
Para e&itar eso los ser&idores L=)P implementan BBL 2Becure BocFets Layer7 y LB
2ransport Layer Becurity7, ambos mecanismos son utili#ados para ci"rar los datos antes
de transmitirlos por la red' BBL y LB son similares y son ampliamente utili#ados, la
principal di"erencia es que LB es mas "le!ible que BBL'
ApenL=)P pro&ee dos mecanismos para ci"rar el tr@"ico en la red, el primero es
escuc%ar por un puerto espec?"ico 2puerto .K. por de"ecto7, lo que %ace que las
comunicaciones en ese puerto sean ci"radas, este mecanismo "ue introducido en L=)P
&6, y se considera un mtodo en desuso' El se$undo mecanismo es parte de los
est@ndares de L=)P &K, el cual permite a los clientes conectarse a tra&s de un puerto
2K58 por de"ecto7, para cone!iones ci"radas o en te!to plano y ser@ el cliente el que
seleccionar@ el tipo de cone!in que desea' El uso de certi"icados permite no solo ci"rar la
Pgina +, de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
in"ormacin entre el ser&idor y los clientes, sino tambin $aranti#ar que el ser&idor al
cual se conecta el cliente es autentico'
)ctualmente e!isten autoridades para emitir certi"icados conocidos como CA
2,erti"ication )ut%ority7, los cuales a tra&s de un procedimiento de recoleccin de
in"ormacin y un pa$o, emiten un certi"icado que tiene &alide# por un tiempo espec?"ico y
los ser&idores y los clientes reconocen el mismo'
E!iste tambin la posibilidad de crear los certi"icados para uso de las
or$ani#aciones o indi&iduos de manera interna, para esto de debe $enerar un ,) con la
cual se "irmar@n los certi"icados que se emitir@n para los clientes y ser&idores' Estos
certi"icados no ser@n reconocidos como &@lidos "uera de la or$ani#acin que los emite,
por lo cual solo se recomienda para uso interno'
Para crear una ,), con el "in de "irmar nuestros propios certi"icados, se debe instalar el
paquete openssl, el cual en =ebian GNU>Linu!, instala un script que permite la creacin
de un ,), el mismo queda instalado en la ruta >usr>lib>ssl>misc>,)'pl, debe ejecutarse de
la si$uiente manera :
B/usr/lib/ssl/misc/CA30l (ne2ca
83 Be mostrar@ un mensaje con lo si$uiente, ,) certi"icate "ilename 2or enter to
create7 , en donde %ay que pulsar enter'
!3 Lue$o de $enerar la cla&e del certi"icado pre$untar@ por una contraseGa
para el mismo, Enter PE/ pass p%rase:
:3 Lue$o solicitar@ una serie de in"ormacin sobre la or$ani#acin, y "inalmente
terminar@ de crear el certi"icado para la ,)'
;3 )l "inali#ar tendremos un directorio llamado demo,), con los certi"icados'
Lue$o de esto se tendr@ que $enerar los certi"icados para el ser&idor L=)P, lo cual ser@
de la si$uiente manera:
83 Ejecutar >usr>lib>ssl>misc>,)'pl Ine<req desde una consola lue$o se repetir@n
Pgina +. de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
los pasos 6 y K de la creacin de la ,)'
!3 )l "inali#ar tendremos dos arc%i&os llamados ne<Fey'pem 2,la&e Pri&ada7
ne<req'pem 2,erti"icado7'
:3 Lue$o tenemos que "irmar los certi"icados con el ,) $enerado
anteriormente, para esto ejecutamos desde la consola >usr>lib>ssl>misc>,)'pl
Isi$nreq, pre$untar@ la contraseGa de la ,) y lue$o tendremos dos arc%i&os,
ne<Fey'pem, el cual contiene la cla&e pri&ada y ne<cert'pem el cual contiene
el certi"icado "irmado'Be remue&e la contraseGa que tiene el certi"icado
ejecutando desde la consola el comando \openssl rsa ` ne<Fey'pem a
clearFey'pem'
;3 Lue$o de esto copiamos los arc%i&os clearFey'pem y ne<Fey'pem a un
directorio por con&eniencia, por ejemplo >etc>ldap>ssl' En caso de que no e!ista
este directorio, debe ser creado: mFdir Ip >etc>ldap>ssl
<3 (nstalar el certi"icado de la ,), para %acer esto copiamos el arc%i&o
cacert'pem a >usr>s%are>caIcerti"icates>mi,)'crt, editar el arc%i&o >etc>caI
certi"icates'con", y colocar al "inal del arc%i&o mi,)'crt, y ejecutar desde la
consola \updateIcaIcerti"icates'
>3 )$re$ar en el arc%i&o de con"i$uracin de L=)P, para la utili#acin de los
certi"icados y que el mismo corra en modo BBL>LB, la con"i$uracin quedar?a
de la si$uiente manera:
)L.CACerti,icatePat/ /etc/ssl/certs/
)L.Certi,icate5ile /etc/LDAP/clearIe%30em
)L.Certi,icateJe%5ile /etc/LDAP/ne2Ie%30em
?3 Lue$o de esto el ser&idor L=)P estar@ ejecut@ndose con soporte BBL>LB'
@l servidor sla0d
sla0d
slapd es el motor del ser&idor de directorio ApenL=)P' Es una de las tantas
Pgina +5 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
implementaciones de L=)P en so"t<are libre' Esta &ersin es la m@s popular en trminos
de nmero de implementacionesH &ale la pena mencionar que e!isten &arias
implementaciones de L=)P en so"t<are propietario, como por ejemplo implementaciones
de Bun, (*/, /icroso"t y otras'
Pgina +7 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema 81 +m0lementacin de un servicio de directorio 0enLDAP en
Canaima GNU/Linux
En este tema describiremos como instalar un ser&icio de directorio ApenL=)P en
,anaima GNU>Linu! para su utili#acin en cualquier aplicacin que maneje L=)P'
+nstalacin del servidor
ApenL=)P se pro&ee en el paquete slapd distribuido en el repositorio uni&erso de
,anaima, por lo que puede ser instalado con aptitude:
aptitude install slapd
El $estor de con"i$uracin debcon" %ar@ al$unas pre$untas sobre el directorio
L=)P, que incluyen el nombre del dominio 2en terminolo$?a L=)P se denomina =N
-6
base7
y la contraseGa del administrador del L=)P, que usualmente tendr@ como =N
cnLadmin,`=N basea' )lmacene esta in"ormacin de "orma se$ura'
@lementos de con,iguracin
ApenL=)P se con"i$ura en el arc%i&o >etc>ldap>slapd'con"' El $estor de
con"i$uracin debcon" %abr@ con"i$urado este arc%i&o por usted, pero en ocasiones
puede ser til %acer ciertos cambios, como por ejemplo:
83Par@metros de re$istro: el par@metro lo$le&el puede ser ajustado para almacenar m@s
o menos in"ormacin sobre la operacin del directorio' Por ejemplo, lo$le&el stats es el
ni&el recomendado por los desarrolladores y re$istra cone!iones, consultas y resultados
en el arc%i&o >&ar>lo$>syslo$
!3Listas de control de acceso: ApenL=)P maneja listas ),L que permiten controlar el
acceso a los datos de "orma $ranular
-K
' Por ejemplo, una recomendacin comn es
12 =om&re distintitov6 por s!s siglas en ingls
1+ 7ttp:))EEE.openldap.org)doc)admin2,)accessAcontrol.7tmlB(ccessH2$ControlH2$CommonH2$2;amples
Pgina +8 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
prote$er los atributos de contraseGas de Bamba con una ),L como se describe a
continuacin:
access to attrLsambantpass<ord, sambalmpass<ord, sambapass<ord%istory
by cnLadmin,`base =Na <rite
by sel" <rite
by [ none
Pgina +8 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema !1 Control de acceso al directorio a trav$s de listas de control
de acceso FACLsG
Control de acceso al directorio a trav$s de listas de control de acceso
La base de datos L=)P, contiene in"ormacin sensible, por ejemplo el atributo
userPass<ord contiene las contraseGas de los usuarios, pero tambin e!iste otro tipo de
in"ormacin como datos personales de las personas que deben ser res$uardados'
Para controlar la autori#acin en los ser&idores L=)P se utili#an ),Ls 2Lists de
,ontrol de )cceso7, cuando un ser&idor L=)P procesa un requerimiento de un cliente
e&ala los permisos de acceso del mismo a la in"ormacin solicitada' Esta e&aluacin
&eri"ica secuencialmente cada una de las ),Ls, ubicadas en los arc%i&os de con"i$uracin
y aplica las re$las apropiadas al requerimiento'
@structura general de una ACL
La con"i$uracin de las ),Ls, se pueden reali#ar de dos maneras:
83 =irectamente en el arc%i&o de con"i$uracin del ser&idor L=)P,
>etc>L=)P>slapd'con", y pueden ser colocadas al principio del arc%i&o con lo cual
a"ectar@n a todas las bases de datos que posee el ser&idor'
!3 =entro de la directi&a UbacFendV, con lo cual solo a"ectar@ a la base de datos
especi"ica'
,uando se poseen muc%as re$las de acceso, es recomendable colocar en un
arc%i&o aparte y utili#ar la sinta!is include >etc>L=)P>nombredearc%i&o, con lo cual se
mantendr@ el arc%i&o slapd'con" menos complejo'
Las directi&as de acceso tienen la si$uiente sinta!is :
Pgina ,$ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
access to brecursoc
by bquienc btipo de pri&ile$ioc
by bquienc btipo de pri&ile$ioc
Las directi&as access pueden tener uno o mas UbyV, as? mismo pueden permitir
accesos por =N, atributos, "iltros, o una combinacin de estos'
Usos comunes de las ACLs
Para restrin$ir un acceso a un =N en particular, se debe utili#ar una re$la como la
si$uiente:
access to dnEDuidE0edro,ouEUsers,dcEuniversidad,dcEedu,dcEveD
b% K none
El Ub% K noneV, rec%a#a los accesos a todos' Las restricciones a los =N, pueden ser
especi"icadas de la si$uiente manera:
dn3base 1 Destrin$e el acceso para un =N especi"ico, es la opcin por de"ecto,
dn3exact y dn'basele&el : son sinnimos de dn'base'
dn3one : Destrin$e el acceso a la si$uiente entrada que este despues del =N
especi"icado'
dn3subtree : Destrin$e el acceso a todo el @rbol debajo del =N especi"icado'
Las ),Ls, tambin aceptan e!presiones re$ulares lo cual incrementa el ni&el de
complejidad que se puede utili#ar para "ormular las mismas' ) continuacin un ejemplo
utili#ando e!presiones re$ulares:
access to dn3regexEDuidELM,N
O,ouEUsers,dcEuniversidad,dcEedu,dcEveD
b% K none
En el ejem0lo anterior se restrin$e el acceso a cualquier DN, con la e!presin
UuidLcualquier cosaVouLUsers,dcLuni&ersidad,dcLedu,dcL&e, donde cualquier cosa
Pgina ,1 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
debe ser un te!to con al menos un car@cter y sin comas 2,7, las e!presiones re$ulares
permiten incrementar en $ran medida la utilidad de las listas de acceso'
Pgina ,2 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema :1 Poblando el directorio 0enLDAP
Un directorio L=)P no cumple nin$una "uncin til si no almacena in"ormacin y
sir&e esta in"ormacin a sus clientes' En este tema desarrollaremos las estrate$ias para
llenarlo' =urante el desarrollo de todo este cap?tulo nos re"eriremos al "ormato de
intercambio de in"ormacin de directorios L=)P con el acrnimo L=(+
-:
, que es una
representacin en te!to de los contenidos de un directorio y sir&e para trasladar
porciones del directorio o incluso el directorio completo de un equipo a otro'
De,inicin de la estructura inicial del directorio
El $estor de con"i$uracin debcon" cre por usted una estructura inicial del
directorio en base al =N base que le pre$untaron y a la contraseGa del usuario
administrati&o 2cnLadmin,`=N basea7
Usted puede &er esa estructura inicial e!portando los contenidos del directorio con
la utilidad slapcat' en$a en cuenta que debe tener pri&ile$ios administrati&os 2root7, ser
el usuario openldap o pertenecer a ese $rupo para e!portar los contenidos'
slapcat a contenidodinicial'ldi"
ambin puede utili#ar una %erramienta $r@"ica como $q, )pac%e =irectory Btudio
o p%pL=)P)dmin para &isuali#ar y trabajar la in"ormacin del directorio'
+ncor0oracin de entradas iniciales
,asi cualquier directorio L=)P tiene unas entradas iniciales denominadas Ura?#V del
directorio que con"orman la poblacin inicial del mismo' Usualmente estas entradas
de"inen la base del directorio y pueden ser reutili#adas para reconstruir la ra?#, por
ejemplo:
1, 4ormato de intercam&io de %'(P6 por s!s siglas en ingls.
Pgina ,+ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
dn: dcLcnti,dcL$ob,dcL&e
object,lass: top
object,lass: dcAbject
object,lass: or$ani#ation
o: ,N(
dc: cnti
structuralAbject,lass: or$ani#ation
Esta entrada muestra la ra?# del directorio L=)P para dcLcnti,dcL$ob,dcL&e' =ebe
ser la primera entrada de un L=(+ para este directorio porque de"ine la base'
Para aGadir este re$istro podemos utili#ar dos mtodos' Bi estamos car$ando todo
un directorio a partir de un arc%i&o L=(+ nue&o, y el directorio est@ &ac?o, podemos usar
slapadd' Esta es una %erramienta nati&a de ApenL=)P que accede directamente a la
base de datos subyacente y a$re$a los re$istros' Por ejemplo, si almacen@ramos el
re$istro anterior en el arc%i&o rai#'ldi", bastar?a con ejecutar, como el usuario openldap,
un usuario administrati&o o un usuario perteneciente al $rupo openldap:
slapadd ` rai#'ldi"
Atra "orma de aGadir la in"ormacin es utili#ando la %erramienta ldapadd,
incorporada en el paquete ldapIutils de ,anaima' Este paquete tambin incluye las
%erramientas ldapsearc%, ldapdelete y ldapmodi"y, y comparten al$unas opciones
comunes que reseGamos a continuacin:
I= `bind =Na: especi"ica el =N de cone!in del usuario con el que se autenticar@ para
las acciones solicitadas, usualmente se utili#ar@ aqu? el =N del administrador del
directorio que "ue de"inido en la instalacin y que de "orma predeterminada es
Pgina ,, de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
cnLadmin,`=N basea
IW: solicita a ldapIutils que pida la contraseGa en un prompt una &e# ejecutado el
comando
I!: utili#a autenticacin sencilla en &e# de B)BL, lo cual es el caso predeterminado en la
mayor?a de las implementaciones
Ib `basea: de"ine la base o ra?# del directorio L=)P, por ejemplo dcLcnti,dcL$ob,dcL&e
I% `%osta: de"ine la direccin (P o nombre de dominio del directorio L=)P
IN: indica si es necesario emitir la instruccin de inicio de cone!in usando el protocolo
LB
Modi,icando la in,ormacin existente
El paquete ldapIutils, nombrado anteriormente, contiene una %erramienta llamada
ldapmodi"y que permite modi"icar a tra&s de la consola los &alores de un re$istro'
ambin puede utili#ar %erramientas $r@"icas para modi"icar los datos' Por ejemplo, si
quisiramos cambiar el &alor de atributo UoV para la entrada dcLcnti,dcL$ob,dcL&e que
creamos anteriormente, podemos utili#ar ldapmodi"y creando un arc%i&o cambios'ldi" que
conten$a esto:
c%an$etype: modi"y
replace: o
o: ,entro Nacional de ecnolo$ias de (n"ormacion
I
Esta porcin de arc%i&o de cambios que %emos &isto se denomina un conjunto de
cambios, y se caracteri#a porque contiene:
Pgina ,. de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
83El =N del re$istro a modi"icar
!3El tipo de cambio 2una modi"icacin7
:3El atributo que se reempla#ar@ 2UoV7
;3El nue&o &alor 2U,entro Nacional de ecnolo$?as de (n"ormacinV7
En un conjunto de cambios es posible %acer &arios cambios sobre un mismo
re$istro separando los cambios con una l?nea nue&a y un s?mbolo de $uin 2UIV7, por
ejemplo:
c%an$etype: modi"y
replace: o
I
add: objectclass
objectclass: anot%er
I
)s? mismo, es posible actuar sobre &arios re$istros en un slo arc%i&o de cambios,
separando los conjuntos de cambios por dos caracteres de nue&a l?nea:
c%an$etype: modi"y
replace: o
I
Pgina ,5 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
dn: ouLUnidad,dcLcnti,dcL$ob,dcL&e
c%an$etype: modi"y
replace: description
description: nue&a descripcion
I
Una &e# preparados los conjuntos de cambios en el arc%i&o cambios'ldi", podemos
in&ocar a ldapmodi"y de la si$uiente "orma:
ldapmodi"y I" cambios'ldi"
Apcionalmente deber@ incluir las opciones comunes de"inidas en el cap?tulo :'6 de
este documento para personali#ar el comportamiento del comando ldapmodi"y'
)rabajando con las contrase=as
En ejemplos anteriores &imos como el "ormato L=(+ contempla la posibilidad de
que un &alor est codi"icado en *ase.:' Usualmente esto se %ace en atributos cuyos
&alores tienen caracteres ajenos a )B,(( 2por ejemplo caracteres del idioma castellano7 y
en el campo de contraseGas'
Oa que *ase.: no es un al$oritmo de ci"rado sino un sistema de codi"icacin,
usualmente se requiere que las contraseGas se ci"ren usando al$oritmos conocidos como
UN(C crypt, /=4 o BE)-' En estos casos, la sinta!is de la contraseGa es:
Y)LGAD(/AZcontraseGa ci"rada
Por ejemplo:
Y/=4Z:d-5.K6-c-a9";"K4:b689e58-:ab6:;
Pgina ,7 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Los al$oritmos utili#ados son al$oritmos de resumen de una &?a' Estos al$oritmos
producen una salida "ija dada una entrada "ija, por ejemplo:
%ola La /=4 La :d-5.K6-c-a9";"K4:b689e58-:ab6:;
Bin embar$o, no es posible obtener P%olaP a partir de
:d-5.K6-c-a9";"K4:b689e58-:ab6:; lo cual %ace a estos al$oritmos candidatos para
esquemas de ci"rado sencillos'
Es posible usar la %erramienta base.: incluida en el paquete coreutils se puede
utili#ar para codi"icar y decodi"icar contenido en *ase.:, por ejemplo:
ec%o P%olaP e base.: \ codi"icamos
aG8sOToL
ec%o PaG8sOToLP e base.: Id \ descodi"icamos
%ola
-eri,icando el contenido del directorio
Para &eri"icar el contenido de todo un directorio L=)P podemos utili#ar la
%erramienta slapcat que &uelca en pantalla toda la in"ormacin del directorio en "ormato
L=(+' Esto lo debemos ejecutar con el usuario openldap, un usuario administrati&o o un
usuario en el $rupo openldap:
slapcat
)s? mismo, podemos %acer consultas $ranulares usando la %erramienta ldapsearc%,
incluida en el paquete ldapIutils:
ldapsearc% uidLjose
Pgina ,8 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Unidad +-1 +ntegracin con los servicios de directorio LDAP
)ema 81 +ntegracin con el sistema o0erativo
Uno de los casos de uso de directorios L=)P m@s comunes es inte$rar este
directorio con un sistema operati&o GNU>Linu! para sistemas multiusuario e inicio de
sesin centrali#ado' En este tema describiremos los pasos de inte$racin de un directorio
ApenL=)P con un sistema operati&o ,anaima GNU>Linu!'
Ma0eo de cuentas de usuario % gru0os locales
,uando se implementa un directorio ApenL=)P usualmente se desea descontinuar
el uso de cuentas de usuario y $rupos locales, por lo que se busca lle&ar estas cuentas al
directorio L=)P' 1eri"ique el contenido del arc%i&o >etc>pass<d e identi"ique las cuentas
de usuarios'
En ,anaima GNU>Linu!, las cuentas de usuario se di"erencian de las de sistema
porque empie#an a partir del identi"icador numrico nmero -;;;' No necesita mi$rar las
cuentas de sistema a un directorio L=)P'
6esolucin de nombre A N..
El conmutador del ser&icio de nombres NBB se encar$a de atender las solicitudes
de con&ersin de un nombre de usuario 2por ejemplo PpedroP7 a un identi"icador numrico
como -:.48K' Esta con&ersin es necesaria porque internamente el sistema slo maneja
identi"icadores numricos'
En una instalacin predeterminada de ,anaima GNU>Linu!, NBB utili#ar@ un arc%i&o
Pgina ,8 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
local llamado >etc>pass<d para esta tarea, pero cuando se implementa un directorio
ApenL=)P se desea que NBB utilice el directorio para esta con&ersin' +uncionalmente,
el resultado ser@ que el sistema ,anaima GNU>Linu! podr@ identi"icar a los usuarios del
directorio' Para esto debemos instalar el paquete libnssIldap disponible en los
repositorios de ,anaima'
Con,iguracin de bases de datos de bPs7ueda
,omo primer paso, debemos con"i$urar una "uente L=)P para NBB en el arc%i&o
>etc>libnssIldap'con", de la si$uiente "orma:
%ost local%ost
base dcLcnti,dcL$ob,dcL&e
ldapd&ersion K
scope sub
En esta con"i$uracin indicamos que %ay un ser&idor L=)P&K en Plocal%ostP
sir&iendo el directorio dcLcnti,dcL$ob,dcL&e y que deseamos %acer bsquedas de
sub@rbol en este directorio'
Con,iguracin del modulo LDAP
)s? mismo, distintas %erramientas del sistema utili#an un arc%i&o centrali#ado
llamado >etc>ldap>ldap'con" para consultar in"ormacin sobre el directorio L=)P del
sistema, por ello lo debemos con"i$urar as?:
*)BE dcLcnti,dcL$ob,dcL&e
UD( local%ost
Esta con"i$uracin es an@lo$a a lo especi"icado en el punto -'6'-'
Pgina .$ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Autenticacin de usuarios A Mdulos de autenticacin a0ilables A PAM
Los mdulos de autenticacin apilables de GNU>Linu!, P)/, sir&en para autenticar
y controlar el acceso a ser&icios del sistema operati&o' +uncionalmente, la e!pectati&a es
que un usuario pueda %acer inicio de sesin en el sistema'
Para esto requerimos instalar el paquete libpamIldap'
Con,iguracin de reglas de autenticacin
Eay cuatro 2:7 ser&icios del sistema operati&o que se deben con"i$urar para que se
inte$re completamente a un directorio ApenL=)P:
83account: $estiona la administracin de cuentas, pero no autentica al usuario'
?picamente se utili#a para restrin$ir o permitir el acceso a una cuenta en base a
par@metros como %ora del d?a, bloqueo de cuenta o ubicacin
!3aut%: este ser&icio autentica al usuario en dos etapas, establecer la identidad del
usuario, por ejemplo solicitando una contraseGa, y adjudicar permisolo$?as especiales
como membres?a a $rupos
:3pass<ord: permite autenticar toFens de autenticacin asociados con el usuario en
escenarios de desa"?o>respuesta
;3session: permite reali#ar operaciones antes y despus de prestar el ser&icio al usuario,
como por ejemplo crear su directorio personal o montar particiones e!ternas
En ,anaima GNU>Linu!, estos cuatro 2:7 ser&icios se con"i$uran en el directorio
>etc>pam'd, y espec?"icamente en los arc%i&os commonIaccount, commonIaut%, commonI
pass<ord y commonIsession' Puede obtener mayor in"ormacin sobre pam'd en la p@$ina
del manual man pam'd'
En cada uno de estos cuatro 2:7 arc%i&os se debe a$re$ar la si$uiente l?nea:
Pgina .1 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
ser&icio su""icient pamdldap'so
=onde ser&icio es account, aut%, pass<ord o session dependiendo del arc%i&o que
se est editando'
Con,iguracin de modulo LDAP
El mdulo L=)P de P)/ se con"i$ura en el arc%i&o >etc>pamdldap'con"' La sinta!is y
contenido de este arc%i&o es i$ual a la del arc%i&o NBB:
%ost local%ost
base dcLcnti,dcL$ob,dcL&e
ldapd&ersion K
scope sub
Pgina .2 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema !1 +ntegracin con controladores de dominio .amba
El sistema operati&o /icroso"t Windo<s no es capa# de interoperar nati&amente
con el protocolo est@ndar L=)P, ni con ApenL=)P, para autenticar a sus usuarios del
sistema' Usualmente se debe combinar un directorio L=)P con un controlador de
dominio B/*>,(+B, como /icroso"t )cti&e =irectory, para lo$rar que los usuarios de
/icroso"t Windo<s puedan acceder utili#ando credenciales centrali#adas de L=)P'
)s? mismo, %ay escenarios en los que usuarios de GNU>Linu! necesitan acceder a
recursos compartidos usando el protocolo B/*>,(+B como arc%i&os e impresoras, en cuyo
caso tambin es deseable que se inte$re con un directorio ApenL=)P'
Bamba es una implementacin parcial, libre y de cdi$o abierto, del protocolo
B/*>,(+B que puede cumplir este rol' Para obtener el so"t<are debemos instalar los
paquetes samba y sambaIdoc' En este cap?tulo estudiaremos lo que se requiere
modi"icar para inte$rar un controlador de dominio Bamba con ApenL=)P'
@s7uemas adicionales
Eay dos elementos b@sicos que podemos re$istrar en un directorio ApenL=)P y
que son de inters para la implementacin de un controlador de dominio con Bamba:
83,uentas de usuario
!3,uentas de m@quina
Para con&ertir cuentas de usuario ya e!istentes en un directorio ApenL=)P en
cuentas de usuario Bamba es necesario %acer que la entrada pertene#ca a la clase de
objetos sambaB)/)ccount, independientemente de las clases de objetos a las que ya
Pgina .+ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
perteneciera'
La clase de objetos sambaB)/)ccount, as? como los atributos que ella de"ine, se
encuentran completamente descritos en el esquema samba'sc%ema' Este esquema se
puede conse$uir comprimido con $#ip en el paquete sambaIdoc:
$un#ip Ic >usr>s%are>doc>sambaIdoc>e!amples>L=)P>samba'sc%ema'$# a
>etc>ldap>sc%ema>samba'sc%ema
Los esquemas de ApenL=)P se almacenan en la carpeta >etc>ldap>sc%ema y deben
ser declarados en el arc%i&o de con"i$uracin de ApenL=)P, >etc>ldap>slapd'con":
include >etc>ldap>sc%ema>samba'sc%ema
Lue$o de este cambio debe reiniciarse el ser&icio slapd:
in&oFeIrc'd slapd restart
Ma0eo de cuentas de usuario % gru0os
Una &e# acti&o el esquema de Bamba en el directorio ApenL=)P, %ay que a$re$ar
al$unos atributos para con&ertir una entrada de usuario PAB(C tradicional en una entrada
Bamba' ) continuacin comentamos una entrada completa de usuario PAB(C>Bamba:
dn: uidL$carter,
ouLPeople,dcLquenya,dcLor$
Nombre distinti&o
displayName: Gerald ,arter Nombre completo del usuario
sambaL/Pass<ord:
4468;6;K-*E=E8E+))=K*:K4*4-:;:EE
Eas% de -. bytes de la contraseGa Lan/an
en "ormato %e!adecimal
sambaPrimaryGroupB(=: BI-I4I6-I
6::98K-8;6I-959;4564.IK8.-;9:;K5I
(denti"icador de se$uridad del $rupo
principal del usuario
Pgina ., de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
-6;-
object,lass: posi!)ccount ,lase de objeto
object,lass: sambaBam)ccount ,lase de objeto
userPass<ord: YcryptZ*p/6ej5DF#o$o ,ontraseGa ci"rada en "ormato UN(C crypt
uid: $carter (denti"icador del usuario
uidNumber: 8;;; (denti"icador numrico del usuario
cn: Gerald ,arter Nombre completo del usuario
lo$inB%ell: >bin>bas% ,onsola de inicio de sesin
$idNumber: -;; (denti"icador numrico del $rupo principal
del usuario
sambaP<dLastBet: -;-;-986K; +ec%a>%ora del ltimo cambio de
contraseGa
sambaB(=: BI-I4I6-I6::98K-8;6I
-959;4564.IK8.-;9:;K5I4;;:
(denti"icador de se$uridad del usuario
%ome=irectory: >%ome>moria>$carter =irectorio personal del usuario
sambaNPass<ord:
595=5;-:.;.,=)68.99)::E+)-K4K+,9
Eas% de -. bytes de la contraseGa N en
"ormato %e!adecimal
Es importante resaltar que los sistemas B/*>,(+B, en particular /icroso"t Windo<s,
no pueden procesar las contraseGas en "ormatos UN(C crypt, /=4 o BE)-, por lo que se
almacenan las contraseGas en los "ormatos N y Lan/an' )dicionalmente, as? como en
sistemas PAB(C como GNU>Linu! e!isten identi"icadores numricos 2uidNumber7, en
sistemas /icroso"t Windo<s se manejan identi"icadores de se$uridad 2B(=7 por lo que
tambin se almacena esta in"ormacin en el directorio L=)P' Para aGadir o modi"icar las
entradas L=)P e incluir estos atributos, re"irase al tema :'K de la unidad anterior'
Pgina .. de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema :1 +ntegracin con servicios de red
Prox% LDAP
Un ser&idor pro!y L=)P acta como un intermediario entre los clientes y los
ser&idores que poseen los datos, y son de $ran utilidad cuando se tienen $ran cantidad
de ser&idores y se requiere a$rupar en uno solo'
Con,iguracin de un servidor 0rox% LDAP
) continuacin se presenta un ejemplo de con"i$uracin de ser&idor pro!y L=)P,
en donde deberemos editar el arc%i&o /etc/lda0/sla0d3con, y colocar lo si$uiente:
83 database meta 2el tipo de base de datos a utili#ar7
!3 su""i! WdcLreacciun,dcL&eW 2la base del directorio pro!y7
3. uri WL=)P:>>L=)P'uni&ersidad'edu'&e>dcLuni&ersidad,dcLreacciun,dcL&eW
;3 su""i!massa$e WdcLuni&ersidad,dcLreacciun,dcL&eW
WdcLuni&ersidad,dcLedu,dcL&eW
Pgina .5 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Unidad -1 Administracin avan9ada de directorios 0enLDAP
)ema 81 Conexiones seguras al directorio ( ..L/)L.
En ciertos escenarios es deseable incorporar la posibilidad de ci"rar, autenticar y
$aranti#ar la inte$ridad de las comunicaciones entre los clientes y el directorio L=)P' Para
esto se utili#an los protocolos BBL y>o LB'
La di"erencia principal entre ambos protocolos es que la sesin ci"rada se ne$ocia y
establece antes de la sesin L=)P en el caso de BBL y ocurre al re&s en el caso de LB'
En trminos $enerales, se considera que LB es un sucesor de BBL y se pre"iere la
utili#acin de LB, como se %ar@ en este manual'
Para implementar LB en un ser&idor ApenL=)P se requiere:
83Una lla&e BBL para el ser&idor, que llamaremos ser&idor'Fey
!3Un certi"icado "irmado por una ,) 2autoridad certi"icadora7, que llamaremos
ser&idor'crt
:3El certi"icado de la ,) que "irm el certi"icado del ser&idor, que llamaremos ca'crt
,olocamos estos tres 2K7 arc%i&os en un directorio, por ejemplo >etc>ldap>ssl, que el
usuario openldap pueda leer, y editamos el arc%i&o >etc>ldap>slapd'con" para incluir la
si$uiente con"i$uracin:
LB,),erti"icate+ile >etc>ldap>ssl>ca'crt ,erti"icado de la ,)
LB,erti"icate+ile >etc>ldap>ssl>ser&idor'crt ,erti"icado del ser&idor
LB,erti"icateXey+ile
>etc>ldap>ssl>ser&idor'Fey
Lla&e del ser&idor
Pgina .7 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
LB1eri"y,lient ne&er
(ndica que no se requerir@ que los clientes
presenten sus certi"icados
Deiniciamos el ser&icio con el comando in&oFeIrc'd slapd restart y ya podemos
disponer de cone!iones LB en nuestro ser&idor ApenL=)P' Bin embar$o, tambin es
necesario que los clientes con"i$uren sus entornos operacionales para que puedan
comunicarse de "orma ci"rada, con autenticidad e inte$ridad, al ser&idor ApenL=)P' Esto
es natural ya que la se$uridad del canal depende normalmente de la sincroni#acin de
ambos e!tremos'
El cliente slo requiere tener el certi"icado de la ,)' Este certi"icado puede ser
le?do por cualquier usuario del sistema, ya que no compromete la se$uridad del
esquema' Por ejemplo, colocamos ca'crt en la carpeta >etc>ldap>ssl tal y como %icimos en
la parte de ser&idor' )s? mismo, en el arc%i&o >etc>ldap>ldap'con", el cual &imos en detalle
en el cap?tulo -'6'6 de la Unidad (1, a$re$amos las l?neas:
LBd,),ED >etc>ldap>ssl>ca'crt
LBdDET,ED ne&er
,on esta con"i$uracin, podremos utili#ar las %erramientas del paquete ldapIutils
con la opcin IN, que emite una instruccin para iniciar la cone!in usando LB' )s?
mismo, cualquier aplicacin que respete la con"i$uracin de >etc>ldap>ldap'con" puede
comunicarse usando LB con el ser&idor L=)P'
Para ampliar m@s sobre este tema, ir al ema K de la unidad anterior'
Pgina .8 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema !1 @xistencia de m4s de una co0ia
@xistencia de m4s de una co0ia Fslur0dG
En entornos de $randes redes y ser&idores L=)P con $randes base de datos, se
requiere mantener m@s de un ser&idor L=)P, y esto se reali#a mediante el demonio
sluprd'
El acrnimo slurpd si$ni"ica: Btandalone L=)P Update Deplication =aemon y su
misin es propa$ar los cambios de una base de datos slapd %acia otra' Bi slapd est@
con"i$urado para producir lo$s de replicacin, slurpd los lee y en&?a los cambios a las
instancias slapd escla&as a tra&s del protocolo L=)P' slurpd se arranca, normalmente, en
el arranque del sistema'
Una &e# arrancado, slurpd normalmente %ace un "orF de si mismo y se independi#a
de la consola que lo %a llamado, lue$o lee el lo$ de replicacin 2dado bien por la directi&a
replo$"ile del arc%i&o de con"i$uracin de slapd, bien por la opcin Ir de la l?nea de
comandos7' Bi el arc%i&o lo$ de replicacin no e!iste o est@ &ac?o, slurpd se duerme'
=espus, cada cierto tiempo, se despierta y &eri"ica si %ay cambios que propa$ar'
,uando slurpd encuentra cambios a propa$ar %acia las instancias slapd escla&as,
bloquea el lo$ de replicacin, %ace una copia pri&ada del mismo, libera el bloqueo
anteriormente puesto y crea procesos %ijos de si mismo para cada rplica de slapd que
%a de ser actuali#adaH lue$o, cada uno de estos procesos %ijo se asocia con el demonio
slapd escla&o, y en&?a los cambios'
El "uncionamiento es el si$uiente :
El cliente L=)P en&?a una modi"icacin L=)P al slapd escla&o'
El slapd escla&o de&uel&e una remisin %acia el cliente L=)P, re"erenciandolo %acia
el ser&idor slapd maestro'
Pgina .8 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
El cliente L=)P en&?a la operacin de modi"icacin L=)P %acia el slapd maestro'
El slapd maestro reali#a la operacin de modi"icacin, escribe los cambios en su
arc%i&o lo$ de replicacin y de&uel&e un cdi$o de !ito %acia el cliente'
El proceso slurpd &eri"ica que se %a aGadido una nue&a entrada al arc%i&o lo$ de
replicacin, lee la entrada del lo$ de replicacin y en&?a el cambio %acia el ser&idor
slapd escla&o &?a L=)P'
El ser&idor slapd escla&o reali#a la operacin de modi"icacin y un cdi$o de !ito
%acia el proceso slurpd'
Decidiendo el mecanismo de re0licacin
En ciertos escenarios, el mecanismo de replicacin pro&isto por slurpd no es
su"iciente para $aranti#ar una inte$ridad "uncional en un entorno de directorios
ApenL=)P' E!isten otros mecanismos de replicacin disponibles para ApenL=)P, como
por ejemplo la replicacin usando syncrepl y la replicacin multi(master'
Los mecanismos de replicacin de ApenL=)P est@n constantemente mejorando,
por lo que se recomienda consultar la Gu?a del )dministrador
-4
m@s actuali#ada para
obtener la in"ormacin adecuada' Bin embar$o, a continuacin presentamos una
comparati&a de al$unos de los mecanismos m@s populares:
Mecanismo Caracter*sticas
slur0d
Blo permite un ser&idor maestro
(niciado por el pro&eedor
/odelo basado en PUBE
Be ejecuta peridicamente
Blo se ejecuta de %aber cambios
.%ncre0l Blo permite un ser&idor maestro
1. 7ttp:))EEE.openldap.org)doc)admin2,)replication.7tml
Pgina 5$ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
(niciado por el consumidor
/odelo basado en PULL
Be ejecuta peridicamente
Blo se ejecuta de %aber cambios
N(2a% multi(
master
)dmite &arios ser&idores maestros
Es nI&?as, es decir, todos los ser&idores inician el proceso de
replicacin
Be ejecuta constantemente
Puede causar problemas de inte$ridad
Mirror mode
)dmite slo dos ser&idores maestros
Dequiere tres ser&idores: los dos maestros y un "rontend para
escrituras
Be ejecuta constantemente
Permite esquemas de alta disponibilidad
@xistencia de m4s de una co0ia Fs%ncre0lG
Para implementar un ser&idor de rplica utili#ando syncrepl, se deben se$uir los
pasos especi"icados en este /anual para la instalacin de ApenL=)P ase$ur@ndose que
las respuestas que se %acen a las pre$untas de la instalacin sean i$uales que las que se
dieron en la instalacin del ser&idor principal
Lue$o, se deben a$re$ar las si$uientes l?neas al arc%i&o de con"i$uracin
>etc>ldap>slapd'con":
syncrepl ridL-;; ridLCCC, donde CCC es un nmero nico
y arbitrario, ya que se pueden de"inir
&arias rplicas en un mismo arc%i&o de
con"i$uracin
pro&iderLldap:>>-;'-;'-;'-> =ireccin (P del maestro
typeLre"res%)ndPersist ipo de la replicacin
Pgina 51 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
searc%baseLWdcLcnti,dcL$ob,dcL&e
W
*ase del directorio
"ilterLW2object,lassL[7W Bi se desea "iltrar las entradas a replicar
se puede de"inir un "iltro L=)P aqu?
scopeLsub *ase de bsqueda 2sub@rbol7
attrsLW[W )tributos a replicar, [ para UtodosV
sc%emac%ecFin$Lo"" 1eri"icar compatibilidad con los
esquemas instalados en el ser&idor
rplica
bindmet%odLsimple /ecanismo de autenticacin
binddnLWcnLadmin,dcLcnti,dcL$ob,
dcL&eV
=N del usuario que tiene pri&ile$ios para
acceder a los datos en el maestro
credentialsLmy"-r4treplica ,redenciales del =N anterior
Es con&eniente utili#ar el =N del administrador del directorio L=)P 2en nuestro
caso, cnLadmin,dcLcnti,dcL$ob,dcL&e7 ya que ste =N tiene pri&ile$ios para acceder a
todo el directorio de "orma predeterminada' Bin embar$o, tambin es posible crear un =N
distinto y otor$arle los permisos para acceder al directorio con slo lectura, por ejemplo:
access to [
by PcnLreplica-,dcLcnti,dcL$ob,dcL&eP read
Una &e# con"i$urado slapd'con", reiniciamos el ser&icio y se iniciar@ el proceso de
replicacin' =ependiendo del &olumen de datos y la cone!in entre la rplica y el maestro
podr@ tomar entre unos pocos se$undos y &arios minutos'
Pgina 52 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ema :1 Particionando el directorio
En la &asta mayor?a de los escenarios, almacenar todo el contenido de un
directorio L=)P en un slo ser&idor L=)P es su"iciente y aceptable' La tecnolo$?a de los
motores de almacenamientos disponibles en, por ejemplo, ApenL=)P, e&oluciona
constantemente' Es sustentable tener directorios ApenL=)P con &arios millones de
re$istros o"reciendo ser&icio de calidad a sus clientes' Bin embar$o, por ra#ones de
se$uridad, administracin, sustentabilidad o rendimiento, al$unas or$ani#aciones pueden
decir particionar su directorio L=)P entre &arios ser&idores ApenL=)P'
Para ello, dele$an porciones del @rbol de in"ormacin en otros ser&idores
ApenL=)P, y mantienen objetos de re"erencia que permiten pe$ar todos los ser&idores
que "orman parte de la solucin' En este ejemplo, supon$amos que el =( %ipottico
dcL$ob,dcL&e administrado por el ,N( para la )dministracin Pblica 1ene#olana desea
dele$ar sub@rboles a cada una de las or$ani#aciones que la con"orman' omemos por
ejemplo:
dcEgob,dcEve: Gobierno 1ene#olano, ser&idor ldap'$ob'&e
dcEcnti,dcEgob,dcEve1 ,N(, ser&idor ldap'cnti'$ob'&e
dcEmo0vi,dcEgob,dcEve1 /AP1(, ser&idor ldap'mop&i'$ob'&e
dcE,m/,dcEgob,dcEve1 +/E, ser&idor ldap'"m%'$ob'&e
De,inicin de la re,erencia +n,erior
En este caso, el ser&idor dcL$ob,dcL&e contendr?a las si$uientes entradas:
Pgina 5+ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
83@ntrada ra*9 de su 0ro0ia base
dn: dcL$ob,dcL&e
object,lass: top
object,lass: dcAbject
object,lass: or$ani#ation
o: Gobierno de 1ene#uela
dc: $ob
structuralAbject,lass: or$ani#ation
!36e,erencia a cnti3gob3ve
object,lass: re"erral
object,lass: e!tensibleAbject
dc: subtree
re": ldap:>>ldap'cnti'$ob'&e>dcLcnti,dcL$ob,dcL&e
Esta ltima entrada se repetir?a para las otras bases y ser&idores que con"orman el
esquema particionado'
Pgina 5, de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
De,inicin de la re,erencia su0erior
En el ser&idor ldap'cnti'$ob'&e correspondiente a la base dcLcnti,dcL$ob,dcL&e, y
en cada uno de los otros que con"orman el esquema particionado, basta con colocar la
si$uiente directi&a en el arc%i&o >etc>ldap>slapd'con":
re"erral ldap:>>ldap'$ob'&e>
O reiniciar el ser&icio con:
in&oFeIrc'd slapd restart
,on esta directi&a, se le indica al ser&idor ApenL=)P del ,N( que en caso de que
se solicite una entrada que no se encuentre en el ser&idor 2"uera de la ra?#
dcLcnti,dcL$ob,dcL&e7 debe irse al ser&idor ldap'$ob'&e'
) su &e#, este ser&idor ldap'$ob'&e le redireccionar@ al apropiado o le indicar@ que
no %ay entradas que coincidan con su solicitud' )s?, por ejemplo, un usuario en el ,entro
Nacional de ecnolo$?as de (n"ormacin podr?a consultar in"ormacin sobre un usuario en
el /inisterio del Poder Popular de Abras Pblicas y 1i&ienda mientras que la
administracin de cada directorio es independiente'
Pgina 5. de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Anexos
@jercicio Pro0uesto NB8
Be le solicita cambiar la e!tensin tele"nica del usuario PAB(C Pmal&aradoP al
nmero P66-44P, en este escenario indique:
aG ,onsulta que reali#ar?a para conocer el =N del usuario
bG )rc%i&o L=(+ de cambios que utili#ar?a para ldapmodi"y
cG )r$umentos a utili#ar para el comando ldapmodi"y
dG ,onsulta que reali#ar?a para con"irmar el cambio
Premisas del @jercicio1
La base de bsqueda del directorio es la que corresponde al dominio =NB
prueba'cnti'$ob'&e
El ser&idor L=)P maestro se encuentra en la direccin (P -;'9;'.'K
El nombre distinti&o 2=N7 del usuario para %acer cualquier consulta al ser&idor
L=)P que amerite un cambio es el predeterminado que se con"i$ura utili#ando
=ebcon" en la instalacin en =ebian, y este usuario tiene los permisos adecuados
para reali#ar el cambio
No se utili#a LB ni BBL
.olucin del ejercicio1
a7 ldapsearc% Ib dcLprueba,dcLcnti,dcL$ob,dcL&e I% -;'9;'.K I=
PcnLadmin,dcLprueba,dcLcnti,dcL$ob,dcL&eP IW I! uidLmal&arado dn
bG En un arc%i&o, por ejemplo Pcambio'ldi"P:
Pgina 55 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
dn: `dn del usuario mal&arado, &er punto )a
c%an$etype: modi"y
telep%oneNumber: 66-44
cG ldapmodi"y Ib dcLprueba,dcLcnti,dcL$ob,dcL&e I% -;'9;'.K I=
PcnLadmin,dcLprueba,dcLcnti,dcL$ob,dcL&eP IW I! I" cambio'ldi"
dG ldapsearc% Ib dcLprueba,dcLcnti,dcL$ob,dcL&e I% -;'9;'.K I=
PcnLadmin,dcLprueba,dcLcnti,dcL$ob,dcL&eP IW I! uidLmal&arado telep%oneNumber
Pgina 57 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
6e,erencias
ApenL=P) 26;;57, )ccess ,ontrol' =isponible en:
ttp:>><<<'openldap'or$>doc>admin6:>accessIcontrol'%tml\)ccessJ6;,ontrol
J6;,ommonJ6;E!amples
ApenL=P) 26;;57, Deplication' =isponible en:
%ttp:>><<<'openldap'or$>doc>admin6:>replication'%tml
D+,IDe" 26;;87, caseE!act()4/atc%' =isponible en: %ttp:>>r"cIre"'or$>D+,I
ECB>6K;9>F<Icasee!actia4matc%'%tml
Bubmitted by j'onions at ne!or'co 2-8857, -'K'.'-':'-'-:..'--4'-6-'-'6. I ()4
Btrin$ synta!' =isponible en:
%ttp:>><<<'al&estrand'no>objectid>-'K'.'-':'-'-:..'--4'-6-'-'6.'%tml
Pgina 58 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Glosario de t$rminos
A
ACLs FAccess Control List/Lista de Control de AccesoG1 es una tabla que le
dice a un sistema los derec%os de acceso que cada usuario posee para un objeto
determinado, como directorios, "ic%eros, puertos, etc' cnicas para limitar el
acceso a los recursos se$n la in"ormacin de autenticidad y las normas de acceso'
A0ac/e1 es un so"t<are libre ser&idor EP de cdi$o abierto para plata"ormas
Uni! 2*B=, GNU>Linu!, etc'7, Windo<s, /acintos% y otras' Presenta, entre otras
caracter?sticas, mensajes de error altamente con"i$urables, bases de datos de
autenticacin y ne$ociado de contenido' Ea sido desde )bril de -88. el ser&idor
EP m@s usado'
AP) FAdvanced PacIaging )oolG1 es un sistema de $estin de paquetes creado
por el proyecto =ebian' )P simpli"ica en $ran medida la instalacin y eliminacin
de pro$ramas en los sistemas GNU>Linu!H no e!iste un pro$rama apt en s? mismo,
sino que )P es una biblioteca de "unciones ,33 que se emplea por &arios
pro$ramas de l?nea de comandos para distribuir paquetes' En especial, aptI$et y
aptIcac%e'
A6PAN@)1 FAdvanced 6esearc/ Projects Agenc% Net2orI/6ed de la
Agencia de Pro%ectos de +nvestigacin Avan9adaG1 es una red militar
Norteamericana a tra&s de l?neas tele"nicas, de la que posteriormente deri&
(nternet'
Q
Q+ND FQerIele% +nternet Name Domain, anteriormente1 QerIele% +nternet
Name DaemonG1 es la implementacin del est@ndar =NB de uso m@s %abitual en
la (nternet, especialmente en los sistemas tipo Uni!, en los cuales es un est@ndar
de "acto'
Pgina 58 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Q+ND#1 es una nue&a &ersin de *(N=' +ue escrita desde cero en parte para
superar las di"icultades arquitectnicas presentes anteriormente para auditar el
cdi$o en las primeras &ersiones de *(N=, y tambin para incorporar =NBBE,'
*(N= 8 incluye entre otras caracter?sticas importantes: B(G, noti"icacin =NB,
nsupdate, (P&., rndc "lus%, &istas, procesamiento en paralelo, y una arquitectura
mejorada en cuanto a portabilidad' Es comnmente usado en sistemas GNU>Linu!'
C
Cac/e1 es todo duplicado del una in"ormacin ori$inal que se almacena en un
lu$ar de acceso m@s r@pido que el ori$inal'
Canaima1 es una distribucin GNU>Linu! 1ene#olana basada en =ebian que sur$e
como una solucin para cubrir las necesidades o"im@ticas de los usuarios "inales de
la )dministracin Pblica Nacional 2)PN7 y para dar cumplimiento al decreto
presidencial Nro' K'K8; sobre el uso de ecnolo$?as Libres'
D
Datagramas1 es un "ra$mento de paquete que es en&iado con la su"iciente
in"ormacin como para que la red pueda simplemente encaminar el "ra$mento
%acia el equipo terminal de datos receptor, de manera independiente a los
"ra$mentos restantes'
DAP FDirector% Access ProtocolG1 es un est@ndar dentro de las redes de
computadoras que %a sido promul$ado por la (UI y por la (BA en -885, para el
acceso de un ser&icio de directorio C'4;;'
Debian Project1 es una comunidad con"ormada por desarrolladores y usuarios,
que mantiene un sistema operati&o GNU basado en so"t<are libre precompilado y
empaquetado, en un "ormato sencillo en mltiples arquitecturas de computador y
en &arios ncleos'
DRCP FD%namic Rost Con,iguration Protocol / Protocolo de Con,iguracin
Din4mica de .ervidoresG1 permite asi$nar (Ps de "orma din@mica, e indica
Pgina 7$ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
ser&idores de nombre de dominios y $ate<ays desde un ser&idor a todos los
clientes que se la pidan'
Direcciones +P1 es un nmero que identi"ica de manera l$ica y jer@rquica a una
inter"a# de un dispositi&o 2%abitualmente una computadora7 dentro de una red que
utilice el protocolo (P 2(nternet Protocol7, que corresponde al ni&el de red o ni&el K
del modelo de re"erencia AB('
Directorio1 es un conjunto de objetos con atributos or$ani#ados en una manera
l$ica y jer@rquica'
Distribucin1 es una recopilacin de pro$ramas y "ic%eros 2paquetes7,
or$ani#ados y preparados para su instalacin en las di"erentes arquitecturas de
%ard<are disponibles en el mercado, las cuales se pueden obtener a tra&s de
(nternet, o adquiriendo los ,= de las mismas'
DN. FDomain Name .%stemG1 es un sistema de nombres que permite traducir
de nombres de dominio a direcciones (P y &ice&ersa'
Dominio1 nombre b@sico de un conjunto de dispositi&os y computadores dentro de
una red, los equipos o dispositi&os que lo componen cada uno posee un nombre
perteneciente a ese dominio, que lo %ace m@s "@cil de recordar en &e# de utili#ar
direcciones numricas para acceder a los mismos'
Dovecot1 es un ser&idor de (/)P y PAPK de cdi$o abierto para sistemas
GNU>Linu! > UN(CIliFe, escrito "undamentalmente pensando en se$uridad' +ue
desarrollado por imo Birainen, y apunta principalmente a ser un ser&idor de
correo de cdi$o abierto li$ero, r@pido, "@cil de instalar y por sobre todo se$uro'
@
@.P F@nca0sulating .ecurit% Pa%loadG1 este protocolo proporciona autenticidad
de ori$en, inte$ridad y proteccin de con"idencialidad de un paquete' EBP tambin
soporta con"i$uraciones de slo ci"rado y slo autenticacin'
@.M)P F@n/anced .im0le Mail )rans,er ProtocolG1 es una de"inicin de
Pgina 71 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
e!tensiones de protocolo para el est@ndar B/P, cuyo "ormato de e!tensin "ue
de"inido en el D+, -5.8 en -884' Este D+, estableci una estructura para todas las
e!tensiones e!istentes y "uturas con el "in de producir una manera consistente y
manejable por la cual los clientes y ser&idores B/P puedan ser identi"icados y los
ser&idores B/P puedan seGalar las e!tensiones soportadas a los clientes
conectados'
5
5rame 6ela%1 consiste en una "orma simpli"icada de tecnolo$?a de conmutacin
de paquetes que transmite una &ariedad de tamaGos de tramas o marcos
2U"ramesV7 para datos, per"ecto para la transmisin de $randes cantidades de
datos' Esta tcnica se utili#a para un ser&icio de transmisin de &o# y datos a
alta &elocidad que permite la intercone!in de redes de @rea local separadas
$eo$r@"icamente a un coste menor'
5SDN F5ull% Suali,ied Domain NameG1 es un nombre que incluye el nombre de
la computadora y el nombre del dominio asociado a ese equipo' La lon$itud
m@!ima permitida para un +T=N es 644 caracteres 2bytes7, con una restriccin
adicional a .K bytes por etiqueta dentro de un nombre de dominio' Las etiquetas
+T=N se restrin$en a un jue$o de caracteres limitado: letras )IN de )B,((, los
d?$itos, y el car@cter fIg, y no distin$uen maysculas de minsculas'
G
GPL FGeneral Public License / Licencia PPblica GeneralG1 la Licencia Pblica
General de GNU o m@s conocida por su nombre en in$ls GNU General Public
License o simplemente su acrnimo del in$ls GNU GPL, es una licencia creada por
la +ree Bo"t<are +oundation a mediados de los 5;, y est@ orientada principalmente
a prote$er la libre distribucin, modi"icacin y uso de so"t<are'
R
Reader FCabeceraG1 es la primera parte de un paquete de datos que contiene
Pgina 72 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
in"ormacin sobre las caracter?sticas de este'
RDL. FRig/ bit rate Digital .uscriber Line / L*nea Digital de Abonado de
alta velocidadG1 es un sistema de transmisin de datos de alta &elocidad que
utili#a dos pares tren#adosH obteniendo &elocidades superiores al /e$abit en
ambos sentidos'
Rost1 un %ost o an"itrin es un ordenador que "unciona como el punto de inicio y
"inal de las trans"erencias de datos'H m@s comnmente descrito como el lu$ar
donde reside un sitio <eb' Un %ost de (nternet tiene una direccin de (nternet nica
2direcin (P7 y un nombre de dominio nico o nombre de %ost'
R)ML FR%0er)ext MarIu0 Language / Lenguaje de Marcas de Ri0ertextoG1
es el len$uaje de marcado predominante para la construccin de p@$inas <eb' Es
usado para describir la estructura y el contenido en "orma de te!to, as? como para
complementar el te!to con objetos tales como im@$enes'
+
+DL@1 %ace re"erencia a la inacti&idad de un usuario en (D,'
+@)5 F+nternet @ngineering )asI 5orce/Gru0o de )rabajo en +ngenier*a de
+nternetG1 es una or$ani#acin internacional abierta de normali#acin, que tiene
como objeti&os el contribuir a la in$enier?a de (nternet, actuando en di&ersas
@reas, tales como transporte, encaminamiento, se$uridad' +ue creada en EE'UU en
-85.'
+J@ F+nternet Ie% exc/angeG1 es un protocolo usado para establecer una
asociacin de se$uridad 2B)7 en el protocolo (psec' Bupone una alternati&a al
intercambio manual de cla&es, y su objeti&o es la ne$ociacin de una )sociacin
de Be$uridad para (PBE,, permitiendo adem@s especi"icar el tiempo de &ida de la
sesin (PBE,, autenticacin din@mica de otras m@quinas, entre otras'
+MAP F+nternet Message Access Protocol7: es un protocolo de red de acceso a
mensajes electrnicos almacenados en un ser&idor' /ediante (/)P se puede tener
acceso al correo electrnico desde cualquier equipo que ten$a una cone!in a
Pgina 7+ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
(nternet'
+P F+nternet ProtocolG1 el protocolo de comunicaciones (P permite que redes
$randes y $eo$r@"icamente di&ersas de computadoras, se comuniquen con otras
r@pida y econmicamente a partir de una &ariedad de eslabones "?sicos'
+Psec F+nternet Protocol securit%G1 es un conjunto de protocolos cuya "uncin
es ase$urar las comunicaciones sobre el Protocolo de (nternet 2(P7, autenticado y>o
ci"rando cada paquete (P en un "lujo de datos' (Psec incluye tambin protocolos
para el establecimiento de cla&es de ci"rado'
+Pv;1 es la &ersin : del Protocolo (P 2(nternet Protocol7' Esta "ue la primera
&ersin del protocolo que se implement e!tensamente, y "orma la base de
(nternet' (P&: usa direcciones de K6 bits, limit@ndola a 6
K6
L :'68:'8.9'68.
direcciones nicas, muc%as de las cuales est@n dedicadas a redes locales 2L)Ns7'
+Pv>1 es una nue&a &ersin de (P 2(nternet Protocol7 y est@ destinado a sustituir a
(P&:, cuyo l?mite en el nmero de direcciones de red admisibles est@ empe#ando a
restrin$ir el crecimiento de (nternet y su usoH pero el nue&o est@ndar mejorar@ el
ser&icio $lobalmenteH por ejemplo, proporcionar@ a "uturas celdas tele"nicas y
dispositi&os m&iles con sus direcciones propias y permanentes'
+PT F+nternet2orI PacIet @xc/ange / +ntercambio de 0a7uetes interredG1
es un protocolo de comunicaciones NetWare que se utili#a para encaminar
mensajes de un nodo a otro' Los paquetes (PC incluyen direcciones de redes y
pueden en&iarse de una red a otra'
+6C 2+nternet 6ela% C/at7: es un protocolo de comunicacin en tiempo real
basado en te!to, que permite debates en $rupo o entre dos personas' Be di"erencia
de la mensajer?a instant@nea, porque los usuarios no deben acceder a establecer la
comunicacin de antemanoH de tal "orma, que todos los usuarios que se
encuentran en un canal pueden comunicarse entre s?, aunque no %ayan tenido
nin$n contacto anterior'
Pgina 7, de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
+.C Q+ND1 el nombre completo ori$inal del ser&idor *(N=8 desarrollado por la
(nternet Bystems ,onsortium'
+)U() F.ector de Normali9acin de las )elecomunicaciones de la U+)G1 es el
r$ano permanente de la Unin (nternacional de elecomunicaciones 2U(7, que
estudia los aspectos tcnicos, de e!plotacin y tari"arios y publica normati&a sobre
los mismos, con &ista a la normali#acin de las telecomunicaciones a ni&el
mundial'
L
LAN FLocal Urea Net2orIG1 es la intercone!in de &arias computadoras y
peri"ricos' Bu e!tensin est@ limitada "?sicamente a un edi"icio o a un entorno de
%asta 6;; metrosH su aplicacin m@s e!tendida es la intercone!in de
computadoras personales y estaciones de trabajo en o"icinas, "@bricas, etc', para
compartir recursos e intercambiar datos y aplicaciones'
LDAP FLig/t2eig/t Director% Access Protocol/Protocolo Ligero de Acceso a
DirectoriosG1 es un protocolo a ni&el de aplicacin que permite el acceso a un
ser&icio de directorio ordenado y distribuido, para buscar di&ersa in"ormacin en
un entorno de red' L=)P tambin es considerado una base de datos 2aunque su
sistema de almacenamiento puede ser di"erente7 a la que pueden reali#arse
consultas'
N
NA) FNet2orI Address )ranslation/)raduccin de Direccin de 6edG1 es un
mecanismo utili#ado por routers (P para intercambiar paquetes entre dos redes,
que se asi$nan mutuamente direcciones incompatibles' ,onsiste en con&ertir en
tiempo real las direcciones utili#adas en los paquetes transportados' ambin es
necesario editar los paquetes, para permitir la operacin de protocolos que
incluyen in"ormacin de direcciones dentro de la con&ersacin del protocolo'
Pgina 7. de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
N@)Q+. FNet2orI Qasic +n0ut/ut0ut .%stemG1 es una especi"icacin de
inter"a# para acceso a ser&icios de red, es decir, una capa de so"t<are desarrollado
para enla#ar un sistema operati&o de red con %ard<are espec?"ico'
Nombres de dominio1 son direcciones nemotcnicas o alias que identi"ican un
sitio de (nternet'
N.. FNet2orI .2itc/ing .ubs%stem>Bubsistema de ,onmutacin de Ded7: es
el componente que reali#a las "unciones de portar y administrar las
comunicaciones entre tel"onos m&iles y la Ded de ,onmutada de ele"on?a
Pblica 2PBN7 para una red GB/'
0enLDAP1 es una &ersin libre de L=)P que es un protocolo a ni&el de aplicacin

que soporta un ser&icio de directorio, se parece a una libreta de direcciones'
ApenL=)P se basa en el est@ndar de ser&icio de directorio (BA C'4;; y en su
protocolo =)P 2=irectory )ccess Protocol7' Be diseG para ser un protocolo simple y
e"iciente para acceder al directorio =)P, por eso lo de li$%t<ei$%t , implementa un
subconjunto de operaciones del C'4;;'
.+ F0en .ource +nitiativeG1 es una or$ani#acin dedicada a la promocin del
cdi$o abierto' +ue "undada en "ebrero de -885 por *ruce Perens y Eric B'
Daymond'
P
PAM FPluggable Aut/entication Modules/Mdulos enc/u,ables de
autenticacinG1 es un sistema de autenticacin que controla el acceso a DEL'
PP: FPost(,,ice Protocol/Protocolo de ,icina de CorreosG1 es un
protocolo que permite recuperar el correo desde una m@quina distinta a la que lo
recibe y que es el m@s utili#ado en las cone!iones %abituales por mdem o D=B( a
un pro&eedor 2ya sea mediante PPP o BL(P7'
Pgina 75 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
Protocolos Cri0togr4,icos1 tambin llamado protocolo cripto$r@"ico o protocolo
de ci"rado, es un protocolo abstracto o concreto que reali#a "unciones relacionadas
con la se$uridad, aplicando mtodos cripto$r@"icos'
PPP FPoint(to(0oint Protocol/Protocolo Punto a PuntoG1 permite establecer
una comunicacin a ni&el de enlace entre dos computadoras' Generalmente, se
utili#a para establecer la cone!in a (nternet de un particular con su pro&eedor de
acceso a tra&s de un mdem tele"nico' Acasionalmente tambin es utili#ado
sobre cone!iones de banda anc%a
PP)P FPoint to Point )unneling ProtocolG1 es un protocolo de red creado por
/icroso"t que permite la reali#acin de trans"erencias se$uras desde clientes
remotos a ser&idores empla#ados en redes pri&adas, empleando para ello tanto
l?neas tele"nicas conmutadas como (nternet'
Prox%1 %ace re"erencia a un pro$rama o dispositi&o que reali#a una accin en
representacin de otro' Bu "inalidad m@s %abitual es la de ser&idor pro!y, que sir&e
para permitir el acceso a (nternet a todos los equipos de una or$ani#acin cuando
slo se puede disponer de un nico equipo conectado, esto es, una nica direccin
(P'
6
6AD+U. F6emote Aut/entication Dial(+n User .erviceG1 es un protocolo de
autenticacin y autori#acin para aplicaciones de acceso a la red o mo&ilidad (P'
65C F6e7uest 5or Comments/Peticin de ComentariosG: son una serie de
notas sobre (nternet que comen#aron a publicarse en -8.8' ,ada una de ellas
indi&idualmente es un documento cuyo contenido es una propuesta o"icial para un
nue&o protocolo de la red (nternet 2ori$inalmente de )DP)NE7, que se e!plica con
todo detalle para que en caso de ser aceptado pueda ser implementado sin
ambi$]edades'
6.A1 el sistema cripto$r@"ico con cla&e pblica DB) es un al$oritmo asimtrico
Pgina 77 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
ci"rador de bloques, que utili#a una cla&e pblica, la cual se distribuye 2en "orma
autenticada pre"erentemente7, y otra pri&ada, la cual es $uardada en secreto por
su propietario'
.
.amba1 es una implementacin libre del protocolo de arc%i&os compartidos de
/icroso"t Windo<s, para sistemas de tipo UN(C' =e esta "orma, es posible que
ordenadores con GNU>Linu!, /ac AB C o Uni! en $eneral se &ean como ser&idores
o acten como clientes en redes de Windo<s' Bamba tambin permite &alidar
usuarios %aciendo de ,ontrolador Principal de =ominio 2P=,7, como miembro de
dominio e incluso como un dominio )cti&e =irectory para redes basadas en
Windo<sH aparte de ser capa# de ser&ir colas de impresin, directorios compartidos
y autenti"icar con su propio arc%i&o de usuarios'
.A.L 2.im0le Aut/entication and .ecurit% La%er/Ca0a de .eguridad %
Autenticacin .im0leG1 es un "rame<orF para autenticacin y autori#acin en
protocolos de internet' Bepara los mecanismos de autenticacin de los protocolos
de la aplicacin permitiendo, en teor?a, a cualquier protocolo de aplicacin que use
B)BL usar cualquier mecanismo de autenticacin soportado por B)BL'
.GML F.tandard Generali9ed MarIu0 Language / @st4ndar de Lenguaje de
Marcado Generali9adoG1 consiste en un sistema para la or$ani#acin y
etiquetado de documentos' El len$uaje BG/L sir&e para especi"icar las re$las de
etiquetado de documentos y no impone en s? nin$n conjunto de etiquetas en
especial'
.istema 0erativo1 es un so"t<are que administra y controla las acti&idades, y
recursos de la computadora' ,omprende todos aquellos paquetes que le permiten
al computador "uncionar como un conjunto de %erramientas e intrpretes de
comandos'
.M)P F.im0le Mail )rans,er Protocol/Protocolo .im0le de )rans,erencia de
CorreoG1 es un protocolo de la capa de aplicacin' Protocolo de red basado en
Pgina 78 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
te!to utili#ado para el intercambio de mensajes de correo electrnico entre
computadoras u otros dispositi&os 2P=)Ps, tel"onos m&iles, entre otros'7' Est@
de"inido en el D+, 656- y es un est@ndar o"icial de (nternet'
..L F.ecure .ocIets La%er/Protocolo de Ca0a de Conexin .eguraG1
proporciona autenticacin y pri&acidad de la in"ormacin entre e!tremos sobre
(nternet mediante el uso de cripto$r@"icos'
..L/)L. F.ecure .ocIets La%er/Protocolo de Ca0a de Conexin .egura %
)rans0ort La%er .ecurit%/.eguridad de la Ca0a de )rans0orteG1 son
protocolos cripto$r@"icos que proporcionan comunicaciones se$uras por una red,
comnmente (nternet'
.ubdominio1 es un sub$rupo o subclasi"icacin del nombre de dominio, el cual es
de"inido con "ines administrati&os u or$ani#ati&os, que podr?a considerarse como
un dominio de se$undo ni&el' Normalmente es una serie de caracteres o palabra
que se escriben antes del dominio' En (nternet se podr?a decir que el subdominio
se utili#a para re"erirse a una direccin <eb, que trabaja como un ane!o 2o sitio
relacionado7 de un dominio principal'
.A F.ervice riented Arc/itecture / Ar7uitectura rientada a .erviciosG1
es un so"t<are que administra y controla las acti&idades, y recursos de la
computadora' ,omprende todos aquellos paquetes que le permiten al computador
"uncionar como un conjunto de %erramientas e intrpretes de comandos'
.AP F.im0le bject Access ProtocolG1 es un protocolo est@ndar que de"ine
cmo dos objetos en di"erentes procesos pueden comunicarse por medio de
intercambio de datos C/L'
.APReader FCabeceras .APG1 es una clase especial de bajo ni&el para pasar
o de&ol&er cabeceras BA)P' Es simplemente un contenedor de datos y no tiene
mtodos especiales aparte de su constructor'
)
Pgina 78 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
)ACAC. F)erminal Access Controller Access Control .%stem/.istema de
Control de Acceso Mediante Control del Acceso desde )erminalesG1 es un
protocolo de autenticacin remota que se usa para comunicarse con un ser&idor de
autenticacin comnmente usado en redes Uni!' ),),B permite a un ser&idor de
acceso remoto comunicarse con un ser&idor de autenticacin para determinar si el
usuario tiene acceso a la red'
)CP/+P F)rans,er Control Protocol / +nternet ProtocolG1 conjunto de protocolos
de"inidos por catedr@ticos en el proyecto )DP)Net del =epartamento de =e"ensa
de Estados Unidos, para la red uni&ersitaria (nternet en los aGos setenta' Esta
"amilia de protocolos es un est@ndar para el intercambio de comunicaciones entre
computadores'
)LD F)o0 Level DomainG1 son los nombres en lo alto de la jerarqu?a de los =NB'
)parecen en los nombres de dominio, como WnetW en W<<<'e!ample'netW' Los
administradores del Wdominio de la ra?#W o W#ona de la ra?#W 2Wroot domainW or Wroot
#oneW7 controlan lo que los L=s sean reconocidos por los =NB' Los L=s
comnmente usados incluyen a 'com, 'net, 'edu, 'jp, 'de, etc'
).+G F)ransaction .+GnatureG1 usa lla&es o cla&es secretas compartidas y
$erminador de una sola &?a para pro&eer un si$ni"icado se$uro cripto$ra"icado,
para identi"icar cada punto "inal de una cone!in as? como el estar permitido a
%acer o responder a la actuali#acin =NB3
))L F)ime )o LiveG1 es el tiempo que un paquete permanece acti&o en una red'
Eay un numero L en cada %eader de paquete (P, y a medida que un paquete
pasa por cada router o enrutador, lo reduce por - este nmero' Bi el paquete lle$a
a ;, los routers o enrutadores no se$uir@n reen&iando el paquete'
)unneling1 tcnica que consiste en encapsular un protocolo de red sobre otro
2protocolo de red encapsulador7 creando un tnel dentro de una red de
computadoras'
U
Pgina 8$ de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e
UDP FUser Datagram ProtocolG1 es un protocolo del ni&el de transporte basado
en el intercambio de data$ramas' Permite el en&?o de data$ramas a tra&s de la
red, sin que se %aya establecido pre&iamente una cone!inH ya que el propio
data$rama incorpora su"iciente in"ormacin de direccionamiento en su cabecera'
UN+T1 es un sistema operati&o portable, multitarea y multiusuarioH desarrollado,
en principio, en -8.8 por un $rupo de empleados de los laboratorios *ell de )h'
C
CAM FCide Area Net2orIs/6ed de Urea Am0liaG1 es un tipo de red de
computadoras capa# de cubrir distancias desde unos -;;Fm %asta unos -;;; Fm,
dando el ser&icio a un pa?s o un continente'
T
TML F@xtensible MarIu0 Language / Lenguaje de Marcas Am0liableG1 es un
metalen$uaje e!tensible de etiquetas desarrollado por el Word Wide Web
,onsortium 2WK,7' ,onsiste en una simpli"icacin y adaptacin del BG/L y permite
de"inir la $ram@tica de len$uajes espec?"icos 2de la misma manera que E/L es a
su &e# un len$uaje de"inido por BG/L7' Por lo tanto, C/L no es realmente un
len$uaje en particular, sino una manera de de"inir len$uajes para di"erentes
necesidades'
T3<""1 es un conjunto de est@ndares de redes de computadoras de la (UI sobre
ser&icios de directorio, entendidos estos como bases de datos de direcciones
electrnicas 2o de otros tipos7' Los protocolos de"inidos por C'4;; incluyen,
protocolo de acceso al directorio 2=)P7, el protocolo de sistema de directorio, el
protocolo de ocultacin de in"ormacin de directorio, y el protocolo de $estin de
enlaces operati&os de directorio'
Pgina 81 de 81
/aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e

Manual - LDAP - Integracion de Servicios en Red PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual - LDAP - Integracion de Servicios en Red PDF

Cargado por

Copyright:

Formatos disponibles

Manual de integracin

de servicios LDAP bajo

0enLDAP1 es una &ersin libre de L=)P que es un protocolo a ni&el de aplicacin

También podría gustarte