Canaima GNU/Linux Caracas, ctubre de !""# Cr$ditos % licencia & !""'(!""# Centro Nacional de )ecnolog*as de +n,ormacin & !""'(!""# NU-A +ntegracin de .istemas Este documento se distribuye al pblico como documentacin y conocimiento libre bajo los trminos de la Licencia Pblica General GNU, que puede obtener en la direccin Web: /tt01//2223gnu3org/co0%le,t/g0l3/tml Convenciones ti0ogr4,icas e!to en"ati#ado, an$licismos, texto resaltado, comandos, salidas, paquetes o contenido de arc%i&os' (ndica in"ormacin muy importante con respecto al contenido (ndica comandos, salidas en pantalla o contenido de arc%i&os (ndica los pasos de un procedimiento Pgina 2 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Contenido Crditos y licencia.......................................................................................................................2 Convenciones tipogrficas..........................................................................................................2 Unidad I: Protocolo de acceso ligero a directorios.....................................................................7 Tema 1: ervicio de directorio................................................................................................7 Protocolos !tili"ados en !n servicio directorio ..................................................................8 Informaci#n contenida en !n servicio de directorio .........................................................1$ Tema 2: %as &ases de %'(P ................................................................................................11 Protocolo de aplicaci#n TCP)IP: %'(P ............................................................................11 *odelos %'(P..................................................................................................................11 *odelo de Informaci#n.....................................................................................................12 *odelo de nomenclat!ra..................................................................................................12 *odelo f!ncional..............................................................................................................1+ *odelo de seg!ridad........................................................................................................1, -epresentaci#n de la informaci#n en !n directorio &asado en %'(P ............................1. (tri&!tos %'(P ............................................................................................................1. /&0etos %'(P...............................................................................................................1. (cceso y referenciaci#n de la informaci#n contenida en el directorio ............................17 (r1!itect!ra de Cliente)ervidor ..........................................................................................17 2s1!emas de !n directorio: metadatos ...............................................................................17 Unidad II: %'(P versi#n + ........................................................................................................21 %a versi#n + de %'(P ..........................................................................................................21 Tema 1: alg!nas diferencias con s! predecesor 3 %'(Pv2 ................................................2, 'iferencias entre %'(P v2 y v+ .......................................................................................2, Tema 2: 4ormato de intercam&io de informaci#n %'(P 3 %'I4 2n este apartado se mostrar como agregar !n !s!ario al %'(P !tili"ando para ello los %'I4. ( contin!aci#n se mostrar c!al es la estr!ct!ra de los %'I4. ..................................2. (gregar los contenidos de los ldif.........................................................................................2. 4ormato para n!evas entradas .......................................................................................25 (gregar !s!arios .........................................................................................................25 4ormato para modificaciones ..........................................................................................27 (gregar atri&!tos..........................................................................................................27 *odificar !n atri&!to.....................................................................................................28 4ormato para eliminaciones ...........................................................................................28 2liminar !n !s!ario...........................................................................................................28 Para eliminar !n atri&!to e de&e crear !n ldif como el 1!e se m!estra a contin!aci#n6 el nom&re del arc7ivo ldif es del.ldif ................................................................................................................28 (!tenticaci#n en %'(P ........................................................................................................28 (!tenticaci#n de clientes en %'(P .................................................................................28 (!tenticaci#n an#nima.....................................................................................................+1 (!tenticaci#n simple 9seg!ra y no seg!ra: .....................................................................+1 Pgina + de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Tema +: 'istri&!ci#n de directorios .....................................................................................+2 'istri&!ci#n de directorios ...............................................................................................+2 Unidad III: ervicio de directorio /pen%'(P............................................................................+, Cone;iones eg!ras ...........................................................................................................+, 2l servidor slapd ..................................................................................................................+5 slapd ................................................................................................................................+5 Tema 1: Implementaci#n de !n servicio de directorio /pen%'(P en Canaima <=U)%in!; ..............................................................................................................................................+8 Instalaci#n del servidor.....................................................................................................+8 2lementos de config!raci#n.............................................................................................+8 Tema 2: Control de acceso al directorio a travs de listas de control de acceso 9(C%s: ...,$ Control de acceso al directorio a travs de listas de control de acceso .........................,$ 2str!ct!ra general de !na (C% .......................................................................................,$ Usos com!nes de las (C%s ............................................................................................,1 Tema +: Po&lando el directorio /pen%'(P .........................................................................,+ 'efinici#n de la estr!ct!ra inicial del directorio................................................................,+ Incorporaci#n de entradas iniciales..................................................................................,+ *odificando la informaci#n e;istente...............................................................................,. Tra&a0ando con las contrase>as......................................................................................,7 ?erificando el contenido del directorio .............................................................................,8 Unidad I?: Integraci#n con los servicios de directorio %'(P ...................................................,8 Tema 1: Integraci#n con el sistema operativo .....................................................................,8 *apeo de c!entas de !s!ario y gr!pos locales...............................................................,8 -esol!ci#n de nom&re 3 =..........................................................................................,8 Config!raci#n de &ases de datos de &@s1!eda...........................................................$ Config!raci#n del mod!lo %'(P...................................................................................$ (!tenticaci#n de !s!arios 3 *#d!los de a!tenticaci#n apila&les 3 P(*.........................1 Config!raci#n de reglas de a!tenticaci#n.....................................................................1 Config!raci#n de mod!lo %'(P....................................................................................2 Tema 2: Integraci#n con controladores de dominio am&a .................................................+ 2s1!emas adicionales.......................................................................................................+ *apeo de c!entas de !s!ario y gr!pos ..........................................................................., Tema +: Integraci#n con servicios de red .............................................................................5 Pro;y %'(P ......................................................................................................................5 Unidad ?: (dministraci#n avan"ada de directorios /pen%'(P ...............................................7 Tema 1: Cone;iones seg!ras al directorio A %)T% ..........................................................7 Tema 2: 2;istencia de ms de !na copia .............................................................................8 2;istencia de ms de !na copia 9sl!rpd:..........................................................................8 'ecidiendo el mecanismo de replicaci#n.........................................................................5$ 2;istencia de ms de !na copia 9syncrepl:......................................................................51 Tema +: Particionando el directorio......................................................................................5+ 'efinici#n de la referencia Inferior....................................................................................5+ Pgina , de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e 'efinici#n de la referencia s!perior..................................................................................5. (ne;os..................................................................................................................................55 20ercicio Prop!esto =B1...................................................................................................55 Pgina . de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e 5ic/a Descri0tiva Curso L=)P con inte$raciones en ,anaima GNU>Linu!' Modalidad ) distancia' Duracin 5 semanas Dirigido a Pblico y comunidad en $eneral, as? como personal docente, tcnico y estudiantil de ,ole$ios Uni&ersitarios y Politcnicos' 6e7uisitos 0revios Nociones b@sicas en el manejo de: Permisos y ),L PAB(C' Dedes en GNU>Linu!' Gestin de usuarios y permisos bajo Linu!' /anejo de ser&icios Bys1' Gestin de procesos PAB(C' /anejo de Linu! bajo ,L(' Eerramientas de pa$inacin y &isuali#acin de te!to' /anejo del sistema de paquetes )P' bjetivo del curso Emplear las estrate$ias necesarias para la puesta en operacin del ser&icio L=)P en el proceso de mi$racin a so"t<are libre' Pgina 5 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Unidad +1 Protocolo de acceso ligero a directorios )ema 81 .ervicio de directorio Un ser&icio de directorio es una aplicacin o un conjunto de aplicaciones que almacena y or$ani#a la in"ormacin de los usuarios de una red de computadores, permitiendo a los administradores $estionar el acceso de usuarios a los recursos sobre dic%a red' )dem@s, los ser&icios de directorio actan como una capa de abstraccin entre los usuarios y los recursos compartidos' Los directorios tienden a contener in"ormacin descripti&a basada en atributos y tienen capacidades de "iltrado muy so"isticada' Los directorios $eneralmente no soportan transacciones complicadas ni esquemas de &uelta atr@s 2roll bacF7 como los que se encuentran en los sistemas de bases de datos diseGados para manejar $randes y complejos &olmenes de actuali#aciones' Las actuali#aciones de los directorios son normalmente cambios simples' Un ser&icio de directorio no deber?a con"undirse con el repositorio de directorio, que es la base de datos, esta es la que contiene la in"ormacin sobre los objetos nombrados, $estionado por el ser&icio de directorio' El ser&icio de directorio proporciona la inter"a# de acceso a los datos que se contienen en unos o m@s espacios de nombre de directorio' La inter"a# del ser&icio de directorio es la encar$ada de $estionar la autenticacin de los accesos al ser&icio de "orma se$ura, actuando como autoridad central para el acceso a los recursos de sistema que manejan los datos del directorio' ,omo base de datos, un ser&icio de directorio est@ altamente optimi#ado para lecturas y proporciona alternati&as a&an#adas de bsqueda en los di"erentes atributos que se puedan asociar a los objetos de un directorio' Los datos que se almacenan en el directorio son de"inidos por un esquema e!tensible y modi"icable' Los ser&icios de directorio utili#an un modelo distribuido para almacenar su in"ormacin y esa in"ormacin Pgina 7 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e $eneralmente est@ replicada entre los ser&idores que "orman el directorio' Los directorios est@n a"inados para dar una r@pida respuesta a $randes &olmenes de bsquedas' Estos tienen la capacidad de replicar la in"ormacin para incrementar la disponibilidad y la "iabilidad, al tiempo que reducen los tiempos de respuesta' ,uando la in"ormacin de un directorio se replica, se pueden producir inconsistencias temporales entre las rplicas mientras esta se est@ sincroni#ando' Eay muc%as "ormas di"erentes de pro&eer un ser&icio de directorio' =i"erentes mtodos permiten almacenar distintos tipos de in"ormacin en el directorio, tener distintos requisitos sobre cmo la in"ormacin %a de ser re"erenciada, consultada y actuali#ada, cmo es prote$ida de los accesos no autori#ados, etc' )l$unos ser&icios de directorio son locales, es decir, pro&een el ser&icio a un conte!to restrin$ido 2como por ejemplo, el ser&icio "in$er en una nica m@quina7' Atros ser&icios son $lobales y pro&een ser&icio a un conte!to muc%o m@s amplio 2como por ejemplo, (nternet7' Los ser&icios $lobales normalmente son distribuidos, esto si$ni"ica que los datos est@n repartidos a lo lar$o de distintos equipos, los cuales cooperan para dar el ser&icio de directorio' ?picamente, un ser&icio $lobal de"ine un espacio de nombres uni"orme que da la misma &isin de los datos, independientemente de donde se est, en relacin a los propios datos' =NB - es un ejemplo de un sistema de directorio $lobalmente distribuido' Protocolos utili9ados en un servicio directorio C'4;; es un conjunto de est@ndares de redes de computadores de la (U 2Unin (nternacional de elecomunicaciones7 sobre ser&icios de directorio, entendidos estos como bases de datos de direcciones electrnicas 2o de otros tipos7' El est@ndar se desarroll conjuntamente con la (BA como parte del modelo de intercone!in de sistemas abiertos, para usarlo como soporte del correo electrnico C':;;' 1 ervicio de nom&res de dominio6 por s!s siglas en ingls Pgina 8 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Los protocolos de"inidos por C'4;; incluyen: Protocolo de acceso al directorio 2=)P7 Protocolo de sistema de directorio Protocolo de ocultacin de in"ormacin de directorio Protocolo de $estin de enlaces operati&os de directorio' =entro de la serie C'4;;, la especi"icacin que %a resultado ser la m@s di"undida no trata de protocolos de directorio, sino de certi"icados de cla&e pblica C'4;8' El protocolo L=)P "ue creado como una &ersin li&iana de C'4;; y termin por reempla#arlo' Por esta ra#n al$unos de los conceptos y est@ndares que utili#a L=)P pro&ienen de la serie de protocolos C'4;;' cnicamente, L=)P es un protocolo de acceso a directorio para el ser&icio de directorio C'4;;, del ser&icio de directorio de AB(' (nicialmente, los cliente L=)P acced?an a tra&s de puertas de enlace al ser&icio de directorio C'4;;' Esta puerta de enlace ejecutaba L=)P entre el cliente y la puerta de enlace, y el Protocolo C'4;; de )cceso al =irectorio 2=)P7 entre la puerta de enlace y el ser&idor C'4;;' =)P es un protocolo e!tremadamente pesado que opera sobre una pila protocolar AB( completa y requiere una cantidad si$ni"icati&a de recursos computacionales' L=)P est@ diseGado para operar sobre ,P>(P proporcionando una "uncionalidad similar a la de =)P, pero con un costo muc%?simo menor' )unque L=)P se utili#a toda&?a para acceder al ser&icio de directorio C'4;; a tra&s de puertas de enlace, %oy en d?a es m@s comn implementar L=)P directamente en los ser&idores C'4;;' El demonio autnomo de L=)P, o BL)P=, puede ser &isto como un ser&idor de directorio C'4;; li$ero' Es decir, no implementa el =)P C'4;;, sino un subconjunto de modelos de C'4;;' Pgina 8 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Es posible replicar datos desde un ser&idor de directorio L=)P %acia un ser&idor =)P C'4;;' Esta operacin requiere una puerta de enlace L=)P>=)P' ApenL=)P no suministra dic%a puerta de enlace, pero el demonio de replicacin que posee puede ser usado para la replicacin, como si de una puerta de enlace se tratase' +n,ormacin contenida en un servicio de directorio En principio en un ser&icio de directorio se puede almacenar cualquier tipo de in"ormacin' ,omo por ejemplo, nombre, direccin de %abitacin, nombre de la mascota, msica pre"erida, bebida "a&orita, etc' Bin embar$o, la in"ormacin que se almacena es aquella que permita or$ani#ar de manera jer@rquica todos los usuarios de la red' Estructurar la in"ormacin de los usuarios de la red es de utilidad a la %ora de restrin$ir el acceso a los ser&icios y recursos de la redH Permitiendo $estionar con mayor "acilidad la red' Pgina 1$ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema !1 Las bases de LDAP Protocolo de a0licacin )CP/+P1 LDAP Las iniciales L=)P en in$ls si$ni"ican Lig/t2eig/t Director% Access Protocol traducido al espaGol su si$ni"icado es: Protocolo li$ero para acceder al ser&icio de directorio, esta implementacin se basa en el est@ndar C'4;;, el cual es un conjunto de est@ndares de redes de computadoras de la (UI sobre el ser&icio de directorios' L=)P se ejecuta sobre ,P>(P o sobre otros ser&icios de trans"erencia orientado a cone!inH que permite el acceso a la data de un directorio ordenado y distribuido para buscar in"ormacin' Eabitualmente se almacena in"ormacin de los usuarios que con"orman una red de computadores, como por ejemplo el nombre de usuario, contraseGa, directorio %o$ar, etc' Es posible almacenar otro tipo de in"ormacin tal como, bebida pre"erida, nmero de tel"ono celular, "ec%a de cumpleaGos, etc' En conclusin, L=)P es un protocolo de acceso uni"icado a un conjunto de in"ormacin sobre los usuarios de una red de computadores' Modelos LDAP ,omo todos los protocolos basados en est@ndares abiertos, L=)P apunta a ser un protocolo -;;J interoperable entre implementaciones de distintos pro&eedores' Por esta ra#n, L=)P de"ine cuatro 2:7 modelos de in"ormacin que describen la operacin del protocolo: in"ormacin, nomenclatura, "uncional y de se$uridad' En este cap?tulo describiremos estos modelos y su rele&ancia para la correcta implementacin de un ser&icio de directorios L=)P' Pgina 11 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Modelo de +n,ormacin El modelo de in"ormacin de L=)P describe las unidades de in"ormacin que se almacenan en el directorio' Blo %ay dos tipos de unidades de in"ormacin que se almacenan en un directorio L=)P: 83De$istros 6 !3ipos de datos de re$istros Un re$istro es muy similar a la estructura de datos que lle&a el mismo nombre' En L=)P, los re$istros son estructuras de correspondencia cla&eI&alor que se someten a las re$las de"inidas por los tipos de datos de los re$istros' Por ejemplo, en un re$istro pueden %aber entradas repetibles, entradas obli$atorias, entradas que deben con"ormar con cierta sinta!is, entre otras' La de"inicin de "orma de los re$istros y sus tipos de datos se reali#a en estructuras denominadas esquemas' Estos esquemas, as? como los re$istros, se representan en un "ormato est@ndar de te!to plano denominado L=(+ K ' Este est@ndar, as? como la adecuada representacin de los modelos descritos en este cap?tulo, "acilita la interoperatibilidad entre directorios L=)P' Modelo de nomenclatura El modelo de nomenclatura especi"ica como se or$ani#a la in"ormacin dentro del directorio, y como un cliente puede %acer re"erencia a esta in"ormacin, por ejemplo, para recuperar un re$istro' La jerarqu?a de nomenclatura del protocolo L=)P es similar a la de los ser&icios 2 Entries6 en ingls + Formato de intercambio de datos LDAP6 por s!s siglas en ingls Pgina 12 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e =NB, por lo que %an sido considerados como protocolos y tecnolo$?as similares que pueden ser inte$radas en ciertos casos para "a&orecer la inte$racin de ser&icios y su rendimiento' *ajo este modelo de nomenclatura buscamos poder %acer re"erencia un?&ocamente a un elemento del directorio, por lo que debemos ase$urarnos de que el modelo de nomenclatura a esco$er no admita &alores repetidos' =entro del modelo de nomenclatura L=)P es posible identi"icar los si$uientes elementos: 83=ominio 2domain7: es el nombre del dominio L=)P que se est@ sir&iendo, por ejemplo, cnti'$ob'&e !3,omponente de dominio 2domain component, o =,7: son las porciones del dominio que corresponden a los ni&eles =NB, por ejemplo: =,Lcnti,=,L$ob,=,L&e )s? es que, por ejemplo, si utili#amos el atributo uid para identi"icar un?&ocamente elementos en un directorio L=)P, el modelo de nomenclatura admitir?a una re"erencia del tipo: uidLjose,dcLcnti,dcL$ob,dcL&e Modelo ,uncional El modelo "uncional de L=)P determina las operaciones que un cliente puede reali#ar sobre el directorio' Entendiendo que se trata de un ser&icio de directorio y lue$o de %aber repasado en este manual las e!pectati&as "uncionales de un directorio L=)P, podemos con"irmar que las "unciones se a$rupan en cuatro 2:7 $randes $rupos: 83Aperaciones de bsqueda 2query7 !3Aperaciones de actuali#acin 2update7 :3Aperaciones de autenticacin 2aut%entication7 Pgina 1+ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e ;3Aperaciones de control 2control7 La &asta mayor?a de los directorios "ormales L=)P que son compatibles con los est@ndares cubren di&ersas e!pectati&as en cada uno de estos $rupos, como por ejemplo %acer bsquedas por apro!imacin o comparacin )B,((, aGadir, eliminar, renombrar y modi"icar entradas y autenticar usuarios' Modelo de seguridad +inalmente, el modelo de se$uridad de L=)P de"ine de qu "ormas se puede controlar el acceso no autori#ado a los contenidos del directorio' )s? mismo, de"ine los mecanismos de autenticacin, por ejemplo: 83,ontraseGas en te!to plano !3,ontraseGas ci"radas :3B)BL : )s? mismo, en esta capa se o"rece ci"rado de la cone!in utili#ando LB 4 y BBL . , dos protocolos de amplio uso para este propsito' En la mayor?a de las implementaciones de L=)P, se puede prote$er el acceso a los contenidos del directorio utili#ando ),Ls 9 , en las que se de"ine qu usuarios o $rupos pueden reali#ar qu operaciones sobre qu porciones del directorio L=)P' Bin embar$o, el modelo de se$uridad no de"ine el detalle del control de acceso y es dependiente de la aplicacin' , Capa de seguridad y autenticacin simple6 por s!s siglas en ingls . Seguridad en la capa de transporte6 por s!s siglas en ingls. 5 Protocolo de capa de conexin segura6 por s!s siglas en ingls. 7 Listas de control de acceso6 por s!s siglas en ingls. Pgina 1, de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e 6e0resentacin de la in,ormacin en un directorio basado en LDAP Atributos LDAP )l utili#ar L=)P se puede consolidar in"ormacin para toda una or$ani#acin dentro de un repositorio central' Por ejemplo, en &e# de administrar listas de usuarios para cada $rupo dentro de una or$ani#acin, puede usar L=)P como directorio central, accesible desde cualquier parte de la red' Puesto que L=)P soporta LB y BBL, los datos con"idenciales se pueden prote$er de los curiosos' L=)P tambin soporta un nmero de bases de datos 2bacFends7 en las que se almacena la in"ormacin' Esto permite que los administradores ten$an la "le!ibilidad para desple$ar la base de datos m@s indicada, para el tipo de in"ormacin' L=)P tiene )P(s 5
bien de"inidas, e!iste un nmero de aplicaciones acreditadas para L=)P, estas est@n aumentando en cantidad y calidad, las %ay en distintos len$uajes de pro$ramacin, tales como ,, ,33, Ma&a, Perl, PEP, entre otros' bjetos LDAP ,omo se e!plic anteriormente, los objetos, entradas o re$istros de un directorio L=)P se representan en el "ormato L=(+' Este es un "ormato basado en te!to en el que se &isuali#a la estructura de datos 2cla&eI&alor7 y los datos en s? de la estructura' Usualmente un re$istro de un directorio L=)P pertenece a una o m@s clases, denominadas objectClasses' Estas clases de"inen qu atributos puede o no puede tener el re$istro, como se &er@ m@s adelante en el cap?tulo de /etadatos' ) continuacin re&isaremos un ejemplo del objeto L=)P uidLjose,dcLcnti,dcL$ob,dcL&e en "ormato L=(+: 8 Interfaces de programacin de aplicaciones6 por s!s siglas en ingls Pgina 1. de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e dn: uidLjose,dcLcnti,dcL$ob,dcL&e object,lass: posi!)ccount uid: jose lo$inB%ell: >bin>bas% uidNumber: -;;;8 userPass<ord:: e;-ENC;;N=E:Nj/y/W/!Odm/GO#NDi/jFKN$4/D%Oj( ;/)oL $idNumber: -;;;; %ome=irectory: >%ome>jose En este objeto apreciamos distintos componentes que es importante tener en cuenta: 83Nombre distintivo 2distin$uis%ed name, =N7: es la ubicacin un?&oca del re$istro de acuerdo al modelo de nomenclatura !3+D de usuario 2user (=, U(=7: identi"icador PAB(C del usuario :3Consola de inicio de sesin 2lo$in s%ell7: consola a utili#ar para el inicio de sesin del usuario ;3+D num$rico del usuario 2user (= number, uidNumber7: identi"icador numrico del usuario <3Contrase=a del usuario 2userPass<ord7: ten$a en cuenta aqu? que %ay doble s?mbolo de dos puntos 2::7 entre la cla&e 2userPass<ord7 y el &alor, lo que si$ni"ica que el &alor est@ codi"icado bajo el sistema de base .:, lo cual se utili#a "recuentemente para reducir problemas de codi"icacin de caracteres, pero no es un al$oritmo de ci"rado >3+D num$rico del gru0o 2$roup (= number, $idNumber7: identi"icador numrico del $rupo principal del usuario ?3Car0eta 0ersonal del usuario 2%ome directory, %ome=irectory7: carpeta personal del per"il del usuario Pgina 15 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Acceso % re,erenciacin de la in,ormacin contenida en el directorio L=)P de"ine operaciones para interro$ar y actuali#ar el directorio' Pro&ee operaciones para aGadir, modi"icar y eliminar entradas del mismo' La mayor parte del tiempo, L=)P se utili#a para buscar in"ormacin almacenada en el directorio' Las operaciones de bsqueda de L=)P permiten encontrar entradas que concuerdan con al$n criterio especi"icado dado por un "iltro de bsqueda' La in"ormacin puede ser solicitada desde cada entrada que concuerda con dic%o criterio' Una entrada es re"erenciada por su nombre distinti&o, que es construido por el nombre de la propia entrada llamado Nombre 6elativo Distinguido 2D=N7 y la concatenacin de los nombres de las entradas que le anteceden' Por ejemplo, la entrada para luis en el ejemplo del nombramiento de (nternet anterior tiene el si$uiente D=N: uidLluis y su =N ser?a: uidLluis,ouLpeople,dcLucla,dcLedu,dcL&e' =e est@ manera se puede acceder a toda la in"ormacin que se almacenada en el directorio L=)P' Ar7uitectura de Cliente/.ervidor El ser&icio de directorio de L=)P est@ basado en el modelo cliente>ser&idor' Uno o m@s ser&idores L=)P contienen los datos que con"orman el =( 8 ' El cliente se conecta a los ser&idores y les "ormula pre$untas' Los ser&idores responden con una respuesta o con un puntero donde el cliente puede obtener in"ormacin adicional 2normalmente otro ser&idor L=)P7' No importa a que ser&idor L=)P se conecte un cliente, este siempre obtendr@ la misma &isin del directorioH un nombre presentado por un ser&idor L=)P re"erencia la misma entrada que cualquier otro ser&idor L=)P' Esta es una caracter?stica muy importante del ser&icio $lobal de directorio, como L=)P' @s7uemas de un directorio1 metadatos Eemos &enido estudiando cmo un directorio L=)P contiene in"ormacin y la 8 rbol de informacin del directorio6 por s!s siglas en ingls. Pgina 17 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e estructura y consideraciones de sta in"ormacin' Bin embar$o, en el cap?tulo del modelo de in"ormacin de L=)P conocimos que un directorio L=)P no slo administra datos sino tambin in"ormacin sobre el tipo de datos, esquemas y re$las para estos datos' Esto lo denominamos metadatos y en este tema trataremos sobre ellos' ,uando instalamos un directorio L=)P de cualquier pro&eedor, por ejemplo ApenL=)P, podemos empe#ar a a$re$ar datos en l' Por ejemplo, podemos a$re$ar el re$istro uidLjose,dcLcnti,dcL$ob,dcL&e que &imos en cap?tulos anteriores' Esto es posible porque los distribuidores de ApenL=)P se %an tomado el trabajo de incluir al$unos metadatos, espec?"icamente esquemas, que de"inen al$unos atributos y re$las b@sicas y normalmente aceptadas, sobre todo en entornos PAB(C' Por ejemplo, en ,anaima GNU>Linu! un directorio ApenL=)P incluye los si$uientes esquemas: 83>etc>ldap>sc%ema>collecti&e'sc%ema !3>etc>ldap>sc%ema>corba'sc%ema :3>etc>ldap>sc%ema>core'ldi" ;3>etc>ldap>sc%ema>core'sc%ema <3>etc>ldap>sc%ema>cosine'ldi" >3>etc>ldap>sc%ema>cosine'sc%ema ?3>etc>ldap>sc%ema>duacon"'sc%ema '3>etc>ldap>sc%ema>dyn$roup'sc%ema #3>etc>ldap>sc%ema>inetor$person'ldi" 8"3>etc>ldap>sc%ema>inetor$person'sc%ema 883>etc>ldap>sc%ema>ja&a'sc%ema 8!3>etc>ldap>sc%ema>misc'sc%ema 8:3>etc>ldap>sc%ema>nad"'sc%ema 8;3>etc>ldap>sc%ema>nis'ldi" 8<3>etc>ldap>sc%ema>nis'sc%ema 8>3>etc>ldap>sc%ema>openldap'ldi" Pgina 18 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e 8?3>etc>ldap>sc%ema>openldap'sc%ema 8'3>etc>ldap>sc%ema>ppolicy'sc%ema Estudiemos a%ora el contenido de un esquema comn, por ejemplo nis'sc%ema' =entro de este esquema tenemos la de"inicin de un object,lass, posi!)ccount: objectclass 2 -'K'.'-'-'-'6'; N)/E Pposi!)ccountP =EB, P)bstraction o" an account <it% PAB(C attributesP BUP top )UC(L()DO /UB 2 cn Q uid Q uidNumber Q $idNumber Q %ome=irectory 7 /)O 2 userPass<ord Q lo$inB%ell Q $ecos Q description 7 7 En esta de"inicin encontramos los si$uientes elementos de inters: 83-'K'.'-'-'-'6'; es el identi"icador de objeto, este es un nmero asi$nado por la )utoridad de )si$nacin de Nmeros de (nternet y describe al objeto un?&ocamente a ni&el uni&ersal !3posi!)ccount es el nombre de la clase de objetos :3=EB, indica una descripcin en modo te!to de la clase de objetos y el cliente L=)P puede &isuali#ar esta descripcin ;3BUP top )UC(L()DO indica que esta clase de objetos tiene una clase de objetos maestra llamada top <3Los atributos cn, uid, uidNumber, $idNumber y %ome=irectory de"inidos en la l?nea /UB son atributos A*L(G)AD(AB de esta clase de objetos' Bi no est@n presentes en el re$istro, el directorio L=)P rec%a#ar@ las operaciones sobre estos re$istros >3Los atributos userPass<ord, lo$inB%ell, $ecos y description de"inidos en la l?nea /)O son atributos AP,(AN)LEB de esta clase de objetos' Lo que esto indica es que un re$istro que slo est en la clase de objetos posi!)ccount slo puede contener atributos listados en esta de"inicin )%ora bien, Rcu@les son las re$las para atributos como uid y %ome=irectory que se Pgina 18 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e de"inen aqu?S =entro del mismo sc%ema, nis'sc%ema, podemos conse$uir esta in"ormacin: attributetype 2 -'K'.'-'-'-'-'K N)/E P%ome=irectoryP =EB, P%e absolute pat% to t%e %ome directoryP ETU)L(O caseE!act()4/atc% BON)C -'K'.'-':'-'-:..'--4'-6-'-'6. B(NGLEI1)LUE 7 )qu? &emos el A(= para el atributo %ome=irectory, su descripcin y dos re$las de inters: 83ETU)L(O indica que una operacin de bsqueda sobre este atributo utili#ar@ la re$la caseE!act()4/atc% -; !3BON)C indica que slo se admite un &alor 2B(NGLEI1)LUE7 de acuerdo a la sint@!is -'K'.'-':''' que se denomina ()4 Btrin$ -- Es posible crear nue&os atributos y nue&as clases de objetos con tan slo solicitar a la ()N) un pre"ijo de identi"icadores de objetos y de"inir las re$las de sint@!is y bsqueda' 1$ 7ttp:))rfcAref.org)-4CAT2CT)2+$7)DEAcasee;actia.matc7.7tml 11 7ttp:))EEE.alvestrand.no)o&0ectid)1.+.5.1.,.1.1,55.11..121.1.25.7tml Pgina 2$ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Unidad ++1 LDAP versin : La versin : de LDAP Boporta L=)P sobre (P&:, (P&. y Uni! (P, iene soporte de autenti"icacin "uerte $racias al uso de B)BL' La implementacin B)BL de BL)P= %ace uso del so"t<are ,yrus B)BL, el cual soporta un $ran nmero de mecanismos de autenti"icacin, como: =(GEBI/=4, ECEDN)L, y GBB)P(' Pro&ee protecciones de pri&acidad e inte$ridad $racias al uso de LB o BBL' La implementacin LB de BL)P= %ace uso del so"t<are ApenBBL Puede ser con"i$urado para restrin$ir el acceso a la capa de socFet bas@ndose en la in"ormacin topol$ica de la red' Esta caracter?stica %ace uso de los ,P <rappers 2Eerramienta simple que sir&e para monitorear y controlar el tr@"ico que lle$a por la red7 Pro&ee "acilidades de control de acceso muy potentes, permitindole controlar el acceso a la in"ormacin de su2s7 base2s7 de datos' Puede controlar el acceso a las entradas bas@ndose en la in"ormacin de autori#acin de L=)P, en la direccin (P, en los nombres de dominio y otros criterios' BL)P= soporta tanto el control de acceso a la in"ormacin din@mico como est@tico' Boporta Unicode y etiquetas de len$uaje' 1iene con una serie de bacFends para di"erentes bases de datos' Estos incluyen =*=, un bacFend de una base de datos transaccional de alto rendimientoH L=*/, un bacFend li$ero basado en =*/H BEELL, una inter"ace para scripts de s%ellH y P)BBW=, un bacFend simple para el arc%i&o pass<d' El bacFend *=* %ace uso de Bleepcat *erFeley =*' L=*/ utili#a cualquiera de las si$uientes: *erFeley =* o G=*/ Be puede con"i$urar para ser&ir a mltiples bases de datos al mismo tiempo' Esto si$ni"ica que un nico ser&idor BL)P= puede responder a peticiones de di"erentes porciones l$icas del @rbol de L=)P, %aciendo uso del mismo o distintos bacFends de bases de datos' Pgina 21 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Bi necesita m@s personali#acin, BL)P= le permite escribir sus propios mdulos "@cilmente' BL)P= consiste en dos partes di"erentes: un "rontend que maneja las comunicaciones protocolares con los clientes L=)PH y mdulos que manejan tareas espec?"icas como las operaciones con las bases de datos' =ebido a que estas dos pie#as se comunican a tra&s de una )P( bien de"inida, puede escribir sus propios mdulos, que e!tender@n BL)P= de mltiples maneras' ambin e!isten numerosos mdulos pro$ramables de bases de datos' Estos permiten a BL)=P acceder a "uentes de datos e!ternos %aciendo uso de len$uajes de pro$ramacin populares 2Perl, s%ell, BTL y ,L7 Eace uso de %ilos para obtener alto rendimiento' Un proceso nico multi%ilo maneja todas las peticiones entrantes %aciendo uso de una piscina de %ilos' Esto reduce la car$a del sistema a la &e# que pro&ee alto rendimiento' Be puede con"i$urar para que manten$a copias de la in"ormacin del directorio' Este esquema de replicacin, un nico maestro>mltiples escla&os, es &ital en ambientes con un &olumen alto de peticiones, donde un nico ser&idor BL)P= no podr?a pro&eer la disponibilidad ni la con"iabilidad necesarias' BL)P= incluye tambin un soporte e!perimental para la replicacin de mltiples maestros' BL)P= soporta dos mtodos de replicacin: Bync L=)P y BLUDP 2ser&idor de replicacin L=)P7' Puede ser con"i$urado como un ser&icio pro!y de cac% L=)P' Es altamente con"i$urable a tra&s de un nico arc%i&o de con"i$uracin, que permite modi"icar todo aquello que se necesite cambiar' Las opciones por omisin son ra#onables, lo que "acilita muc%o el trabajo' B)BL UBimple )ut%entication and Becurity LayerV 2capa de se$uridad y autenticacin simple7' Es un "rame<orF para manejar la autenticacin y autori#acin en protocolos de (nternet' Este separa los mecanismos de autenticacin de los protocolos de la aplicacin' ,omo B)BL slo se maneja la autenticacin se requieren otros mecanismos como por ejemplo LB para ci"rar el contenido que se trans"iere' Los protocolos de"inen su representacin de intercambios B)BL con un per"il' Un Pgina 22 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e protocolo tiene un nombre de ser&icio como WL=)PW en un re$istro compartido con GBB)P( 2Generic Becurity Ber&ices )pplication Pro$rammin$ (nter"ace7 y XED*EDAB' Entre los protocolos que a%ora mismo usan B)BL se incluyen (/)P, L=)P, PAPK, B/P y C/PP' Pgina 2+ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema 81 algunas di,erencias con su 0redecesor A LDAPv! Di,erencias entre LDAP v! % v: L=)P&K "ue desarrollado en los aGos 8; para reempla#ar a L=)P&6' L=)P&K incorpora las si$uientes caracter?sticas a L=)P: )utenti"icacin "uerte %aciendo uso de B)BL 2Bimple )ut%entication and Becurity Layer7 Proteccin de inte$ridad y con"idencialidad %aciendo uso de LB 2BBL7, ransport Layer Becurity 2Becure BocFets Layer7 (nternacionali#acin $racias al uso de Unicode Demisiones y continuaciones =escubrimiento de esquemas E!tensibilidad 2controles, operaciones e!tendidas y m@s7 ,omo L=)P&6 di"iere si$ni"icati&amente de L=)P&K, la interaccin entre ambas &ersiones puede ser un poco problem@tica' Es recomendable no utili#ar la &ersin de L=)P&6, por lo que en la implementacin de ApenL=)P &iene des%abilitado por omisin' Pgina 2, de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema !1 5ormato de intercambio de in,ormacin LDAP A LD+5 En este apartado se mostrar@ como a$re$ar un usuario al L=)P utili#ando para ello los L=(+' ) continuacin se mostrar@ cual es la estructura de los L=(+' ldi" para la creacin de una unidad or$ani#acional UpeopleV' El nombre del arc%i&o es people'ldi" dn1 ouLpeople,dcLucla,dcLedu,dcL&e ou: people objectclass: or$ani#ationalUnit Creacin de los arc/ivos ldi, ldi" para la creacin de una unidad or$ani#acional U$roupV' El nombre del arc%i&o es $roup'ldi" dn1 ouL$roup,dcLucla,dcLedu,dcL&e ou1 $roup objectclass1 or$ani#ationalUnit ldi" para la creacin de un $rupo UusersV' El nombre del arc%i&o es users'ldi" dn1 cnLusers,ouL$roup,dcLucla,dcLedu,dcL&e objectclass1 posi!Group objectclass1 top cn1 users userPass2ord1 YcryptZ[ gidNumber1 -;; Agregar los contenidos de los ldi, Para a$re$ar los contenidos de los ldi" al L=)P se ejecutan los si$uientes Pgina 2. de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e comandos: Blda0add (x (C (D DcnEadmin,dcEucla,dcEedu,dcEveD (, 0eo0le3ldi, Blda0add (x (C (D DcnEadmin,dcEucla,dcEedu,dcEveD (, grou03ldi, Blda0add (x (C (D DcnEadmin,dcEucla,dcEedu,dcEveD (, users3ldi, )l ejecutar estos comandos te pedir@ el pass<ord del administrador LDAP3
Para re&isar el resultado de la insercin ejecutamos el si$uiente comando BLDAPsearc/ (x (b DdcEucla,dcEedu,dcEveD Be puede con"irmar en la salida del comando anterior que la insercin de los anteriores ldi, est@n presentes en la estructura del @rbol del LDAP3 5ormato 0ara nuevas entradas Agregar usuarios Be debe crear un ldi, como se muestra a continuacin Nombre del arc%i&o ldi, marque#l'ldi" dn1 uidLmarque#l,ouLpeople,dcLucla,dcLedu,dcL&e uid1 marque#l cn1 Luis /@rque# objectClass1 top objectClass1 inetAr$Person objectClass1 posi!)ccount objectClass1 s%ado<)ccount userPass2ord1 YcryptZQ-QEn,>C>r:Q1Fn"cTlq6:qG$dn=1%=(p- s/ado2LastC/ange1 -:;;- s/ado2Max1 88888 Pgina 25 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e s/ado2Carning1 9 login./ell1 >bin>bas% uidNumber1 -;;- gidNumber1 -;; /omeDirector%1 >%ome>marque#l gecos1 Luis /@rque# Para a$re$ar el nue&o usuario al nue&o @rbol de LDAP se debe ejecutar el si$uiente comando: BLDAPadd (x (C (D DcnEadmin,dcEucla,dcEedu,dcEveD (, mar7ue9l3ldi,
Para re&isar el resultado de la insercin ejecutamos el si$uiente comando BLDAPsearc/ (x (b DdcEucla,dcEedu,dcEveD 5ormato 0ara modi,icaciones Agregar atributos Para a$re$ar un atributo se debe crear un ldi, como se muestra a continuacin' El nombre del ldi, es add'ldi" dn1 uidLmarque#l,ouLpeople,dcLucla,dcLedu,dcL&e c/anget%0e1 modi"y add1 description descri0tion1 Usuario de prueba I add1 objectclass objectclass1 samba)ccount I add1 telep%oneNumber Pgina 27 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e tele0/oneNumber1 ;:-69999999 Be ejecuta la si$uiente sinta!is: ldapmodi"y I! I= UcnLadmin,dcLucla,dcLedu,dcL&eV IW I" add'ldi" Modi,icar un atributo Para modi"icar un atributo se debe crear un ldi, como se muestra a continuacin' El nombre ldi" es modi"y'ldi" dn1 uidLmarque#l,ouLpeople,dcLucla,dcLedu,dcL&e c/anget%0e1 modi"y re0lace1 telep%onenumber tele0/onenumber1 ;:-.:9-.:6- Be ejecuta la si$uiente sinta!is: ldapmodi"y I! I= UcnLadmin,dcLucla,dcLedu,dcL&eV IW I" modi"y'ldi" 5ormato 0ara eliminaciones @liminar un usuario Para eliminar un usuario del @rbol del directorio se debe crear un arc%i&o del tipo ldi, como se muestra a continuacin: dn1 uidEmar7ue9l,ouE0eo0le,dcEucla,dcEedu,dcEve c/anget%0e1 delete Ejecutamos el si$uiente comando para eliminar un usuario del @rbol LDAP BLDAPmodi,% (x (D DcnEadmin,dcEucla,dcEedu,dcEveD (C (, boorrar3ldi, Para re&isar el resultado de la eliminacin ejecutamos el si$uiente comando Pgina 28 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e BLDAPsearc/ (x (b DdcEucla,dcEedu,dcEveD
Para eliminar un atributo Be debe crear un ldi" como el que se muestra a continuacin, el nombre del arc%i&o ldi" es del'ldi" dn1 uidLmarque#l,ouLpeople,dcLucla,dcLedu,dcL&e c/anget%0e1 modi"y delete1 telep%onenumber Be ejecuta la si$uiente sinta!is ldapmodi"y I! I= UcnLadmin,dcLucla,dcLedu,dcL&eV IW I" del'ldi"
Autenticacin en LDAP Autenticacin de clientes en LDAP Una &e# con"i$urado el ser&idor de L=)P para almacenar la in"ormacin del directorio, podemos con"i$urar todos los equipos de nuestra red 2ser&idores y clientes7 para reali#ar la autenticacin en el ser&idor L=)P' En principio, la in"ormacin administrati&a que tiene sentido centrali#ar en un ser&icio L=)P son las cuentas de usuario 2incluyendo contraseGas7 y cuentas de $rupo' En conjunto, la in"ormacin almacenada en ambos tipos de cuentas permite autenti"icar a un usuario cuando ste desea iniciar una sesin interacti&a en un sistema Linu! y, en el caso de que la autenticacin sea positi&a, crear el conte!to de trabajo inicial 2es decir, el proceso s/ell inicial7 para ese usuario' /anteniendo ambos tipos de cuentas en el directorio permitir?a una $estin completamente centrali#ada de los usuarios del dominio' Pgina 28 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e (nternamente, este proceso de autenticacin y creacin del conte!to inicial que Linu! lle&a a cabo cuando un usuario desea iniciar una sesin interacti&a utili#a dos bibliotecas distintas: 83 P)/ 2Plu$$able )ut%entication /odule7 es una biblioteca de autenticacin $enrica que cualquier aplicacin puede utili#ar para &alidar usuarios, utili#ando por debajo mltiples esquemas de autenticacin alternati&os 2arc%i&os locales, Xerberos, L=)P, etc'7' Esta biblioteca es utili#ada por el proceso de Wlo$inW para a&eri$uar si las credenciales tecleadas por el usuario 2nombre y contraseGa7 son correctas' !3 NBB 2Name Ber&ice B<itc%7 presenta una inter"a# $enrica para a&eri$uar los par@metros de una cuenta 2como su U(=, G(=, s/ell inicial, directorio de cone!in, etc'7, y es utili#ada por el proceso de Wlo$inW para crear el proceso de atencin inicial del usuario' La &entaja "undamental de ambas bibliotecas consiste en que pueden recon"i$urarse din@micamente mediante arc%i&os, sin necesidad de recompilar las aplicaciones que las utili#an' Por tanto, lo nico que necesitamos es recon"i$urar ambas para que utilicen el ser&idor L=)P adem@s de los arc%i&os locales 2>etc>pass<d, entre otros'7 de cada equipo' En ,anaima GNU>Linu! la instalacin y con"i$uracin de los clientes la reali#aremos directamente en los arc%i&os de con"i$uracin' ,uando el asistente de =ebian pre$unte la con"i$uracin cancelar el mismo' Deali#ar los pasos si$uientes: (nstalar el paquete libnssI L=)P, mediante la ejecucin en la consola de \aptitude install libnssIL=)P, el UName Ber&ice B<itc%V permite a los sistemas operati&os [ni!, el reempla#o de los arc%i&os de con"i$uracin de los usuarios 2por ejemplo: >etc>pass<d, >etc>$roup7, por bases de datos de usuarios centrali#adas, en este caso se instala la librer?a con soporte para L=)P, que ser@ el sistema que utili#aremos: Pgina +$ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e 83 (nstalar el paquete libpamIL=)P, mediante la ejecucin en la consola de \aptitude install libpamIL=)P, este permitir@ la autenticacin de los usuarios del sistema operati&o en base de datos L=)P' !3 (nstalar el paquete nscd, el cual permitir@ mantener en el cac%e del equipo las bsquedas de los re$istros que reali#a el nss, con el "in de e&itar tener que reali#ar esas consultas a los ser&idores y a%orrar tiempo y tr@"ico en la red' Autenticacin annima La con"i$uracin predeterminada de ApenL=)P, +edora =irectory Ber&er y muc%os otros productos de L=)P disponibles en el mercado permite que un cliente consulte de "orma annima al$unos atributos del directorio' Usualmente se mostrar@n atributos no cr?ticos al estilo de una libreta de direcciones' Para %acer la autenticacin annima con un cliente como ldapsearc% basta con indicar la opcin I! y no de"inir nin$n =N para autenticar el usuario' ldapsearc% I% ser&idor Ip K58 I! uidLp$on#ale# Autenticacin sim0le Fsegura % no seguraG UBimple )ut%entication and Becurity LayerV 2capa de se$uridad y autenticacin simple7' Es un "ram<orF para manejar la autenticacin y autori#acin en protocolos de internet' Este separa los mecanismos de autenticacin de los protocolos de la aplicacin' Pgina +1 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema :1 Distribucin de directorios Distribucin de directorios La in"ormacin es ordenada en el modelo de L=)P en entradas' Una entrada es una coleccin de atributos que tienen un nico Nombre Global =istin$uido 2=N7' El =N se utili#a para re"erirse a una entrada sin ambi$]edades' ,ada atributo de una entrada posee un tipo y uno o m@s &alores' Los tipos son normalmente palabras nemotcnicas, como UcnV para common name, o UmailV para una direccin de correo' La sinta!is de los atributos depende del tipo de atributo' Por ejemplo, un atributo cn puede contener el &alor ULuis /@rque#V' Un atributo email puede contener un &alor Umarque#l^ucla'edu'&eV' Estas entradas est@n or$ani#adas en una estructura jer@rquica en "orma de @rbol in&ertido, de la misma manera como se estructura el sistema de arc%i&os de UN(C' radicionalmente esta estructura re"lejaba los l?mites $eo$r@"icos y>o or$ani#acionales' Las entradas que representan pa?ses aparecen en la parte superior del @rbol' =ebajo de ellos, est@n las entradas que representan los estados y las or$ani#aciones nacionales' *ajo estas, pueden estar las entradas que representan las unidades or$ani#acionales, empleados, impresoras, documentos o todo aquello que pueda ima$inarse' La si$uiente "i$ura muestra un @rbol de directorio L=)P %aciendo uso del nombramiento tradicional'
5igura NH 8 _rbol de directorio L=)P 2nombramiento tradicional7 El @rbol tambin se puede or$ani#ar bas@ndose en los nombres de dominio de Pgina +2 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e o!Ftelecom!nicaciones cFrectorado o!Finformtica cnFG!nior 2scalona (nternet' Este tipo de nombramiento se est@ &ol&iendo muy popular y en los actuales momentos es el m@s utili#ado, ya que permite locali#ar un ser&icio de directorio %aciendo uso de los =NB' La si$uiente "i$ura muestra un @rbol de directorio que %ace uso de los nombres basados en dominios' 5igura NH ! _rbol de directorio L=)P 2nombramiento de (nternet7 Un ejemplo del =N ser?a: dn: cnLLuis /@rque#, ouLpeople, dcLucla, dcLedu, dcL&e Abser&e que el dn se construye de abajo %acia arriba' )l i$ual que se construyen los nombres en =NB' )dem@s, L=)P permite controlar qu atributos son requeridos y permitidos en una entrada $racias al uso del atributo denominado object,lass' El &alor del atributo object,lass determina qu re$las de diseGo 2sc%ema rules7 %a de se$uir la entrada' Pgina ++ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e dcFve dcFed! dcF!cla o!Fpeople o!F!sers o!Fadm cnFl!is cnFroot cnFpedro Unidad +++1 .ervicio de directorio 0enLDAP Conexiones .eguras Lo primero que se debe e&aluar es la se$uridad de la red' Los clientes se conectan al ser&idor L=)P a tra&s de las inter"aces de red, y tambin las respuestas del ser&idor se trans"ieren a tra&s de la red' El protocolo L=)P por de"ecto recibe y en&?a los datos en te!to plano, lo cual tiene al$unas &entajas entre las cuales tenemos : +acilidad de con"i$urar y mantener' El ser&icio "unciona m@s r@pido, al no tener que trans"ormar los datos ci"rados, lo cual siempre pro&ee de una car$a adicional de procesamiento' Estas &entajas tienen un costo de se$uridad, otros dispositi&os en la red pueden interceptar los datos y leer todo el contenido de los mismos, mientras m@s $rande es una red esto se con&ierte en una amena#a mayor' Para e&itar eso los ser&idores L=)P implementan BBL 2Becure BocFets Layer7 y LB 2ransport Layer Becurity7, ambos mecanismos son utili#ados para ci"rar los datos antes de transmitirlos por la red' BBL y LB son similares y son ampliamente utili#ados, la principal di"erencia es que LB es mas "le!ible que BBL' ApenL=)P pro&ee dos mecanismos para ci"rar el tr@"ico en la red, el primero es escuc%ar por un puerto espec?"ico 2puerto .K. por de"ecto7, lo que %ace que las comunicaciones en ese puerto sean ci"radas, este mecanismo "ue introducido en L=)P &6, y se considera un mtodo en desuso' El se$undo mecanismo es parte de los est@ndares de L=)P &K, el cual permite a los clientes conectarse a tra&s de un puerto 2K58 por de"ecto7, para cone!iones ci"radas o en te!to plano y ser@ el cliente el que seleccionar@ el tipo de cone!in que desea' El uso de certi"icados permite no solo ci"rar la Pgina +, de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e in"ormacin entre el ser&idor y los clientes, sino tambin $aranti#ar que el ser&idor al cual se conecta el cliente es autentico' )ctualmente e!isten autoridades para emitir certi"icados conocidos como CA 2,erti"ication )ut%ority7, los cuales a tra&s de un procedimiento de recoleccin de in"ormacin y un pa$o, emiten un certi"icado que tiene &alide# por un tiempo espec?"ico y los ser&idores y los clientes reconocen el mismo' E!iste tambin la posibilidad de crear los certi"icados para uso de las or$ani#aciones o indi&iduos de manera interna, para esto de debe $enerar un ,) con la cual se "irmar@n los certi"icados que se emitir@n para los clientes y ser&idores' Estos certi"icados no ser@n reconocidos como &@lidos "uera de la or$ani#acin que los emite, por lo cual solo se recomienda para uso interno' Para crear una ,), con el "in de "irmar nuestros propios certi"icados, se debe instalar el paquete openssl, el cual en =ebian GNU>Linu!, instala un script que permite la creacin de un ,), el mismo queda instalado en la ruta >usr>lib>ssl>misc>,)'pl, debe ejecutarse de la si$uiente manera : B/usr/lib/ssl/misc/CA30l (ne2ca 83 Be mostrar@ un mensaje con lo si$uiente, ,) certi"icate "ilename 2or enter to create7 , en donde %ay que pulsar enter' !3 Lue$o de $enerar la cla&e del certi"icado pre$untar@ por una contraseGa para el mismo, Enter PE/ pass p%rase: :3 Lue$o solicitar@ una serie de in"ormacin sobre la or$ani#acin, y "inalmente terminar@ de crear el certi"icado para la ,)' ;3 )l "inali#ar tendremos un directorio llamado demo,), con los certi"icados' Lue$o de esto se tendr@ que $enerar los certi"icados para el ser&idor L=)P, lo cual ser@ de la si$uiente manera: 83 Ejecutar >usr>lib>ssl>misc>,)'pl Ine<req desde una consola lue$o se repetir@n Pgina +. de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e los pasos 6 y K de la creacin de la ,)' !3 )l "inali#ar tendremos dos arc%i&os llamados ne<Fey'pem 2,la&e Pri&ada7 ne<req'pem 2,erti"icado7' :3 Lue$o tenemos que "irmar los certi"icados con el ,) $enerado anteriormente, para esto ejecutamos desde la consola >usr>lib>ssl>misc>,)'pl Isi$nreq, pre$untar@ la contraseGa de la ,) y lue$o tendremos dos arc%i&os, ne<Fey'pem, el cual contiene la cla&e pri&ada y ne<cert'pem el cual contiene el certi"icado "irmado'Be remue&e la contraseGa que tiene el certi"icado ejecutando desde la consola el comando \openssl rsa ` ne<Fey'pem a clearFey'pem' ;3 Lue$o de esto copiamos los arc%i&os clearFey'pem y ne<Fey'pem a un directorio por con&eniencia, por ejemplo >etc>ldap>ssl' En caso de que no e!ista este directorio, debe ser creado: mFdir Ip >etc>ldap>ssl <3 (nstalar el certi"icado de la ,), para %acer esto copiamos el arc%i&o cacert'pem a >usr>s%are>caIcerti"icates>mi,)'crt, editar el arc%i&o >etc>caI certi"icates'con", y colocar al "inal del arc%i&o mi,)'crt, y ejecutar desde la consola \updateIcaIcerti"icates' >3 )$re$ar en el arc%i&o de con"i$uracin de L=)P, para la utili#acin de los certi"icados y que el mismo corra en modo BBL>LB, la con"i$uracin quedar?a de la si$uiente manera: )L.CACerti,icatePat/ /etc/ssl/certs/ )L.Certi,icate5ile /etc/LDAP/clearIe%30em )L.Certi,icateJe%5ile /etc/LDAP/ne2Ie%30em ?3 Lue$o de esto el ser&idor L=)P estar@ ejecut@ndose con soporte BBL>LB' @l servidor sla0d sla0d slapd es el motor del ser&idor de directorio ApenL=)P' Es una de las tantas Pgina +5 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e implementaciones de L=)P en so"t<are libre' Esta &ersin es la m@s popular en trminos de nmero de implementacionesH &ale la pena mencionar que e!isten &arias implementaciones de L=)P en so"t<are propietario, como por ejemplo implementaciones de Bun, (*/, /icroso"t y otras' Pgina +7 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema 81 +m0lementacin de un servicio de directorio 0enLDAP en Canaima GNU/Linux En este tema describiremos como instalar un ser&icio de directorio ApenL=)P en ,anaima GNU>Linu! para su utili#acin en cualquier aplicacin que maneje L=)P' +nstalacin del servidor ApenL=)P se pro&ee en el paquete slapd distribuido en el repositorio uni&erso de ,anaima, por lo que puede ser instalado con aptitude: aptitude install slapd El $estor de con"i$uracin debcon" %ar@ al$unas pre$untas sobre el directorio L=)P, que incluyen el nombre del dominio 2en terminolo$?a L=)P se denomina =N -6 base7 y la contraseGa del administrador del L=)P, que usualmente tendr@ como =N cnLadmin,`=N basea' )lmacene esta in"ormacin de "orma se$ura' @lementos de con,iguracin ApenL=)P se con"i$ura en el arc%i&o >etc>ldap>slapd'con"' El $estor de con"i$uracin debcon" %abr@ con"i$urado este arc%i&o por usted, pero en ocasiones puede ser til %acer ciertos cambios, como por ejemplo: 83Par@metros de re$istro: el par@metro lo$le&el puede ser ajustado para almacenar m@s o menos in"ormacin sobre la operacin del directorio' Por ejemplo, lo$le&el stats es el ni&el recomendado por los desarrolladores y re$istra cone!iones, consultas y resultados en el arc%i&o >&ar>lo$>syslo$ !3Listas de control de acceso: ApenL=)P maneja listas ),L que permiten controlar el acceso a los datos de "orma $ranular -K ' Por ejemplo, una recomendacin comn es 12 =om&re distintitov6 por s!s siglas en ingls 1+ 7ttp:))EEE.openldap.org)doc)admin2,)accessAcontrol.7tmlB(ccessH2$ControlH2$CommonH2$2;amples Pgina +8 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e prote$er los atributos de contraseGas de Bamba con una ),L como se describe a continuacin: access to attrLsambantpass<ord, sambalmpass<ord, sambapass<ord%istory by cnLadmin,`base =Na <rite by sel" <rite by [ none Pgina +8 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema !1 Control de acceso al directorio a trav$s de listas de control de acceso FACLsG Control de acceso al directorio a trav$s de listas de control de acceso La base de datos L=)P, contiene in"ormacin sensible, por ejemplo el atributo userPass<ord contiene las contraseGas de los usuarios, pero tambin e!iste otro tipo de in"ormacin como datos personales de las personas que deben ser res$uardados' Para controlar la autori#acin en los ser&idores L=)P se utili#an ),Ls 2Lists de ,ontrol de )cceso7, cuando un ser&idor L=)P procesa un requerimiento de un cliente e&ala los permisos de acceso del mismo a la in"ormacin solicitada' Esta e&aluacin &eri"ica secuencialmente cada una de las ),Ls, ubicadas en los arc%i&os de con"i$uracin y aplica las re$las apropiadas al requerimiento' @structura general de una ACL La con"i$uracin de las ),Ls, se pueden reali#ar de dos maneras: 83 =irectamente en el arc%i&o de con"i$uracin del ser&idor L=)P, >etc>L=)P>slapd'con", y pueden ser colocadas al principio del arc%i&o con lo cual a"ectar@n a todas las bases de datos que posee el ser&idor' !3 =entro de la directi&a UbacFendV, con lo cual solo a"ectar@ a la base de datos especi"ica' ,uando se poseen muc%as re$las de acceso, es recomendable colocar en un arc%i&o aparte y utili#ar la sinta!is include >etc>L=)P>nombredearc%i&o, con lo cual se mantendr@ el arc%i&o slapd'con" menos complejo' Las directi&as de acceso tienen la si$uiente sinta!is : Pgina ,$ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e access to brecursoc by bquienc btipo de pri&ile$ioc by bquienc btipo de pri&ile$ioc Las directi&as access pueden tener uno o mas UbyV, as? mismo pueden permitir accesos por =N, atributos, "iltros, o una combinacin de estos' Usos comunes de las ACLs Para restrin$ir un acceso a un =N en particular, se debe utili#ar una re$la como la si$uiente: access to dnEDuidE0edro,ouEUsers,dcEuniversidad,dcEedu,dcEveD b% K none El Ub% K noneV, rec%a#a los accesos a todos' Las restricciones a los =N, pueden ser especi"icadas de la si$uiente manera: dn3base 1 Destrin$e el acceso para un =N especi"ico, es la opcin por de"ecto, dn3exact y dn'basele&el : son sinnimos de dn'base' dn3one : Destrin$e el acceso a la si$uiente entrada que este despues del =N especi"icado' dn3subtree : Destrin$e el acceso a todo el @rbol debajo del =N especi"icado' Las ),Ls, tambin aceptan e!presiones re$ulares lo cual incrementa el ni&el de complejidad que se puede utili#ar para "ormular las mismas' ) continuacin un ejemplo utili#ando e!presiones re$ulares: access to dn3regexEDuidELM,N O,ouEUsers,dcEuniversidad,dcEedu,dcEveD b% K none En el ejem0lo anterior se restrin$e el acceso a cualquier DN, con la e!presin UuidLcualquier cosaVouLUsers,dcLuni&ersidad,dcLedu,dcL&e, donde cualquier cosa Pgina ,1 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e debe ser un te!to con al menos un car@cter y sin comas 2,7, las e!presiones re$ulares permiten incrementar en $ran medida la utilidad de las listas de acceso' Pgina ,2 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema :1 Poblando el directorio 0enLDAP Un directorio L=)P no cumple nin$una "uncin til si no almacena in"ormacin y sir&e esta in"ormacin a sus clientes' En este tema desarrollaremos las estrate$ias para llenarlo' =urante el desarrollo de todo este cap?tulo nos re"eriremos al "ormato de intercambio de in"ormacin de directorios L=)P con el acrnimo L=(+ -: , que es una representacin en te!to de los contenidos de un directorio y sir&e para trasladar porciones del directorio o incluso el directorio completo de un equipo a otro' De,inicin de la estructura inicial del directorio El $estor de con"i$uracin debcon" cre por usted una estructura inicial del directorio en base al =N base que le pre$untaron y a la contraseGa del usuario administrati&o 2cnLadmin,`=N basea7 Usted puede &er esa estructura inicial e!portando los contenidos del directorio con la utilidad slapcat' en$a en cuenta que debe tener pri&ile$ios administrati&os 2root7, ser el usuario openldap o pertenecer a ese $rupo para e!portar los contenidos' slapcat a contenidodinicial'ldi" ambin puede utili#ar una %erramienta $r@"ica como $q, )pac%e =irectory Btudio o p%pL=)P)dmin para &isuali#ar y trabajar la in"ormacin del directorio' +ncor0oracin de entradas iniciales ,asi cualquier directorio L=)P tiene unas entradas iniciales denominadas Ura?#V del directorio que con"orman la poblacin inicial del mismo' Usualmente estas entradas de"inen la base del directorio y pueden ser reutili#adas para reconstruir la ra?#, por ejemplo: 1, 4ormato de intercam&io de %'(P6 por s!s siglas en ingls. Pgina ,+ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e dn: dcLcnti,dcL$ob,dcL&e object,lass: top object,lass: dcAbject object,lass: or$ani#ation o: ,N( dc: cnti structuralAbject,lass: or$ani#ation Esta entrada muestra la ra?# del directorio L=)P para dcLcnti,dcL$ob,dcL&e' =ebe ser la primera entrada de un L=(+ para este directorio porque de"ine la base' Para aGadir este re$istro podemos utili#ar dos mtodos' Bi estamos car$ando todo un directorio a partir de un arc%i&o L=(+ nue&o, y el directorio est@ &ac?o, podemos usar slapadd' Esta es una %erramienta nati&a de ApenL=)P que accede directamente a la base de datos subyacente y a$re$a los re$istros' Por ejemplo, si almacen@ramos el re$istro anterior en el arc%i&o rai#'ldi", bastar?a con ejecutar, como el usuario openldap, un usuario administrati&o o un usuario perteneciente al $rupo openldap: slapadd ` rai#'ldi" Atra "orma de aGadir la in"ormacin es utili#ando la %erramienta ldapadd, incorporada en el paquete ldapIutils de ,anaima' Este paquete tambin incluye las %erramientas ldapsearc%, ldapdelete y ldapmodi"y, y comparten al$unas opciones comunes que reseGamos a continuacin: I= `bind =Na: especi"ica el =N de cone!in del usuario con el que se autenticar@ para las acciones solicitadas, usualmente se utili#ar@ aqu? el =N del administrador del directorio que "ue de"inido en la instalacin y que de "orma predeterminada es Pgina ,, de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e cnLadmin,`=N basea IW: solicita a ldapIutils que pida la contraseGa en un prompt una &e# ejecutado el comando I!: utili#a autenticacin sencilla en &e# de B)BL, lo cual es el caso predeterminado en la mayor?a de las implementaciones Ib `basea: de"ine la base o ra?# del directorio L=)P, por ejemplo dcLcnti,dcL$ob,dcL&e I% `%osta: de"ine la direccin (P o nombre de dominio del directorio L=)P IN: indica si es necesario emitir la instruccin de inicio de cone!in usando el protocolo LB Modi,icando la in,ormacin existente El paquete ldapIutils, nombrado anteriormente, contiene una %erramienta llamada ldapmodi"y que permite modi"icar a tra&s de la consola los &alores de un re$istro' ambin puede utili#ar %erramientas $r@"icas para modi"icar los datos' Por ejemplo, si quisiramos cambiar el &alor de atributo UoV para la entrada dcLcnti,dcL$ob,dcL&e que creamos anteriormente, podemos utili#ar ldapmodi"y creando un arc%i&o cambios'ldi" que conten$a esto: dn: dcLcnti,dcL$ob,dcL&e c%an$etype: modi"y replace: o o: ,entro Nacional de ecnolo$ias de (n"ormacion I Esta porcin de arc%i&o de cambios que %emos &isto se denomina un conjunto de cambios, y se caracteri#a porque contiene: Pgina ,. de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e 83El =N del re$istro a modi"icar !3El tipo de cambio 2una modi"icacin7 :3El atributo que se reempla#ar@ 2UoV7 ;3El nue&o &alor 2U,entro Nacional de ecnolo$?as de (n"ormacinV7 En un conjunto de cambios es posible %acer &arios cambios sobre un mismo re$istro separando los cambios con una l?nea nue&a y un s?mbolo de $uin 2UIV7, por ejemplo: dn: dcLcnti,dcL$ob,dcL&e c%an$etype: modi"y replace: o o: ,entro Nacional de ecnolo$ias de (n"ormacion I add: objectclass objectclass: anot%er I )s? mismo, es posible actuar sobre &arios re$istros en un slo arc%i&o de cambios, separando los conjuntos de cambios por dos caracteres de nue&a l?nea: dn: dcLcnti,dcL$ob,dcL&e c%an$etype: modi"y replace: o o: ,entro Nacional de ecnolo$ias de (n"ormacion I Pgina ,5 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e dn: ouLUnidad,dcLcnti,dcL$ob,dcL&e c%an$etype: modi"y replace: description description: nue&a descripcion I Una &e# preparados los conjuntos de cambios en el arc%i&o cambios'ldi", podemos in&ocar a ldapmodi"y de la si$uiente "orma: ldapmodi"y I" cambios'ldi" Apcionalmente deber@ incluir las opciones comunes de"inidas en el cap?tulo :'6 de este documento para personali#ar el comportamiento del comando ldapmodi"y' )rabajando con las contrase=as En ejemplos anteriores &imos como el "ormato L=(+ contempla la posibilidad de que un &alor est codi"icado en *ase.:' Usualmente esto se %ace en atributos cuyos &alores tienen caracteres ajenos a )B,(( 2por ejemplo caracteres del idioma castellano7 y en el campo de contraseGas' Oa que *ase.: no es un al$oritmo de ci"rado sino un sistema de codi"icacin, usualmente se requiere que las contraseGas se ci"ren usando al$oritmos conocidos como UN(C crypt, /=4 o BE)-' En estos casos, la sinta!is de la contraseGa es: Y)LGAD(/AZcontraseGa ci"rada Por ejemplo: Y/=4Z:d-5.K6-c-a9";"K4:b689e58-:ab6:; Pgina ,7 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Los al$oritmos utili#ados son al$oritmos de resumen de una &?a' Estos al$oritmos producen una salida "ija dada una entrada "ija, por ejemplo: %ola La /=4 La :d-5.K6-c-a9";"K4:b689e58-:ab6:; Bin embar$o, no es posible obtener P%olaP a partir de :d-5.K6-c-a9";"K4:b689e58-:ab6:; lo cual %ace a estos al$oritmos candidatos para esquemas de ci"rado sencillos' Es posible usar la %erramienta base.: incluida en el paquete coreutils se puede utili#ar para codi"icar y decodi"icar contenido en *ase.:, por ejemplo: ec%o P%olaP e base.: \ codi"icamos aG8sOToL ec%o PaG8sOToLP e base.: Id \ descodi"icamos %ola -eri,icando el contenido del directorio Para &eri"icar el contenido de todo un directorio L=)P podemos utili#ar la %erramienta slapcat que &uelca en pantalla toda la in"ormacin del directorio en "ormato L=(+' Esto lo debemos ejecutar con el usuario openldap, un usuario administrati&o o un usuario en el $rupo openldap: slapcat )s? mismo, podemos %acer consultas $ranulares usando la %erramienta ldapsearc%, incluida en el paquete ldapIutils: ldapsearc% uidLjose Pgina ,8 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Unidad +-1 +ntegracin con los servicios de directorio LDAP )ema 81 +ntegracin con el sistema o0erativo Uno de los casos de uso de directorios L=)P m@s comunes es inte$rar este directorio con un sistema operati&o GNU>Linu! para sistemas multiusuario e inicio de sesin centrali#ado' En este tema describiremos los pasos de inte$racin de un directorio ApenL=)P con un sistema operati&o ,anaima GNU>Linu!' Ma0eo de cuentas de usuario % gru0os locales ,uando se implementa un directorio ApenL=)P usualmente se desea descontinuar el uso de cuentas de usuario y $rupos locales, por lo que se busca lle&ar estas cuentas al directorio L=)P' 1eri"ique el contenido del arc%i&o >etc>pass<d e identi"ique las cuentas de usuarios' En ,anaima GNU>Linu!, las cuentas de usuario se di"erencian de las de sistema porque empie#an a partir del identi"icador numrico nmero -;;;' No necesita mi$rar las cuentas de sistema a un directorio L=)P' 6esolucin de nombre A N.. El conmutador del ser&icio de nombres NBB se encar$a de atender las solicitudes de con&ersin de un nombre de usuario 2por ejemplo PpedroP7 a un identi"icador numrico como -:.48K' Esta con&ersin es necesaria porque internamente el sistema slo maneja identi"icadores numricos' En una instalacin predeterminada de ,anaima GNU>Linu!, NBB utili#ar@ un arc%i&o Pgina ,8 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e local llamado >etc>pass<d para esta tarea, pero cuando se implementa un directorio ApenL=)P se desea que NBB utilice el directorio para esta con&ersin' +uncionalmente, el resultado ser@ que el sistema ,anaima GNU>Linu! podr@ identi"icar a los usuarios del directorio' Para esto debemos instalar el paquete libnssIldap disponible en los repositorios de ,anaima' Con,iguracin de bases de datos de bPs7ueda ,omo primer paso, debemos con"i$urar una "uente L=)P para NBB en el arc%i&o >etc>libnssIldap'con", de la si$uiente "orma: %ost local%ost base dcLcnti,dcL$ob,dcL&e ldapd&ersion K scope sub En esta con"i$uracin indicamos que %ay un ser&idor L=)P&K en Plocal%ostP sir&iendo el directorio dcLcnti,dcL$ob,dcL&e y que deseamos %acer bsquedas de sub@rbol en este directorio' Con,iguracin del modulo LDAP )s? mismo, distintas %erramientas del sistema utili#an un arc%i&o centrali#ado llamado >etc>ldap>ldap'con" para consultar in"ormacin sobre el directorio L=)P del sistema, por ello lo debemos con"i$urar as?: *)BE dcLcnti,dcL$ob,dcL&e UD( local%ost Esta con"i$uracin es an@lo$a a lo especi"icado en el punto -'6'-' Pgina .$ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Autenticacin de usuarios A Mdulos de autenticacin a0ilables A PAM Los mdulos de autenticacin apilables de GNU>Linu!, P)/, sir&en para autenticar y controlar el acceso a ser&icios del sistema operati&o' +uncionalmente, la e!pectati&a es que un usuario pueda %acer inicio de sesin en el sistema' Para esto requerimos instalar el paquete libpamIldap' Con,iguracin de reglas de autenticacin Eay cuatro 2:7 ser&icios del sistema operati&o que se deben con"i$urar para que se inte$re completamente a un directorio ApenL=)P: 83account: $estiona la administracin de cuentas, pero no autentica al usuario' ?picamente se utili#a para restrin$ir o permitir el acceso a una cuenta en base a par@metros como %ora del d?a, bloqueo de cuenta o ubicacin !3aut%: este ser&icio autentica al usuario en dos etapas, establecer la identidad del usuario, por ejemplo solicitando una contraseGa, y adjudicar permisolo$?as especiales como membres?a a $rupos :3pass<ord: permite autenticar toFens de autenticacin asociados con el usuario en escenarios de desa"?o>respuesta ;3session: permite reali#ar operaciones antes y despus de prestar el ser&icio al usuario, como por ejemplo crear su directorio personal o montar particiones e!ternas En ,anaima GNU>Linu!, estos cuatro 2:7 ser&icios se con"i$uran en el directorio >etc>pam'd, y espec?"icamente en los arc%i&os commonIaccount, commonIaut%, commonI pass<ord y commonIsession' Puede obtener mayor in"ormacin sobre pam'd en la p@$ina del manual man pam'd' En cada uno de estos cuatro 2:7 arc%i&os se debe a$re$ar la si$uiente l?nea: Pgina .1 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e ser&icio su""icient pamdldap'so =onde ser&icio es account, aut%, pass<ord o session dependiendo del arc%i&o que se est editando' Con,iguracin de modulo LDAP El mdulo L=)P de P)/ se con"i$ura en el arc%i&o >etc>pamdldap'con"' La sinta!is y contenido de este arc%i&o es i$ual a la del arc%i&o NBB: %ost local%ost base dcLcnti,dcL$ob,dcL&e ldapd&ersion K scope sub Pgina .2 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema !1 +ntegracin con controladores de dominio .amba El sistema operati&o /icroso"t Windo<s no es capa# de interoperar nati&amente con el protocolo est@ndar L=)P, ni con ApenL=)P, para autenticar a sus usuarios del sistema' Usualmente se debe combinar un directorio L=)P con un controlador de dominio B/*>,(+B, como /icroso"t )cti&e =irectory, para lo$rar que los usuarios de /icroso"t Windo<s puedan acceder utili#ando credenciales centrali#adas de L=)P' )s? mismo, %ay escenarios en los que usuarios de GNU>Linu! necesitan acceder a recursos compartidos usando el protocolo B/*>,(+B como arc%i&os e impresoras, en cuyo caso tambin es deseable que se inte$re con un directorio ApenL=)P' Bamba es una implementacin parcial, libre y de cdi$o abierto, del protocolo B/*>,(+B que puede cumplir este rol' Para obtener el so"t<are debemos instalar los paquetes samba y sambaIdoc' En este cap?tulo estudiaremos lo que se requiere modi"icar para inte$rar un controlador de dominio Bamba con ApenL=)P' @s7uemas adicionales Eay dos elementos b@sicos que podemos re$istrar en un directorio ApenL=)P y que son de inters para la implementacin de un controlador de dominio con Bamba: 83,uentas de usuario !3,uentas de m@quina Para con&ertir cuentas de usuario ya e!istentes en un directorio ApenL=)P en cuentas de usuario Bamba es necesario %acer que la entrada pertene#ca a la clase de objetos sambaB)/)ccount, independientemente de las clases de objetos a las que ya Pgina .+ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e perteneciera' La clase de objetos sambaB)/)ccount, as? como los atributos que ella de"ine, se encuentran completamente descritos en el esquema samba'sc%ema' Este esquema se puede conse$uir comprimido con $#ip en el paquete sambaIdoc: $un#ip Ic >usr>s%are>doc>sambaIdoc>e!amples>L=)P>samba'sc%ema'$# a >etc>ldap>sc%ema>samba'sc%ema Los esquemas de ApenL=)P se almacenan en la carpeta >etc>ldap>sc%ema y deben ser declarados en el arc%i&o de con"i$uracin de ApenL=)P, >etc>ldap>slapd'con": include >etc>ldap>sc%ema>samba'sc%ema Lue$o de este cambio debe reiniciarse el ser&icio slapd: in&oFeIrc'd slapd restart Ma0eo de cuentas de usuario % gru0os Una &e# acti&o el esquema de Bamba en el directorio ApenL=)P, %ay que a$re$ar al$unos atributos para con&ertir una entrada de usuario PAB(C tradicional en una entrada Bamba' ) continuacin comentamos una entrada completa de usuario PAB(C>Bamba: dn: uidL$carter, ouLPeople,dcLquenya,dcLor$ Nombre distinti&o displayName: Gerald ,arter Nombre completo del usuario sambaL/Pass<ord: 4468;6;K-*E=E8E+))=K*:K4*4-:;:EE Eas% de -. bytes de la contraseGa Lan/an en "ormato %e!adecimal sambaPrimaryGroupB(=: BI-I4I6-I 6::98K-8;6I-959;4564.IK8.-;9:;K5I (denti"icador de se$uridad del $rupo principal del usuario Pgina ., de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e -6;- object,lass: posi!)ccount ,lase de objeto object,lass: sambaBam)ccount ,lase de objeto userPass<ord: YcryptZ*p/6ej5DF#o$o ,ontraseGa ci"rada en "ormato UN(C crypt uid: $carter (denti"icador del usuario uidNumber: 8;;; (denti"icador numrico del usuario cn: Gerald ,arter Nombre completo del usuario lo$inB%ell: >bin>bas% ,onsola de inicio de sesin $idNumber: -;; (denti"icador numrico del $rupo principal del usuario sambaP<dLastBet: -;-;-986K; +ec%a>%ora del ltimo cambio de contraseGa sambaB(=: BI-I4I6-I6::98K-8;6I -959;4564.IK8.-;9:;K5I4;;: (denti"icador de se$uridad del usuario %ome=irectory: >%ome>moria>$carter =irectorio personal del usuario sambaNPass<ord: 595=5;-:.;.,=)68.99)::E+)-K4K+,9 Eas% de -. bytes de la contraseGa N en "ormato %e!adecimal Es importante resaltar que los sistemas B/*>,(+B, en particular /icroso"t Windo<s, no pueden procesar las contraseGas en "ormatos UN(C crypt, /=4 o BE)-, por lo que se almacenan las contraseGas en los "ormatos N y Lan/an' )dicionalmente, as? como en sistemas PAB(C como GNU>Linu! e!isten identi"icadores numricos 2uidNumber7, en sistemas /icroso"t Windo<s se manejan identi"icadores de se$uridad 2B(=7 por lo que tambin se almacena esta in"ormacin en el directorio L=)P' Para aGadir o modi"icar las entradas L=)P e incluir estos atributos, re"irase al tema :'K de la unidad anterior' Pgina .. de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema :1 +ntegracin con servicios de red Prox% LDAP Un ser&idor pro!y L=)P acta como un intermediario entre los clientes y los ser&idores que poseen los datos, y son de $ran utilidad cuando se tienen $ran cantidad de ser&idores y se requiere a$rupar en uno solo' Con,iguracin de un servidor 0rox% LDAP ) continuacin se presenta un ejemplo de con"i$uracin de ser&idor pro!y L=)P, en donde deberemos editar el arc%i&o /etc/lda0/sla0d3con, y colocar lo si$uiente: 83 database meta 2el tipo de base de datos a utili#ar7 !3 su""i! WdcLreacciun,dcL&eW 2la base del directorio pro!y7 3. uri WL=)P:>>L=)P'uni&ersidad'edu'&e>dcLuni&ersidad,dcLreacciun,dcL&eW ;3 su""i!massa$e WdcLuni&ersidad,dcLreacciun,dcL&eW WdcLuni&ersidad,dcLedu,dcL&eW Pgina .5 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Unidad -1 Administracin avan9ada de directorios 0enLDAP )ema 81 Conexiones seguras al directorio ( ..L/)L. En ciertos escenarios es deseable incorporar la posibilidad de ci"rar, autenticar y $aranti#ar la inte$ridad de las comunicaciones entre los clientes y el directorio L=)P' Para esto se utili#an los protocolos BBL y>o LB' La di"erencia principal entre ambos protocolos es que la sesin ci"rada se ne$ocia y establece antes de la sesin L=)P en el caso de BBL y ocurre al re&s en el caso de LB' En trminos $enerales, se considera que LB es un sucesor de BBL y se pre"iere la utili#acin de LB, como se %ar@ en este manual' Para implementar LB en un ser&idor ApenL=)P se requiere: 83Una lla&e BBL para el ser&idor, que llamaremos ser&idor'Fey !3Un certi"icado "irmado por una ,) 2autoridad certi"icadora7, que llamaremos ser&idor'crt :3El certi"icado de la ,) que "irm el certi"icado del ser&idor, que llamaremos ca'crt ,olocamos estos tres 2K7 arc%i&os en un directorio, por ejemplo >etc>ldap>ssl, que el usuario openldap pueda leer, y editamos el arc%i&o >etc>ldap>slapd'con" para incluir la si$uiente con"i$uracin: LB,),erti"icate+ile >etc>ldap>ssl>ca'crt ,erti"icado de la ,) LB,erti"icate+ile >etc>ldap>ssl>ser&idor'crt ,erti"icado del ser&idor LB,erti"icateXey+ile >etc>ldap>ssl>ser&idor'Fey Lla&e del ser&idor Pgina .7 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e LB1eri"y,lient ne&er (ndica que no se requerir@ que los clientes presenten sus certi"icados Deiniciamos el ser&icio con el comando in&oFeIrc'd slapd restart y ya podemos disponer de cone!iones LB en nuestro ser&idor ApenL=)P' Bin embar$o, tambin es necesario que los clientes con"i$uren sus entornos operacionales para que puedan comunicarse de "orma ci"rada, con autenticidad e inte$ridad, al ser&idor ApenL=)P' Esto es natural ya que la se$uridad del canal depende normalmente de la sincroni#acin de ambos e!tremos' El cliente slo requiere tener el certi"icado de la ,)' Este certi"icado puede ser le?do por cualquier usuario del sistema, ya que no compromete la se$uridad del esquema' Por ejemplo, colocamos ca'crt en la carpeta >etc>ldap>ssl tal y como %icimos en la parte de ser&idor' )s? mismo, en el arc%i&o >etc>ldap>ldap'con", el cual &imos en detalle en el cap?tulo -'6'6 de la Unidad (1, a$re$amos las l?neas: LBd,),ED >etc>ldap>ssl>ca'crt LBdDET,ED ne&er ,on esta con"i$uracin, podremos utili#ar las %erramientas del paquete ldapIutils con la opcin IN, que emite una instruccin para iniciar la cone!in usando LB' )s? mismo, cualquier aplicacin que respete la con"i$uracin de >etc>ldap>ldap'con" puede comunicarse usando LB con el ser&idor L=)P' Para ampliar m@s sobre este tema, ir al ema K de la unidad anterior' Pgina .8 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema !1 @xistencia de m4s de una co0ia @xistencia de m4s de una co0ia Fslur0dG En entornos de $randes redes y ser&idores L=)P con $randes base de datos, se requiere mantener m@s de un ser&idor L=)P, y esto se reali#a mediante el demonio sluprd' El acrnimo slurpd si$ni"ica: Btandalone L=)P Update Deplication =aemon y su misin es propa$ar los cambios de una base de datos slapd %acia otra' Bi slapd est@ con"i$urado para producir lo$s de replicacin, slurpd los lee y en&?a los cambios a las instancias slapd escla&as a tra&s del protocolo L=)P' slurpd se arranca, normalmente, en el arranque del sistema' Una &e# arrancado, slurpd normalmente %ace un "orF de si mismo y se independi#a de la consola que lo %a llamado, lue$o lee el lo$ de replicacin 2dado bien por la directi&a replo$"ile del arc%i&o de con"i$uracin de slapd, bien por la opcin Ir de la l?nea de comandos7' Bi el arc%i&o lo$ de replicacin no e!iste o est@ &ac?o, slurpd se duerme' =espus, cada cierto tiempo, se despierta y &eri"ica si %ay cambios que propa$ar' ,uando slurpd encuentra cambios a propa$ar %acia las instancias slapd escla&as, bloquea el lo$ de replicacin, %ace una copia pri&ada del mismo, libera el bloqueo anteriormente puesto y crea procesos %ijos de si mismo para cada rplica de slapd que %a de ser actuali#adaH lue$o, cada uno de estos procesos %ijo se asocia con el demonio slapd escla&o, y en&?a los cambios' El "uncionamiento es el si$uiente : El cliente L=)P en&?a una modi"icacin L=)P al slapd escla&o' El slapd escla&o de&uel&e una remisin %acia el cliente L=)P, re"erenciandolo %acia el ser&idor slapd maestro' Pgina .8 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e El cliente L=)P en&?a la operacin de modi"icacin L=)P %acia el slapd maestro' El slapd maestro reali#a la operacin de modi"icacin, escribe los cambios en su arc%i&o lo$ de replicacin y de&uel&e un cdi$o de !ito %acia el cliente' El proceso slurpd &eri"ica que se %a aGadido una nue&a entrada al arc%i&o lo$ de replicacin, lee la entrada del lo$ de replicacin y en&?a el cambio %acia el ser&idor slapd escla&o &?a L=)P' El ser&idor slapd escla&o reali#a la operacin de modi"icacin y un cdi$o de !ito %acia el proceso slurpd' Decidiendo el mecanismo de re0licacin En ciertos escenarios, el mecanismo de replicacin pro&isto por slurpd no es su"iciente para $aranti#ar una inte$ridad "uncional en un entorno de directorios ApenL=)P' E!isten otros mecanismos de replicacin disponibles para ApenL=)P, como por ejemplo la replicacin usando syncrepl y la replicacin multi(master' Los mecanismos de replicacin de ApenL=)P est@n constantemente mejorando, por lo que se recomienda consultar la Gu?a del )dministrador -4 m@s actuali#ada para obtener la in"ormacin adecuada' Bin embar$o, a continuacin presentamos una comparati&a de al$unos de los mecanismos m@s populares: Mecanismo Caracter*sticas slur0d Blo permite un ser&idor maestro (niciado por el pro&eedor /odelo basado en PUBE Be ejecuta peridicamente Blo se ejecuta de %aber cambios .%ncre0l Blo permite un ser&idor maestro 1. 7ttp:))EEE.openldap.org)doc)admin2,)replication.7tml Pgina 5$ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e (niciado por el consumidor /odelo basado en PULL Be ejecuta peridicamente Blo se ejecuta de %aber cambios N(2a% multi( master )dmite &arios ser&idores maestros Es nI&?as, es decir, todos los ser&idores inician el proceso de replicacin Be ejecuta constantemente Puede causar problemas de inte$ridad Mirror mode )dmite slo dos ser&idores maestros Dequiere tres ser&idores: los dos maestros y un "rontend para escrituras Be ejecuta constantemente Permite esquemas de alta disponibilidad @xistencia de m4s de una co0ia Fs%ncre0lG Para implementar un ser&idor de rplica utili#ando syncrepl, se deben se$uir los pasos especi"icados en este /anual para la instalacin de ApenL=)P ase$ur@ndose que las respuestas que se %acen a las pre$untas de la instalacin sean i$uales que las que se dieron en la instalacin del ser&idor principal Lue$o, se deben a$re$ar las si$uientes l?neas al arc%i&o de con"i$uracin >etc>ldap>slapd'con": syncrepl ridL-;; ridLCCC, donde CCC es un nmero nico y arbitrario, ya que se pueden de"inir &arias rplicas en un mismo arc%i&o de con"i$uracin pro&iderLldap:>>-;'-;'-;'-> =ireccin (P del maestro typeLre"res%)ndPersist ipo de la replicacin Pgina 51 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e searc%baseLWdcLcnti,dcL$ob,dcL&e W *ase del directorio "ilterLW2object,lassL[7W Bi se desea "iltrar las entradas a replicar se puede de"inir un "iltro L=)P aqu? scopeLsub *ase de bsqueda 2sub@rbol7 attrsLW[W )tributos a replicar, [ para UtodosV sc%emac%ecFin$Lo"" 1eri"icar compatibilidad con los esquemas instalados en el ser&idor rplica bindmet%odLsimple /ecanismo de autenticacin binddnLWcnLadmin,dcLcnti,dcL$ob, dcL&eV =N del usuario que tiene pri&ile$ios para acceder a los datos en el maestro credentialsLmy"-r4treplica ,redenciales del =N anterior Es con&eniente utili#ar el =N del administrador del directorio L=)P 2en nuestro caso, cnLadmin,dcLcnti,dcL$ob,dcL&e7 ya que ste =N tiene pri&ile$ios para acceder a todo el directorio de "orma predeterminada' Bin embar$o, tambin es posible crear un =N distinto y otor$arle los permisos para acceder al directorio con slo lectura, por ejemplo: access to [ by PcnLreplica-,dcLcnti,dcL$ob,dcL&eP read Una &e# con"i$urado slapd'con", reiniciamos el ser&icio y se iniciar@ el proceso de replicacin' =ependiendo del &olumen de datos y la cone!in entre la rplica y el maestro podr@ tomar entre unos pocos se$undos y &arios minutos' Pgina 52 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ema :1 Particionando el directorio En la &asta mayor?a de los escenarios, almacenar todo el contenido de un directorio L=)P en un slo ser&idor L=)P es su"iciente y aceptable' La tecnolo$?a de los motores de almacenamientos disponibles en, por ejemplo, ApenL=)P, e&oluciona constantemente' Es sustentable tener directorios ApenL=)P con &arios millones de re$istros o"reciendo ser&icio de calidad a sus clientes' Bin embar$o, por ra#ones de se$uridad, administracin, sustentabilidad o rendimiento, al$unas or$ani#aciones pueden decir particionar su directorio L=)P entre &arios ser&idores ApenL=)P' Para ello, dele$an porciones del @rbol de in"ormacin en otros ser&idores ApenL=)P, y mantienen objetos de re"erencia que permiten pe$ar todos los ser&idores que "orman parte de la solucin' En este ejemplo, supon$amos que el =( %ipottico dcL$ob,dcL&e administrado por el ,N( para la )dministracin Pblica 1ene#olana desea dele$ar sub@rboles a cada una de las or$ani#aciones que la con"orman' omemos por ejemplo: dcEgob,dcEve: Gobierno 1ene#olano, ser&idor ldap'$ob'&e dcEcnti,dcEgob,dcEve1 ,N(, ser&idor ldap'cnti'$ob'&e dcEmo0vi,dcEgob,dcEve1 /AP1(, ser&idor ldap'mop&i'$ob'&e dcE,m/,dcEgob,dcEve1 +/E, ser&idor ldap'"m%'$ob'&e De,inicin de la re,erencia +n,erior En este caso, el ser&idor dcL$ob,dcL&e contendr?a las si$uientes entradas: Pgina 5+ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e 83@ntrada ra*9 de su 0ro0ia base dn: dcL$ob,dcL&e object,lass: top object,lass: dcAbject object,lass: or$ani#ation o: Gobierno de 1ene#uela dc: $ob structuralAbject,lass: or$ani#ation !36e,erencia a cnti3gob3ve dn: dcLcnti,dcL$ob,dcL&e object,lass: re"erral object,lass: e!tensibleAbject dc: subtree re": ldap:>>ldap'cnti'$ob'&e>dcLcnti,dcL$ob,dcL&e Esta ltima entrada se repetir?a para las otras bases y ser&idores que con"orman el esquema particionado' Pgina 5, de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e De,inicin de la re,erencia su0erior En el ser&idor ldap'cnti'$ob'&e correspondiente a la base dcLcnti,dcL$ob,dcL&e, y en cada uno de los otros que con"orman el esquema particionado, basta con colocar la si$uiente directi&a en el arc%i&o >etc>ldap>slapd'con": re"erral ldap:>>ldap'$ob'&e> O reiniciar el ser&icio con: in&oFeIrc'd slapd restart ,on esta directi&a, se le indica al ser&idor ApenL=)P del ,N( que en caso de que se solicite una entrada que no se encuentre en el ser&idor 2"uera de la ra?# dcLcnti,dcL$ob,dcL&e7 debe irse al ser&idor ldap'$ob'&e' ) su &e#, este ser&idor ldap'$ob'&e le redireccionar@ al apropiado o le indicar@ que no %ay entradas que coincidan con su solicitud' )s?, por ejemplo, un usuario en el ,entro Nacional de ecnolo$?as de (n"ormacin podr?a consultar in"ormacin sobre un usuario en el /inisterio del Poder Popular de Abras Pblicas y 1i&ienda mientras que la administracin de cada directorio es independiente' Pgina 5. de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Anexos @jercicio Pro0uesto NB8 Be le solicita cambiar la e!tensin tele"nica del usuario PAB(C Pmal&aradoP al nmero P66-44P, en este escenario indique: aG ,onsulta que reali#ar?a para conocer el =N del usuario bG )rc%i&o L=(+ de cambios que utili#ar?a para ldapmodi"y cG )r$umentos a utili#ar para el comando ldapmodi"y dG ,onsulta que reali#ar?a para con"irmar el cambio Premisas del @jercicio1 La base de bsqueda del directorio es la que corresponde al dominio =NB prueba'cnti'$ob'&e El ser&idor L=)P maestro se encuentra en la direccin (P -;'9;'.'K El nombre distinti&o 2=N7 del usuario para %acer cualquier consulta al ser&idor L=)P que amerite un cambio es el predeterminado que se con"i$ura utili#ando =ebcon" en la instalacin en =ebian, y este usuario tiene los permisos adecuados para reali#ar el cambio No se utili#a LB ni BBL .olucin del ejercicio1 a7 ldapsearc% Ib dcLprueba,dcLcnti,dcL$ob,dcL&e I% -;'9;'.K I= PcnLadmin,dcLprueba,dcLcnti,dcL$ob,dcL&eP IW I! uidLmal&arado dn bG En un arc%i&o, por ejemplo Pcambio'ldi"P: Pgina 55 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e dn: `dn del usuario mal&arado, &er punto )a c%an$etype: modi"y telep%oneNumber: 66-44 cG ldapmodi"y Ib dcLprueba,dcLcnti,dcL$ob,dcL&e I% -;'9;'.K I= PcnLadmin,dcLprueba,dcLcnti,dcL$ob,dcL&eP IW I! I" cambio'ldi" dG ldapsearc% Ib dcLprueba,dcLcnti,dcL$ob,dcL&e I% -;'9;'.K I= PcnLadmin,dcLprueba,dcLcnti,dcL$ob,dcL&eP IW I! uidLmal&arado telep%oneNumber Pgina 57 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e 6e,erencias ApenL=P) 26;;57, )ccess ,ontrol' =isponible en: ttp:>><<<'openldap'or$>doc>admin6:>accessIcontrol'%tml\)ccessJ6;,ontrol J6;,ommonJ6;E!amples ApenL=P) 26;;57, Deplication' =isponible en: %ttp:>><<<'openldap'or$>doc>admin6:>replication'%tml D+,IDe" 26;;87, caseE!act()4/atc%' =isponible en: %ttp:>>r"cIre"'or$>D+,I ECB>6K;9>F<Icasee!actia4matc%'%tml Bubmitted by j'onions at ne!or'co 2-8857, -'K'.'-':'-'-:..'--4'-6-'-'6. I ()4 Btrin$ synta!' =isponible en: %ttp:>><<<'al&estrand'no>objectid>-'K'.'-':'-'-:..'--4'-6-'-'6.'%tml Pgina 58 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Glosario de t$rminos A ACLs FAccess Control List/Lista de Control de AccesoG1 es una tabla que le dice a un sistema los derec%os de acceso que cada usuario posee para un objeto determinado, como directorios, "ic%eros, puertos, etc' cnicas para limitar el acceso a los recursos se$n la in"ormacin de autenticidad y las normas de acceso' A0ac/e1 es un so"t<are libre ser&idor EP de cdi$o abierto para plata"ormas Uni! 2*B=, GNU>Linu!, etc'7, Windo<s, /acintos% y otras' Presenta, entre otras caracter?sticas, mensajes de error altamente con"i$urables, bases de datos de autenticacin y ne$ociado de contenido' Ea sido desde )bril de -88. el ser&idor EP m@s usado' AP) FAdvanced PacIaging )oolG1 es un sistema de $estin de paquetes creado por el proyecto =ebian' )P simpli"ica en $ran medida la instalacin y eliminacin de pro$ramas en los sistemas GNU>Linu!H no e!iste un pro$rama apt en s? mismo, sino que )P es una biblioteca de "unciones ,33 que se emplea por &arios pro$ramas de l?nea de comandos para distribuir paquetes' En especial, aptI$et y aptIcac%e' A6PAN@)1 FAdvanced 6esearc/ Projects Agenc% Net2orI/6ed de la Agencia de Pro%ectos de +nvestigacin Avan9adaG1 es una red militar Norteamericana a tra&s de l?neas tele"nicas, de la que posteriormente deri& (nternet' Q Q+ND FQerIele% +nternet Name Domain, anteriormente1 QerIele% +nternet Name DaemonG1 es la implementacin del est@ndar =NB de uso m@s %abitual en la (nternet, especialmente en los sistemas tipo Uni!, en los cuales es un est@ndar de "acto' Pgina 58 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Q+ND#1 es una nue&a &ersin de *(N=' +ue escrita desde cero en parte para superar las di"icultades arquitectnicas presentes anteriormente para auditar el cdi$o en las primeras &ersiones de *(N=, y tambin para incorporar =NBBE,' *(N= 8 incluye entre otras caracter?sticas importantes: B(G, noti"icacin =NB, nsupdate, (P&., rndc "lus%, &istas, procesamiento en paralelo, y una arquitectura mejorada en cuanto a portabilidad' Es comnmente usado en sistemas GNU>Linu!' C Cac/e1 es todo duplicado del una in"ormacin ori$inal que se almacena en un lu$ar de acceso m@s r@pido que el ori$inal' Canaima1 es una distribucin GNU>Linu! 1ene#olana basada en =ebian que sur$e como una solucin para cubrir las necesidades o"im@ticas de los usuarios "inales de la )dministracin Pblica Nacional 2)PN7 y para dar cumplimiento al decreto presidencial Nro' K'K8; sobre el uso de ecnolo$?as Libres' D Datagramas1 es un "ra$mento de paquete que es en&iado con la su"iciente in"ormacin como para que la red pueda simplemente encaminar el "ra$mento %acia el equipo terminal de datos receptor, de manera independiente a los "ra$mentos restantes' DAP FDirector% Access ProtocolG1 es un est@ndar dentro de las redes de computadoras que %a sido promul$ado por la (UI y por la (BA en -885, para el acceso de un ser&icio de directorio C'4;;' Debian Project1 es una comunidad con"ormada por desarrolladores y usuarios, que mantiene un sistema operati&o GNU basado en so"t<are libre precompilado y empaquetado, en un "ormato sencillo en mltiples arquitecturas de computador y en &arios ncleos' DRCP FD%namic Rost Con,iguration Protocol / Protocolo de Con,iguracin Din4mica de .ervidoresG1 permite asi$nar (Ps de "orma din@mica, e indica Pgina 7$ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e ser&idores de nombre de dominios y $ate<ays desde un ser&idor a todos los clientes que se la pidan' Direcciones +P1 es un nmero que identi"ica de manera l$ica y jer@rquica a una inter"a# de un dispositi&o 2%abitualmente una computadora7 dentro de una red que utilice el protocolo (P 2(nternet Protocol7, que corresponde al ni&el de red o ni&el K del modelo de re"erencia AB(' Directorio1 es un conjunto de objetos con atributos or$ani#ados en una manera l$ica y jer@rquica' Distribucin1 es una recopilacin de pro$ramas y "ic%eros 2paquetes7, or$ani#ados y preparados para su instalacin en las di"erentes arquitecturas de %ard<are disponibles en el mercado, las cuales se pueden obtener a tra&s de (nternet, o adquiriendo los ,= de las mismas' DN. FDomain Name .%stemG1 es un sistema de nombres que permite traducir de nombres de dominio a direcciones (P y &ice&ersa' Dominio1 nombre b@sico de un conjunto de dispositi&os y computadores dentro de una red, los equipos o dispositi&os que lo componen cada uno posee un nombre perteneciente a ese dominio, que lo %ace m@s "@cil de recordar en &e# de utili#ar direcciones numricas para acceder a los mismos' Dovecot1 es un ser&idor de (/)P y PAPK de cdi$o abierto para sistemas GNU>Linu! > UN(CIliFe, escrito "undamentalmente pensando en se$uridad' +ue desarrollado por imo Birainen, y apunta principalmente a ser un ser&idor de correo de cdi$o abierto li$ero, r@pido, "@cil de instalar y por sobre todo se$uro' @ @.P F@nca0sulating .ecurit% Pa%loadG1 este protocolo proporciona autenticidad de ori$en, inte$ridad y proteccin de con"idencialidad de un paquete' EBP tambin soporta con"i$uraciones de slo ci"rado y slo autenticacin' @.M)P F@n/anced .im0le Mail )rans,er ProtocolG1 es una de"inicin de Pgina 71 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e e!tensiones de protocolo para el est@ndar B/P, cuyo "ormato de e!tensin "ue de"inido en el D+, -5.8 en -884' Este D+, estableci una estructura para todas las e!tensiones e!istentes y "uturas con el "in de producir una manera consistente y manejable por la cual los clientes y ser&idores B/P puedan ser identi"icados y los ser&idores B/P puedan seGalar las e!tensiones soportadas a los clientes conectados' 5 5rame 6ela%1 consiste en una "orma simpli"icada de tecnolo$?a de conmutacin de paquetes que transmite una &ariedad de tamaGos de tramas o marcos 2U"ramesV7 para datos, per"ecto para la transmisin de $randes cantidades de datos' Esta tcnica se utili#a para un ser&icio de transmisin de &o# y datos a alta &elocidad que permite la intercone!in de redes de @rea local separadas $eo$r@"icamente a un coste menor' 5SDN F5ull% Suali,ied Domain NameG1 es un nombre que incluye el nombre de la computadora y el nombre del dominio asociado a ese equipo' La lon$itud m@!ima permitida para un +T=N es 644 caracteres 2bytes7, con una restriccin adicional a .K bytes por etiqueta dentro de un nombre de dominio' Las etiquetas +T=N se restrin$en a un jue$o de caracteres limitado: letras )IN de )B,((, los d?$itos, y el car@cter fIg, y no distin$uen maysculas de minsculas' G GPL FGeneral Public License / Licencia PPblica GeneralG1 la Licencia Pblica General de GNU o m@s conocida por su nombre en in$ls GNU General Public License o simplemente su acrnimo del in$ls GNU GPL, es una licencia creada por la +ree Bo"t<are +oundation a mediados de los 5;, y est@ orientada principalmente a prote$er la libre distribucin, modi"icacin y uso de so"t<are' R Reader FCabeceraG1 es la primera parte de un paquete de datos que contiene Pgina 72 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e in"ormacin sobre las caracter?sticas de este' RDL. FRig/ bit rate Digital .uscriber Line / L*nea Digital de Abonado de alta velocidadG1 es un sistema de transmisin de datos de alta &elocidad que utili#a dos pares tren#adosH obteniendo &elocidades superiores al /e$abit en ambos sentidos' Rost1 un %ost o an"itrin es un ordenador que "unciona como el punto de inicio y "inal de las trans"erencias de datos'H m@s comnmente descrito como el lu$ar donde reside un sitio <eb' Un %ost de (nternet tiene una direccin de (nternet nica 2direcin (P7 y un nombre de dominio nico o nombre de %ost' R)ML FR%0er)ext MarIu0 Language / Lenguaje de Marcas de Ri0ertextoG1 es el len$uaje de marcado predominante para la construccin de p@$inas <eb' Es usado para describir la estructura y el contenido en "orma de te!to, as? como para complementar el te!to con objetos tales como im@$enes' + +DL@1 %ace re"erencia a la inacti&idad de un usuario en (D,' +@)5 F+nternet @ngineering )asI 5orce/Gru0o de )rabajo en +ngenier*a de +nternetG1 es una or$ani#acin internacional abierta de normali#acin, que tiene como objeti&os el contribuir a la in$enier?a de (nternet, actuando en di&ersas @reas, tales como transporte, encaminamiento, se$uridad' +ue creada en EE'UU en -85.' +J@ F+nternet Ie% exc/angeG1 es un protocolo usado para establecer una asociacin de se$uridad 2B)7 en el protocolo (psec' Bupone una alternati&a al intercambio manual de cla&es, y su objeti&o es la ne$ociacin de una )sociacin de Be$uridad para (PBE,, permitiendo adem@s especi"icar el tiempo de &ida de la sesin (PBE,, autenticacin din@mica de otras m@quinas, entre otras' +MAP F+nternet Message Access Protocol7: es un protocolo de red de acceso a mensajes electrnicos almacenados en un ser&idor' /ediante (/)P se puede tener acceso al correo electrnico desde cualquier equipo que ten$a una cone!in a Pgina 7+ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e (nternet' +P F+nternet ProtocolG1 el protocolo de comunicaciones (P permite que redes $randes y $eo$r@"icamente di&ersas de computadoras, se comuniquen con otras r@pida y econmicamente a partir de una &ariedad de eslabones "?sicos' +Psec F+nternet Protocol securit%G1 es un conjunto de protocolos cuya "uncin es ase$urar las comunicaciones sobre el Protocolo de (nternet 2(P7, autenticado y>o ci"rando cada paquete (P en un "lujo de datos' (Psec incluye tambin protocolos para el establecimiento de cla&es de ci"rado' +Pv;1 es la &ersin : del Protocolo (P 2(nternet Protocol7' Esta "ue la primera &ersin del protocolo que se implement e!tensamente, y "orma la base de (nternet' (P&: usa direcciones de K6 bits, limit@ndola a 6 K6 L :'68:'8.9'68. direcciones nicas, muc%as de las cuales est@n dedicadas a redes locales 2L)Ns7' +Pv>1 es una nue&a &ersin de (P 2(nternet Protocol7 y est@ destinado a sustituir a (P&:, cuyo l?mite en el nmero de direcciones de red admisibles est@ empe#ando a restrin$ir el crecimiento de (nternet y su usoH pero el nue&o est@ndar mejorar@ el ser&icio $lobalmenteH por ejemplo, proporcionar@ a "uturas celdas tele"nicas y dispositi&os m&iles con sus direcciones propias y permanentes' +PT F+nternet2orI PacIet @xc/ange / +ntercambio de 0a7uetes interredG1 es un protocolo de comunicaciones NetWare que se utili#a para encaminar mensajes de un nodo a otro' Los paquetes (PC incluyen direcciones de redes y pueden en&iarse de una red a otra' +6C 2+nternet 6ela% C/at7: es un protocolo de comunicacin en tiempo real basado en te!to, que permite debates en $rupo o entre dos personas' Be di"erencia de la mensajer?a instant@nea, porque los usuarios no deben acceder a establecer la comunicacin de antemanoH de tal "orma, que todos los usuarios que se encuentran en un canal pueden comunicarse entre s?, aunque no %ayan tenido nin$n contacto anterior' Pgina 7, de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e +.C Q+ND1 el nombre completo ori$inal del ser&idor *(N=8 desarrollado por la (nternet Bystems ,onsortium' +)U() F.ector de Normali9acin de las )elecomunicaciones de la U+)G1 es el r$ano permanente de la Unin (nternacional de elecomunicaciones 2U(7, que estudia los aspectos tcnicos, de e!plotacin y tari"arios y publica normati&a sobre los mismos, con &ista a la normali#acin de las telecomunicaciones a ni&el mundial' L LAN FLocal Urea Net2orIG1 es la intercone!in de &arias computadoras y peri"ricos' Bu e!tensin est@ limitada "?sicamente a un edi"icio o a un entorno de %asta 6;; metrosH su aplicacin m@s e!tendida es la intercone!in de computadoras personales y estaciones de trabajo en o"icinas, "@bricas, etc', para compartir recursos e intercambiar datos y aplicaciones' LDAP FLig/t2eig/t Director% Access Protocol/Protocolo Ligero de Acceso a DirectoriosG1 es un protocolo a ni&el de aplicacin que permite el acceso a un ser&icio de directorio ordenado y distribuido, para buscar di&ersa in"ormacin en un entorno de red' L=)P tambin es considerado una base de datos 2aunque su sistema de almacenamiento puede ser di"erente7 a la que pueden reali#arse consultas' N NA) FNet2orI Address )ranslation/)raduccin de Direccin de 6edG1 es un mecanismo utili#ado por routers (P para intercambiar paquetes entre dos redes, que se asi$nan mutuamente direcciones incompatibles' ,onsiste en con&ertir en tiempo real las direcciones utili#adas en los paquetes transportados' ambin es necesario editar los paquetes, para permitir la operacin de protocolos que incluyen in"ormacin de direcciones dentro de la con&ersacin del protocolo' Pgina 7. de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e N@)Q+. FNet2orI Qasic +n0ut/ut0ut .%stemG1 es una especi"icacin de inter"a# para acceso a ser&icios de red, es decir, una capa de so"t<are desarrollado para enla#ar un sistema operati&o de red con %ard<are espec?"ico' Nombres de dominio1 son direcciones nemotcnicas o alias que identi"ican un sitio de (nternet' N.. FNet2orI .2itc/ing .ubs%stem>Bubsistema de ,onmutacin de Ded7: es el componente que reali#a las "unciones de portar y administrar las comunicaciones entre tel"onos m&iles y la Ded de ,onmutada de ele"on?a Pblica 2PBN7 para una red GB/'
0enLDAP1 es una &ersin libre de L=)P que es un protocolo a ni&el de aplicacin
que soporta un ser&icio de directorio, se parece a una libreta de direcciones' ApenL=)P se basa en el est@ndar de ser&icio de directorio (BA C'4;; y en su protocolo =)P 2=irectory )ccess Protocol7' Be diseG para ser un protocolo simple y e"iciente para acceder al directorio =)P, por eso lo de li$%t<ei$%t , implementa un subconjunto de operaciones del C'4;;' .+ F0en .ource +nitiativeG1 es una or$ani#acin dedicada a la promocin del cdi$o abierto' +ue "undada en "ebrero de -885 por *ruce Perens y Eric B' Daymond' P PAM FPluggable Aut/entication Modules/Mdulos enc/u,ables de autenticacinG1 es un sistema de autenticacin que controla el acceso a DEL' PP: FPost(,,ice Protocol/Protocolo de ,icina de CorreosG1 es un protocolo que permite recuperar el correo desde una m@quina distinta a la que lo recibe y que es el m@s utili#ado en las cone!iones %abituales por mdem o D=B( a un pro&eedor 2ya sea mediante PPP o BL(P7' Pgina 75 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e Protocolos Cri0togr4,icos1 tambin llamado protocolo cripto$r@"ico o protocolo de ci"rado, es un protocolo abstracto o concreto que reali#a "unciones relacionadas con la se$uridad, aplicando mtodos cripto$r@"icos' PPP FPoint(to(0oint Protocol/Protocolo Punto a PuntoG1 permite establecer una comunicacin a ni&el de enlace entre dos computadoras' Generalmente, se utili#a para establecer la cone!in a (nternet de un particular con su pro&eedor de acceso a tra&s de un mdem tele"nico' Acasionalmente tambin es utili#ado sobre cone!iones de banda anc%a PP)P FPoint to Point )unneling ProtocolG1 es un protocolo de red creado por /icroso"t que permite la reali#acin de trans"erencias se$uras desde clientes remotos a ser&idores empla#ados en redes pri&adas, empleando para ello tanto l?neas tele"nicas conmutadas como (nternet' Prox%1 %ace re"erencia a un pro$rama o dispositi&o que reali#a una accin en representacin de otro' Bu "inalidad m@s %abitual es la de ser&idor pro!y, que sir&e para permitir el acceso a (nternet a todos los equipos de una or$ani#acin cuando slo se puede disponer de un nico equipo conectado, esto es, una nica direccin (P' 6 6AD+U. F6emote Aut/entication Dial(+n User .erviceG1 es un protocolo de autenticacin y autori#acin para aplicaciones de acceso a la red o mo&ilidad (P' 65C F6e7uest 5or Comments/Peticin de ComentariosG: son una serie de notas sobre (nternet que comen#aron a publicarse en -8.8' ,ada una de ellas indi&idualmente es un documento cuyo contenido es una propuesta o"icial para un nue&o protocolo de la red (nternet 2ori$inalmente de )DP)NE7, que se e!plica con todo detalle para que en caso de ser aceptado pueda ser implementado sin ambi$]edades' 6.A1 el sistema cripto$r@"ico con cla&e pblica DB) es un al$oritmo asimtrico Pgina 77 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e ci"rador de bloques, que utili#a una cla&e pblica, la cual se distribuye 2en "orma autenticada pre"erentemente7, y otra pri&ada, la cual es $uardada en secreto por su propietario' . .amba1 es una implementacin libre del protocolo de arc%i&os compartidos de /icroso"t Windo<s, para sistemas de tipo UN(C' =e esta "orma, es posible que ordenadores con GNU>Linu!, /ac AB C o Uni! en $eneral se &ean como ser&idores o acten como clientes en redes de Windo<s' Bamba tambin permite &alidar usuarios %aciendo de ,ontrolador Principal de =ominio 2P=,7, como miembro de dominio e incluso como un dominio )cti&e =irectory para redes basadas en Windo<sH aparte de ser capa# de ser&ir colas de impresin, directorios compartidos y autenti"icar con su propio arc%i&o de usuarios' .A.L 2.im0le Aut/entication and .ecurit% La%er/Ca0a de .eguridad % Autenticacin .im0leG1 es un "rame<orF para autenticacin y autori#acin en protocolos de internet' Bepara los mecanismos de autenticacin de los protocolos de la aplicacin permitiendo, en teor?a, a cualquier protocolo de aplicacin que use B)BL usar cualquier mecanismo de autenticacin soportado por B)BL' .GML F.tandard Generali9ed MarIu0 Language / @st4ndar de Lenguaje de Marcado Generali9adoG1 consiste en un sistema para la or$ani#acin y etiquetado de documentos' El len$uaje BG/L sir&e para especi"icar las re$las de etiquetado de documentos y no impone en s? nin$n conjunto de etiquetas en especial' .istema 0erativo1 es un so"t<are que administra y controla las acti&idades, y recursos de la computadora' ,omprende todos aquellos paquetes que le permiten al computador "uncionar como un conjunto de %erramientas e intrpretes de comandos' .M)P F.im0le Mail )rans,er Protocol/Protocolo .im0le de )rans,erencia de CorreoG1 es un protocolo de la capa de aplicacin' Protocolo de red basado en Pgina 78 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e te!to utili#ado para el intercambio de mensajes de correo electrnico entre computadoras u otros dispositi&os 2P=)Ps, tel"onos m&iles, entre otros'7' Est@ de"inido en el D+, 656- y es un est@ndar o"icial de (nternet' ..L F.ecure .ocIets La%er/Protocolo de Ca0a de Conexin .eguraG1 proporciona autenticacin y pri&acidad de la in"ormacin entre e!tremos sobre (nternet mediante el uso de cripto$r@"icos' ..L/)L. F.ecure .ocIets La%er/Protocolo de Ca0a de Conexin .egura % )rans0ort La%er .ecurit%/.eguridad de la Ca0a de )rans0orteG1 son protocolos cripto$r@"icos que proporcionan comunicaciones se$uras por una red, comnmente (nternet' .ubdominio1 es un sub$rupo o subclasi"icacin del nombre de dominio, el cual es de"inido con "ines administrati&os u or$ani#ati&os, que podr?a considerarse como un dominio de se$undo ni&el' Normalmente es una serie de caracteres o palabra que se escriben antes del dominio' En (nternet se podr?a decir que el subdominio se utili#a para re"erirse a una direccin <eb, que trabaja como un ane!o 2o sitio relacionado7 de un dominio principal' .A F.ervice riented Arc/itecture / Ar7uitectura rientada a .erviciosG1 es un so"t<are que administra y controla las acti&idades, y recursos de la computadora' ,omprende todos aquellos paquetes que le permiten al computador "uncionar como un conjunto de %erramientas e intrpretes de comandos' .AP F.im0le bject Access ProtocolG1 es un protocolo est@ndar que de"ine cmo dos objetos en di"erentes procesos pueden comunicarse por medio de intercambio de datos C/L' .APReader FCabeceras .APG1 es una clase especial de bajo ni&el para pasar o de&ol&er cabeceras BA)P' Es simplemente un contenedor de datos y no tiene mtodos especiales aparte de su constructor' ) Pgina 78 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e )ACAC. F)erminal Access Controller Access Control .%stem/.istema de Control de Acceso Mediante Control del Acceso desde )erminalesG1 es un protocolo de autenticacin remota que se usa para comunicarse con un ser&idor de autenticacin comnmente usado en redes Uni!' ),),B permite a un ser&idor de acceso remoto comunicarse con un ser&idor de autenticacin para determinar si el usuario tiene acceso a la red' )CP/+P F)rans,er Control Protocol / +nternet ProtocolG1 conjunto de protocolos de"inidos por catedr@ticos en el proyecto )DP)Net del =epartamento de =e"ensa de Estados Unidos, para la red uni&ersitaria (nternet en los aGos setenta' Esta "amilia de protocolos es un est@ndar para el intercambio de comunicaciones entre computadores' )LD F)o0 Level DomainG1 son los nombres en lo alto de la jerarqu?a de los =NB' )parecen en los nombres de dominio, como WnetW en W<<<'e!ample'netW' Los administradores del Wdominio de la ra?#W o W#ona de la ra?#W 2Wroot domainW or Wroot #oneW7 controlan lo que los L=s sean reconocidos por los =NB' Los L=s comnmente usados incluyen a 'com, 'net, 'edu, 'jp, 'de, etc' ).+G F)ransaction .+GnatureG1 usa lla&es o cla&es secretas compartidas y $erminador de una sola &?a para pro&eer un si$ni"icado se$uro cripto$ra"icado, para identi"icar cada punto "inal de una cone!in as? como el estar permitido a %acer o responder a la actuali#acin =NB3 ))L F)ime )o LiveG1 es el tiempo que un paquete permanece acti&o en una red' Eay un numero L en cada %eader de paquete (P, y a medida que un paquete pasa por cada router o enrutador, lo reduce por - este nmero' Bi el paquete lle$a a ;, los routers o enrutadores no se$uir@n reen&iando el paquete' )unneling1 tcnica que consiste en encapsular un protocolo de red sobre otro 2protocolo de red encapsulador7 creando un tnel dentro de una red de computadoras' U Pgina 8$ de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e UDP FUser Datagram ProtocolG1 es un protocolo del ni&el de transporte basado en el intercambio de data$ramas' Permite el en&?o de data$ramas a tra&s de la red, sin que se %aya establecido pre&iamente una cone!inH ya que el propio data$rama incorpora su"iciente in"ormacin de direccionamiento en su cabecera' UN+T1 es un sistema operati&o portable, multitarea y multiusuarioH desarrollado, en principio, en -8.8 por un $rupo de empleados de los laboratorios *ell de )h' C CAM FCide Area Net2orIs/6ed de Urea Am0liaG1 es un tipo de red de computadoras capa# de cubrir distancias desde unos -;;Fm %asta unos -;;; Fm, dando el ser&icio a un pa?s o un continente' T TML F@xtensible MarIu0 Language / Lenguaje de Marcas Am0liableG1 es un metalen$uaje e!tensible de etiquetas desarrollado por el Word Wide Web ,onsortium 2WK,7' ,onsiste en una simpli"icacin y adaptacin del BG/L y permite de"inir la $ram@tica de len$uajes espec?"icos 2de la misma manera que E/L es a su &e# un len$uaje de"inido por BG/L7' Por lo tanto, C/L no es realmente un len$uaje en particular, sino una manera de de"inir len$uajes para di"erentes necesidades' T3<""1 es un conjunto de est@ndares de redes de computadoras de la (UI sobre ser&icios de directorio, entendidos estos como bases de datos de direcciones electrnicas 2o de otros tipos7' Los protocolos de"inidos por C'4;; incluyen, protocolo de acceso al directorio 2=)P7, el protocolo de sistema de directorio, el protocolo de ocultacin de in"ormacin de directorio, y el protocolo de $estin de enlaces operati&os de directorio' Pgina 81 de 81 )&' )ndrs *ello, orre *+,, Piso -., /unicipio Libertador, ,aracas 0 1ene#uela /aster: 2345 6-67 489':4'8; 0 <<<'cnti'$ob'&e