Está en la página 1de 3

Breve Introduccin a LDAP

Lightweight Directory Access Protocol (Protocolo Ligero de Acceso a Directorios)


Est definido en el RFC 4501 y usa el puerto TCP 389. Se puede usar LDAP sobre
TLS/SSL en el puerto 636.
Tiene su origen en la especificacin X.500 para servicios de directorio, a su vez creada
a partir de la vasta experiencia en directorios telefnicos de las empresas de
telecomunicaciones.
Relaciona Prestaciones y usuarios mediante contraseas y permisos.
Facilita la gestin de muchas prestaciones y muchos usuarios en redes medianas y
grandes.
Definicin de dominio LDAP: es un conjunto de usuarios, contraseas, prestaciones y
permisos vinculados entre s por una relacin de confianza (= los usuarios tienen
contraseas como credencial para autenticarse como miembros del dominio y, luego,
permisos especficos sobre las prestaciones del dominio para poder usarlas).
LDAP habla de Directorios para sugerir la idea de consultar informacin de usuarios,
contraseas, prestaciones y permisos en un directorio apropiado en el que estn
depositados aquellos datos.
Todo dominio LDAP debe tener nombre. Aquel nombre coincide la mayora de las
veces con el nombre de dominio DNS. Ejemplo: suarezc.org.ec
Notacin algebraica:

Relacin de confianza entre dominios LDAP = DA

RD

Un dominio LDAP se representa grficamente como un rbol LDAP. A su vez, un rbol


de zona privada DNS es parte del rbol LDAP correspondiente.
Bosque LDAP (LDAP Forest): conjunto de dominios LDAP agrupados en un gran
dominio LDAP abarcador.
Un bosque LDAP puede estar formado por un nico dominio LDAP (conjunto unitario).

Contrasea: informacin alfanumrica que sirve como credencial asociada a una


cuenta de usuario para autenticarlo.
Clave: informacin alfanumrica que sirve para cifrar o descifrar en un algoritmo
criptogrfico.

Varios tipos de dominios por capa OSI: dominio de colisin, dominio de broadcast,
dominio de nombres DNS, dominio LDAP, dominio de aplicacin
o Notar el tecnocentrismo entre telecomunicadores, telemticos e informticos
y sus dominios, respectivamente: cada grupo piensa que su dominio es el
centro del mundo...

Controladores de dominio LDAP:


o Cada dominio tiene servidores a los que se les asigna el rol de controladores
del dominio LDAP. Son los encargados de autenticar a los usuarios y
comprobar los permisos sobre las prestaciones.
o Primary Domain Controller (PDC) y Backup Domain Controllers (BDCs), o
simplemente DCs (DC1, DC2, DC3, ).
o Promocin (Promotion) al rol de DC: asignar el rol de DC a un servidor que no
lo tena, si es que es necesario.

Base de Datos distribuida de LDAP:


o Sistema de bases de datos distribuidas que contienen la informacin LDAP del
dominio.
o Es el Directorio que contiene toda la informacin sobre cuentas de usuarios
y sus contraseas, cuentas de prestaciones y sus permisos.
o Base principal y original en el PDC o DC1.
o Una copia en cada DC secundario.
o Sincronizacin entre bases distribuidas que componen el sistema de bases
LDAP del dominio gracias al mecanismo de REPLICACIN.
o Cuentas de nudos en el dominio LDAP:
LDAP ID: Identificador del nudo como miembro del dominio (un
nmero entero nico, propio y diferente por cada PC, servidor,
impresora, etc.)
Las crea el administrador del dominio con su cuenta de superusuario,
o tambin usuarios a los que el administrador cede permisos para el
efecto.
Tras crear exitosamente la cuenta del nudo en el dominio LDAP, este
ltimo enva un mensaje al nudo informndole que ya es miembro del
dominio ("Bienvenido al Dominio A" o Welcome to the domain A).

Diagrama de diseo de dominio(s) LDAP:


o Muy til para visualizar la problemtica de necesidades y soluciones LDAP en
una organizacin determinada.

o
o

Figuras estndar: El tringulo (o pirmide) representa a un dominio y el crculo


(u valo) representa a un departamento organizacional dentro de un dominio.
Ejemplo:

Criterios simples de diseo de un dominio LDAP


o Localizacin geogrfica (= fsica) de usuarios y prestaciones.
o Localizacin organizacional (= lgica) de usuarios y prestaciones: a qu
departamento pertenece un usuario o prestacin?
o Dentro de un dominio LDAP puede haber subdominios, creados por
localizacin geogrfica y/u organizacional.
o Puede haber relacin (de confianza) entre dominios LDAP diferentes.
o Puede haber relacin (de confianza) entre bosques LDAP diferentes.

Implementaciones comerciales ms usadas:


o Linux: OpenLDAP
o Microsoft Active Directory Domain Services (MS AD DS)
Instalacin: dcpromo.exe /adv /unattend
El vocablo RECURSOS (= RESOURCES) fue introducido por Microsoft
como sinnimo para referirse a las formales PRESTACIONES.