0 calificaciones0% encontró este documento útil (0 votos)
1 vistas7 páginas
LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero/Simplificado de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP también se considera una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas.
Un directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica. El ejemplo más común es el directorio telefónico, que consiste en una serie de nombres (personas u organizaciones) que están ordenados alfabéticamente, con cada nombre teniendo una dirección y un número de teléfono adjuntos. Para entender mejor, es un libro o carpeta, en la cual se escriben nombres de personas, teléfonos y direcciones, y se ordena alfabéticamente.
LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero/Simplificado de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP también se considera una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas.
Un directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica. El ejemplo más común es el directorio telefónico, que consiste en una serie de nombres (personas u organizaciones) que están ordenados alfabéticamente, con cada nombre teniendo una dirección y un número de teléfono adjuntos. Para entender mejor, es un libro o carpeta, en la cual se escriben nombres de personas, teléfonos y direcciones, y se ordena alfabéticamente.
LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero/Simplificado de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP también se considera una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas.
Un directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica. El ejemplo más común es el directorio telefónico, que consiste en una serie de nombres (personas u organizaciones) que están ordenados alfabéticamente, con cada nombre teniendo una dirección y un número de teléfono adjuntos. Para entender mejor, es un libro o carpeta, en la cual se escriben nombres de personas, teléfonos y direcciones, y se ordena alfabéticamente.
tsirr20%8 Protocolo Ligara de Acceso a Drectoros - Wikipedia la enciclopacta ore
WIKIPEDIA
Protocolo Ligero de Acceso a Directorios
LDAP son las siglas de Lightweight Directory Access Protocol (en espaiiol Protocolo Ligero/Simplificado de Acceso
a Directorios) que hacen referencia a un protocolo a nivel de aplicacién que permite el acceso a un servicio de
directorio ordenado y distribuido para buscar diversa informacién en un entorno de red. LDAP también se considera
una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas.
Un directorio es un conjunto de objetos con atributos organizados en una manera légica y jerarquica.
1 ejemplo més
comin es el directorio telefénico, que consiste en una serie de nombres (personas u organizaciones) que estén
ordenados alfabéticamente, con cada nombre teniendo una direccién y un nimero de teléfono adjuntos. Para entender
mejor, es un libro o carpeta, en la cual se escriben nombres de personas, teléfonos y direcciones, y se ordena
alfabéticamente.
Un drbol de directorio LDAP a veces refleja varios limites politicos, geogréficos u organizacionales, dependiendo del
‘modelo elegido. Los despliegues actuales de LDAP tienden a usar nombres de Sistema de Nombres de Dominio (DNS
por sus siglas en inglés) para estructurar los niveles mas altos de la jerarquia. Conforme se desciende en el directorio
pueden aparecer entradas que representan personas, unidades organizacionales, impresoras, documentos, grupos de
personas o cualquier cosa que representa una entrada dada en el arbol (o miiltiples entradas).
Habitualmente, almacena la informacién de autenticacion (usuario y contrasefia) y es utilizado para autenticarse
aunque es posible almacenar otra informaci6n (datos de contacto del usuario, ubicacién de diversos recursos de la red,
permisos, certificados, etc). A manera de sintesis, LDAP es un protocolo de acceso unificado a un conjunto de
informacién sobre una red.
La version actual es LDAPV3, y se encuentra definido en los RFCs RFC 2251 y RFC 2256 (documento base de LDAP),
REC 2829 (método de autentificacién para LDAP), RFC 2830 (extensién para TLS), y RFC 3377 (especificacion
técnica)
Indice
Origen ¢ influencias
Visién general del protocolo
Estructura de directorio
URLs de LDAP
Variantes
Otros modelos de datos
Uso
Estructura de nombres
Terminotogia
Implementaciones,
Active Directory
Novell Directory Services
iPlanet - Sun ONE Directory Server
(OpenLDAP
Red Hat Directory Server
Apache Directory Server
Open DS
hips. wikipedia orgiwikiProtocolo_Ligero_de_Acceso_a_Directoros wrtsirr20%8 Protocolo Ligara de Acceso a Drectoros - Wikipedia la enciclopacta ore
Ret
Enlaces externos
ncias
Origen e influencias
‘La comprensién de los requerimientos de directorios por parte de las compaiifas de telecomunicaciones estaba bien
desarrollada después de 70 afios de producir y manejar directorios de teléfonos. Estas compafifas introdujeron el
concepto de servicios de directorio a teenologias de informacién y redes informéticas, que culmin6 en la especificacién
X.500, un conjunto de protocolos producido por la Unién Internacional de Telecomunicaciones (ITU por sus siglas en
inglés) en la década de 1980.
Los servicios de directorio X.500 se accedian tradicionalmente via DAP (Directory Access Protocol), que requeria la
pila de protocolos OSI (Open Systems Interconnection). LDAP fue originalmente dirigido a ser un protocolo
alternativo y ligero para acceder a servicios de directorio X.500 a través de la pila de protocolos mas simple (y ahora
mis difundida) TCP/IP. Este modelo de acceso a directorio fue imitado de los protocolos DIXIE. Directory Assistance
Service,
Pronto se implementaron servidores de directorio LDAP independientes, asi como los servidores de directorio que
soportaban DAP y LDAP. El tiltimo se hizo popular en empresas debido a que eliminaba cualquier necesidad de
desplegar una red OSI. Ahora, los protocolos de directorio X.500 incluyendo DAP pueden ser usados directamente
sobre TCP/IP.
El protocolo fue creado originalmente por Tim Howes (Universidad de Michigan), Steve Kille (Isode Limited), y
Wengyik Yeong (Performance Systems International) hacia 1993. Un desarrollo més completo ha sido hecho por la
Internet Engineering Task Force.
En
LDBP. Posteriormente fue renombrado dado que el ambito del protocolo habia sido expandido para incluir no s6lo
navegacién en el directorio y funciones de busqueda, sino también funciones de actualizacién de directorio.
primeras etapas de ingenierfa de LDAP, éste era conocido como Lightweight Directory Browsing Protocol, 0
LDAP ha influenciado protocolos posteriores de Internet, incluyendo versiones posteriores de X.500, XML. Enabled
Directory (XED), Directory Service Markup Language (DSML), Service Provisioning Markup Language (SPML), y
Service Location Protocol (SLP).
Visién general del protocolo
Un cliente inicia una sesién de LDAP conectandose a un servidor LDAP, preestablecido en el puerto TCP 389. El
cliente Iuego envia una peticién de operacién al servidor,
cliente no necesita esperar una respuesta antes de enviar la siguiente peticién, y el servidor puede responder en
cualquier orden,
y el servidor envia respuestas. Con algunas excepciones, el
El cliente puede requerir las siguientes operaciones:
= Start TLS — usar la extensién Transport Layer Security (TLS) LDAPv3 para una conexién segura
= Bind — autenticarse y especificar una versién del protocolo LDAP
= Search — buscar y obtener entradas de directorio
= Compare — probar si una entrada nombrada contiene un valor de atributo dado
= Add — Afiadir una nueva entrada
= Delete — Borrar una entrada
= Modify — Modificar una entrada
‘= Modify Distinguished Name (DN) — Modificar 0 renombrar una entrada
= Abandon — abortar una peticién previa
hitps:fes. wikipedia orgiwikiProtocolo_Ligero_de_Acceso_a_Directoros on15/172018 Protocolo Ligero de Acceso a Direcorios - Wikipedia, a encclopecia bre
= Extended Operation — operacién genérica usada para definir otras operaciones
= Unbind— cerrar la conexién (no es el inverso de Bind)
Ademés, el servidor puede enviar “notificaciones no solieitadas” que no son respuestas a ninguna peticién, por
ejemplo antes de que se termine el tiempo de conexién.
Un método alternativo comin para asegurar las comunicaciones LDAP es usar un tinel SSL. Esto es denotado en las
URLs de LDAP usando el esquema de URLs "Idaps". El puerto por defecto para LDAP sobre SSL es 636. El uso de
LDAP sobre SSL fue comin en LDAP Version 2 (LDAPv2) pero nunea fue estandarizado en una especificacién formal.
‘Su uso es considerado obsoleto al igual que LDAPv2, que ha sido retirado oficialmente en 2003.1
LDAP es definido en términos de ASN.1, y los protocolos del mensaje estén codificados en el formato binario BER. Sin
embargo, utiliza representaciones textuales para un nimero de campos y tipos ASN.1.
Estructura de directorio
El protocolo accede a direetorios LDAP, que siguen la edicién de 1993 del modelo X.500:
= Un directorio es un arbol de entradas de directorio.
= Una entrada consta de un conjunto de atributos.
= Un atributo tiene un nombre (un tipo de atributo o descripcién de atributo) y uno o mas valores. Los atributos son
definidos en un esquema (véase luego),
= Cada entrada tiene un identificador tnico: su Nombre distinguido (Distinguished Name, DN). Este consta de su
Relative Distinguished Name (RDN) construido por algunos atributos en la entrada, seguidos del DN de la
entrada del padre. Pensar en el nombre distinguido como el nombre completo de archivo y el nombre distinguido
relativo como el nombre de archivo relativo en una carpeta,
Se debe tener cuidado con el hecho de que un nombre distinguido puede cambiar durante tiempo de vida de una
entrada, por ejemplo, cuando se mueven las entradas en el &rbol. Para hacer mas confiables e identificar de manera no
ambigua las entradas se podria proporcionar un UUID en el conjunto de los atributos operacionales de la entrada.
Cuando se representa una entrada en el formato LDAP Data Interchange Format (LDIF) (LDAP por si mismo es un.
protocolo binario) puede tener el siguiente aspecto:
din: enedohn Doe,denexanple, decom
en: John Doe
giverNaee: John
‘telephoneNunber: +1 888 555 6789
elephoneNumber: $1 968 555.1232
mail: jonngexanple.con
Inanager: cnaBarbara Doe, de=exanple,de=con
seClass: inetOrgPerson
Class: organizationalperson
person
“dn” es el nombre de la entrada; no es un atributo ni tampoco parte de la entrada, “en=John Doe” es el nombre
distinguido relative, y “de=example,de=com” es el nombre distinguido de la entrada del padre, donde de indica
domain component (componente de dominio). Las otras lineas presentan los atributos en la entrada. Los nombres de
atributos son generalmente cadenas mnemotécnicas, como “en” para common name (nombre comin), “de” para
domain component (componente de dominio), “mail” para direccién de correo electronico y “sn” para surname
(apellido).
Un servidor aloja un subérbol comenzando por una entrada especifica, por ejemplo “de=example,d
‘om’ y sus hijos.
Los servidores también pueden almacenar referencias a otros servidores, con los cual un intento de acceso a
“ou=department,de=example,de=com” puede retornar una referencia o continuacién de referencia aun servidor que
hips. wikipedia orgiwikiProtocolo_Ligoro_de_Acceso_a_Directoros artsirr20%8 Protocolo Ligara de Acceso a Drectoros - Wikipedia la enciclopacta ore
aloja esa parte del Arbol de directorio. El cliente luego puede contactar al otro servidor. Algunos servidores también
soportan encadenamiento (chaining), que implica que el servidor contacta al otro servidor y devuelve el resultado al
cliente.
LDAP raramente define un ordenamiento: el servidor puede devolver los valores de un atributo, los atributos en una
entrada y las entradas encontradas por una operacién de busqueda en cualquier orden. Esto sigue la definicién formal
- una entrada es definida como un conjunto de atributos, y un atributo es un conjunto de valores, y los eonjuntos no
necesitan estar ordenados.
URLs de LDAP
Un formato URL de LDAP existe para descubrir qué clientes soportan en variedad de grados, y qué servidores
retornan como referentes y referencias de continuacién (ver RFC 4516):
‘La mayoria de los componentes, que son descritos debajo, son opcionales.
+ host es el FQDN o direccién IP del servidor LDAP donde se realiza la consulta.
* portes el puerto de red del servidor LDAP.
= DNes el nombre distinguido a usar como base de biisqueda.
* attributes es una lista separada con comas de atributos a devolver.
= scope especifica el émbito de biisqueda y puede ser "base" (por defecto), “one” o “sub*
* fitter es un fitro de busqueda. Por ejemplo (objectClass=*) como es definido en RFC 4515,
= extensions son extensiones al formato URL de LDAP.
Por ejemplo, “Idap://1dap example. con/cn=John&20D0e, de=exanple, dc=con” refiere a todos los usuarios en la
entrada de John Doe en 1dap.example.com, mientras “dap: ///dc=example, dc=com? ?sub? (givenName=John)”
busca por la entrada en el servidor por defecto (notar el triple barra inclinada, omitiendo el host, y la marca de doble
pregunta, omitiendo los atributos). Ast como en otros URL, los caracteres especiales deben ser codificados con signos
de porcentaje.
Hay un esquema de URL similar y no estindar para LDAP sobre SSL, 1daps:. Esto no debe confundirse con LDAP
sobre TLS, que se puede conseguir usando la operacién STARTTLS usando el esquema normal. 1dap:
Variantes
Varias de las operaciones de servidor son dejadas al implementador o administrador para que él decida eémo serén
realizadas. En consecuencia, los servidores pueden contar con soporte para una amplia variedad de escenarios.
Por ejemplo, el almacenamiento de datos en el servidor no es especificado -el servidor puede usar archivos de texto
plano, bases de datos, o s6lo ser una puerta de enlace para otro servidor. Hl control de acceso no es estandar, aunque
se han realizado trabajos en él y existen modelos cominmente usados. Las claves de usuarios pueden ser almacenadas
cen sus entradas del directorio o en otro lugar. El servidor puede rechazar realizar operaciones que desee, e imponer
varias limitaciones
La mayorla de secciones de LDAP son extensibles. Por ejemplo: Uno puede definir nuevas operaciones. Los controles
pueden modificar peticiones y respuestas, por ejemplo para solicitar resultados ordenados de bisqueda. Nuevos
Ambitos de busqueda y métodos de enlace pueden ser definidos. Los atributos pueden tener opciones que podrian
‘modificar su seméntica
Otros modelos de datos
hips. wikipedia orgwikiProtocolo_Ligero_de_Acceso_a_Directoros an15/172018 Protocolo Ligero de Acceso a Direcorios - Wikipedia, a encclopecia bre
Asi como LDAP ha tenido su momento cumbre, los proveedores lo han proporcionado como un protocolo de acceso a
otros servicios. La implementacién luego da forma a los datos para imitar el modelo LDAP/X.500, pero la rigidez con.
la que es seguido este modelo varia entre implementaciones. Por ejemplo, existe software para acceder a bases de
datos SQL a través de LDAP, a pesar de que LDAP no se presta para que esto ocurra.2 Los servidores
10 pueden
soportar también LDAP.
De forma similar, los datos que fueron previamente alojados en otros tipos de almacenamiento de datos son a veces
movidos a directorios LDAP. Por ejemplo, los usuarios de Unix y la inform:
‘on de grupos puede almacenarse en
LDAP y accedidos via médulos de PAM y NSS. LDAP es utilizado en ocasiones por otros servicios para conseguir
autenticacién.
Uso
Estructura de nombres
Dado que un servidor LDAP puede devolver referencias a otros servidores para efectuar nuevas peticiones que el
servidor mismo no puede devolver, una estructura de nombres para las entradas LDAP es requerida para que sea
posible encontrar un servidor alojando un nombre distinguido dado. Dado que una estructura ya existe en el DNS, los
nombres de alto nivel de los servidores a veces ofrecen nombres de DNS simulados, asi como se hacia en X.500.
Si una organizacién tiene el nombre de dominio example.org, su entrada de més alto nivel en LDAP tendré
generalmente como nombre distinguido de=example,de=org (donde dé
;nifica componente de dominio). Si el
servidor LDAP es también denominado Idap.example.org, el nivel mas alto de la organizacién de la URL del LDAP
URL se convierte en 1dap://1dap. example.org/dc=example, dc=org,
Bajo el alto nivel, los nombres de entradas generalmente reflejan la estructura organizacional interna o las
necesidades, en lugar de nombres de DNS.
Terminologia
La terminologia de LDAP que puede encontrarse es en ocasiones engorrosa, Esto en parte se debe a malentendidos,
otros ejemplos son debido a origenes histéricos, otros surgen cuando se us6 con servi
distintos de X.500 que usan
terminologia distinta. Por ejemplo, "LDAP" es a veces utilizado para referirse al protocolo, otras veces para el
protocolo y los datos. Un “directorio LDAP” puede ser los datos o también el punto de acceso. Un “atribut
€l tipo de atributo, o los contenidos de un atributo en un directorio o la deseripeién de un atributo (un tipo de atributo
con opciones), Un enlace (bind) anénimo es un método distinto de un enlace no autenticado, aunque ambos producen
estados de autenticacién anénima, por lo cual ambos términos son usados para ambas variantes. El atributo "uid"
puede ser
debe almacenar nombres de usuarios en lugar de identificadores numéricos de usuarios.
Implementaciones
Existen diversas implementaciones y aplicaciones reales del protocolo LDAP.
Active Directory
Active Directory es el nombre utilizado por Microsoft (desde Windows 2000) como almacén centralizado de
informacién de uno de sus dominios de administracién.
Un Servicio de Directorio es un depésito estructurado de la informacién de los diversos objetos que contiene el Active
Directory, en este caso podrian ser impresoras, usuarios, equipos...
hips. wikipedia orgwikiProtocolo_Ligero_de_Acceso_a_Directoros 5715/172018 Protocolo Ligero de Acceso a Direcorios - Wikipedia, a encclopecia bre
Bajo este nombre se encuentra realmente un esquema (definicién de Tos eampos que pueden ser consultados) LDAP
versi6n 3, lo cual permite integrar otros sistemas que soporten el protocolo. En este LDAP se almacena informacién de
usuarios, recursos de la red, politicas de seguridad, configuracién, asignacién de permisos, ete.
Novell Directory Services
‘También conocido como eDirectory es la implementacién de Novell utilizada para manejar el acceso a recursos en.
diferentes servidores y computadoras de una red. Bésicamente est4 compuesto por una base de datos jerarquica y
orientada a objetos, que representa cada servidor, computadora, impresora, servicio, personas, ete. entre los cuales se
erean permisos para el control de acceso, por medio de herencia. La ventaja de esta implementacién es que corre en
diversas plataformas, por lo que puede adaptarse ficilmente a entornos que utilicen mas de un sistema operativo.
iPlanet - Sun ONE Directory Server
Basado en la antigua implementacién de Netscape, iPlanet se desarrollé cuando AOL adquirié Netscape
‘Communications Corporation y luego conjuntamente con Sun Microsystems comercializaron software para servidores,
entre ellos el iPlanet Directory Server, su implementacién de LDAP... Actualmente se denomina Sun ONE Directory
Server.
OpenLDAP
Se trata de una implementacién libre del protocolo que soporta miiltiples esquemas por lo que puede utilizarse para
conectarse a cualquier otro LDAP.
Tiene su propia licencia, la OpenLDAP Public License (http://www.openldap.org/software/release/license.html). Al
ser un protocolo independiente de la plataforma, varias distribuciones GNU/Linux y BSD lo incluyen, al igual que
AIX, HP-UX, Mac OS X, Solaris, Windows (2000/XP) y 2/OS.
OpenLDAP tiene cuatro componentes principales:
«= slapd - demonio LDAP auténomo.
= slurpd - demonio de replicacién de actualizaciones LDAP auténomo,
= Rutinas de biblioteca de soporte del protocolo LDAP.
* Utlidades, herramientas y clientes,
Red Hat Directory Server
Directory Server es un servidor basado en LDAP que centraliza configuracién de aplicaciones, perfiles de usuarios,
informacion de grupos, politicas asi como informacién de control de acceso dentro de un sistema operative
independiente de la plataforma,
Forma un repositorio central para la infraestructura de manejo de identidad, Red Hat Directory Server simplifica el
‘manejo de usuarios, eliminando la redundancia de datos y automatizando su mantenimiento.
Apache Directory Server
Apache Directory Server (ApacheDS), es un servidor de directorio escrito completamente en Java por Alex Karasulu y
Aisponible bajo la licencia de Apache Software, es compatible con LDAPv3 certificado por el Open Group, soporta
otros protocolos de red tal como Kerberos y NTP, ademas prove Procedimientos Almacenados, triggers y vistas;
caracteristicas que estén presente en las Base de Datos Relacionales pero que no estaban presentes en el mundo
LpaP.
hips. wikipedia orgwikiProtocolo_Ligero_de_Acceso_a_Directoros ertsirr20%8 Protocolo Ligara de Acceso a Drectoros - Wikipedia la enciclopacta ore
Open DS
Basado en los estindares LDAPv3 y DSMIv2, OpenDS surgié como un proyecto interno de SUN, aunque
posteriormente se puso a disposicién de la comunidad. Esti desarrollado en JAVA y precisa de un entorno de
ejecucién (Java Runtime Environment) para funcionar. Es multiplataforma.
La primera version estable fue liberada en julio de 2008.8
Referencias
1. «Copia archivada» (https:/iweb.archive.org/web/20081004230324/http:/www.etf.org/IESG/Announcements/draft-
zellenga-Idapv2.ann). Archivado desde el original (http:/www.ietf.org/lESG/Announcementsidraft-zeilenga-Idapv2.
ann) el 4 de octubre de 2008, Consultado el 9 de octubre de 2008.
2, «OpenLDAP Software 2.4 Administrator's Guide: Backends» (hitp:/iwmw.openidap.orgidoc/admin24/backends ht
ml#SQL). Consultado el 2003,
3. http:/iwmw.opends.orgipromoted-builds/.0.0/
Enlaces externos
= Introduccién a LDAP (http://idapman. org/articles/sp_intro.htm!)
* Sitio web de OpenLDAP (hitp:/www.openldap.org)
= RFC 2251 LDAP v3 (http:/iwww.faqs.orgirfesirfc2251.html)
+ Apache Directory Server v1.5 (http:lidirectory apache. org/apacheds/1.5/)
= RFC 1777 LDAP (en espafiol, obsoleto por RFC3494) (http:/irfc-es.orgitfelrict777-es.txt)
= Configurar servidor LDAP Fedora 13 (http:/immw.tutorial-es.com/sistemas-operativos/fedora-13/40-configurar-Ida
p-servidor)
Obtenido de chttps://es. wikipedia orghwlindex.php?
title=Protocolo_Ligero_de_Acceso_a_Directorios&oldid=103762874»
Se edité esta pagina por ultima vez el 28 nov 2017 a las 10:09.
El texto esta disponible bajo la Licencia Creative Commons Atribucién Compartir Igual 3.0; pueden aplicarse
clausulas adicionales. Al usar este sitio, usted acepla nuestros términos de uso y nuestra politica de privacidad,
Wikipedia® es una marca registrada de la Fundacién Wikimedia, Inc., una organizacién sin dnimo de lucro,
hips. wikipedia orgwikiProtocolo_Ligero_de_Acceso_a_Directoros
7