UD3

ADMINISTRACION DE SERVIDIOS DE DIRECTORIO

1. Servicio de directorio
a. Cliente y Servidores de Directorio
b. Definición, elementos y nomenclatura
c. LDAP
i. Funcionamiento LDAP
2. Esquema del servicio de directorio
3. Funciones del dominio
4. Controladores de dominio
5. Acciones sobre el servicio de directorio
a. Instalaciones
i. Instalación de OpenLDAP
b. Configuración
c. Personalización
d. Desinstalación. Parada y arranque.
6. Integración del servicio de directorio con otros servicios.
7. Filtros de búsqueda
a. GNU/Linux
b. Windows Server
8. Creación de dominios.
9. Objetos que administra un dominio
a. Usuarios globales
b. Grupos
c. Otros
10. Relaciones de confianza entre dominios.
11. Herramientas graficas de administración del servicio de directorio
a. Herramientas graficas en Windows server
b. Herramientas graficas en distribuciones GNU/Linux
i. Administración del directorio mediante phpLDAPadmin
 1. Servicio de directorio´

Debemos empezar preguntándonos ¿qué es un servicio de directorio? Es

una aplicación o un conjunto de aplicaciones que almacena y organiza la
información sobre los usuarios de una red de ordenadores, sobre recursos de
red, y permite a los administradores gestionar el acceso de usuarios a los
recursos sobre dicha red. Además, los servicios de directorio actúan como una
capa de abstracción entre los usuarios y los recursos compartidos.

Pongamos un ejemplo. Un servicio de directorio es un servicio de nombres

para corresponder los nombres de los recursos de la red, con sus respectivas
direcciones de red. Con este tipo de servicio de directorio, un usuario no tiene
que recordar la dirección física de los diferentes recursos de la red, pues con
saber simplemente su nombre estará accediendo a tal recurso demandado.
Cada recurso de la red se considera como un objeto en el servidor de directorio,
donde la información de un recurso en particular se almacena como atributos de
ese objeto. La información que representa un objeto se establece de forma
segura, accediendo a tales objetos usuarios con los permisos adecuados para
poder manipular dicha información. Directorios más sofisticados son diseñados
con multitud de características y preferencias para poder manipular la
información del directorio, según la dificultad de gestión que su administrador
pretenda manejar.

Ahondando en el ejemplo: el típico recurso de una carpeta compartida. En

vez de acceder mediante su identificación de red y ruta completa; podríamos
acceder mediante su nombre de máquina y su nombre de recurso. Por ejemplo:
la máquina A comparte el directorio o carpeta c:\documents and
settings\usuario\compartir y lo nombra como micarpeta. La máquina B puede
acceder al recurso de la siguiente forma: \\A\micarpeta.

En la imagen podemos apreciar cómo se interrelacionan los distintos objetos

con servicios como DNS, CARPETAS, SERVIDORES DE IMPRESORAS,
GRUPOS, etc.

a. Cliente y Servidores de Directorio

Los servicios de directorio suelen implementarse siguiendo el modelo
cliente-servidor, por lo que una aplicación que quiere acceder al directorio no
accede directamente a la base de datos, sino que, llama a una función de la API
(Application Programming Interface) proporcionada por el servicio, que envía un
mensaje a un proceso del servidor. Este proceso accede al directorio y devuelve
el resultado de la operación.
API y protocolo: Una API define la interfaz de programación que un
lenguaje de programación particular utiliza para acceder a un servicio. El formato
y contenido de los mensajes intercambiados entre el cliente y el servidor deben
adherirse al protocolo acordado.
 Algunas veces, el servidor puede convertirse en el cliente de otro servidor
para conseguir la información necesaria para procesar la petición que se le ha
realizado.

Siguiendo este modelo, el cliente no depende de la arquitectura del

servidor y el servidor puede implementar el directorio de la manera más
conveniente.

El servidor de directorio y el cliente deben implementar un protocolo

común para comunicarse y es éste el que caracteriza las diferentes soluciones
que se han desarrollado. El Lightweight Directory Access Protocol ( LDAP )
facilita servicios centralizados y distribuidos de información mediante una red
TCP / IP y se ha convertido en el estándar de facto de acceso a la información
almacenada en un servidor de directorio para usuarios y aplicaciones .

Un directorio específico de una aplicación sólo almacena la información

necesaria para aquella aplicación en particular y no es accesible para otras
aplicaciones. La misma dirección de correo electrónico almacenada por una
aplicación de calendario también puede ser almacenada por una aplicación de
correo electrónico y por una aplicación que avisa a los operadores del sistema
de problemas en los equipos. Cada aplicación crea y administra su propio
directorio.

En un entorno donde sólo una aplicación debe acceder a los datos, tal vez
el esfuerzo necesario para implantar un servicio de directorio electrónico
estándar es innecesario, pero la experiencia demuestra que tarde o temprano
varias aplicaciones terminan utilizando estos datos, y en el caso de no haber
implantado un directorio centralizado nos encontramos con varios directorios que
deben estar sincronizados y que acceden de maneras diferentes a los datos
contenidos en directorios creados a medida. Esto implica un mayor esfuerzo
para hacer el mantenimiento y un freno al desarrollo de aplicaciones basadas en
el directorio. El hecho de disponer de un servicio de directorio común,
multiplataforma, accesible mediante un protocolo estándar y con una API
estándar, permite a los programadores desarrollar aplicaciones sin tener que
crear directorios específicos.

Desde el punto de vista de la administración de sistemas, configurar el

sistema para que las aplicaciones utilicen un servicio de directorio común,
diseñado de manera adecuada, permite controlar más fácilmente los riesgos de
fallo por inconsistencia datos y concentrar los esfuerzos en mejorar la
administración y la tolerancia a fallos del servicio.

b. Definición, elementos y nomenclatura

Vamos a empezar a entender los términos que utilizaremos en esta

unidad. Y empezaremos por las siglas LDAP: ("Lightweight Directory Access
Protocol", en español Protocolo Ligero de Acceso a Directorios) funciona con un
esquema clienteservidor, en el que uno (o varios) servidores mantienen la misma
información de directorio (actualizada mediante réplicas) y los clientes hacen
consultas a cualquiera de ellos.
 En el LDAP la información está estructurada en forma de árbol. Esta
estructura se denomina directorio y cada objeto o nodo se denomina entrada .
Por su parte, cada entrada está formada por un conjunto de atributos, cada uno
de los cuales es de un tipo y contiene uno o más valores.

Otro concepto, directorio, es una estructura jerárquica que almacena

información acerca de los objetos existentes en la red, tanto en la propia máquina
raíz del dominio como en aquellas que se encuentren en la misma red. Los
objetos en cuestión no son sólo carpetas, sino recursos en general. Es decir,
elementos como carpetas (o directorios en su nomenclatura anterior),
impresoras, etc.

La estructura del directorio se basa en los siguientes conceptos:

❖ Dominio: es la estructura básica. Permite agrupar todos los objetos que

se administrarán en forma estructurada y jerárquica.
❖ Organización: en el caso de que el dominio sólo atienda a una
organización, será única. En caso contrario, un mismo dominio puede
albergar varias organizaciones.
❖ Unidad organizativa: es una unidad jerárquica inferior del dominio,
puede estar compuesta por otra serie de objetos como unidades
organizativas (de nivel jerárquico inferior), grupos, etc.
❖ Grupos: son objetos del mismo tipo. Se utilizan, sobre todo, para la
asignación de los derechos de acceso a los recursos.
❖ Objetos: son representaciones de los recursos de red como: usuarios,
ordenadores, impresoras, etc.

Denominamos árbol de dominios del directorio a una estructura jerárquica

de dominios que comparten un espacio de nomenclatura contiguo, un esquema
común y un catálogo global común. Pongamos un ejemplo. Tenemos un dominio
llamado sored.local y un subdominio de éste, alumnos.sored.local. Estos
pueden formar parte de un árbol puesto que comparten la misma nomenclatura
contigua y pueden tener esquema y catálogo global comunes.

❖ Un bosque es la colección de todos los objetos, sus atributos y reglas

en el directorio activo.
❖ Los atributos se definen independientemente de las clases. Se define
sólo una vez pero se puede utilizar en múltiples clases.
❖ Las clases describen los posibles objetos del directorio que se puede
crear. Cada clase es una colección de atributos.

Estamos viendo que, en cuanto a nomenclatura, es similar a las DNS, es

decir, hay un dominio.
 c. LDAP

El modelo de datos de LDAP (derivado de X.500) define una estructura

jerárquica de objetos en forma de árbol, donde cada objeto o entrada posee un
conjunto de atributos. Cada atributo viene identificado mediante un nombre o
acrónimo significativo, pertenece a un cierto tipo y puede tener uno o
varios valores asociados.

Cada objeto está identificado inequívocamente en la base de datos del

directorio mediante un atributo especial denominado nombre
distinguido o dn (distinguished name). El resto de los atributos de la entrada
depende de qué objeto esté describiendo dicha entrada u objeto.

La definición de los posibles tipos de objetos, así como de sus atributos, que
pueden ser utilizados por el directorio de un servidor de LDAP, la realiza el propio
servidor mediante el denominado esquema del directorio. El esquema contiene
las definiciones de los objetos que pueden darse de alta en el directorio.

El nombre distinguido de cada entrada del directorio es una cadena de

caracteres formada por pares tipo_atributo=valor separados por comas, que
representa la ruta invertida que lleva desde la posición lógica de la entrada en el
árbol hasta la raíz del mismo. Puesto que se supone que un directorio almacena
información sobre los objetos que existen en una cierta organización, cada
directorio posee como raíz (o base, en terminología LDAP) la ubicación de dicha
organización, de forma que la base se convierte de forma natural en el sufijo de
los nombres distinguidos de todas las entradas que mantiene el directorio.

Aunque existen dos formas de nombrar la raíz de un directorio LDAP,

nosotros utilizaremos la nomenclatura basada en nombres de dominio de
Internet (como en los DNS), que utiliza los dominios DNS para nombrar la raíz
de la organización. Por ejemplo, la base de la organización SORED, sería
"dc=sored, dc=es".

A partir de esa base, el árbol se subdivide en nodos y subnodos, tantos como

se estimen oportunos para estructurar, de forma adecuada, los objetos de la
organización. Objetos que se ubican finalmente como las hojas del árbol. De esta
forma, el nombre distinguido de cada entrada describe su posición en el árbol de
la organización, de forma análoga a un sistema de archivos típico, en el que el
nombre absoluto (unívoco) de cada archivo equivale a su posición en la jerarquía
de directorios del sistema, y viceversa.

i. Funcionamiento LDAP

LDAP es un estándar y no un hardware o software que se puede comprar.

Lo que se instala en el equipo cliente o servidor es la implementación de este
protocolo; la cuestión de cómo almacenar o tratar los datos se deja a los
proveedores de la aplicación de la norma final.
 En el modelo cliente-servidor de LDAP, ante una consulta concreta del
cliente, el servidor contesta con la información solicitada. La respuesta puede
ser, de forma alternativa (o además de la información que se había solicitado),
un puntero que indica dónde conseguir esta información o datos adicionales
(habitualmente, el puntero apunta a otro servidor de directorio).

Esta configuración cliente-servidor se puede hacer con un único servidor.

Con este funcionamiento se provee el servicio de directorio para una sola
organización.

Se puede decidir separar el directorio entre varios servidores por

motivos organizativos o para facilitar su gestión. Se este caso se pueden delegar
partes del directorio a otro servidor. Esta configuración también se utiliza si se
quiere que el directorio forme parte de un directorio global. El servidor está
configurado para volver referencias a otros servidores LDAP en caso de que se
le pida información de la que no dispone, pero que sabe dónde conseguir.

Se puede aumentar la disponibilidad y la fiabilidad del directorio utilizando

más de un servidor LDAP para mantener la información. Por otra parte, durante
un tiempo limitado puede carecer sincronización entre maestro y esclavos. La
actualización de datos se produce a nivel de entrada y no de atributo, por lo que
si se modifica un atributo, el maestro envía a los esclavos toda la entrada, lo que
es problemática cuando hay entradas grandes o modificaciones frecuentes.

Además de la configuración maestro-esclavo , hay implementaciones con

replicación (las actualizaciones se replican en varios nodos que pueden actuar
como maestro).

El LDAP se implementa directamente en TCP / IP y utiliza cadenas simples

para transportar los datos. Es un protocolo orientado a mensajes, es decir, en
cuanto llega un mensaje al receptor, la operación de recepción ha terminado,
porque ya se ha recibido toda la información referente a ese mensaje.
Todos los mensajes de ida y vuelta entre el servidor y el cliente las peticiones
que el cliente envía al servidor, los resultados que el servidor envía al cliente y
los códigos de resultado-viajan en este formato. El proceso es el siguiente:

1. El cliente LDAP envía una solicitud al servidor LDAP .

2. El servidor ejecuta una o varias operaciones (según lo que se especifique

en la solicitud).

3. En el caso de una transmisión correcta, el servidor envía los resultados.

En caso de error se envía al cliente el código de error correspondiente.

Cada mensaje LDAP, tanto si es una petición como una respuesta, contiene
la identificación del mensaje, un código de operación y los datos. El identificador
del mensaje se necesita para determinar la solicitud a la que corresponde una
respuesta, dato muy importante, porque el modo del LDAP no requiere que las
solicitudes y respuestas se hagan de forma síncrona.
 2. Esquema del servicio de directorio

Ya hemos mencionado qué es un esquema del servicio de directorio. Ahora

vamos a profundizar un poco en él.

Debemos definir, primero, qué es un esquema de directorio: el esquema es

la colección de atributos definidos, clases de objetos definidas, y ACI para
controlar dónde es almacenado cada dato. De forma colectiva se utiliza la
nomenclatura ACL o lista de control de acceso.

Por ejemplo, tu grupo puede dar facilidades de acceso como cambiar la

localización de los empleados, su ubicación en general, o número de oficina,
pero no se permite que se modifiquen entradas de cualquier otro campo. Las ACI
pueden controlar el acceso dependiendo de quién está solicitando los datos, que
datos están siendo solicitados, dónde están los datos almacenados, y otros
aspectos del registro que está siendo modificado. Todo esto hecho directamente
a través del directorio LDAP, así que no necesitas preocuparte de hacer
comprobaciones de seguridad en el nivel de aplicación de usuario.

Cualquier base de datos, sin tener en cuenta su complejidad o tecnología

subyacente, tiene un esquema. Para entendernos aún mejor, un esquema es el
modelo de los datos, el diseño de cómo deben almacenarse los datos, qué tipos
de datos podrán ser accesibles, y las relaciones entre datos almacenados en
varias entradas.

Cuando configuras tu directorio LDAP, la información para cualquier entrada

dada se almacena con una serie de atributos. Tú puedes crear nuevos tipos de
valores que serán almacenados en el directorio.

Colectivamente, a todos los atributos que pueden ser utilizados para un tipo
de objeto específico se les llama Clases de Objetos (Object Class, en ingles).
Como con los atributos, podemos definir nuevas clases de objetos para
adecuarlas a la organización de los datos, es decir, según tus necesidades.
Dentro de cada clase de objetos, podemos designar que atributos son
requeridos, y cuales son meramente opcionales.

En la imagen podemos observar un típico esquema de un servicio de

directorio. Dónde, para llegar al identificador "babs" debemos recorrer una
estructura en forma de árbol. Es decir, en un formato de internet, tipo URL, sería
"babs.People.example.com.".
 Ahora bien, en formato DN "DN: 'uid=babs,
ou=People,dc=example,dc=com'".

Comúnmente se usan las estructuras de árbol para jerarquizar la

información en un medio. Por ejemplo, tenemos la estructura de un sistema de
archivos dentro de un sistema operativo. De esta manera nos permiten ordenar
y organizar la información en subdirectorios que contienen información
específica.

Como ejemplo, además, podemos añadir el formado de los servidores DNS.

Por ejemplo, www.empresa.com que sería, www, un subdominio de
empresa.com.

3. Funciones del dominio

Actualmente hay, en el mercado, dos productos que están basados en la

misma idea, LDAP. Estos son Active Directory de Microsoft para plataformas
propietarias de Windows y OpenLDAP, de libre distribución.

El software OpenLDAP es una implementación del protocolo LDAP que nos

permite instalar, configurar y mantener el servicio de directorio de una
organización. Este software es compatible con la mayoría de distribuciones de
Linux y con otros sistemas operativos, como Android, Mac OS X, Solaris.

¿Por qué marcamos estas diferencias? Porque Active Directory integra todos
los servicios dentro del Directorio Activo. Sin embargo, openLDAP no los integra,
deben ser integrados o, más bien, ceder parte del control de un servicio al
servicio openLDAP.

A modo de ejemplo: en Linux existen servicios como Samba, NFS. Son

servicios independientes y gestionan recursos de forma independiente. Puede
darse el caso que unos determinados usuarios queramos que entren a unos
recursos que gestionan estos dos servicios. Entonces habrá que configurar
ambos servicios para que estos usuarios puedan acceder a los recursos
mencionados. Pues bien, si estos servicios los integramos en OpenLDAP, sólo
será necesario configurar estos usuarios dentro del LDAP para que accedan a
dichos recursos.

Dadas las características de LDAP sus usos más comunes son:

❖ Directorios de información. Por ejemplo bases de datos de empleados

organizados por departamentos (siguiendo la estructura organizativa de
la empresa) o cualquier tipo de páginas amarillas.
❖ Sistemas de autenticación/autorización centralizada. Grandes
sistemas donde se guardan grandes cantidades de registros y se requiere
un uso constante de los mismos.
 4. Controladores de dominio
Empezamos por preguntarnos, ¿qué es un controlador de dominio? Un
controlador de dominio es una entidad administrativa, esto es, no es un
ordenador en concreto, sino un conjunto de ordenadores agrupados que se ciñen
a unas reglas de seguridad y autenticación comunes.

Para regular un dominio, se precisa al menos de un equipo que sea el

controlador principal, la fuente primera donde se almacenan las reglas del
dominio, y donde serán consultadas esas reglas en última instancia. Un
controlador primario de dominio (PDC) puede implementarse tanto bajo Windows
como bajo Linux.

Por ejemplo, el controlador de dominio es el centro neurálgico de un

dominio de un servidor Windows con Active Directory. Los controladores de
dominio tienen una serie de responsabilidades. Una de ellas es la autenticación
de los usuarios que acceden al sistema. De esta forma podrá denegar el acceso
a los recursos compartidos de la propia máquina o a otra máquina de la red. Y
esto se realiza, normalmente, mediante la combinación de usuario y clave.

¿Pueden existir varios controladores de dominio? No, si queremos

implementar un sistema de control único a distintos recursos de la red, no
debemos crear varios dominios. Sí es conveniente que existan varios servidores
que permitan distribuir los recursos a los que accederán los distintos usuarios.

Por ejemplo, en servidores Windows el servidor puede estar como

controlador de dominio, como servidor miembro (es un equipo en el que se
ejecuta Windows 2008 y pertenece al dominio, pero que no actúa como
controlador de dominio. Puede realizar funciones de servidor de aplicaciones, de
impresión, etc.), y como servidor independiente (se trata de un servidor que se
incorpora a un grupo de trabajo en lugar de a un dominio).

En el caso de servidores Windows, pueden coexistir más de un servidor

como controlador de dominio, pero para dominios completamente distintos.
Inclusive puede existir lo que se denomina una confianza mutua. Es decir, se
confían datos de un controlador de dominio a otro pero realmente son
controladores de su propio dominio.

Otro caso es que un servidor sea subdominio o secundario de otro. Active

Directory permite crear estructuras jerárquicas de dominios y subdominios,
facilitando la estructuración de los recursos según su localización o función
dentro de la organización a la que sirven. Otra diferencia importante es el uso de
estándares como X.500 y LDAP para el acceso a la información.

5. Acciones sobre el servicio de directorio

Ya sabemos que el servicio de directorio se basa en la arquitectura del

modelo cliente-servidor.
 Uno o más servidores LDAP contienen los datos que conforman el árbol de
directorio LDAP o base de datos troncal, el cliente LDAP se conecta con el
servidor LDAP y le hace una consulta. El servidor contesta con la respuesta
correspondiente, o bien con una indicación de donde puede el cliente encontrar
más información. No importa con qué servidor LDAP se conecte el cliente, ya
que siempre observará la misma vista del directorio; el nombre que se le
presenta a un servidor LDAP hace referencia a la misma entrada a la que haría
referencia en otro servidor LDAP.

Para llegar al momento en que el servicio de directorio se comporte para lo

que fue diseñado, debemos seguir un proceso: instalación, configuración y
personalización.

Desde luego, debe realizarse una planificación de todo el proceso. Qué

vamos a instalar, qué árbol, qué grupos tendremos, qué usuarios y en qué grupos
estarán englobados, qué privilegios tendrán, con qué recursos contaremos, qué
privilegios tendrán los distintos usuarios y/o grupos sobre los recursos, a qué
máquinas dará servicio, cómo se conectarán, etc.

Todo eso debe estar planificado antes de proceder a la realización de la

instalación.

Antes de implementar un directorio hay que hacer una planificación

anticipada de algunos aspectos:

❖ Definir para qué se utilizará, es decir, definir los contenidos del directorio.
❖ Decidir cuál será la organización de los datos. Con el LDAP la información
se representa en forma de árbol, por tanto, antes de comenzar debemos
pensar qué forma tendrá este árbol de información del directorio o DIT
(Directory Information Tree).
❖ Definir aspectos de seguridad de los datos.
❖ Definir aspectos de rendimiento.

Sólo trataremos los dos primeros puntos.

a. Instalaciones
i. Instalación de OpenLDAP

Los componentes básicos de la implementación OpenLDAP son los siguientes:

❖ El servidor slapd ( standalone LDAP daemon ): un demonio que

escucha por diferentes puertos (por defecto por el puerto 389) peticiones
de conexión LDAP .
❖ Las librerías de cliente LDAP: librerías que implementan el protocolo
LDAP y que pueden ser utilizadas para desarrollar software cliente con
acceso al protocolo LDAP.
❖ Utilidades, herramientas y varios clientes de muestra.
 La arquitectura del servidor slapd está dividida en una sección de
procesamiento, que controla las conexiones de red y el procesamiento
del protocolo, y una sección de procesamiento de segundo plano ( backend
), que se encarga de la almacenamiento y la recuperación de los datos en
respuesta a las peticiones que se reciben.

Antes de la instalación debemos disponer de acceso con derechos de

administrador ( root ) a un equipo con sistema operativo Linux con conexión a
Internet y que no tenga instalado previamente OpenLDAP. Antes de utilizar
aptget o aptitude, debemos asegurarnos de que el sistema operativo tiene el
nombre de la máquina y el FQDN correctamente configurados. Para comprobarlo
usaremos la orden hostname . Con esta orden conoceremos tanto el nombre de
la máquina como el FQDN (nombre completo del dominio).

b. Configuración

En primer lugar, deberemos tener organizadas las unidades organizativas,

los grupos, los usuarios y los recursos.

Posteriormente, debemos articular todas las interfaces necesarias para

que este servicio esté disponible desde una conexión remota. Como por ejemplo
desde otro equipo que actúe como cliente. Recuerda que estamos en una
arquitectura cliente/servidor.

¿Qué significa "articular todas las interfaces necesarias"? Pues realizar

tareas como:

❖ Configuración del Protocolo Internet (IP).

❖ Activar la conexión de red durante la instalación.
❖ Conexión "Siempre encendido". Sólo si queremos proporcionar a los
clientes acceso a Internet.
❖ Configuración DNS.
❖ Conexiones de cliente.
❖ NetBIOS sobre TCP/IP. Sólo Active Directory.
❖ Paquete de cifrado elevado y software de conexión a Internet. Sólo Active
Directory.

Para el caso de Active Directory, este servicio integra todo el sistema local en
el sistema del dominio. Es decir, no debemos realizar ninguna tarea salvo asignar
la clave, en la instalación, del usuario administrador. Todo el sistema de recursos
lo gestiona directamente su LDAP.

En el caso de LDAP para GNU/Linux cambia radicalmente el concepto y la

configuración. ¿Por qué? Porque LDAP realmente lo trata como servicio y las
tareas que debemos realizar serán que deleguen los servicios que deseamos
integrar para que los gestione LDAP. ¿Qué tareas debemos realizar? En primer
lugar, migrar los usuarios y grupos del sistema como parte integrante del LDAP.
 c. Personalización

¿Qué significa "personalizar" un servicio? La personalización es el acto

de adaptar el resultado en primer lugar a la instalación y posterior configuración
general, y en segundo lugar adaptarlo a las necesidades requeridas.

Pongamos un ejemplo, con el AD (Active Directory) necesitamos que los

usuarios accedan, desde un terminal, a su área de trabajo asignando una unidad
lógica a esa área de trabajo. Bien, pues debemos lanzar el programa para
gestionar los usuarios y equipos de AD y realizar las tareas que nos conduzcan
a cumplir con los requisitos necesarios.

Otro ejemplo más, si tenemos una máquina con servidor Linux, podría no
estar correctamente configurado el nombre de la máquina o simplemente hacer
alguna variación sobre la configuración estándar. Para repasar la configuración
del slapd podemos utilizar la orden:

# dpkg‐reconfigure slapd

d. Desinstalación. Parada y arranque.

Podemos eliminar el software OpenLDAP del sistema con el gestor aptitude

. Se puede utilizar la opción remove o la opción purge . La diferencia es que con
remove sólo eliminamos el software, mientras que con purge eliminamos
también los archivos de configuración y la base de datos del directorio.

Por ejemplo: # aptitude purge slapd

Igualmente, si hemos instalado el paquete ldap‐utils y queremos eliminar

del sistema, podemos hacerlo con la orden aptitude y las opciones remove o
purge :

# aptitude remove ldap‐utils

Si comprobamos los servicios, veremos que el demonio slapd se activa por

defecto al iniciarse el sistema. Como cualquier otro servicio, se puede detener el
servicio slapd mediante la orden stop:

root @ servidor: ~ # service slapd stop

Y se puede volver a activar manualmente con el orden start:

root @ servidor: ~ # service slapd start

 6. Integración del servicio de directorio con otros servicios.

Ya se ha mencionado anteriormente que el LDAP es un servicio

independiente. Y debemos tener otros servicios como, por ejemplo, servidor
FTP, servidor de correo electrónico, SMTP y/o POP3/IMAP, etc. Para obtener
las ventajas de dicho servicio, debemos estimar cuáles deseamos integrar dentro
del LDAP.

Pongamos un ejemplo.

El servidor FTP cuando un usuario intenta conectarse al servidor FTP lo hará

con unas credenciales. Estas credenciales, por defecto, estarán integradas en el
sistema. Si el usuario "juan" con contraseña "SanTanDer" quiere acceder a su
área de trabajo, utilizará un cliente FTP, introducirá su usuario y contraseña, y,
si es correcto, accederá a su área de trabajo.

El usuario y su correspondiente contraseña, en sistemas operativos

GNU/Linux, se encuentran en los archivos "/etc/passwd" y "/etc/shadow".

Utilizando el servicio LDAP como soporte para las credenciales de los

usuarios, el usuario que intente acceder a su área de trabajo, estará en la base
de datos del sistema o en la base de datos del servicio LDAP. Para conseguir
esto, debemos indicarle, en la configuración del servicio FTP, que busque los
usuarios, aparte de en la base de datos del sistema operativo, en la base de
datos que utiliza el servicio LDAP.

En el caso de AD (Active Directory) todos los servicios propios del sistema

operativo se integran automáticamente. Sólo debemos tener en cuenta aquellos
que no son propios del sistema operativo. Por ejemplo, si instalamos el servidor
Apache, es posible que no lo integre en el AD y tenemos que realizarlo nosotros
manualmente.

7. Filtros de búsqueda

Las utilidades de línea de comandos son principalmente usadas por

programadores y administradores de sistemas como herramienta de trabajo,
especialmente en sistemas operativos basados en Unix, ya sea localmente o con
una conexión remota. El software OpenLDAP ofrece utilidades para poder
administrar el directorio desde una interfaz de línea de comandos. Además de
las utilidades proporcionadas por el paquete slapd , el paquete de software ldap-
utils proporciona una serie de herramientas para línea de comandos que
permiten la interacción con el directorio. Utilidades proporcionadas por el slapd
Las utilidades proporcionadas por el paquete slapd permiten controlar
el funcionamiento del servidor:

❖ slappasswd : se utiliza para generar una contraseña válida.

❖ slapindex : reindexar las entradas en la base de datos del slapd.
❖ slapd
❖ slapauth : sirve para comprobar el funcionamiento de la autenticación de
los usuarios.
 ❖ slapacl : permite comprobar el acceso a una lista de atributos, abriendo el
backend del slapdconfig y mirando las directivas olcAccess
❖ slapadd : sirve para añadir entradas al directorio mediante archivos LDIF.
❖ slapdn : sirve para comprobar si una entrada del árbol sigue las normas
de los esquemas definidos.
❖ slaptest : se puede utilizar para convertir archivos .schema en .ldif.
❖ slapcat : esta orden devuelve en formato LDIF todo el contenido de la
base de LDAP

Utilidades proporcionadas por ldap-utils que permiten acceder como cliente

al servidor. Para usarlas se debe instalar el paquete ldap-utils. Aunque están
pensadas para usarse desde un cliente, su instalación en el servidor facilitará la
administración. Las más utilizadas son:

❖ ldapdelete : permite eliminar una entrada del directorio.

❖ ldappasswd : cambia la contraseña de una entrada LDAP.
❖ ldapexop : permite iniciar operaciones ampliadas LDAP.
❖ ldapcompare : permite realizar comparaciones en el directorio LDAP.
❖ ldapmodify : editar entradas en el servidor LDAP.
❖ ldapsearch : es la herramienta de búsqueda para el servidor LDAP.
❖ ldapwhoami : devuelve el usuario con el que se está trabajando. También
permite comprobar la conexión de usuario y la contraseña.
❖ ldapmodrdn : utilidad para renombrar entradas del directorio.
❖ ldapurl : permite componer o descomponer URIs LDAP.
❖ ldapadd : añade entradas al servidor LDAP .

Pues de eso se trata, restringir las búsquedas mediante filtros, mediante

restricciones con información que ya disponemos. Cuanta más información
tengamos, menor cantidad de resultados nos dará y será más fácil encontrar el
objeto que buscamos.

La búsqueda de objetos o entradas al directorio se pueden realizar bien a

nivel de comando, o bien con un entorno gráfico que permita esta opción.

a. GNU/Linux
En un entorno LDAP de GNU/Linux, y en modo terminal, utilizamos el
comando ldapsearch. Este comando abre una conexión a un servidor LDAP,
enlaza y hace una búsqueda usando los parámetros especificados.

El comando ldapsearch incluido en las últimas versiones de OpenLDAP

tiene esta sintaxis:

ldapsearch [opciones] [filtros [atributos_a_recuperar]]

Debemos entender por filtro la condición que se debe cumplir para la

búsqueda de entradas.
Parámetros obligatorios:

❖ -b basedn: especifica el DN base para las búsquedas.

❖ -s scope: alcance de la búsqueda: base, one ó sub.

Parámetros opcionales:

❖ -A: sólo muestra los nombres de los atributos (no los valores).
❖ -a deref: referencias a los alias: never, always, search, or find.
❖ -B: permite imprimir valores no-ASCII.
❖ -D binddn: cuando se autentica con un directorio, permite especificar la
entrada binddn. Usar con la opción -w password.
❖ -d debug level: nivel de debug.
❖ -E "character_set": especifica la página de codificación de caracteres.
❖ -f file: ejecuta la sentencia de búsquedas archivadas en el archivo file.
❖ -h ldaphost: conecta al servidor LDAP en la dirección ldaphost. El valor
por defecto es localhost.
❖ -L: muestra las entradas en formato LDIF.
❖ -l timelimit: cuenta atrás en segundos antes de abandonar una búsqueda.
❖ -p ldapport: conecta al servidor en el puerto TCP especificado en ldapport.
Por defecto conecta en el puerto 389.
❖ -S attr: ordena los resultados por el atributo indicado.
❖ -v: modo extendido.
❖ -w passwd: especifica la contraseña para hacer el bind (para autenticación
simple).
❖ -z sizelimit: especifica el número máximo de entradas que pueden ser
mostradas.

b. Windows Server

Y, ¿en Windows? En Windows Server tenemos comandos que pueden

sernos de utilidad para realizar búsquedas restringidas mediante filtros.

Uno de estos comandos es dsquery. Pongamos un ejemplo:

dsquery user -name usua*|dsget user –samid -upn

Busca, en el árbol de directorio, a todos los usuarios que comiencen por

"usua". Además, muestra el nombre de usuario (-samid) y el nombre principal de
usuario (-upn).

8. Creación de dominios.

Cuando creamos un dominio debemos considerar en qué jerarquía se

encuentra el servidor que estamos instalando. Es decir, si la función del servidor
es ser un controlador de dominio raíz, si va a albergar un subdominio y, por
consiguiente, debe indicar dónde se ubica el controlador de dominio, etc.
 En definitiva, cuando se habla de dominios podemos estar hablando de
dominios cualificados (registrados en Internet) o bien dominios de carácter
empresarial, institucional o asociativo.

Pero no debemos olvidar que puede tratarse de un dominio, por ejemplo

empresarial, que, a la vez, está registrado en Internet. Puede darse la
coincidencia que registremos un dominio, por ejemplo entretuyyo.com, que
utilizaremos para que se estén relacionando entre los distintos servidores pero
que puede ser accesible desde cualquier puesto conectado a Internet y ver la
página web de la empresa.

9. Objetos que administra un dominio

Los objetos que administra un dominio son: organizaciones, unidades

organizativas, grupos, usuarios, equipos.

Asimismo, puede gestionar servicios. En el caso de un servidor Windows, se

realiza de forma automática. En el caso de OpenLDAP no.

¿Por qué AD sí y OpenLDAP no? El AD (Active Directory) es parte integrante

del Sistema Operativo del servidor Windows. Sin embargo, OpenLDAP no, es un
servicio independiente en las mismas condiciones que el resto de servicios. Para
darle utilidad debemos configurar el servicio OpenLDAP para que gestione otros
servicios y también debemos configurar estos los servicios para que acepten la
gestión de su servicio por otro.

Tomemos como referencia el AD de Windows Server en sus diferentes

versiones.

El Directorio Activo es una base de datos jerárquica de objetos, que

representan las entidades que pueden administrarse en una red de ordenadores,
o más correctamente en nuestro caso, en un dominio de sistemas Windows
Server. Esta base de datos de objetos de administración es compartida, para
consultas, por todos los equipos que son, a su vez, miembros del dominio y para
modificación, por todos los controladores del dominio (o DC, Domain
Controllers). Hay que añadir, a esto último, que puede existir lo que se denomina
relación de confianza entre dominios de tal manera que un controlador de
dominio puede llegar a gestionar el Directorio Activo de otro. Por tanto, en
Windows Server, la gestión de un dominio puede realizarse de forma
centralizada, administrando únicamente el Directorio Activo. En este contexto,
"administrar" significa crear y configurar adecuadamente los objetos del
directorio que representan a las entidades o recursos que existen en el dominio:
usuarios, grupos, equipos, etc.
 a. Usuarios globales

Los controladores de dominios suelen venir, predeterminados, con un

conjunto determinado de usuarios calificados como globales. ¿En qué consisten
y cuál es su misión? En Windows server aparecen usuarios de carácter global
como son los administradores.

Estos usuarios tienen una función determinada, con unos derechos y

privilegios sobre los objetos del dominio predeterminados.

Pongamos un ejemplo. El usuario administrador del AD (Active Directory) es

el encargado de gestionar todo el árbol del directorio. Esto es, crear objetos como
grupos, usuarios, etc.; asignar recursos y derechos y privilegios de éstos, los
recursos, a los distintos grupos y usuarios. También tiene asignado tareas de
mantenimiento del servidor. También podremos observar un usuario, invitado,
que aparece por defecto deshabilitado.

¿Quiere esto decir que sólo el usuario administrador puede realizar tareas de
administración? No, el propio administrador puede asignar o delegar tareas a
otros usuarios. Puede delegarle todo o partes.

¿Sólo pueden ser usuarios globales los que están definidos en la instalación?
No, podremos añadir usuarios con esas características y utilizarlos siguiendo un
esquema predeterminado por el administrador del sistema. Pongamos un
ejemplo: podremos crear un usuario, admonprinter, al que deleguemos el
mantenimiento de las impresoras conectadas al servidor. Esto quiere decir,
gestionar las impresoras así como sus colas de impresión, etc.

En esta imagen podemos observar cómo hay, después de realizar la

instalación de un sistema operativo Windows 2008, un objeto llamado "users" en
el que están englobados todos los grupos y usuarios predeterminados del
sistema.

En el caso de Windows, el administrador del AD también administra el

sistema de forma global. Hay una "fusión" entre el servicio LDAP y el sistema.

Podemos observar cómo hay, después de realizar la instalación de un

sistema operativo Windows 2012, un objeto llamado "users" en el que están
englobados todos los grupos y usuarios predeterminados del sistema.

Sin embargo, en GNU/Linux no ocurre lo mismo. Por defecto, el usuario

administrador del servicio LDAP, habitualmente llamado admin o manager, no
tiene por qué administrar el sistema en su conjunto. Esa labor le corresponde al
usuario "root".
 b. Grupos

En el caso de los grupos ocurre otro tanto. Tendremos un conjunto de

grupos predeterminados con una serie de funciones, privilegios y derechos.

Por ejemplo, un servidor Windows crea automáticamente una serie de

grupos locales que pueden contener cuentas de usuario, cuentas de usuario de
dominio, cuentas de equipos y otros grupos globales.

Podemos definir tres tipos de grupos en AD:

❖ Grupos locales del dominio: En un dominio en modo mixto, pueden

coexistir cuentas de usuario y grupos globales de cualquier dominio del
bosque. En un dominio en modo nativo, pueden contener además grupos
universales y otros grupos locales del dominio. Sólo son visibles en el
dominio en que se crean, y suelen utilizarse para conceder permisos y
derechos en cualquiera de los ordenadores del dominio (en modo mixto,
sólo son visibles por los DC del dominio, y por tanto sólo se pueden utilizar
para administrar permisos y derechos en esos ordenadores).
❖ Grupos globales: En un dominio en modo mixto, pueden contener
cuentas de usuario globales del mismo dominio. En un dominio en modo
nativo, pueden contener además otros grupos globales del mismo
dominio. Son visibles en todos los dominios del bosque, y suelen utilizarse
para clasificar a los usuarios en función de las labores que realizan.
❖ Grupos universales: Sólo están disponibles en dominios en modo nativo.
Pueden contener cuentas de usuario y grupos globales, así como otros
grupos universales, de cualquier dominio del bosque. Son visibles en todo
el bosque.

En el caso de OpenLDAP, no tendrá grupos definidos. Sólo obtendremos un

usuario, el administrador. Lo que debemos realizar es una parte que sí hace el
AD. ¿Cuál es? La migración de usuarios y grupos del sistema a usuarios y
grupos de OpenLDAP.

c. Otros

En el caso de AD podremos observar que hay otros objetos que gestiona.

Uno especialmente útil es el apartado de "computers", que son los equipos que
se conectan con el servidor. En esta carpeta tendremos información de todos los
equipos cliente que han sido dados de alta en el sistema. El sistema necesita
saber quién ha entrado, con qué credenciales y desde dónde. Es decir, debe
existir una relación de confianza a nivel cliente/servidor.

¿Tiene alguna utilidad más? Por supuesto, podremos seleccionar un equipo

y administrarlo de forma remota. Eso sí, con una cuenta con nivel de
administración.

No debemos olvidar las unidades organizativas. ¿Qué son y para qué se

utilizan? Las unidades organizativas, cuyo acrónimo es OU (Organizational
Unit), son objetos del directorio que pueden contener otros objetos. El uso
fundamental de las OU es organizar de forma lógica los objetos de un dominio.
 Además, podemos utilizarlos para delegar derechos y privilegios que
competen a la administración los objetos seleccionados a otros usuarios distintos
del administrador del dominio, y personalizar el comportamiento de los usuarios
y/o equipos mediante la aplicación de directivas específicas a la unidad.

10. Relaciones de confianza entre dominios.

En ocasiones puede ser interesante que dos organizaciones o dominios
necesiten una de la otra por intereses comunes. Pongamos un ejemplo. En
una UTE hay empleados, de una de las empresas A, que necesita acceder a
recursos que están ubicados en la otra empresa B. Bien, pues una de las
empresas puede generar una relación de confianza entre dominios para que un
usuario determinado acceda a un servidor en el que no ha sido dada de alta la
máquina cliente.
¿Cómo funcionaría? Se da de alta al usuario en la empresa B. Al existir una
relación de confianza, que puede ser unidireccional o bidireccional, le deberá
aparecer, al usuario, la posibilidad de autenticarse en dos dominios. Una vez
seleccionado el dominio al que quiere acceder, introducirá sus credenciales para
que le autentique el servidor al que desea acceder.

Otra forma de generar una relación de confianza es crear un servidor que sea
subdominio de otro. Imagínate, un grupo de empresas tiene su servidor con su
dominio, entretuyyo.com, al cual acceden una serie de usuarios. La empresa
tiene una sucursal en Laredo y desea descentralizar el servidor. ¿Qué puede
hacer? Crear un servidor en Laredo que sea, a su vez, subdominio del principal.
Como subdominio podríamos escoger, por ejemplo, laredo.entretuyyo.com.

Con las relaciones de confianza obtendremos la ventaja de no tener que dar

de alta el equipo como cliente-terminal de todos los servidores, con una vez
bastará. Es decir, comprobará si el equipo que no está en la base de datos del
sistema está, sino, consultará, por el principio de relación de confianza, con el
otro servidor para consultar si está dado de alta en ese servidor.

11. Herramientas graficas de administración del servicio de directorio

Hoy en día, es impensable trabajar todas las aplicaciones a nivel de

comando. Así como en sistemas basados en Windows, las herramientas gráficas
están completamente integradas en el sistema, no ocurre tanto en sistemas
basados en GNU/Linux.

A diferencia de Windows, las herramientas gráficas, habitualmente realizan

tareas de frontend. Es decir, realmente funcionan como rutinas que llaman a
comandos del sistema para realizar las tareas encomendadas.

¿Esto es bueno? Tal vez, pero lo que es innegable es que si el entorno gráfico
de una aplicación no funciona adecuadamente, siempre podremos trabajar a
nivel de terminal. Lo cual, siempre será una ventaja contra aquellas aplicaciones
que sólo funcionan en modo gráfico (Windows).
A continuación, vamos a valorar las ventajas de las herramientas gráficas.

Escribir menos código y ahorrar tiempo: gracias a las herramientas gráficas,

se pueden crear interfaces de usuario basadas en tecnologías visuales. De esta
manera, podemos generar una orden sencilla o compleja seleccionando objetos
y relacionando estos con la tarea que queremos generar.

Ayuda personalizada: la definición de interfaces de usuario supone algunas

ventajas adicionales. Por ejemplo, el administrador es quien decide qué temas
de ayuda u objetos se necesitan para administrar.

Independiente de plataforma: las herramientas gráficas pueden ser

independientes de la plataforma, por ejemplo, en GNU/Linux disponemos de una
herramienta gráfica que se maneja a través de un servidor web, Webmin. Con
este panel podremos administrar, local o remotamente, un servidor.

a. Herramientas graficas en Windows server

La herramienta administrativa más utilizada de Active Directory es
"usuarios y equipos de Active Directory". Esta herramienta permite gestionar
todos los permisos y privilegios de: unidades organizativas, grupos, usuarios,
etc. Agregar máquinas al dominio, administrar dichas máquinas, etc.

En la imagen se muestra la organización del dominio con esta herramienta.

En el panel izquierdo de Usuarios y equipos de Active Directory está el árbol

de la consola, que muestra el nombre de dominio completo en el nivel raíz. El
contenedor raíz incluye varios contenedores predeterminados:

❖ Builtin: contenedor para cuentas de usuario integradas.

❖ Computers: contenedor predeterminado para objetos de equipo.
❖ Domain Controllers: contenedor predeterminado para controladores de
dominio.
 ❖ ForeignSecurityPrincipals: contenedor para entidades principales de
seguridad de dominios externos de confianza. Los administradores no
deben modificar manualmente el contenido de este contenedor.
❖ UsersContenedor: predeterminado para objetos de usuario.

Además de ésta útil herramienta, tenemos otras más específicas. Todas ellas
las encontramos en el menú de "herramientas administrativas" pulsando en el
botón "Inicio". Tal como se muestra en la imagen.

b. Herramientas graficas en distribuciones GNU/Linux

En similar situación se encuentran las herramientas gráficas de LDAP.

Tenemos una herramienta web muy popular, phpldapadmin también conocida
como PLA, con la cual podremos gestionar todos los objetos LDAP del servidor.
En la imagen se muestra la apariencia de esta utilidad.

Caracteristicas de phpldapadmin:

❖ Permite administrar entradas en un servidor LDAP , es decir, permite

crear, modificar y borrar las entradas.
❖ Es compatible con los estándares abiertos, por lo que puede trabajar
con entradas o registros de cualquier servidor LDAP que cumpla la
normativa.
❖ Está pensada para ser usada por los administradores, que ya tienen
cierto
❖ Es flexible: puede ser configurada para adaptarse al entorno sin
necesidad de cambiar el código.

La forma de acceso es indicándole el usuario con nombre distinguido (DN).

Es decir, el usuario admin se le indicará, en el login, como
cn=admin,dc=sored,dc=local. Posteriormente, introducimos la clave
correspondiente.

Hay varias opciones de herramientas de administración gráfica, pero la

utilización de un entorno web es muy recomendable, ya que permite el acceso al
directorio desde cualquier ordenador de la red con un simple navegador.

PLAN ha sido diseñada para que la usen los administradores. Por tanto, es
útil tanto para administrar toda la base de datos LDAP como sólo una parte.
Aunque el resto de los usuarios pueden utilizar la aplicación para, por ejemplo,
editar sus entradas o registros en el directorio, la estructura, la terminología y el
proceso a seguir no resultan sencillos. La instalación es muy sencilla ya que el
paquete se encuentra en los repositorios:

# aptitude install phpldapadmin

Como se trata de una aplicación para entorno web, las dependencias del
paquete hacen que también se instalan el servidor Web Apache y el soporte PHP
para el servidor.
 A pesar de estar disponible desde un principio, sí es necesario configurar
ciertos parámetros para que funcione correctamente.

El archivo de configuración es /etc/phpldapadmin/config.php y es

necesario editarlo. Las diferentes opciones de configuración están explicadas en
el mismo archivo mediante comentarios. La mejor opción es buscar en el archivo
las directivas que se quieren configurar.

Las más interesantes son estas:

$config→custom→appearance[‘language’] = ‘auto’;

Permite configurar el idioma de la aplicación. Si está en modo "auto", la

aplicación intentará determinar el idioma en función del idioma del sistema. En
caso de querer forzar un idioma, los disponibles son ct , de , en , se , fr , it , nl y
ru .

$servers→setValue(‘server’,'base’,array(‘dc=example,dc=com’));

Esta línea define el nombre de dominio que se muestra en la vista

de árbol, en la parte izquierda de la pantalla. Si no está definido, la aplicación la
intenta detectar, pero es conveniente añadir el dominio que ha sido
configurado. Como orientación, esta línea es la 283 del archivo de configuración.

$servers→setValue(‘login’,'bind_id’,'cn=admin,dc=example,dc=com’);

Esta directiva define el usuario mediante el cual phpLDAPadmin se

conecta al servidor OpenLDAP. Si se define, al acceder a la aplicación, aparece
directamente, por lo que sólo hay que escribir la contraseña. Puede ser una
buena medida de seguridad no definir esta entrada o definir un usuario falso. La
directiva está en la línea 306.

$servers→setValue(‘server’,'name’,'Servidor LDAP de l’Empresa’);

En la línea 270 se puede incluir una descripción para identificar el

directorio al que se conecta esta aplicación.

Una vez ha sido configurada la aplicación, se puede acceder mediante la

pantalla de conexión. A nivel de aplicación de escritorio, destacamos dos
aplicaciones: jxplorer, gq

• jxplorer: nos permite conectar a un servidor LDAP, tanto si ese servidor

está en nuestro propio equipo como en otro externo, y realizar tareas
comunes de administración del árbol de directorio.

No debemos olvidar que la forma de acceso a los recursos LDAP se debe

realizar en formato LDAP. Es decir, introducimos el dominio indicando el formato,
por ejemplo el dominio sored.local y el usuario admin:

• DN: dc=sored, dc=local

• User DN: cn=admin, dc=sored, dc=local
• Password: su clave correspondiente.
 i. Administración del directorio mediante phpLDAPadmin

El uso de phpLDAPadmin facilita mucho las tareas de consulta, creación

y modificación de entradas en el directorio, aunque se pueden seguir usando
archivos LDIF para realizar estas operaciones.

Uso de archivos LDIF

Como el formato de archivo predeterminado para definir entradas y

operaciones en un servidor LDAP es el LDIF, phpLDAPadmin permite la
importación de un archivo o de un texto en este formato. Para ello, simplemente
hay que hacer clic sobre la opción importe del menú. Cuando se selecciona esta
opción se puede añadir el contenido LDIF en el directorio de dos maneras:

❖ Seleccionando un archivo LDIF del disco duro.

❖ Escribiendo el texto con formato LDIF directamente en el espacio
disponible.

No sólo se puede importar un archivo, sino que también se puede exportar

el contenido del directorio, de una parte del directorio, de una búsqueda concreta
o una entrada determinada en formato LDIF.

Cuando se hace clic en el icono export del menú, se puede definir la

búsqueda a realizar. Los objetos se buscarán desde el punto que se define a
Base DN . Habitualmente este punto es la raíz del árbol. También se define si se
buscará en los hijos de este objeto mediante la directiva Search Scope. Se define
el filtro de la búsqueda, que delimita qué objetos se muestran, y los atributos de
estos objetos que nos interesan. Por último, también se puede definir el formato
de exportación de archivo, ya que no está limitado al LDIF.

Modificación de una entrada del directorio: para modificar una entrada del
directorio únicamente hay que hacer clic sobre ella. Cuando se hace así, la
aplicación siempre pregunta qué plantilla se quiere utilizar
para editar la entrada. Dependiendo de la plantilla que se seleccione se
visualizan, y por tanto se pueden editar, unos atributos diferentes.
Además, una vez se está editando una entrada, en la parte superior aparecen
más opciones. Se permite cambiar el nombre de la entrada, copiar o mover la
entrada, cambiar la plantilla que se está utilizando, exportar la entrada,
compararla, añadirle un atributo o borrarla.

Creación de una entrada en el directorio: para crear una entrada basta con
hacer clic sobre el lugar del árbol donde se quiere crear, donde dice Create new
entry here, o, si el objeto acepta entradas hijo, cuando se está editando el objeto,
hacer clic en Create a child entry. En ambos casos, el icono es una estrella
amarilla de cinco puntas. Al igual que ocurre cuando se está editando una
entrada, al crearse una nueva aplicación pregunta cuál es la plantilla a usar para
el proceso de creación, y cuáles serán, por tanto, los atributos que contendrá la
entrada. Dependiendo de qué plantilla y por tanto de qué clase de objeto se ha
elegido, unos atributos serán obligatorios, y otros, opcionales.