AUTENTICACIN

CENTRALIZADA CON
TECNOLOGA LDAP
ANDRES HOLGUIN CORAL
2002

ADVERTENCIA

LA PONECIA NO REFLEJA LA OPININ

DE LA DIRECCIN DE TECNOLOGAS
DE INFORMACIN DE LA
UNIVESIDAD DE LOS ANDES.

Qu es autenticacin?
Autenticacin se refiere al proceso por el cual un usuario
de una red adquiere el derecho a usar una identidad
dentro de la misma.
Existen diferentes maneras de autenticar a un usuario:

El uso de claves (Lo que se)

Tokens (Lo que tengo)
Biomtricos (Lo que soy)
Combinaciones de los Anteriores (factor 1, factor 2 )

Dnde se origina el problema?

El problema de la autenticacin(1)
1. El usuario usa tantas claves y mtodos de
autenticacin como servicios presta la
organizacin.
El usuario para simplificar su trabajo
tiende a usar claves muy fciles.
Con un mnimo conocimiento de la
persona puedo saber cual es la clave que
usa.
Los costos de administracin de usuarios
aumentan.

El problema de la autenticacin(2)
2. La administracin de usuarios se hace de
manera descentralizada en cada
aplicacin.
3. Cada servicio que presta la organizacin
tiene su propio mtodo para el manejo
de los usuarios.

Qu pasa si se compromete una clave?

Perdida de confidencialidad de la
informacin, debido a que al usar claves
dbiles se puede acceder a la informacin
privada de la organizacin.
Perdida de la integridad de la informacin y
suplantacin de usuarios, usando la clave de
otra persona se puede alterar la informacin
hacindose pasar por otra persona.
Perdida de la disponibilidad de la
informacin, al cambiar la informacin no se
tiene acceso a sta cuando se requiere.

La solucin

AUTENTICACIN
CENTRALIZADA

Qu es autenticacin centralizada?
Autenticacin centralizada es ubicar los usuarios y
sus claves en un repositorio centralizado, para que
los usuarios de los servicios se validen en este lugar.
Radius

UNIX

APLICACIONES

LDAP

Cmo se implementa?

free radius

PAM para Mdulo de

Sincronizacin
UNIX Autenticacin
con active
LAD
directory

free radius
con eap

Cmo funciona?

Qu es LDAP?
Lightweight Directory Access Protocol.
Es un protocolo cliente servidor hecho para
acceder a un servicio de directorio en el modelo
TCP/IP. Esta basado en el protocolo X.500.
Un directorio es similar a una base de datos, pero
tiende a contener informacin ms descriptiva.
Directorio refleja a la gente dentro de la
estructura de una organizacin.

Diseo de un directorio
Como el protocolo LDAP es la base del sistema de
autenticacin centralizada, el diseo del directorio es
la clave para el buen funcionamiento de la solucin.
O=dominio.com

ou=bogota

ou=cali

ou=medellin

PAM (Pluggable Authentication Module)

Es una librera de interfase para la
autenticacin de mltiples servicios.
Desliga la autenticacin del sistema
operativo y lo traslada a un tercero, que en
este caso es LDAP.
Ventajas: Seguridad
Flexibilidad

Qu es LAD?
LDAP Autentication Deamon
Es un demonio que corre sobre una
maquina con sistema operativo Linux
o Solaris.
La funcin de este demonio es hacer
que las aplicaciones web que se
autentican usando el protocolo AUTD
lo hagan de manera segura y usando
LDAP.

Como funciona el mdulo LAD

Directorio LDAP

Usuarios

Conexin SSL

Coneccio
Segura

Mdulo Autenticacion con

LDAP

Mdulo Autenticacion con el

cliente

Mdulo Central

Mdulo de Logs

Mdulo de Gestion

Archivo de logs

Base de datos
relacional

Qu es Active Directory?

Es la implementacin del protocolo LDAP

que Microsoft desarrollo para Windows
2000 Server.

Sincronizacin con Active Directory

Para la creacin de cuentas en el
active
directory, se usan scripts hechos en un servidor
UNIX de manera centralizada, estos scripts
crean las cuentas tanto en el sistema operativo
UNIX como en el LDAP y en el Active Directory.
Lo nico que hay que tener en cuenta es que
los campos en el directorio Iplanet o OpenLDAP
y en el Active Directory se llaman diferente.

Relacin entre los nombres de los campos

IPLANET OpenLDAP
dn
uid
email

ACTIVE
DIRECTORY
dn
samaccountname
userprincipalname

displayname displayname
givenname
givenname

Cmo se sincronizan las claves?

Se debe hacer una aplicacin que cambie las claves tanto
en el Directorio LDAP (OpenLDAP o Iplanet) y en el Active
Directory.
Para lograr que las claves se mantengan sincronizadas se
deben manjar las excepciones en esta aplicacin, por
ejemplo que unos los dos directorios se encuentre fuera de
lnea.
Por ltimo a los usuarios no se les debe permitir cambiar la
clave desde su estacin de trabajo Windows.

Referencias

Implementing LDAP in the Solaris Operating Environment, Tom Bialaski - Enterprise

Engineering, Sun BluePrints OnLine - October 2000
Internetworking whit TCP/IP Volume III Douglas E. Comer David L. Estevens, Prentice Hall
1993
Notes from the Directory Services Summit at Big Ten Conference Center September 28,
1999, http://www.citi.umich.edu/u/kwc/CIC-RPG/CIC-DirectoryServicesSummitSep1999.htm
Programers Guide Nestcape LDAP SDK for C, Noviembre 20 de 2000
TCP/IP Ilustrated Volume 2, W. Richard Stevens, Addison-Westley 1994
RFC 2251 -- Lightweight Directory Access Protocol (v3)
RFC 2254 -- The String Representation of LDAP Search Filters
RFC 2829 -- Authentication Methods for LDAP
http://www.sans.org/infosecFAQ/authentic/layered.htm
Understanding and Deploying LDAP Directory services, Timothy A. Howes, Macmillan 1999
http://www.cni.org/projects/authentication/authentication-wp.html
http://www.sans.org/infosecFAQ/win2000/kerberos2.htm
http://www.sans.org/infosecFAQ/dir/LDAP.htm
http://www.sans.org/infosecFAQ/authentic/radius2.htm
Kerveos ftp://ftp.isi.edu/in-notes/pdfrfc/rfc1510.txt.pdf
Radius ftp://ftp.isi.edu/in-notes/pdfrfc/rfc2865.txt.pdf
Rivest, R. and S. Dusse, "The MD5 Message-Digest Algorithm",RFC 1321, April 1992.