La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUTENTICACIÓN CENTRALIZADA CON TECNOLOGÍA LDAP

Publicada porTeresa Arrendondo Modificado hace 10 años

Presentaciones similares

Presentación del tema: "AUTENTICACIÓN CENTRALIZADA CON TECNOLOGÍA LDAP"— Transcripción de la presentación:

1 AUTENTICACIÓN CENTRALIZADA CON TECNOLOGÍA LDAP
ANDRES HOLGUIN CORAL 2002

2 UNIVESIDAD DE LOS ANDES.
ADVERTENCIA LA PONECIA NO REFLEJA LA OPINIÓN DE LA DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN DE LA UNIVESIDAD DE LOS ANDES.

3 ¿Qué es autenticación? Autenticación se refiere al proceso por el cual un usuario de una red adquiere el derecho a usar una identidad dentro de la misma. Existen diferentes maneras de autenticar a un usuario: El uso de claves (Lo que se) Tokens (Lo que tengo) Biométricos (Lo que soy) Combinaciones de los Anteriores (factor 1, factor 2 …)

4 ¿Dónde se origina el problema?

5 El problema de la autenticación(1)
El usuario usa tantas claves y métodos de autenticación como servicios presta la organización. El usuario para simplificar su trabajo tiende a usar claves muy fáciles. Con un mínimo conocimiento de la persona puedo saber cual es la clave que usa. Los costos de administración de usuarios aumentan.

6 El problema de la autenticación(2)
La administración de usuarios se hace de manera descentralizada en cada aplicación. Cada servicio que presta la organización tiene su propio método para el manejo de los usuarios.

7 ¿Qué pasa si se compromete una clave?
Perdida de confidencialidad de la información, debido a que al usar claves débiles se puede acceder a la información privada de la organización. Perdida de la integridad de la información y suplantación de usuarios, usando la clave de otra persona se puede alterar la información haciéndose pasar por otra persona. Perdida de la disponibilidad de la información, al cambiar la información no se tiene acceso a ésta cuando se requiere.

8 AUTENTICACIÓN CENTRALIZADA
La solución AUTENTICACIÓN CENTRALIZADA

9 ¿Qué es autenticación centralizada?
Autenticación centralizada es ubicar los usuarios y sus claves en un repositorio centralizado, para que los usuarios de los servicios se validen en este lugar. Radius LDAP UNIX APLICACIONES

10 ¿Cómo se implementa? free radius PAM para UNIX
Módulo de Autenticación LAD Sincronización con active directory free radius con eap

11 ¿Cómo funciona?

12 ¿Qué es LDAP? Lightweight Directory Access Protocol.
Es un protocolo cliente servidor hecho para acceder a un servicio de directorio en el modelo TCP/IP. Esta basado en el protocolo X.500. Un directorio es similar a una base de datos, pero tiende a contener información más descriptiva. Directorio refleja a la gente dentro de la estructura de una organización.  La información en un directorio es consultada muchas más veces de lo que es modificada; como consecuencia, los directorios  no tienen esquemas de "roll-back" que las bases de datos usan por el alto-volumen de actualizaciones. Las actualizaciones del directorio son típicamente simples cambia todo o nada.

13 Diseño de un directorio
Como el protocolo LDAP es la base del sistema de autenticación centralizada, el diseño del directorio es la clave para el buen funcionamiento de la solución. O=dominio.com ou=bogota ou=cali ou=medellin

14 PAM (Pluggable Authentication Module)
Es una librería de interfase para la autenticación de múltiples servicios. Desliga la autenticación del sistema operativo y lo traslada a un tercero, que en este caso es LDAP. Ventajas: Seguridad Flexibilidad

15 ¿Qué es LAD? LDAP Autentication Deamon
Es un demonio que corre sobre una maquina con sistema operativo Linux o Solaris. La función de este demonio es hacer que las aplicaciones web que se autentican usando el protocolo AUTD lo hagan de manera segura y usando LDAP.

16 Como funciona el módulo LAD

17 ¿Qué es Active Directory?
Es la implementación del protocolo LDAP que Microsoft desarrollo para Windows 2000 Server.

18 Sincronización con Active Directory
Para la creación de cuentas en el active directory, se usan scripts hechos en un servidor UNIX de manera centralizada, estos scripts crean las cuentas tanto en el sistema operativo UNIX como en el LDAP y en el Active Directory. Lo único que hay que tener en cuenta es que los campos en el directorio Iplanet o OpenLDAP y en el Active Directory se llaman diferente.

19 Relación entre los nombres de los campos
IPLANET - OpenLDAP ACTIVE DIRECTORY dn uid samaccountname userprincipalname displayname givenname

20 ¿Cómo se sincronizan las claves?
Se debe hacer una aplicación que cambie las claves tanto en el Directorio LDAP (OpenLDAP o Iplanet) y en el Active Directory. Para lograr que las claves se mantengan sincronizadas se deben manjar las excepciones en esta aplicación, por ejemplo que unos los dos directorios se encuentre fuera de línea. Por último a los usuarios no se les debe permitir cambiar la clave desde su estación de trabajo Windows.

21 Referencias Implementing LDAP in the Solaris™ Operating Environment, Tom Bialaski - Enterprise Engineering, Sun BluePrints™ OnLine - October 2000 Internetworking whit TCP/IP Volume III Douglas E. Comer David L. Estevens, Prentice Hall – 1993 Notes from the Directory Services Summit at Big Ten Conference Center September 28, 1999, Programer’s Guide Nestcape LDAP SDK for C, Noviembre 20 de 2000 TCP/IP Ilustrated Volume 2, W. Richard Stevens, Addison-Westley – 1994 RFC Lightweight Directory Access Protocol (v3) RFC The String Representation of LDAP Search Filters RFC Authentication Methods for LDAP Understanding and Deploying LDAP Directory services, Timothy A. Howes, Macmillan – 1999 Kerveos ftp://ftp.isi.edu/in-notes/pdfrfc/rfc1510.txt.pdf Radius ftp://ftp.isi.edu/in-notes/pdfrfc/rfc2865.txt.pdf Rivest, R. and S. Dusse, "The MD5 Message-Digest Algorithm",RFC 1321, April 1992.

Descargar ppt "AUTENTICACIÓN CENTRALIZADA CON TECNOLOGÍA LDAP"

Presentaciones similares

SERVICIOS WEB EN.NET INTEGRANTES: ADRIANA BLANCO PEÑA MIRIAM SORIANO HERNANDEZ ALVARO PETROVICH CID CONTRERAS LUIS RAMIREZ PALESTINO.

SERVICIOS WEB EN.NET INTEGRANTES: ADRIANA BLANCO PEÑA MIRIAM SORIANO HERNANDEZ ALVARO PETROVICH CID CONTRERAS LUIS RAMIREZ PALESTINO.
Planificación y despliegue de Office Sharepoint Server 2007 Rubén Alonso Cebrián

Planificación y despliegue de Office Sharepoint Server 2007 Rubén Alonso Cebrián
Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.

Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.
Servicios sobre Windows 2003 Area de Soporte Tecnico y Comunicaciones.

Servicios sobre Windows 2003 Area de Soporte Tecnico y Comunicaciones.
Introducción a servidores

Introducción a servidores
Administración del Datacenter y la Nube La computación en la nube está transformando la forma en que las empresas proveen y consumen servicios de IT, bajo.

Administración del Datacenter y la Nube La computación en la nube está transformando la forma en que las empresas proveen y consumen servicios de IT, bajo.
VPN Virtual Private Network Red Privada Virtual.

VPN Virtual Private Network Red Privada Virtual.
PROTOCOLO DE SAMBA Es una implementación libre del protocolo de archivos compartidos de Microsoft Windows de 1 docena de servicios, 1 docena de protocolos.

PROTOCOLO DE SAMBA Es una implementación libre del protocolo de archivos compartidos de Microsoft Windows de 1 docena de servicios, 1 docena de protocolos.
Kerberos Practica sobre Kerberos

Kerberos Practica sobre Kerberos
DIRECT ACCESS.

DIRECT ACCESS.
Los servicios de red son la fundación de una red de trabajo en un ambiente de computadoras. Generalmente los servicios de red son instalados en uno o.

Los servicios de red son la fundación de una red de trabajo en un ambiente de computadoras. Generalmente los servicios de red son instalados en uno o.
Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.

Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.
Que es el protocolo “SSL”

Que es el protocolo “SSL”
Kerberos Servicio de autentificación desarrollado en el Massachusetts Institute of Technology (MIT) Perro de tres cabezas y cola de serpiente según mitología.

Kerberos Servicio de autentificación desarrollado en el Massachusetts Institute of Technology (MIT) Perro de tres cabezas y cola de serpiente según mitología.
PHP: GENERALIDADES DE LA TECNOLOGÍA

PHP: GENERALIDADES DE LA TECNOLOGÍA
Iván Camilo Vásquez Ángel Camelo

Iván Camilo Vásquez Ángel Camelo
Introducción a los servicios Web

Introducción a los servicios Web
Soluciones de Colaboración con Valor Agregado

Soluciones de Colaboración con Valor Agregado
28 de junio, 2010. Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:
Planificación y despliegue de Office Sharepoint Server 2007 Rubén Alonso Cebrián

Planificación y despliegue de Office Sharepoint Server 2007 Rubén Alonso Cebrián

Presentaciones similares

Anuncios Google