Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Armando Carvajal – Ing Sistemas Unincca Especialista en software para redes Uniandes.

Slides:



Advertisements
Presentaciones similares
para Exchange Archivo del correo interno y externo
Advertisements

Alfonso López Murcia NUEVOS SERVICIOS PASO DE X.500 A LDAP INTERCONEXION DE SERVIDORES LDAP NUEVO ESQUEMA BASADO EN DOMINIOS.
PRESENTA: Mizrain Cano Chico Profesor: Lic. Albino Petlacalco Ruiz
Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Servicio de correo electrónico vía web.
ADELA TORRES JONATHAN BEJARANO
AUTENTICACIÓN CENTRALIZADA CON TECNOLOGÍA LDAP
Introducción a servidores
Administración del Datacenter y la Nube La computación en la nube está transformando la forma en que las empresas proveen y consumen servicios de IT, bajo.
I T S S P LIC INFORMATICA SISTEMAS OPERATIVOS WINDOWS 2003 SERVER DOCENTE: L.I RAMIRO ROBLES VILLANUEVA ALUMNOS: ROGELIO CHAIDEZ CORDOBA ZENON ESTRADA.
Base de Datos Distribuidas FUNDAMENTOS DE BASES DE DATOS DISTRIBUIDAS
Universidad Nacional Autónoma de Honduras
Diseñar un sistema que permita al usuario desde un teléfono móvil acceder a su computador personal (o servidor) a través de WAP para administrar algunos.
Sistemas Operativos Distribuidos Plataforma Cliente/Servidor
Ing. Horacio Carlos Sagredo Tejerina
Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.
DISCLAIMER Realizado con OpenOffice.org-1.0.1
Sistemas Operativos Distribuidos
Base de Datos Distribuidas
Directorio Activo- Active Directory
Características generales de un servicio Web.
 Una red de computadoras es un conjunto de conexiones físicas y programas de protocolo, empleados para conectar dos o más computadoras.  Aunque hace.
SISTEMAS OPERATIVOS DE RED
Es un Sistema operativo de red. Es una de las plataformas de servicio más fiable para ofrecer acceso seguro y continuado a la red y los recursos de.
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
DESARROLLO DE APLICACIONES
Autenticación centralizada de aplicaciones con LDAP
SERVIDOR.
DÍAZ OSCAR IVÁN HOYOS ANDRÉS FELIPE ORDOÑEZ JOSÉ LUIS INFORMÁTICA, SEMESTRE II.
3WDocument  Administración de documentos a través de Internet o al interior de una Intranet 3W S.A. Santiago
Directorios LDAP Julio Sánchez Proyecto OpenLDAP II Congreso Hispalinux Madrid, noviembre 1999.
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
TEMAS DE ADMINISTRAR LOS RECURSOS DE UNA RED. SEGUNDA EVALUACION.
Protocolo POP (Protocolo de oficina postal)
FHS: organización de directorios en Linux
Instalación y configuración de clusters Ejemplo Sala IBM Adrián Pousa
Administrar • Crear • Autoservicio • Auditoría • Workflows
CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament d’Arquitectura de Computadors (Seminaris de CASO) Autors Sun Open Network Enviroment (Sun ONE) vs.
Tema 4: Sistema de Archivos NFS
Servidores Conceptos Generales.
BASE DE DATOS EN LA WEB.
ADMINISTRACIÓN EN SISTEMAS OPERATIVOS INTERWORKING Administración de equipos de cómputo y de servidores Ing. Edwin Ramón Lacayo Cruz Esp. Telecomunicaciones.
Implementando autenticación SSO y federación en los servicios de UBA.
DB2 UNIVERSAL DATABASE.
Grupo 7: Nelson de Jesús escobar duque Yanny Andrés
Michael Ángelo De Lancer Franco  DNS: es un protocolo de resolución de nombres para redes TCP/IP, como Internet o la red de una organización.
Programación de Sistemas 2003 Cambio de passwords en la RCE vía Web.
Servicios y Servidores de Autenticación
Resumen Cap. 2 María Camila López Restrepo 11*3.  Es un programa o conjunto de programas que en un sistema informático gestiona los recursos de hardware.
La administración de dominios
File Transfer Protocol.
TALLER DE SISTEMAS OPERATIVOS
Gestión de sistemas operativos de red
Sistemas Operativos De Red
INSTITUTO DE ESTUDIOS SUPERIORES DEL ESTADO
UD 2: “Instalación y administración de servicios de configuración automática de red” Problemas asociados a DHCP. Seguridad Luis Alfonso Sánchez Brazales.
Karla Yunuen González Villanueva
BASE DE DATOS DISTRIBUIDAS
LDAP LDAP Susana Gonz á lez Grisales Gestión de Redes de Datos – SENA.
SEGURIDAD EN SERVIDORES WEB (APACHE).
Unidad 4. Servicios de acceso remoto
Seguridad de Datos Soluciones y Estándares de Seguridad.
Sustentante: Francis Ariel Jiménez Zapata Matricula: Grupo: 2 Profesora: Jose Doñe Asignatura: Sistema Operativo 2.
APLICACIONES EN LINEA.
UD09 Sergio Lucas Madrid. Es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través del ruteo de paquetes en redes.
Instituto Tecnológico Superior de Libres Organismo Publico Descentralizado del Gobierno del Estado de Puebla José Alejandro Leal González.
Servicios Web Conjunto de aplicaciones o de tecnologías con capacidad para interoperar en la Web. Estas aplicaciones o tecnologías intercambian datos entre.
Diccionario/Directorio de Datos
Módulo 4: Administrar el acceso a recursos
GESTIÓN Y ADMINISTRACIÓN WEB. INTRODUCCIÓN A INTERNET Internet constituye una vía de comunicación y una fuente de recursos de información a escala mundial.
¿QUE ES EL TEAMVIEWER? ES UN SOFTWARE CUYA FUNCIÓN ES CONECTARSE REMOTAMENTE A OTRO EQUIPO. ENTRE SUS FUNCIONES ESTÁN: COMPARTIR Y CONTROLAR ESCRITORIOS,
Transcripción de la presentación:

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Armando Carvajal – Ing Sistemas Unincca Especialista en software para redes Uniandes Gerente Técnico Unixgroup Octubre 15 de 2004, Bogotá, Colombia website: Single Sign LDAP con Open LDAP

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 El problema de la Administración de Identidades

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 El problema de Administración de Identidades Cada Usuario tiene múltiples identidades en la empresa Múltiples administradores para cada usuario No existe un método seguro para compartir las identidades de usuarios entre ambientes linux, UNIX ® y Windows ® No existe un único punto de administración para cada usuario

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Costos en Seguridad y Mesa de Ayuda Un usuario promedio utiliza 5+ claves 55% de los usuarios escribe la clave en papel al menos una vez 9% de todos los usuarios escriben en papel todas las claves 51% de todos los usuarios requieren ayuda de TI porque olvidaron su clave 25% de todas las consultas a las mesas de ayuda están relacionadas con claves Fuente:Rainbow eSecurity, 2003 Gartner Research, 2003

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Proceso Tradicional de Manejo de Identidades Username: brucem Password: hockey1 Username: brucem Pass: hockey1 Username: bmackay Password: hockey1 SolarisWindows AIX Username: bmackay Password: hockey1 Linux

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Proceso tradicional de Manejo de Identidades Username: bruce Password: hockey1 Username: brucem Pass: hockey1 Username: bmackay Password: hockey1 SolarisWindows UNIX Username: bmackay Password: hockey1 Linux Problema: 4 nombres de usuarios diferentes 4 Herramientas de Admin. diferentes 4 lugares diferentes donde se guardan las claves Problema: 4 nombres de usuarios diferentes 4 Herramientas de Admin. diferentes 4 lugares diferentes donde se guardan las claves

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Autenticación Tradicional /etc/passwd NIS PAM/NSS

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Autenticación /etc/passwd login: juana Password: *** getpwnam(juana) crypt() /etc/passwd /etc/shadow juana:w8f{2rs:1253:1253:Juana la loca:/home/juana:/bin/bash strcmp() Falla o llama el shell del usuario

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 /etc/passwd Pros/Contras Ventajas: Muy simple Desventajas: Diseñado para autenticación local Cada máquina debe tener el archivo /etc/passwd El mismo archivo debe replicarse para las cuentas comúnes /etc/passwd no es extensible

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Network Information System NIS login: juana Password: *** getpwnam(juana) crypt() /etc/passwd juana:s8f{2rs:1253:1253:Juana:/home/juana:/bin/bash strcmp() NIS Server Falla o llama el shell

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 NIS Pros/Contras Ventajas: Permite distribuir el archivo maestro /etc/passwd y /etc/shadow entre diferentes servidores Compatible con la mayoría de Unix/linux Desventajas: Muchos huecos de seguridad Cambios en herramientas administrativas Incompatible con sistemas diferentes a UNIX No trabaja en modo desconectado

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Name Service Switch (NSS) login: juana Password: *** getpwnam() /etc/passwd /etc/nsswitch.conf NIS LDAP SQL jdoe:s8f{2rs:1253:1253:Juana:/home/juana:/bin/bash

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 NSS Pros/Contras Ventajas: Permite que una entrada de /etc/passwd se obtenga de cualquier fuente 100% transparente a las aplicaciones Desventajas: No disponible en todos los Unix/Linux Cuando se busca en multiples fuentes de datos la sincronizacion es un problema

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Pluggable Authentication Modules PAM login: juana Password: *** pam_authenticate() /etc/passwd /etc/pam.d/login Exito o fracaso LDAP Kerberos unix ldap krb5

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 PAM Pros/Contras Ventajas: Permite autenticar directamente contra cualquier fuente de datos Facilmente configurable según /etc/pam.d Aplicaciones PAM no necesitan mecanismos especificos de código para autenticarse Desventajas: Las utilidades y servicios para autenticarse deben ser PAM enabled (es decir escritos en PAM API)

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 RFC2307 Propuesta con OpenLDAP y PAM_LDAP

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Propuesta con OpenLDAP Solaris Windows Username: bmackay Password: hockey1 Linux Linux con OpenLDAP Módulos: nss_ldap, pam_ldap AIX ¡Problema Solucionado! 1 identidad de usuario 1 herramienta de Admin. 1 almacenamiento de claves ¡Problema Solucionado! 1 identidad de usuario 1 herramienta de Admin. 1 almacenamiento de claves

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Ambientes Ideales Utilización de un ambiente mixto UNIX y Windows Busqueda de un ambiente heterogéneo seguro Cambios o rotación de personal Manejo de 50+ usuarios UNIX/Linux

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Mensajes Claves Establece una única identidad para usuarios UNIX, Linux, y Windows Provee alto nivel de seguridad en la red (SSL y Kerberos) Centraliza la administración de identidades de usuarios UNIX, Linux, y Windows Brinda soporte para múltiples plataformas Se integra en forma transparente en las estaciones de trabajo de los usuarios

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Casos de Exito Guardia di Finanza: 3,000 usuarios UK Ministry Of Defense: 1,600 usuarios que acceden a varias aplicaciones, incluyendo una de estadísticas de tripulación aérea Dynatronics - EEUU: Autenticando 40 usuarios que acceden aplicaciones contables en Linux ETB - Bogotá Ministerio de Defensa - Bogotá

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 LDAP

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Qué es LDAP 1 de 2 Es un protocolo liviano de acceso a directorios que permite gestionar información jerarquica para mantenerla actualizada y disponible en la red LDAP = Lightweight Directory Access Protocol Es una versión simplifada del pesado X.500 DAP protocol del modelo OSI de 1990

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Qué es LDAP 2 de 2 LDAP ver 1 nació en julio de 1993 con el RFC 1487 La información se guarda en una BD de tipo jerarquica El promedio de lectura en la BD es mayor a la de escritura

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Para que sirve LDAP 1 de 2 Si usted es un administrador: Se puede administrar en forma centralizada usuarios, grupos, dispositivos Usted pueden aislar las aplicaciones de los directorios ej: correo electrónico Si usted es un IT manager: Le permite renunciar a estar amarrado a un solo proveedor y/o sistema operativo Disminuye costos. Baja el TCO al reducir el total de distintos directorios que se necesitan administrar

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Para que sirve LDAP 2 de 2 Si usted es un desarrollador: Le permite renunciar a estar amarrado a un solo proveedor y/o sistema operativo Ahorra tiempo de desarrollo ya que no debe desarrollar otravez su propio sistema de directoros para usuarios, grupos, objetos, etc

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Arquitectura 1 de 2 Se basa en la arquitectura cliente servidor de dos niveles Es un protocolo orientado a mensajes Hay dos clases de directorios los estáticos y los dinámicos Offline directories: Cambian muy poco, ayudan a la gente a encontrar cosas. Ej. Directorio telefónico, páginas amarillas, guía de televisión, catálogos de compras, librerías, bibliotecas, etc

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Arquitectura 2 de 2 Online directories: Cambian en forma dinámica, deben ser flexibles, deben ser seguros, y deben personalizarse al gusto del usuario Debe ser actualizado por el usuario dueño de la información Ej: Directorio de empleados en una empresa para localizarlos cuando cambien sus datos de tel, fax, etc, directorio de hoteles por los que pasa un funcionario, etc

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Productos Comerciales Netscape´s Directory Server Innosoft Distributed Directory Server Lucent Technologies Internet Directory Server Sun Microsystem´s Directory services IBM´s DSSeries LDAP Directory Microsoft Active Directory server Novell Suse Open Exchange - Mail SCOoffice Server - Mail Tarantella – Broker de aplicaciones

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Competidores de respeto iPlanet de Netscape eDirectory de Novell Novell directory Active directory de Microsoft

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Website: Software en formato rpm o fuente se puede obtener de Es heredado de la versión 3.3 de la Univ.Michigan A julio de 2004 la version actual es la OpenLDAP

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 API para desarrollar en C Para compilar en C se debe incluir el API # include Algunos comandos asincronicos: ldap_search(), ldap_compare(), ldap_bind(), ldap_unbind(), ldap_modify(), ldap_add(), ldap_delete(), ldap_rename(), ldap_result(). # man ldap # man slapd

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Formato de presentación 1 de 2 LDIF: Formato de representación de datos Código ASCII que se puede pasar como mensajes de (8 bit clean) Una entrada LDIF está formada por varias lineas Inicia con la palabra DN, seguido del nombre único que identifica la línea ó entrada en la BD

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Formato de presentacion 2 de 2 El registro DN debe ocupar una sola línea Luego siguen los atributos de la entrada Cada atributo debe ir en una línea diferente Cada atributo de estar seguido por el signo : y acontinuación su valor

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Ejemplo dn:o=Acis,c=CO o:Acis objectclass:organization dn: cn=Juana La Loca, o=Acis, c=CO cn: Juana La Loca sn: La Loca telephoneNumber: objectclass:inetOrgPerson

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Explicación Dn: significa distinguished (Distinguido) ObjectClass: (Tipo de objeto) Cn: significa Common name (Nombre Comun) Sn: significa surname (Apellido) Telephonenumber: (Número de tel) Uid: Cuenta del usuario userPassword: Clave del usuario Mail: ( del usuario)

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Explicación Description: (Descripción del objeto) O: Significa organization (Nombre de la empresa) C: significa country (pais) Es decir primero se tiene un tipo de atributo y en seguida el valor del atributo Más información ver archivo slapd.conf

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Explicación El significado de cada atributo está definido en los archivos de tipo schema residentes en el directorio: /etc/openldap/schema/core.schema, /etc/openldap/schema/cosine.schema, /etc/openldap/schema/inetorgperson.sch ema

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Que significan las letras LDAP? 1. Gen en espiral de los seres humanos 2. Protocolo liviano para acceso a directorios 3. Marca de las botas de jojoy 4. Nuevo carnaval en Barranquilla 5. Mondongo Le Dio A Burundanga… !!!.CONCURSO MILLONARIO.!!!

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Archivos de configuración

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Archivos de configuración: Proceso servidor slapd El proceso servidor en binario de ldap se llama: slapd Escucha por el puerto tcp 389 slapd significa: Stand-alone LDAP Daemon En tiempo de boot se arranca por /etc/init.d/ldap

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Configuración El shell de arranque /etc/init.d/ldap llama al servicio ó demonio slapd y este a su vez busca el archivo de configuración /etc/openldap/slapd.conf Ambiente por defecto /etc/openldap/ldap.conf Directorio de datos: /var/lib/openldap

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Archivos de configuración: slapd.conf # Indica los atributos y objetos que LDAP puede manejar por cada registro Include /etc/openldap/schema/core.schema Include /etc/openldap/schema/cosine.schema Include /etc / openldap / schema / inetorgperson.schema # Permite compatibilidad con la antigua versión 2 – Falla en RH 9.x allowbind_v2

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Archivos de configuración: slapd.conf # Tipo de cifrado en los passwords de los usuarios password-hash {SSHA} # Donde formato puede ser algún algoritmo de cifrado simétrico como: {SSHA}, {SHA}, {SMD5}, {MD5}, {CRYPT}, {CLEARTEXT}

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Slapd.conf # Indica el formato de la base de datos database ldbm # Esta es la base de la llave principal suffixo=Acis, c=CO # Es el directorio donde residen los archivos de la base de datos LDAP directory/var/lib/ldap

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Slapd.conf # Este es la base del registro para el administrador rootdncn=root, o=Acis, c=CO # Este es el password del administrador rootpw {SSHA}msyaU45hcXmiq8ahe9OkewOCKKA4 A5EY

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Slapd.conf La clave del usuario administrador se puede cifrar con el comando: # slappasswd –h Formato > archivo Donde Formato puede ser algún algoritmo de cifrado simétrico: {SSHA}, {SHA}, {SMD5}, {MD5}, {CRYPT}, {CLEARTEXT}

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Slapd.conf Nota: Jamás utilice {CLEARTEXT} dado que si un intruso ve el archivo plano entonces ya conocerá la clave del administrador Se recomienda en cambio el algoritmo más fuerte {SSHA}

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 /etc/openldap/ldap.conf El archivo cliente /etc/openldap/ldap.conf debería estar configurado de la siguiente forma: HOST BASEo=Acis, c=CO PORT389

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Archivo de de datos: ldif dn:o=Acis,c=CO o:Acis postalAddress:Calle 93 con 13A objectclass: organization dn: cn=Juana La Loca, o=Acis, c=CO cn: Juana La Loca sn: La Loca description: Soporte en Windows uid:acarvaja userPassword:{SSHA}msyaU45hcXmiq8ahe9OkewOCKKA4A5EY displayname:Armando Carvajal - sistemas carLicense: homePhone: objectclass:inetOrgPerson

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Comandos: Consultar si openldap esta instalado: # rpm –q openldap Hacer backup de la base de datos en formato LDIF: # slapcat –l backup.ldif Subir los datos hechos por un backup en formato LDIF: # slapadd –l backup.ldif

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Comandos: Para generar un password cifrado de tipo hash que pueda llevar hacia un archivo, digite: # slappasswd –h metodo de cifrado Para cifrar el password del cliente al servidor, digite: # stunnel –c –d 389 –r localhost:636

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Otros comandos: Para ver todos los registros de la BD: #ldapsearch –x –b ´o=Acis,c=CO´ ´objectclass=*´ Para ver los usuarios de la BD: #ldapsearch –x –b ´o=Acis,c=CO´ ´uid=*´ Para adicionar registros desde el archivo bd.ldif: #ldapadd –x –D ´uid=acarvaja,o=Acis,c=CO´ -W –f bd.ldif

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Cual es el archivo de configuración más importante para el servidor ldap ? 1./etc/openldap/ldap.conf 2. /etc/sysconfig/daemons/ldap 3. /etc/rc.d/rc2.d/K55ldap 4. /etc/openldap/slapd.conf 5. /etc/rc.d/rc5.d/S99ldap !!! CONCURSO MILLONARIO.!!

Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Bibliografía Understanding And Deploying LDAP Directory Services, Timothy A. Howes Ph.D, New Riders, 1999, Netscape Communications Corporation, First Edition Implementing LDAP, Marck Wilcox, Editorial Wrox

Encontrando el camino hacia el software libre – ACIS Octubre de 2004

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.