LDAP Servicio de Directorio 4/V/2007 Cidir Gipuzkoa rootkiller
2 Índice Qué es Situación actual del servicio de directorio Atributos y clases de objetos para los usuarios Servicios que proporciona Autenticación Autorización Futuro
3 ¿Qué es? Es “Lightweight Directory Access Protocol” Es decir un “Protocolo Ligero de Acceso a Directorios” Inicialmente se usó para “descargar” el X500 Finalmente lo ha sustituido
4 ¿Qué es? - 2 Es una “base de datos” pensada para “muchas consultas y pocas modificaciones”. Todos los datos son “objetos” que tienen “atributos” Es una “copia” de los datos necesarios para poder ser utilizados en los diferentes servicios que proporciona Los datos de identificación de los usuarios se deben cambiar en las fuentes originales
5 Situación actual El servicio de directorio de la UPV/EHU, en este momento está formado por 2 tipos de servidores LDAP 1.Servidores principales con openldap 2.Servidores secundarios con directorio activo de M$ El servicio se basa en openldap y, para servicios que necesiten “cosas” del directorio activo, se podrían conectar a los nuevos servidores de directorio basados en DA. Todo lo que está en el DA (salvo datos internos del DA) tiene que estar en el OL. La actualización es SIEMPRE OL -> DA
6 Situación actual - servidores El servicio de directorio de la UPV/EHU, en este momento está formado por 5 servidores: 1.Servidor maestro: ldaps.vc.ehu.es (Vitoria) 2.Servidor esclavo: ldaps.sc.ehu.es (Donostia) 3.Servidor esclavo: ldaps.lg.ehu.es (Lejona) 4.Servidor esclavo de DAM$: lgpxsa.adm.ehu.es 5.Servidor esclavo de DAM$: lgpxsb.adm.ehu.es Nota: Los servidores de DA se actualizan desde el servidor de openldap de Lejona La contraseña se cambia “a la vez” en OL y DA
7 Situación actual - servidores
8 Situación actual - árbol Arbol ldap dc=ehu,dc=es | +-ou=people | +-ou=groups | +-ou=areas | +-ou=listas | +-ou=sistema
9 Situación actual - Atributos Cada usuario tiene un objeto en el ldap con sus datos dn: uid=prueba123,ou=people,dc=ehu,dc=es uid: prueba123 irisUserEntitlement: urn:mace:rediris.es:ehu.es:iturria:ikasle cn: apellido1 apellido2, nombre sn: apellido1 apellido2 sn1: apellido1 sn2: apellido2 givenName: nombre l: UPV/EHU irisPersonalUniqueID: irisMailMainAddress: employeeNumber: eduPersonAffiliation: student mail: schacExpiryDate: Z sambaLMPassword: 1A992DF E39B7565E0C8D76954A50 sambaNTPassword: 3CAD FD32CAE556A4D351ECA3811A userPassword: {CRYPT}$1$0HVDUp1n$VhluZ48Z56iRXPsrhvgGjxcU1
10 Situación actual – Atributos - 2 Cada grupo tiene un objeto en el ldap con sus datos: dn: cn=32656_AD,ou=groups,dc=ehu,dc=es objectClass: top objectClass: groupOfNames cn: 32656_AD owner: uid=bckaggar,ou=people,dc=ehu,dc=es owner: uid=lgzmagej,ou=people,dc=ehu,dc=es owner: uid=para_portalweb,ou=sistema,dc=ehu,dc=es member: uid=lgzmagej,ou=people,dc=ehu,dc=es description: Pruebas portalweb
11 Situación actual – Atributos - 3 Para guardar las clasificaciones se usan este tipo de objetos dn: copaAreaCode=a01b02c24,ou=areas,dc=ehu,dc=es copaAreaCode: a01b02c24 copaCode: urn:mace:rediris.es:ehu.es:classif:ehu1: :a01b02c24 objectClass: copaArea objectClass: top copaName;lang-es: Facultad de Derecho copaName;lang-eu: Zuzenbide Fakultatea copaName: Facultad de Derecho description: 224
12 Situación actual - Atributos - 4 Atributos que se actualizan “diariamente” cn sn sn1 sn2 givenName eduPersonAffiliation eduPersonPrimaryAffiliation employeeNumber irisPersonalUniqueID centro departamento cargo telephoneNumber (*) sambaDomainName irisMailMainAddress schacExpiryDate
13 Servicios que se proporcionan Servicio de búsquedas Servicio de Autenticación Servicio de Autorización
14 Servicio de búsquedas Bilatu Navega Desde el cliente de correo
15 Autenticación Entendemos por autenticar (o autentificar) saber si un usuarios es quien dice ser En el caso del ldap se consigue haciendo que el usuario “haga un bind con sus credenciales” al servicio de directorio
16 Autenticación - 2 Los datos necesarios para lograr la autenticación son: raiz del directorio: dc=ehu,dc=es los usuarios están en: ou=people,dc=ehu,dc=es el acceso es siempre SSL los certificados están firmados por: IZENPE el login del usuario es el: UID se debe usar el servidor del campus y, el resto, de forma dextrógira (alta disponibilidad)
17 Autenticación - 3 Algunos de los servicios que usan autenticación en el directorio de la upv/ehu: vpn wifi (eduroam) ikasle moodle y moodle-tic ekasi bilatu bildu p-gina complementos del profesorado
18 Autorización Autorización es saber si un usuario tiene derecho a usar un recurso o no. Ejemplo: ¿un pdi puede usar el servicio ikasle? No está puesto en todos los servicios que dependen del ldap. Depende de cada responsable del servicio. Se puede hacer por atributo (para datos globales) o por grupos (para conjuntos pequeños de usuarios) La administración de grupos se hace desde BILATU
19 Autorización - 2 Unos ejemplos del filtro adecuado para un grupo estándar serían así: "(&(uid=UID_DEL_USUARIO) (eduPersonAffiliation=student))" "(&(uid=UID_DEL_USUARIO) (irisUserEntitlement=urn:mace:rediris.es: ehu.es:Servicios:WiFi:DOC))" "(&(uid=UID_DEL_USUARIO) (irisClasifCode=urn:mace:rediris.es:ehu.es:classif:ehu2: :a06b00c39))" Un ejemplo de filtro adecuado para un GRUPO sería así: "(&(cn=NOMBRE_DE_GRUPO) (objectClass=GroupOfNames)(member=EL_DN_DEL_USUARIO))"
20 Futuro Nuevos atributos: irisUserEntitlement: Derechos que tiene la cuenta relacionados con el correo electrónico Mejoras en el ”árbol copa” (siledap) Gestión de la identidad PAPI (SSO)
21 Ruegos y Preguntas Ruegos y preguntas Gracias por vuestra atención Liborio Revilla Alonso CIDIR Gipuzkoa Huella digital de PGP: 112A 5B4F F 9EB3 0B9E 59F5