LDAP LDAP Susana Gonz á lez Grisales Gestión de Redes de Datos – SENA
¿QUÉ ES LDAP ? LDAP (`` Lightweight Directory Access Protocol '', « Protocolo Ligero de Acceso a Directorios ») es un protocolo de tipo cliente - servidor para acceder a un servicio de directorio. El servidor puede usar una variedad de bases de datos para guardar un directorio, cada uno optimizado para operaciones de lectura r á pidas y en gran volúmen. Cuando una aplicación cliente LDAP se conecta a un servidor LDAP puede, o bien consultar un directorio, o intentar modificarlo. En el evento de una consulta, el servidor, puede contestarla localmente o puede dirigir la consulta a un servidor LDAP que tenga la respuesta. Si la aplicación cliente est á intentando modificar información en un directorio LDAP, el servidor verifica que el usuario tiene permiso para efectuar el cambio y después añade o actualiza la información. Es un conjunto de protocolos abiertos usados para acceder información guardada centralmente a través de la red.
¿C Ó MO SE ORIGIN Ó? LDAP se originó de la necesidad de un servicio de directorio m á s liviano que su predecesor, el protocolo X.500. LDAP ha evolucionado hasta ser una buena opción desde su release en Actualmente es el est á ndar de Internet de facto para servicios de directorio. ¿CUÁL ES SU OBJETIVO PRINCIPAL ? El objetivo del protocolo LDAP, desarrollado en 1993 en la Universidad de Michigan, fue reemplazar al protocolo DAP ( utilizado para acceder a los servicios de directorio X.500 por OSI ) integr á ndolo al TCP / IP. Desde 1995, DAP se convirtió en LDAP independiente, con lo cual se dejó de utilizar sólo para acceder a los directorios tipo X 500. LDAP es una versión m á s simple del protocolo DAP, de allí deriva su nombre Protocolo compacto de acceso a directorios.
¿CUÁLES SON SUS VENTAJAS ? La ventaja principal de usar LDAP es la consolidación de cierto tipo de información en el interior de su empresa. Por ejemplo, todas las diferentes listas de usuarios en el interior de su empresa pueden ser fusionadas en un solo directorio LDAP. Este directorio, a continuación, podría ser consultado desde cualquier aplicación LDAP - enabled a la que le sirva la información. El directorio también podría ser utilizado por los usuarios que necesiten información sobre el. Otras ventajas de LDAP son que incluye entre otras cosas gran facilidad de implementar ( si lo comparamos con X.500) y la coherencia de sus API. Lo cual significa que el número de aplicaciones y de gateways que disfruta LDAP puede crecer en el futuro.
¿CUÁL ES LA ARQUITECTURA DE LDAP ? ILUSTRAR CON UN GRÁFICO.
¿C Ó MO FUNCIONA LDAP ? El servicio de directorio LDAP se basa en un modelo cliente - servidor. Uno o m á s servidores LDAP contienen los datos que conforman el á rbol del directorio LDAP o base de datos troncal. el cliente ldap se conecta con el servidor LDAP y le hace una consulta. El servidor contesta con la respuesta correspondiente, o bien con una indicación de dónde puede el cliente hallar m á s información ( normalmente otro servidor LDAP ). No importa con qué servidor LDAP se conecte el cliente : siempre observar á la misma vista del directorio ; el nombre que se le presenta a un servidor LDAP hace referencia a la misma entrada a la que haría referencia en otro servidor LDAP. Es ésta una característica importante de un servicio de directorios universal como LDAP.
¿QUÉ ES UN OBJETO DENTRO DE LDAP ? ILUSTRAR CON EJEMPLOS Slapd se suministra con tres diferentes bases de datos de backend ( dorsal, o base de datos de segundo plano ) entre las que elegir. Se trata de LDBM, una base de datos de gran rendimiento basada en disco : SHELL, una interfaz de base de datos para órdenes arbitrarias de UNIX o guiones ( scripts ) del intérprete de órdenes ( shell ); y PASSWD, una sencilla base de datos de contraseñas. En el desarrollo de este documento, se da por supuesto que ha elegido la base de datos LDBM.
La base de datos LDBM funciona asignando un identificador compacto de cuatro bytes, único para cada entrada de la base de datos. La base de datos utiliza este identificador para hacer referencia a entradas en los índices. La base de datos est á compuesta de un fichero índice principal, llamado id 2 entry, que mapea el identificador único de una entrada en la representación en texto de esa misma entrada. También se da mantenimiento a otros ficheros índice. Para importar y exportar información de directorio entre servidores de directorios basados en LDAP, o para describir una serie de cambios que han de aplicarse al directorio, se usa en general del fichero de formato conocido como LDIF ( siglas de " LDAP interchange format ", « formato de intercambio de LDAP »). Un fichero LDIF almacena información en jerarquías de entradas orientadas a objeto. El paquete de software LDAP que va a utilizar incluye una utilidad para convertir ficheros LDIF a formato LDBM.
Un fichero LDIF corriente tiene este aspecto : dn : o = Insflug, c = ES o : Insflug objectclass : organization dn : cn = Luiz Malere, o = Insflug, c = ES cn : Luiz Malere sn : Malere mail : yahoo. com objectclass : person Como puede comprobar, cada entrada est á identificada unívocamente por un nombre distintivo ( DN, " distinguished name "). El DN ( nombre distintivo ) est á compuesto por el nombre de la entrada en cuestión, m á s la ruta de nombres que permiten rastrear la entrada hacia atr á s hasta la parte superior de la jerarquía del directorio. En LDAP, una clase de objetos define la colección de atributos que pueden usarse para definir una entrada. El est á ndar LDAP proporciona estos tipos b á sicos para las clases de objetos :
- Grupos en el directorio, entre ellos listas no ordenadas de objetos individuales o de grupos de objetos. - Emplazamientos, como por ejemplo el nombre del país y su descripción. - Organizaciones que est á n en el directorio. - Personas que est á n en el directorio. Una entrada determinada puede pertenecer a m á s de una clase de objetos. Por ejemplo, la entrada para personas se define mediante la clase de objetos person, pero también puede definirse mediante atributos en las clases de objetos inetOrgPerson, groupOfNames y organization. La estructura de clases de objetos del servidor determina la lista total de atributos requeridos y permitidos para una entrada concreta. Los datos del directorio se representan mediante pares de atributo y su valor. Cualquier pieza de información específica se asocia con un atributo descriptivo.
Por ejemplo el atributo commonName, o cn (« nombre de pila »), se usa para almacenar el nombre de una persona. Puede representarse en el directorio a una persona llamada Jon á s Saqueiro mediante cn : Jon á s Saqueiro Cada persona que se introduzca en el directorio se define mediante la colección de atributos que hay en la clase de objetos person. Otros atributos que se usan para definir esta entrada ser á n : givenname : Jon á s surname : Saqueiro mail : midominio. com Los atributos requeridos son aquellos que deben estar presentes en las entradas que utilicen la clase de objetos. Todas las entradas precisan del atributo objectClass, que lista las clases de objeto a las que pertenece una entrada.
Los atributos permitidos son aquellos que pueden estar presentes en las entradas que utilicen la clase de objetos. Por ejemplo, en la clase de objetos person, se requieren los atributos cn y sn. Los atributos description (« descripción »), telephoneNumber (« número de teléfono »), seeAlso (« véase también »), y userpassword (« contraseña del usuario ») se permiten pero no se requieren. ¿CUÁLES SON LOS RFC QUE DEFINEN LDAP ? RFC es una sigla en inglés ( Request For Comments ) que significa solicitud de comentarios y consiste en un documento que puede ser escrito por cualquier persona y que contiene una propuesta para una nueva tecnología, información acerca del uso de tecnologías y / o recursos existentes, propuestas para mejoras de tecnologías, proyectos experimentales y dem á s.
La metodología que se utiliza con las RFC es asignarle a cada una un número único que la identifique y que es el consecutivo de la última RFC publicada. Una RFC ya publicada jam á s puede modificarse, no existen varias versiones de una RFC. Lo que se hace, en cambio, es escribir una nueva RFC que deje obsoleta o complemente una RFC anterior. RFC UNA REPRESENTACI Ó N DE CADENA DE NOMBRES COMPLETOS RFC UN FORMATO DE URL LDAP RFC UNA REPRESENTACI Ó N DE CADENA DE LOS FILTROS DE BÚSQUEDA LDAP RFC LA INTERFAZ DE PROGRAMA DE APLICACI Ó N DE LDAP
COMPARE LDAP CON DIRECTORIO ACTIVO : SEMEJANZAS Y DIFERENCIAS Active Directory Active Directory es una implementación propietaria ( creada por Microsoft ) de los Servicios de Directorio, y proporciona una manera de compartir información entre recursos y usuarios de la red. Adem á s de proporcionar una fuente centralizada para esa información, Active Directory también funciona como autoridad de seguridad centralizada de autenticación para la red. Active Directory combina capacidades que tradicionalmente se hallaban en sistemas separados y especializados de directorio, como integración simplificada, gestión y seguridad de los recursos de la red. El paquete SAMBA puede configurarse para usar los servicios de Active Directory desde un controlador de dominio de Windows.
LDAP (“ Lightweight Directory Acces Protocol ”, en español Protocolo Ligero de Acceso a Directorios ) es un protocolo de tipo cliente - servidor para acceder a un servicio de directorio. Se usó inicialmente como un Front - End o interfaz final, también puede usarse con servidores de directorio únicos y con otros tipos de servidores de directorio. ¿Qué es un directorio ? Un directorio es una base de datos, pero en general contiene información m á s descriptiva y m á s basada en atributos de usuarios y recursos de red. CUÁLES SERVICIOS NECESITA LDAP PARA FUNCIONAR. - Servicio de Directorio o Directory Service basado en OpenLDAP - Servicios NTP, DNS y DHCP independientes - Integrar Samba al LDAP - Posiblemente desarrollaremos la integración de LDAP y Kerberos - Administrar el Directorio con la aplicación web Ldap Account Manager.
QUÉ TIPOS DE ORGANIZACIONES USAN LDAP LDAP se usa simplemente como un directorio telefónico virtual, permitiendo a los usuarios acceder f á cilmente la información de contacto de otros usuarios. Pero LDAP va mucho m á s lejos que un directorio telefónico tradicional, ya que es capaz de propagar su consulta a otros servidores LDAP por todo el mundo, proporcionando un repositorio de información ad - hoc global.
WEBGRAFIA - http :// web. mit. edu / rhel - doc /4/ RH - DOCS / rhel - rg - es -4/ ch - ldap. html - http :// www. forosdelweb. com / f 20/ que - ldap / - http :// www. ibm. com / developerworks / ssa / library / l - lpic / - http :// es. kioskea. net / contents /269- protocolo - ldap http :// archive. download. redhat. com / pub / redhat / linux /7.0/ tc / doc / RH - DOCS / rhl - rg - es -7.0/ s 1- ldap - procon. html - http :// es. kioskea. net / contents /269- protocolo - ldap - http :// es. tldp. org / COMO - INSFLUG / COMOs / LDAP - Linux - Como / LDAP - Linux - Como -1. html - http :// es. tldp. org / COMO - INSFLUG / COMOs / LDAP - Linux - Como / LDAP - Linux - Como -1. html - http :// www. mikroways. net /2009/07/12/% C 2% BFque - es - una - rfc / - http :// zystrax. wordpress. com /2009/12/26/% C 2% BFactive - directory - o - ldap - openldap / - http :// blog. desdelinux. net / ldap - introduccion /