2. ¿Qué es LDAP?
• El Protocolo ligero de acceso a directorios (en inglés,
Lightweight Directory Access Protocol, LDAP) es un conjunto
de protocolos abiertos usados para acceder información
guardada centralmente a través de la red. Está basado en el
estándar X.500 para compartir directorios, pero es menos
complejo e intensivo en el uso de recursos. Por esta razón, a
veces se habla de LDAP como "X.500 Lite." El estándar X.500
es un directorio que contiene información de forma jerárquica
y categorizada, que puede incluir nombres, directorios y
números telefónicos.
Como X.500, LDAP organiza la información en un modo
jerárquico usando directorios. Estos directorios pueden
almacenar una gran variedad de información y se pueden
incluso usar de forma similar al Servicio de información de red
(NIS), permitiendo que cualquiera pueda acceder a su cuenta
desde cualquier máquina en la red acreditada con LDAP.
3. ¿Cómo se originó?
• El objetivo del protocolo LDAP, desarrollado en 1993
en la Universidad de Michigan, fue reemplazar al
protocolo DAP (utilizado para acceder a los servicios
de directorio X.500 por OSI) integrándolo al TCP/IP.
Desde 1995, DAP se convirtió en LDAP
independiente, con lo cual se dejó de utilizar sólo
para acceder a los directorios tipo X500. LDAP es
una versión más simple del protocolo DAP, de allí
deriva su nombre Protocolo compacto de acceso a
directorios.
4. ¿Cuál es su objetivo principal?
Define el método para acceder a datos
en el servidor a nivel cliente pero no la
manera en la que se almacena la
información.
5. ¿Cuáles son sus ventajas?
• Se puede consolidar información para toda
una organización dentro de un repositorio
central. Por ejemplo, en vez de administrar
listas de usuarios para cada grupo dentro de
una organización, puede usar LDAP como
directorio central, accesible desde cualquier
parte de la red.
• Puesto que LDAP soporta la Capa de
conexión segura (SSL) y la Seguridad de la
capa de transporte (TLS), los datos
confidenciales se pueden proteger de los
curiosos.
6. Mas Ventajas…
• LDAP también soporta un número de bases de datos back-
end en las que se guardan directorios. Esto permite que los
administradores tengan la flexibilidad para desplegar la base
de datos más indicada para el tipo de información que el
servidor tiene que diseminar. También, ya que LDAP tiene una
interfaz de programación de aplicaciones (API) bien definida,
el número de aplicaciones acreditadas para LDAP son
numerosas y están aumentando en cantidad y calidad.
7. ¿Qué aplicaciones usan los servicios de LDAP?
Existen diversas implementaciones y aplicaciones reales del protocolo
LDAP:
• Active Directory
Un Servicio de Directorio es un depósito estructurado de la información de
los diversos objetos que contiene el Active Directory, en este caso podrían
ser impresoras, usuarios, equipos...
Bajo este nombre se encuentra realmente un esquema (definición de los
campos que pueden ser consultados) LDAP versión 3, lo cual permite
integrar otros sistemas que soporten el protocolo. En este LDAP se
almacena información de usuarios, recursos de la red, políticas de
seguridad, configuración, asignación de permisos, etc.
8. • Novell Directory Services
También conocido como eDirectory es la implementación
de Novell utilizada para manejar el acceso a recursos en
diferentes servidores y computadoras de una red. Básicamente
está compuesto por una base de datos jerárquica y orientada a
objetos, que representa cada servidor, computadora,
impresora, servicio, personas, etc. entre los cuales se crean
permisos para el control de acceso, por medio de herencia. La
ventaja de esta implementación es que corre en diversas
plataformas, por lo que puede adaptarse fácilmente a entornos
que utilicen más de un sistema operativo.
9. • IPlanet - Sun ONE Directory Server
Basado en la antigua implementación de Netscape, iPlanet
se desarrolló cuando AOL adquirió Netscape
Communications Corporation y luego conjuntamente con Sun
Microsystems comercializaron software para servidores,
entre ellos el iPlanet Directory Server, su implementación de
LDAP... Actualmente se denomina Sun ONE Directory
Server.
10. • OpenLDAP
Se trata de una implementación libre del protocolo que soporta múltiples
esquemas por lo que puede utilizarse para conectarse a cualquier otro
LDAP.
Tiene su propia licencia, la OpenLDAP Public License. Al ser un protocolo
independiente de la plataforma, varias distribuciones GNU/Linux y BSD lo
incluyen, al igual que AIX, HP-UX, Mac OS X, Solaris, Windows (2000/XP) y
z/OS.
OpenLDAP tiene cuatro componentes principales:
slapd - demonio LDAP autónomo.
slurpd - demonio de replicación de actualizaciones LDAP autónomo.
Rutinas de biblioteca de soporte del protocolo LDAP.
Utilidades, herramientas y clientes.
11. • Red Hat Directory Server
Directory Server es un servidor basado en LDAP que centraliza
configuración de aplicaciones, perfiles de usuarios, información
de grupos, políticas así como información de control de acceso
dentro de un sistema operativo independiente de la plataforma.
Forma un repositorio central para la infraestructura de manejo
de identidad, Red Hat Directory Server simplifica el manejo de
usuarios, eliminando la redundancia de datos y automatizando
su mantenimiento.
12. • Apache Directory Server
Apache Directory Server (ApacheDS), es un servidor de directorio
escrito completamente en Java disponible bajo la licencia de Apache
Software, es compatible con LDAPv3 certificado por el Open Group,
soporta otros protocolos de red tal como Kerberos y NTP, además
provee Procedimientos Almacenados, triggers y vistas; características
que están presente en las Base de Datos Relacionales pero que no
estaban presentes en el mundo LDAP.
• Open DS
Basado en los estándares LDAPv3 y DSMLv2, OpenDS surgió como
un proyecto interno de SUN, aunque posteriormente se puso a
disposición de la comunidad. Está desarrollado en JAVA y precisa de
un entorno de ejecución para funcionar. Es multiplataforma.
14. ¿Cómo funciona LDAP?
El servicio de directorio LDAP se basa en un modelo cliente-
servidor. Uno o más servidores LDAP contienen los datos que
conforman el árbol del directorio LDAP o base de datos troncal.
El cliente ldap se conecta con el servidor LDAP y le hace una
consulta. El servidor contesta con la respuesta correspondiente,
o bien con una indicación de dónde puede el cliente hallar más
información (normalmente otro servidor LDAP). No importa con
qué servidor LDAP se conecte el cliente: siempre observará la
misma vista del directorio; el nombre que se le presenta a un
servidor LDAP hace referencia a la misma entrada a la que haría
referencia en otro servidor LDAP.
15. ¿Qué es un objeto dentro de LDAP?
Los objetos de directorio se componen de un conjunto de atributos:
Estos son los contenidos reales de datos, que son - unidos al objeto
referente - almacenados en la base de datos de directorio. No todos los
posibles atributos tienen que ser llenados con datos reales. Por otro
lado muchos de los atributos de los objetos puede constar de varios
valores en una matriz.
16. ¿Cuáles son los RFC que definen LDAP?
BIND Lista RFC - Una lista más completa administrada en el sitio web de BIND
RFC1487 -- X.500 Lightweight Directory Access Protocol (obsoleted by RFC 1777)
RFC 1558 -- A String Representation of LDAP Search Filters (obsoleted by RFC 1960)
RFC 1777 -- Lightweight Directory Access Protocol
RFC 1778 -- The String Representation of Standard Attribute Syntaxes
RFC 1779 -- String Representation of Distinguished Names
RFC 1959 -- An LDAP URL Format (obsoleted by RFC 2255)
RFC 1960 -- A String Representation of LDAP Search Filters (obsoleted by RFC 2254)
LDAPV3
RFC 2251 -- Lightweight Directory Access Protocol (v3)
RFC 2252 -- Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions
RFC 2253 -- UTF-8 String Representation of Distinguished Names
RFC 2254 -- The String Representation of LDAP Search Filters
RFC 2255 -- The LDAP URL Format
RFC 2256 -- A Summary of the X.500(96) User Schema for use with LDAPv3
17. Compare LDAP con directorio activo: Semejanzas y Diferencias
• Active Directory es un sistema basado en la base de datos que proporciona
autenticación, directorio, la política, y otros servicios en un entorno Windows
• LDAP (Lightweight Directory Access Protocol) es un protocolo de aplicación
para consultar y modificar los elementos de los proveedores de servicios de
directorio como Active Directory, lo que es compatible con una forma de
LDAP.
AD es una base de datos de servicios de
directorio y LDAP es uno de los protocolos que
puede utilizar para hablar con él.
18. Active Directory vs OpenLDAP
OpenLDAP se podría llamar un servidor LDAP genérico similar a los servidores
LDAP de muchos otros proveedores. Active Directory es un poco más
personalizada para una suite de Microsoft producto (es decir: la ejecución de
un dominio de Microsoft). Hay pros y los contras de cada uno.
OpenLDAP está vacío después de la instalación y no tiene una estructura
(denominada DIT). Ni siquiera tiene una entrada "top" de la caja. AD va a con
una estructura básica y cuenta con las herramientas de la GUI listo para
empezar a poblar los usuarios.
OpenLDAP espera de usted para crear el DIT a mano por lo que tendrá que
diseñar una estructura. Así que tendrás que planificar dónde va a poner sus
usuarios, grupos, roles y pensar en las ACL o delegación rama si eres
proyecto implica cosas como esas.
19. Cuáles servicios necesita LDAP para funcionar.
En LDAP se pueden distinguir cuatro modelos que representan los servicios
que
proporciona un servidor LDAP vistos por el cliente.
- El modelo de información : establece la estructura y los tipos de datos que
tiene el directorio: esquemas, entradas, atributos, etc.
Según este modelo un directorio está formado por entradas estructuradas en
forma de árbol. Cada entrada estará definida por un conjunto de atributos y
cada atributo está compuesto por un nombre y su valor.
20. -El modelo de asignación de nombres define cómo referenciar de forma
única las entradas y los datos en el árbol de directorios. Cada entrada tendrá
un identificador único llamado DN (Distinguished Name). El DN se construye a
partir de un RDN (relative DN) que se compone de varios atributos de la
entrada, seguido de los DN de sus ancestros.
- El modelo funcional establece las operaciones para acceder al árbol de
directorio: autenticación, solicitudes y actualizaciones.
- Por ultimo el modelo de seguridad establece los mecanismos que
garantizan para el cliente cómo probar su identidad (autenticación) y para el
servidor cómo controlar acceso (autorización)
21. Qué tipos de organizaciones usan LDAP
¿Cuándo se debe utilizar LDAP para almacenar sus datos?
La mayoría de los servidores LDAP están fuertemente optimizados para
operaciones intensivas de lectura. Debido a esto, uno normalmente puede ver
un orden de magnitud de diferencia al leer los datos de un directorio LDAP
frente a la obtención de los mismos datos de un servidor de base de datos
relacional optimizada para OLTP.
Debido a esta optimización, sin embargo, la mayoría de los directorios LDAP
no son muy adecuadas para el almacenamiento de datos en el que los
cambios son frecuentes.
Por ejemplo, un servidor de directorio LDAP es ideal para almacenar el
directorio telefónico interno de su empresa, pero ni se te ocurra utilizarlo como
un back-end de base de datos para su sitio de comercio electrónico de alto
volumen.