Breve Ldap

3
Breve Introducción a LDAP Lightweight Directory Access Protocol (Protocolo Ligero de Acceso a Directorios) Está definido en el RFC 4501 y usa el puerto TCP 389. Se puede usar LDAP sobre TLS/SSL en el puerto 636. Tiene su origen en la especificación X.500 para servicios de directorio, a su vez creada a partir de la vasta experiencia en directorios telefónicos de las empresas de telecomunicaciones. Relaciona Prestaciones y usuarios mediante contraseñas y permisos. Facilita la gestión de muchas prestaciones y muchos usuarios en redes medianas y grandes. Definición de dominio LDAP: es un conjunto de usuarios, contraseñas, prestaciones y permisos vinculados entre sí por una relación de confianza (= los usuarios tienen contraseñas como credencial para autenticarse como miembros del dominio y, luego, permisos específicos sobre las prestaciones del dominio para poder usarlas). LDAP habla de Directorios para sugerir la idea de “consultar información de usuarios, contraseñas, prestaciones y permisos en un directorio apropiado en el que estén depositados aquellos datos”. Todo dominio LDAP debe tener nombre. Aquel nombre coincide la mayoría de las veces con el nombre de dominio DNS. Ejemplo: suarezc.org.ec Notación algebraica: Relación de confianza entre dominios LDAP = D A RD B = A R B Un dominio LDAP se representa gráficamente como un árbol LDAP. A su vez, un árbol de zona privada DNS es parte del árbol LDAP correspondiente. Bosque LDAP (LDAP Forest): conjunto de dominios LDAP agrupados en un gran dominio LDAP abarcador”. Un bosque LDAP puede estar formado por un único dominio LDAP (conjunto unitario).

description

ldap

Transcript of Breve Ldap

  • Breve Introduccin a LDAP

    Lightweight Directory Access Protocol (Protocolo Ligero de Acceso a Directorios)

    Est definido en el RFC 4501 y usa el puerto TCP 389. Se puede usar LDAP sobre

    TLS/SSL en el puerto 636.

    Tiene su origen en la especificacin X.500 para servicios de directorio, a su vez creada

    a partir de la vasta experiencia en directorios telefnicos de las empresas de

    telecomunicaciones.

    Relaciona Prestaciones y usuarios mediante contraseas y permisos.

    Facilita la gestin de muchas prestaciones y muchos usuarios en redes medianas y

    grandes.

    Definicin de dominio LDAP: es un conjunto de usuarios, contraseas, prestaciones y

    permisos vinculados entre s por una relacin de confianza (= los usuarios tienen

    contraseas como credencial para autenticarse como miembros del dominio y, luego,

    permisos especficos sobre las prestaciones del dominio para poder usarlas).

    LDAP habla de Directorios para sugerir la idea de consultar informacin de usuarios,

    contraseas, prestaciones y permisos en un directorio apropiado en el que estn

    depositados aquellos datos.

    Todo dominio LDAP debe tener nombre. Aquel nombre coincide la mayora de las

    veces con el nombre de dominio DNS. Ejemplo: suarezc.org.ec

    Notacin algebraica:

    Relacin de confianza entre dominios LDAP = DARDB = ARB

    Un dominio LDAP se representa grficamente como un rbol LDAP. A su vez, un rbol

    de zona privada DNS es parte del rbol LDAP correspondiente.

    Bosque LDAP (LDAP Forest): conjunto de dominios LDAP agrupados en un gran

    dominio LDAP abarcador.

    Un bosque LDAP puede estar formado por un nico dominio LDAP (conjunto unitario).

  • Contrasea: informacin alfanumrica que sirve como credencial asociada a una

    cuenta de usuario para autenticarlo.

    Clave: informacin alfanumrica que sirve para cifrar o descifrar en un algoritmo

    criptogrfico.

    Varios tipos de dominios por capa OSI: dominio de colisin, dominio de broadcast,

    dominio de nombres DNS, dominio LDAP, dominio de aplicacin

    o Notar el tecnocentrismo entre telecomunicadores, telemticos e informticos

    y sus dominios, respectivamente: cada grupo piensa que su dominio es el

    centro del mundo...

    Controladores de dominio LDAP:

    o Cada dominio tiene servidores a los que se les asigna el rol de controladores

    del dominio LDAP. Son los encargados de autenticar a los usuarios y

    comprobar los permisos sobre las prestaciones.

    o Primary Domain Controller (PDC) y Backup Domain Controllers (BDCs), o

    simplemente DCs (DC1, DC2, DC3, ).

    o Promocin (Promotion) al rol de DC: asignar el rol de DC a un servidor que no

    lo tena, si es que es necesario.

    Base de Datos distribuida de LDAP:

    o Sistema de bases de datos distribuidas que contienen la informacin LDAP del

    dominio.

    o Es el Directorio que contiene toda la informacin sobre cuentas de usuarios

    y sus contraseas, cuentas de prestaciones y sus permisos.

    o Base principal y original en el PDC o DC1.

    o Una copia en cada DC secundario.

    o Sincronizacin entre bases distribuidas que componen el sistema de bases

    LDAP del dominio gracias al mecanismo de REPLICACIN.

    o Cuentas de nudos en el dominio LDAP:

    LDAP ID: Identificador del nudo como miembro del dominio (un

    nmero entero nico, propio y diferente por cada PC, servidor,

    impresora, etc.)

    Las crea el administrador del dominio con su cuenta de superusuario,

    o tambin usuarios a los que el administrador cede permisos para el

    efecto.

    Tras crear exitosamente la cuenta del nudo en el dominio LDAP, este

    ltimo enva un mensaje al nudo informndole que ya es miembro del

    dominio ("Bienvenido al Dominio A" o Welcome to the domain A).

    Diagrama de diseo de dominio(s) LDAP:

    o Muy til para visualizar la problemtica de necesidades y soluciones LDAP en

    una organizacin determinada.

  • o Figuras estndar: El tringulo (o pirmide) representa a un dominio y el crculo

    (u valo) representa a un departamento organizacional dentro de un dominio.

    o Ejemplo:

    Criterios simples de diseo de un dominio LDAP

    o Localizacin geogrfica (= fsica) de usuarios y prestaciones.

    o Localizacin organizacional (= lgica) de usuarios y prestaciones: a qu

    departamento pertenece un usuario o prestacin?

    o Dentro de un dominio LDAP puede haber subdominios, creados por

    localizacin geogrfica y/u organizacional.

    o Puede haber relacin (de confianza) entre dominios LDAP diferentes.

    o Puede haber relacin (de confianza) entre bosques LDAP diferentes.

    Implementaciones comerciales ms usadas:

    o Linux: OpenLDAP

    o Microsoft Active Directory Domain Services (MS AD DS)

    Instalacin: dcpromo.exe /adv /unattend

    El vocablo RECURSOS (= RESOURCES) fue introducido por Microsoft

    como sinnimo para referirse a las formales PRESTACIONES.