Breve Introduccin a LDAP

Lightweight Directory Access Protocol (Protocolo Ligero de Acceso a Directorios)

Est definido en el RFC 4501 y usa el puerto TCP 389. Se puede usar LDAP sobre

TLS/SSL en el puerto 636.

Tiene su origen en la especificacin X.500 para servicios de directorio, a su vez creada

a partir de la vasta experiencia en directorios telefnicos de las empresas de

telecomunicaciones.

Relaciona Prestaciones y usuarios mediante contraseas y permisos.

Facilita la gestin de muchas prestaciones y muchos usuarios en redes medianas y

grandes.

Definicin de dominio LDAP: es un conjunto de usuarios, contraseas, prestaciones y

permisos vinculados entre s por una relacin de confianza (= los usuarios tienen

contraseas como credencial para autenticarse como miembros del dominio y, luego,

permisos especficos sobre las prestaciones del dominio para poder usarlas).

LDAP habla de Directorios para sugerir la idea de consultar informacin de usuarios,

contraseas, prestaciones y permisos en un directorio apropiado en el que estn

depositados aquellos datos.

Todo dominio LDAP debe tener nombre. Aquel nombre coincide la mayora de las

veces con el nombre de dominio DNS. Ejemplo: suarezc.org.ec

Notacin algebraica:

Relacin de confianza entre dominios LDAP = DARDB = ARB

Un dominio LDAP se representa grficamente como un rbol LDAP. A su vez, un rbol

de zona privada DNS es parte del rbol LDAP correspondiente.

Bosque LDAP (LDAP Forest): conjunto de dominios LDAP agrupados en un gran

dominio LDAP abarcador.

Un bosque LDAP puede estar formado por un nico dominio LDAP (conjunto unitario).

Contrasea: informacin alfanumrica que sirve como credencial asociada a una

cuenta de usuario para autenticarlo.

Clave: informacin alfanumrica que sirve para cifrar o descifrar en un algoritmo

criptogrfico.

Varios tipos de dominios por capa OSI: dominio de colisin, dominio de broadcast,

dominio de nombres DNS, dominio LDAP, dominio de aplicacin

o Notar el tecnocentrismo entre telecomunicadores, telemticos e informticos

y sus dominios, respectivamente: cada grupo piensa que su dominio es el

centro del mundo...

Controladores de dominio LDAP:

o Cada dominio tiene servidores a los que se les asigna el rol de controladores

del dominio LDAP. Son los encargados de autenticar a los usuarios y

comprobar los permisos sobre las prestaciones.

o Primary Domain Controller (PDC) y Backup Domain Controllers (BDCs), o

simplemente DCs (DC1, DC2, DC3, ).

o Promocin (Promotion) al rol de DC: asignar el rol de DC a un servidor que no

lo tena, si es que es necesario.

Base de Datos distribuida de LDAP:

o Sistema de bases de datos distribuidas que contienen la informacin LDAP del

dominio.

o Es el Directorio que contiene toda la informacin sobre cuentas de usuarios

y sus contraseas, cuentas de prestaciones y sus permisos.

o Base principal y original en el PDC o DC1.

o Una copia en cada DC secundario.

o Sincronizacin entre bases distribuidas que componen el sistema de bases

LDAP del dominio gracias al mecanismo de REPLICACIN.

o Cuentas de nudos en el dominio LDAP:

LDAP ID: Identificador del nudo como miembro del dominio (un

nmero entero nico, propio y diferente por cada PC, servidor,

impresora, etc.)

Las crea el administrador del dominio con su cuenta de superusuario,

o tambin usuarios a los que el administrador cede permisos para el

efecto.

Tras crear exitosamente la cuenta del nudo en el dominio LDAP, este

ltimo enva un mensaje al nudo informndole que ya es miembro del

dominio ("Bienvenido al Dominio A" o Welcome to the domain A).

Diagrama de diseo de dominio(s) LDAP:

o Muy til para visualizar la problemtica de necesidades y soluciones LDAP en

una organizacin determinada.

o Figuras estndar: El tringulo (o pirmide) representa a un dominio y el crculo

(u valo) representa a un departamento organizacional dentro de un dominio.

o Ejemplo:

Criterios simples de diseo de un dominio LDAP

o Localizacin geogrfica (= fsica) de usuarios y prestaciones.

o Localizacin organizacional (= lgica) de usuarios y prestaciones: a qu

departamento pertenece un usuario o prestacin?

o Dentro de un dominio LDAP puede haber subdominios, creados por

localizacin geogrfica y/u organizacional.

o Puede haber relacin (de confianza) entre dominios LDAP diferentes.

o Puede haber relacin (de confianza) entre bosques LDAP diferentes.

Implementaciones comerciales ms usadas:

o Linux: OpenLDAP

o Microsoft Active Directory Domain Services (MS AD DS)

Instalacin: dcpromo.exe /adv /unattend

El vocablo RECURSOS (= RESOURCES) fue introducido por Microsoft

como sinnimo para referirse a las formales PRESTACIONES.