En inglés
jueves, 30 de junio de 2011
Referencias
M http://www.ldapman.org/articles/sp_intro.html
M http://www.sinologic.net/blog/2007-06/ldap-en-asterisk-14/
Mhttp://www.tools4ever.com/resources/manual/usermanagement6/Managing_LDAP_Directory_Services_Concept.htm
M http://www.tractionet.com/index.php?main_page=faqs
M http://withfriendship.com/user/boss/lightweight-directory-access-protocol.php
Mhttp://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=/com.ibm.help.domino.admin85.doc/H_USING_AN_IP_SPRAYER_WITH_DOMINO_FOR_LDAP_FAILOVER_EX.html
Mhttp://www.ldap-es.org/contenido/04/12/1.7.-servidores-ldap-disponibles-en-el-mercado
M http://www.redes-linux.com/manuales/openldap/curso_openldap.pdf
M http://www.ldap-es.org/contenido/04/11/1.2.-ventajas-en-el-uso-de-ldap
Mhttp://www.cez.com.pe/Linux/manual%20suse%20linux%209.1/suselinux-adminguide_es/html/ch13s07.html
Mhttp://www.cez.com.pe/Linux/manual%20suse%20linux%209.1/suselinux-adminguide_es/html/ch13s07.html
lunes, 27 de junio de 2011
CLDAP
CLDAP ("connectionless Lightweight Directory Acces Protocol", en español Protocolo Ligero de Acceso a Directorios no orientado a conexión). Se única dentro de la especificación técnica, RFC 1798, el cual se publicó en 1995 como un Proyecto de Norma. Este documento analiza las razones del porque las especificaciones técnicas CLDAP no se ha promovido en la pista estándar. En este documento se recomienda que el RFC 1798 se trasladara a la condición de histórico.
Protocolo no orientado a la conexión
En telecomunicaciones, no orientado a la conexión significa una comunicación entre dos puntos finales de una red en los que un mensaje puede ser enviado desde un punto final a otro sin acuerdo previo. El dispositivo en un extremo de la comunicación transmite los datos al otro, sin tener que asegurarse de que el receptor esté disponible y listo para recibir los datos. El emisor simplemente envía un mensaje dirigido al receptor. Cuando se utiliza esta forma de comunicación son más frecuentes los problemas de transmisión que con los protocolos orientado a la conexión y puede ser necesario reenviar varias veces los datos. Los protocolos no orientados a la conexión son a menudo rechazados por los administradores de redes que utilizan cortafuegos porque los paquetes maliciosos son más difíciles filtrar. El protocolo IP y el protocolo UDP son protocolos no orientados a la conexión, pero TCP es un protocolo orientado a la conexión. Los protocolos no orientados a la conexión son descritos generalmente como sin estado porque los puntos finales no guardan información para recordar una "conversación" de cambios de mensajes. La alternativa al enfoque no orientado a la conexión es utilizar protocolos orientados a la conexión, que son descritos a veces como con estado porque pueden seguir una conversación.
Seguridad y control de accesos
LDAP provee de un complejo nivel de instancias de control de acceso, o ACIs. A causa de que el acceso puede ser controlado en el lado del servidor, es muchos más seguro que los métodos de seguridad que trabajan haciendo seguro a través del software cliente.
Con LDAP ACIs, puedes hacer cosas como:
R Conceder a los usuarios la capacidad de cambiarse su número de teléfono de casa y su domicilio, mientras que se les restringe el acceso a solo lectura para otro tipo de datos (como título de trabajo o login de gerente).
R Conceder a cualquiera en el grupo "HR-admins" (administradores de RRHH) la capacidad de modificar la información de los usuarios para los siguientes campos: gerente, título de trabajo, número ID del empleado, nombre del departamento, y número del departamento. No habrán permisos de escritura para otros campos.
R Denegar el acceso de lectura a cualquiera que intente consultar al LDAP por la contraseña de un usuario, mientras que se seguirá permitiendo al usuario cambiar su propia contraseña.
R Conceder permisos solo de lectura a los gerentes para los números de teléfono de casa de sus informadores directos, mientras que se deniega este privilegio a cualquier otro.
R Conceder a cualquiera en el grupo "host-admins" crear, borrar, y editar todos los aspectos de información del hosts almacenados en LDAP.
R A través de una página Web. Por ejemplo permitir a la gente en "foobar-ventas" selectivamente conceder o denegarse a ellos mismos el acceso de lectura a subsets de la base de datos de contactos de cliente. Esto podría, a su vez, permitir a esos individuos descargar información de contacto de los clientes a sus ordenadores portátiles o a sus PDA. (Esto será más útil si tu herramienta de forzamiento de automatización para ventas es LDAP-izable.)
R A través de una página Web, permitir a cualquier propietario de grupo añadir o eliminar entradas de sus grupos. Por ejemplo, esto podría permitir a los gerentes de ventas conceder o eliminar el acceso a la gente de ventas para modificar las páginas Web. Esto podría permitir a los propietarios de los alias de correo añadir o eliminar usuarios sin contactar con TI. Las listas de distribución designadas como "pública" pueden permitir que los usuarios se añadan o se eliminen ellos mismos (pero solo a ellos mismos) de o a esos alias de correo. Las restricciones pueden basarse también en direcciones IP o nombres de máquina. Por ejemplo, los campos pueden hacerse legibles solo si la dirección IP del usuario empeiza por 192.168.200.*, o si la resolución inversa del nombre de máquina del usuario por DNS se mapea a *.foobar.com.
Administración de LDAP.
Tipos de Atributos
Una definición de tipo de atributo especifica la sintaxis de un atributo y cómo se ordenan y comparan los atributos de ese tipo.
Los tipos de atributos en el directorio forman un árbol de clases. Por ejemplo, el tipo de atributo "commonName" es una subclase del tipo de atributo "name".
Hay atributos obligatorios y opcionales listados en la siguiente tabla:
Estos atributos corresponden a la definición de "AttributeTypeDescription" en la RFC 2252.
LDIF
Para importar y exportar información de directorio entre servidores de directorios basados en LDAP, o para describir una serie de cambios que han de aplicarse al directorio, se usa en general el fichero de formato conocido como LDIF (formato de intercambio de LDAP).
Un fichero LDIF almacena información en jerarquías de entradas orientadas a objeto. Todos los servidores LDAP incluyen una utilidad para convertir ficheros LDIF a formato orientadas a objeto.
EJEMPLO:
Un fichero LDIF corriente tiene este aspecto:
Como se puede notar, cada entrada está identificada por un nombre distintivo:
DN (“distinguished name”, nombre distintivo) está compuesto por el nombre de la entrada en cuestión, más la ruta de nombres que permiten rastrear la entrada hacia atrás hasta la parte superior de la jerarquía del directorio.
Objetos
En LDAP, una clase de objetos define la colección de atributos que pueden usarse para definir una entrada. El estándar LDAP proporciona estos tipos básicos para las clases de objetos:
1. Grupos en el directorio, entre ellos listas no ordenadas de objetos individuales o de grupos de objetos.
2. Emplazamientos, como por ejemplo el nombre del país y su descripción.
3. Organizaciones que están en el directorio.
4. Personas que están en el directorio.
Una entrada determinada puede pertenecer a más de una clase de objetos.
Por ejemplo, la entrada para personas se define mediante la clase de objetos person, pero también puede definirse mediante atributos en las clases de objetos inetOrgPerson, groupOfNames y organization. La estructura de clases de objetos del servidor determina la lista total de atributos requeridos y permitidos para una entrada concreta.
Personalizando las clases de objeto de tu directorio
Se puede utilizar LDAP para almacenar datos en casi cualquier tipo de objetos, mientras que el objeto pueda ser descrito en términos de varios atributos. Aquí hay algunos ejemplos de información que se puede almacenar:
M Empleados: ¿Cual es el nombre completo del empleado, nombre de login, contraseña, número de empleado, login de su gerente, servidor de correo?
M Seguimiento de "activos": ¿ cuál es el nombre de la computadora, dirección IP, etiqueta del activo, información de marca y modelo, localización física ?
M Listas de contacto de clientes: ¿Cual es el nombre de la empresa del cliente? ¿Primer teléfono de contacto, fax, e información de correo electrónico?
M Información de la sala de reuniones: ¿Cual es el nombre de la habitación, localización, capacidad en asientos, número de teléfono? ¿Hay acceso para silla de ruedas? ¿Hay un proyector?
M Información de recetas: Nombre que se le da al plato, la lista de ingredientes, el tipo de cocina, y las instrucciones para prepararlo.
A causa de que el directorio LDAP puede ser personalizado para almacenar cualquier tipo de texto o dato binario, aquello que se almacene será realmente lo que se decida. Los directorios LDAP utilizan el concepto de clases de objeto para definir qué atributos son permitidos para objetos de un tipo dado. En casi todas las implementaciones LDAP, se querrá extender la funcionalidad básica del LDAP para adecuarlo a las necesidades específicas, o creando nuevas clases de objetos o extendiendo las existentes.
Los directorios LDAP almacenan toda la información para unas entradas dadas de registros como una serie de pares de atributos, cada una consistente en un tipo de atributo y un valor de atributo. (Esto es completamente diferente a la manera en que los servidores de bases de datos relacionales almacenan datos, en columnas y filas.) Ejemplo: Se considera esta porción del registro de receta, como se almacena en un directorio LDAP:
dn: cn=ComidaDeAvena Deluxe, ou=recipes, dc=foobar, dc=com cn: Comida de avena instantánea Deluxe recipeCuisine: desayuno recipeIngredient: 1 paquete de comida de avena instantánea recipeIngredient: 1 tazón de agua recipeIngredient: 1 pizca de sal recipeIngredient: 1 tsp de azúcar marrón recipeIngredient: 1/4 de manzana, de cualquier tipo |
Nótese que en este caso, cada ingrediente es listado como un valor del tipo de atributo recipeIngredient. Los directorios están diseñados para almacenar múltiples valores de un tipo único de esta manera, más que almacenando la lista entera en un único campo de la base de datos con algún tipo de delimitador para distinguir los valores individuales.
A causa de que los datos son almacenado de este modo, la forma de la base de datos es completamente fluida - no necesitas recrear una tabla de base de datos (y todos sus índices) para empezar a seguir un nuevo trozo de datos. Aún más importante, los directorios LDAP no utilizan memoria o almacenamiento para manejar campos "vacíos"de hecho, tener campos opcionales no utilizados no te supone ningún coste en absoluto.
Integración de LDAP con otros sistemas.
Una vez que se haya configurado e instalado LDAP, se puede usar como repositorio de datos para multitud de aplicaciones que disponen de soporte
• Radius
• Samba
• DNS
• Mail Transfer Agents
• Libretas de direcciones
• Servidores FTP
• Servidores de certificados de seguridad
Administración de LDAP.
Introducción a la estructura de árbol.
![]()
Tradicionalmente se han usado las estructuras de árbol para jerarquizar la información contenida en un medio. El ejemplo más claro es la estructura de carpetas (directorios) de un sistema operativo. Esta organización nos permite ordenar la información en subdirectorios que contienen información muy específica.
Otro ejemplo muy común son los servidores DNS que nos permiten acceder a distintos servicios concretos que representan un dominio, por ejemplo:
ü www.empresa.com – servidor www principal de la empresa
ü www.admin.empresa.com – servidor de administración
ü mail.empresa.com – servidor de mail de la empresa
ü us.mail.empresa.com – servidor secundario de correo en USA
ü es.mail.empresa.com – servidor secundario de correo en España
![]()
![]()
Definición de términos.
Entradas
El modelo de información de LDAP está basado en entradas. Una entrada es una colección de atributos que tienen un único y global Nombre Distintivo (DN). El DN se utiliza para referirse a una entrada sin ambigüedades. Cada atributo de una entrada posee un tipo y uno o más valores. Los tipos son normalmente palabras nemotécnicas, como “cn” para common name, o “mail” para una dirección de correo.
La sintaxis de los atributos depende del tipo de atributo. Por ejemplo, un atributo cn puede contener el valor “Jose Manuel Suarez”. Un atributo email puede contener un valor “jmsuarez@ejemplo.com”. El atributo jpegPhoto ha de contener una fotografía en formato JPEG.
Atributos
Los datos del directorio se representan mediante pares de atributo y su valor.
Por ejemplo el atributo commonName, o cn (nombre de pila), se usa para almacenar el nombre de una persona. Puede representarse en el directorio a una persona llamada
José Suarez mediante:
• cn: José Suarez
Cada persona que se introduzca en el directorio se define mediante la colección de atributos que hay en la clase de objetos person.
Otros atributos:
• givenname: José
• surname: Suarez
• mail: jmsuarez@ejemplo.com
Los atributos requeridos son aquellos que deben estar presentes en las entradas que utilicen en la clase de objetos. Todas las entradas precisas de los atributos permitidos son aquellos que pueden estar presentes en las entradas que utilicen la clase de objetos.
Por ejemplo, en la clase de objetos person, se requieren los atributos cn y sn. Los atributos description (descripción), telephoneNumber (número de teléfono), seealso (véase también), y userpassword (contraseña del usuario) se permiten pero no son obligatorios.
La estructura de un árbol de directorio LDAP
Yendo a la raíz del asunto:
El nivel superior de un directorio LDAP es la base, conocido como el "DN base". Un DN base, generalmente, toma una de las tres formas siguiente:
· Se asume que se trabaja en una empresa de comercio electrónico de US llamada FooBar, Inc., la cual está en Internet en foobar.com.
o="FooBar, Inc.", c=US | En este ejemplo, o=FooBar,inc. (DN base en formato X.500) Se refiere a la organización, que en este contexto debería ser tratada como un sinónimo del nombre de la empresa. c=US indica que el cuartel general de la empresa está en los US. Antes éste fue el método de especificar el DN base. Los tiempos y las modas cambian, sin embargo; estos días, la mayoría de las empresas están (o planean estar) en Internet. Y con la globalización de Internet, utilizar un código de país en el base DN probablemente haga las cosas más confusas al final. Con el tiempo, el formato X.500 ha evoluciado a otros formatos listados más abajo. |
o=foobar.com | (DN base derivado de la presencia en Internet de la empresa) Este formato es bastante sencillo, utilizando el nombre de dominio de la empresa como base. Este fue, hasta hace poco, probablemente el más común de los formato usados actualmente. |
dc=foobar, dc=com | (DN base derivado de los componentes de dominio DNS de la empresa) Como el formato previo, este utiliza el nombre de dominio DNS como su base. Pero donde el otro formato deja en nombre de dominio intacto (y así legible para las personas), este formato está separado en componentes de dominio: foobar.com deviene dc=foobar, dc=com. En teoría, esto puede ser levemente más versátil, aunque es un poco más duro de recordar para los usuarios finales. A modo de ilustración, consideremos foobar.com. Cuando foobar se fusiona con gizmo.com, simplemente empiezas a pensar en "dc=com" como el DN base. Pon los nuevos registros en tu directorio existente bajo dc=gizmo, dc=com y listo para seguir. (Por supuesto, esta aproximación no ayuda si foobar.com se fusiona con wocket.edu) Este es el formato que se recomienda para cualquier instalación nueva. |
Servidores LDAP disponibles en el mercado
OpenLDAP http://www.openldap.org |  |
Sun SunONE 5.2 http://www.sun.com/software/products/directory_srvr/home_directory.html |  |
Siemens DirX Server 6.0 http://www.siemens.com/directory |  |
Syntegra Intrastore Server 2000 - http://www.syntegra.com/us/directory_messaging/ |  |
Computer Associates eTrust Directory 3.6 - http://www3.ca.com/Solutions/Product.asp? ID=160 |  |
Novell NDS Corporate Edition 8.7.1 - http://www.novell.com/coolsolutions/nds/ |  |
Microsoft ADS - Windows 2000 server edition - http://www.microsoft.com/windows2000/technologies/directory/ad/default.asp |
Diferencias con una base de datos relacional.
Las características de una base de datos relacional (RDBMS o Relation Database Management Systems) son:
< Realizan operaciones de escritura intensivas: las bases de datos relacionales estás preparadas para hacer un uso constante de operaciones orientadas a transacciones, que implican la modificación o borrado constante de los datos almacenados.
< Esquema específico para cada aplicación: las bases de datos relacionales son creadas para cada aplicación específica, siendo complicado adaptar los esquemas a nuevas aplicaciones.
< Modelo de datos complejo: permiten manejar complejos modelos de datos que requieren muchas tablas, foreign keys, operaciones de unión (join) complejas…
< Integridad de datos: todos sus componentes están desarrollados para mantener la consistencia de la información en todo momento. Esto incluye operaciones de rollback, integridad referencial y operaciones orientadas a transacciones.
< Además las transacciones se efectúan siempre aisladas de otras transacciones. De tal forma que si dos transacciones están ejecutándose de forma concurrente los efectos de la transacción A son invisibles a la transacción B y viceversa, hasta que ambas transacciones han sido completadas.
< Disponen de operaciones de roll-back (vuelta atrás). Hasta el final de la transacción ninguna de las acciones llevadas a cabo pasa a un estado final. Si el sistema falla antes de finalizar una transacción todos los cambios realizados son eliminados (roll-back)
Las características de un servidor LDAP son:
ü Operaciones de lectura muy rápidas. Debido a la naturaleza de los datos almacenados en los directorios las lecturas son más comunes que las escrituras.
ü Datos relativamente estáticos. Los datos almacenados en los directorios no suelen actualizarse con mucha frecuencia.
ü Entorno distribuido, fácil replicación
ü Estructura jerárquica. Los directorios almacenan la información de forma jerárquica de forma nativa.
ü Orientadas a objetos. El directorio representa a elementos y a objetos. Los objetos son creados como entradas, que representan a una colección de atributos.
ü Esquema Standard. Los directorios utilizan un sistema standard que pueden usar fácilmente diversas aplicaciones.
ü Atributos multi-valor. Los atributos pueden almacenar un valor único o varios.
ü Replicación multi-master. Muchos de los servidores LDAP permiten que se realicen escrituras o actualizaciones en múltiples servidores.
Suscribirse a:
Comentarios (Atom)