Download - OPENLPAD 01
-
7/25/2019 OPENLPAD 01
1/5
Captulo 11: Instalar y configurar OpenLDAP en Ubuntu 14.04 LTS
11.1. Introduccin
Existen diferentes formas de autenticar clientes en una red GNU/Linux, pero una de
las ms usadas es la combinacin de tres herramientas diferentes: PAM, NSSy
LDAP.
La idea consiste en disponer de un servidor que facilite la autenticacin de los
clientes, de modo que stos recurran al servidor cada vez que un usuario necesite
identificarse. De esta forma, la cuenta de usuario no es especfica de un equipo
cliente, sino que ser vlida en cualquier equipo de la red que haya sidodebidamente configurado.
De hecho, ste es el mtodo que suele utilizarse en GNU/Linuxpara obtener una
gestin de usuarios globales similar a la que ofrecen los Servidores Windowsa travs
de una estructura de dominios.
En este captulo aprenderemos antes de nada cul es la funcin de cada uno de los
componentes, tanto de forma individual como combinado con los dems. Despus,aprenderemos a realizar la instalacin y configuracin de la estructura que hemos
ilustrado en la figura anterior.
Qu es NSS?
http://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/?p=4787#contehttp://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/?p=4787#conte -
7/25/2019 OPENLPAD 01
2/5
NSS(Name Service Switch) es un servicio que permite la resolucin de nombres de
usuario y contraseas (o grupos) mediante el acceso a diferentes orgenes de
informacin. En condiciones normales, esta informacin se encuentra en los archivos
locales del sistema operativo, en concreto en/etc/passwd,/etc/shadowy/etc/group,
pero puede proceder de otras fuentes, como DNS(Domain Name System), NIS
(Network Information Service), LDAP(Lightweight Directory Access Protocol) o WINS
(Windows Internet Name Service).
Los primeros sistemas operativos de tipo Unix
accedan directamente a los archivos de configuracin
o cdigo que dependa de la forma en que se produca
la autenticacin. Esto haca que cualquier cambio en el
modo de autenticacin obligara a cambiar el sistema
operativo.
Ultrixfue el primero en ofrecer una funcionalidad muy parecida a NSS, pero fue Sun
Microsystemsel primero en desarrollar NSSde una forma muy parecida a como lo
conocemos en la actualidad. Por lo tanto, el primer sistema operativo que incorpor
NSSfue Solaris.
Poco despus, se port a diferentes sistemas operativos, comoAIX, NetBSD,
FreeBSDo GNU/Linux.
El objetivo de NSSes que los programas o los comandos del sistema operativo
puedan manejar informacin administrativa relacionada con los usuarios, las
contraseas y los grupos (incluidos aspectos como la caducidad de una contrasea
o su nivel de complejidad) sin tener que conocer el lugar donde se encuentran
almacenados.
-
7/25/2019 OPENLPAD 01
3/5
Qu es PAM?
PAM (Pluggable Authentication Modules) establece una interfaz entre los programas
de usuario y distintos mtodos de autenticacin. De esta forma, el mtodo de
autenticacin se hace transparente para los programas.
Como ocurri con NSS, PAMsurgi en Sun Microsystems, aunque, en este caso,
como una propuesta a la Open Software Foundation. Fue Red Hatquien lo desarroll
como una herramienta de Software librey lo incorpor por primera vez a la versin
3.0.4 de su sistema operativo en 1996.
La idea se basa en la creacin de mdulos de autenticacin reemplazables, de forma
que sea transparente para el sistema el uso de distintos mtodos de autenticacin.
Esto hace que, sin realizar modificaciones en el sistema, podamos utilizar mtodos
que vayan desde el uso tpico de un nombre de usuario y una contrasea, hasta
dispositivos que faciliten la identificacin biomtrica de los usuarios (lectores de
huellas, de voz, de imagen, etc.). Incluso incorpora opciones para aceptar
contraseas de un solo uso, restringir el acceso a determinados horarios o
establecer polticas de autenticacin especficas para cada usuario o grupos deusuarios.
Bsicamente, PAMcomplementa en algunos aspectos el funcionamiento de NSSya
que mientras ste se centra en la bsqueda y mapeo de los usuarios, PAMcontrola
http://somebooks.es/wp-content/uploads/2015/01/cap11v2-002.png -
7/25/2019 OPENLPAD 01
4/5
la autenticacin, el inicio de sesin y su configuracin.
En la actualidad, PAMes el mtodo que utilizan la mayora de las aplicaciones y
herramientas de GNU/Linuxque necesitan relacionarse, de algn modo, con la
autenticacin de los usuarios.
Qu es LDAP?
LDAPes un protocolo que ofrece el acceso a un servicio de directorio implementado
sobre un entorno de red, con el objeto de acceder a una determinada informacin.
Puede ejecutarse sobre TCP/IPo sobre cualquier otro servicio de trasferencia
orientado a la conexin.
LDAPson las siglas en ingls de Lightweight DirectoryAccess Protocol (Protocolo
Ligero de Acceso a Directorios) y podemos considerarlo como un sistema de
almacenamiento de red (normalmente construido como una base de datos) al que se
pueden realizar consultas.
El protocolo LDAPse cre originalmente en la Universidad de
Mchigan, que public un primer desarrollo en 1993. Ms tarde, Tim
Howesy Steve Killela, dos de los diseadores originales del proyecto
comienzan a trabajar en una nueva versin bajo los auspicios de IETF(InternetEngineering Task Force) completando el desarrollo original.
La nueva versin (LDAPv3) se public en 1997 e integraba mecanismos de
autenticacin sencilla y una capa de seguridad. Despus de esto, la IETFha aadido
http://somebooks.es/wp-content/uploads/2015/01/cap11v2-003.png -
7/25/2019 OPENLPAD 01
5/5
numerosas extensiones y especificaciones propias que le han ido incorporando
nuevas capacidades.
11.5. Qu es OpenLDAP?
La respuesta es muy sencilla: OpenLDAPes un desarrollo del protocolo LDAP,
implementado con la filosofa del software libre y cdigo abierto.
El proyecto OpenLDAPse inici en agosto de 1998 y est sustentado por una
entidad sin nimo de lucro llamada OpenLDAP Foundation, creada por el
desarrollador estadounidense Kurt D. Zeilengapara coordinar las actividades del
proyecto.
Como ocurra en el caso de LDAP, OpenLDAPest muy optimizado para ofrecer los
mejores resultados en situaciones que requieran operaciones de lectura intensivas.
De esta forma, un directorio OpenLDAParrojar unos resultados muy superiores a
los que ofrece una base de datos relacional optimizada, cuando realicemos
operaciones de consulta intensivas sobre ambas.
Por el contrario, si utilizramos un directorio OpenLDAPpara guardar datos que sean
actualizados de manera frecuente, los resultados obtenidos seran muy inferiores a
los ofrecidos por una base de datos relacional.
No slo podemos encontrar OpenLDAPen la mayora de de las
distribuciones GNU/Linux, sino que tambin lo encontramos para Microsoft
Windows,Apple OSX, Solaris, HP-UX, BSD, etc.
Pages: 1 23456789101112
http://somebooks.es/?p=5616&page=12http://somebooks.es/?p=5616&page=11http://somebooks.es/?p=5616&page=10http://somebooks.es/?p=5616&page=9http://somebooks.es/?p=5616&page=8http://somebooks.es/?p=5616&page=7http://somebooks.es/?p=5616&page=6http://somebooks.es/?p=5616&page=5http://somebooks.es/?p=5616&page=4http://somebooks.es/?p=5616&page=3http://somebooks.es/?p=5616&page=2http://somebooks.es/?p=4787#conte