universidad nacional autÓnoma de mÉxico facultad de ...profesores.fi-b.unam.mx › yasmine ›...
TRANSCRIPT
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
FACULTAD DE INGENIERÍA
ARQUITECTURA CLIENTE/SERVIDOR
LDAPOPENLDAP
ACTIVE DIRECTORY
INTEGRANTES:● CORDERO CARMONA DAVID RICARDO● FLORES DELGADO MARTHA BRENDA
● GOVANTES VÁZQUEZ NINEL GERALDINE
Protocolo LDAPProtocolo compacto o ligero de acceso a directorios
Descripción de LDAP
Es un protocolo de tipo cliente-servidor para acceder a un servicio de directorio.
Es una base de datos optimizada para entornos donde se realizan muchas lecturas de datos y pocas modificaciones o borrados.
¿Qué es un directorio?● Un directorio es como una base de datos,
pero en general contiene información más descriptiva y más basada en atributos.
● La información contenida en un directorio normalmente se lee mucho más de lo que se escribe.
● Los directorios están para proporcionar una respuesta rápida a operaciones de búsqueda o consulta.
¿Un directorio LDAP es una base de datos?
● Un servidor LDAP es usado para procesar peticiones a un directorio LDAP. Pero LDAP procesa las órdenes de borrado y actualización de un modo muy lento.
● En otras palabras, LDAP es un tipo de base de datos, pero no es una base de datos relacional. No está diseñada para procesar cientos o miles de cambios por minuto como los sistemas relacionales, sino para realizar lecturas de datos de forma muy eficiente.
Funcionamiento de LDAP● El servicio de directorio LDAP se basa en un modelo
cliente- servidor.●
● Uno o más servidores LDAP contienen los datos que conforman el árbol de directorio LDAP o base de datos troncal, el cliente LDAP se conecta con el servidor LDAP y le hace una consulta.
●
● El servidor contesta con la respuesta correspondiente, o bien con una indicación de donde puede el cliente hallar más información. No importa con que servidor LDAP se conecte el cliente ya que siempre observará la misma vista del directorio; el nombre que se le presenta a un servidor LDAP hace referencia a la misma entrada a la que haría referencia en otro servidor LDAP.
Ventajas en el uso de LDAP● Un directorio LDAP destaca sobre los demás tipos
de bases de datos por las siguientes características:
● - Es muy rápido en la lectura de registros
● - Permite replicar el servidor de forma muy sencilla y económica
● - Muchas aplicaciones de todo tipo tienen interfaces de conexión a LDAP y se pueden integrar fácilmente.
● - Dispone de un modelo de nombres globales que asegura que todas las entradas son únicas.
-Permite múltiples directorios independientes
-Funciona sobre TCP/IP y SSL- La mayoría de aplicaciones disponen de
soporte para LDAP- La mayoría de servidores LDAP son
fáciles de instalar,mantener y optimizar.
Usos empresariales
Dadas las características de LDAP sus usos más comunes son:
● Directorios de información.● Sistemas de autenticación/autorización
centralizada.● Sistemas de correo electrónico.● Servidores de certificados públicos y
llaves de seguridad.● Libretas de direcciones compartidas.
Las características de un servidor LDAP son:
- Operaciones de lectura muy rápidas. Debido a la naturaleza de los datos almacenados en los directorios las lecturas son más comunes que las escrituras.
- Datos relativamente estáticos. Los datos almacenados en los directorios no suelen actualizarse con mucha frecuencia.
- Entorno distribuido, fácil replicación.
-Estructura jerárquica. Los directorios almacenan información de forma jerárquica de forma nativa.
Objetivo● Su objetivo fue reemplazar al protocolo DAP (utilizado para
acceder a los servicios de directorio X.500 por OSI) integrándolo al TCP/IP.
● Desde 1995, DAP se convirtió en LDAP independiente, con lo cual se dejó de utilizar sólo para acceder a los directorios tipo X500.
● LDAP es una versión más simple del protocolo DAP, de allí deriva su nombre:
Protocolo compacto de acceso a directorios.
El protocolo LDAP● Define el método para acceder a datos en el servidor a
nivel cliente pero no la manera en la que se almacena la información.
● Actualmente se encuentra en su 3era versión y el IETF (Grupo de Trabajo de Ingeniería de Internet) lo ha estandarizado.
● Por lo tanto, existe una RFC (petición de comentarios) para cada versión de LDAP que constituye un documento de referencia:
● RFC 1777 para LDAP v.2● RFC 2251 para LDAP v.3
LDAP Le brinda al usuario métodos que le permiten:
● conectarse● desconectarse● buscar información● comparar información● Insertar, cambiar y eliminar entradas
Asimismo, el protocolo LDAP (en versión 3) ofrece mecanismos de cifrado (SSL, etc.) y autenticación para permitir el acceso seguro a la información almacenada en la base.
ACTIVE DIRECTORY
Active Directory (AD) fue creado por Microsoft en la década de 1990
¿Qué es active directory?
Funciona como un servicio de directorio para redes basadas en Windows.
AD es la tecnología que ayuda a los administradores de sistemas autorizar, autenticar y gestionar equipos, grupos y usuarios que tienen acceso a una red informática.
Un Active Directory almacena información de una organización en una base de datos central, organizada y accesible.
¿Qué es un servicio de directorio?
Colección de información referente a objetos de una red:
● Usuarios ● Equipos● Impresoras● Carpetas
Servicios para localizar, usar y administrar tal información:
● Administración de cuentas de usuario.● Autenticación● Administración de cuentas de equipo.● Control de acceso a recursos.
Autenticación: Proceso mediante el cual se verifica que un usuario es realmente quien es.
Fases: ● Acceso al equipo local● Acceso a los recursos de la red
Autorización: Proceso mediante el cual verificamos que un usuario autenticado tiene permiso para realizar una acción.
COMPONENTES LÓGICOS Y FÍSICOS
Lógicos Físicos
● Dominios
● Árboles
● Bosques
● Objeto de dominio
● Controladores de dominio (DC)
● Sitios
COMPONENTES LÓGICOS
COMPONENTES LÓGICOS
COMPONENTES LÓGICOS
COMPONENTES FÍSICOS
Controlador Dominio
COMPONENTES FÍSICOS
openLDAP
El proyecto OpenLDAP nació como la continuación de la versión 3.3 del servidor LDAP de la Universidad de Michigan cuando dejaron de desarrollarlo.
OpenLDAP es un servidor LDAP que se distribuye bajo licencia (OpenSource), que permite que el software se pueda usar de forma gratuita tanto de forma educativa como profesional.
Se dispone del código fuente para poder realizar nuestras propias modificaciones.
En esta dirección se descarga: http://www.openldap.org/software/dowland/
OpenLDAP tiene varias versiones disponibles:
- OpenLDAP Release. Las últimas versiones de OpenLDP para uso general. OpenLDAP-2.2.25 es de las últimas versiones disponibles.
- OpenLDAP Stable Release. Es la última versión que ha sido intensamente probada y suele ser las más fiable de las versiones disponibles.
- OpenLDAP Test Releases. Ocasionalmente los programadores de OpenLDAP hacen disponibles una versión beta o gamma. Estas versiones son sólo pruebas y no son para uso general.
Los paquetes que incluyen las distribuciones de OpenLDAP son:
- Servidor LDAP (slapd)
- Servidor de replicación LDAP (slurpd)
- Software develpment Kit (ldap)
- Utilidades, herramientas, ejemplos...
Requisitos
Sistema Operativo. OpenLDAP funciona en los siguientes sistemas operativos:
Apple Mac OS XLINUX: Debian, RedHat, Suse, FedoraFreeBSDIBM AIXMicrosoft WindowsNetBSDSolaris
Plataforma de Hardware para OpenLDAP
- Procesador: Servidores multiporcesador -Discos Lo mas optimos es que uses un disco duro para el sistema operativo (en RAID) y un isco separado para la base de datos (normalmente sin RAID)
- Tamaño de la memoria: Depnde del nuemero de entradas que se quiera almacenar y del numero de atributos que se use en cada entrada. También depende de las pruebas de carga que se relaicen y sus resultados.
2GB y 4GB
Comandos del Cliente OpenLDAP
Idapsearch
Las herramientas de línea de comando Idapsearch busca entradas específicas en el directorio.
La sintaxis de Idapsearch es:
Idapsearch [opciones] filter [parámetros]
Se entiende por filtro la condición que se debe cumplir para la búsqueda de entradas.
Parámetros Obligatorios Descripción
-b basedn Especifica el DN base para las busquedas
-s scope Alcance de la busqueda: base, one ó sub
Parámetros opcionales Descripción
-A Solo muestra los nombres de los atributos (no valores)
-a deref Referencias a los alias: never, always, search or find
-B Permite imprimir valores no ASCII
-D binddn Cuando se autentica con un directorio, permite especificar la entrada binddn. Usar con la opción -w password
-d debug level Nivel de debug
-E Character_set Especifica la página de codificación de caracteres
-f file Ejecuta la sentencia de búsquedas archivadas en el archivo file
-h ldaphost Conecta al servidor LDAP en la dirección de ldaphost
-L Muestra las entradas en formato LDIF
- timelimit Timeout en segundos antes de abandonar una búsqueda
-p ldapport Conecta al servidor en el puerto TCP especificado en ldapport. Por defecto conecta en el puerto 389
-S attr Ordena los resultados por el atributo attr
-v Modo extendido
-w password Especifica la contraseña para hacer el binddn (para autenticación simple)
-z sizelimit Especifica el número máximo de entradas que pueden ser mostradas
ldapmodify
La herramienta de línea de comando ldapmodify permite cambiar, añadir o borrar atributos.
La sintaxis del ldapmodify es:
ldapmodify [opciones] -f archivo
ldapdelete
La herramienta de línea de comando ldapdelete permite borrar entradas.
La sintaxis de ldapdelete es:
ldapdelete [opciones] "DN_de_la_entrada"