Introduccin_a_LDAP

Tabla de contenidos
1 Qu es OpenLDAP? 2 Componentes de OpenLDAP 3 Ventajas de LDAP 4 Cuando Utilizar LDAP para Almacenar Datos? 5 Seguridad y Control de Acceso 6 Implementaciones de LDAP 7 Requerimientos Bsicos para la Instalacin de OpenLDAP 8 Referencias

Qu es OpenLDAP?
OpenLDAP es una implementacin del protocolo Lightweight Directory Access Protocol (LDAP) basada en el concepto de software libre desarrollada por el proyecto OpenLDAP. Est liberada bajo su propia licencia OpenLDAP Public License. LDAP es un protocolo de comunicacin independiente de la plataforma. Muchas distribuciones GNU/Linux incluyen el software OpenLDAP para el soporte LDAP. Este software tambin corre en plataformas BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (2000, XP), y z/OS. Utilizando LDAP, los datos sern recuperados (o almacenados en) la localizacin correcta dentro de nuestro directorio de informacin

Componentes de OpenLDAP
Bsicamente, OpenLDAP posee tres componentes principales:

slapd - Demonio de servidor y herramientas Libreras que implementan el protocolo LDAP Clientes de ejemplo

Ventajas de LDAP
Se puede acceder al directorio LDAP desde casi cualquier plataforma de computacin, desde cualquier del numero creciente de aplicaciones fcilmente disponibles para LDAP. Es tambin fcil personalizar las aplicaciones internas de empresa para aadirles soporte LDAP. Tabla de contenidos 1

Introduccin_a_LDAP El protocolo LDAP es utilizable por distintas plataformas y basado en estndares, de ese modo las aplicaciones no necesitan preocuparse por el tipo de servidor en que se hospeda el directorio. A diferencia de las bases de datos relacionales, no tiene que pagar por cada conexin de software cliente o por licencia. La mayora de los servidores LDAP son simples de instalar, fcilmente mantenibles, y fcilmente optimizables. Los servidores LDAP pueden replicar tanto algunos de sus datos como todos a travs de mtodos de envo o recepcin, lo que permite enviar datos a oficinas remotas, incrementar la seguridad y dems. La tecnologa de replicacin est incorporada y es fcil de configurar. LDAP permite delegar con seguridad la lectura y modificacin basada en autorizaciones segn tus necesidades utilizando ACIs (colectivamente, una ACL, o Lista de Control de Acceso por sus siglas en ingls). Por ejemplo, tu grupo de facilidades puede dar acceso a cambiar la localizacin de los empleados, su cubculo, o nmero de oficina, pero no se permite que se modifiquen entradas de cualquier otro campo. Las ACIs pueden controlar el acceso dependiendo de quien est solicitando los datos, que datos estn siendo solicitados, dnde estn los datos almacenados, y otros aspectos del registro que est siendo modificado. Todo esto hecho directamente a travs del directorio LDAP, as que no necesita preocuparse de hacer comprobaciones de seguridad en el nivel de aplicacin de usuario.

Cuando Utilizar LDAP para Almacenar Datos?

La mayora de los servidores LDAP estn fuertemente optimizados para operaciones de lectura intensivas. A causa de esto, tpicamente uno puede ver un orden de magnitud diferente cuando lee datos de un directorio LDAP frente a la obtencin de los mismos datos de una base de datos relacional optimizada para OLTP. Sin embargo, a causa de esta optimizacin a la mayora de los directorios LDAP no les viene bien el almacenamiento de datos donde los cambios son frecuentes. Por ejemplo, un servidor de directorio LDAP es bueno para almacenar el directorio de telfonos internos de la empresa, pero ni se le ocurra pensar en utilizarlo como repositorio de base de datos para un sitio de comercio electrnico de alto volumen. Si las respuestas a cada una de las siguientes preguntas es S, entonces, almacenar sus datos en LDAP es una buena idea.

Le gustara que sus datos estn disponibles a travs de varias plataformas? Necesita acceso a estos datos desde un nmero de ordenadores o aplicaciones? Los registros individuales que est almacenados cambian unas pocas veces al da o menos, como meda? Ventajas de LDAP 2

Introduccin_a_LDAP Tiene sentido almacenar este tipo de datos en una base de datos plana en lugar de una base de datos relacional? Esto es, puede almacenar todos los datos, para un item dado, efectivamente en un solo registro?

Seguridad y Control de Acceso

LDAP provee de una complejo nivel de instancias de control de acceso, o ACIs. A causa de que el acceso puede ser controlado en el lado del servidor, es muchos ms seguro que los mtodos de seguridad que trabajan haciendo seguro a travs del software cliente. Con LDAP ACIs, puedes hacer cosas como: Conceder a los usuarios la capacidad de cambiarse su nmero de telfono de casa y su domicilio, mientras que se les restringe el acceso a solo lectura para otro tipo de datos (como ttulo de trabajo o login de gerente). Conceder a cualquiera en el grupo "HR-admins" (administradores de RRHH) la capacidad de modificar la informacin de los usuarios para los siguientes campos: gerente, ttulo de trabajo, nmero ID del empleado, nombre del departamento, y nmero del departamento. No habrn permisos de escritura para otros campos. Denegar el acceso de lectura a cualquiera que intente consultar al LDAP por la contrasea de un usuario, mientras que se seguir permitiendo al usuario cambiar su propia contrasea. Conceder permisos solo de lectura a los gerentes para los nmeros de telfono de casa de sus informadores directos, mientras que se deniega este privilegio a cualquier otro. Conceder a cualquiera en el grupo "host-admins" crear, borrar, y editar todos los aspectos de informacin del hosts almacenados en LDAP. A travs de una pgina Web, permitir al personal selectivamente conceder o denegarse a ellos mismos el acceso de lectura a subsets de la base de datos de contactos. A travs de una pgina Web, permitir a cualquier propietario de grupo aadir o eliminar entradas de sus grupos.

Implementaciones de LDAP
Existen diversas implementaciones y aplicaciones reales del protocolo LDAP:

Cuando Utilizar LDAP para Almacenar Datos?

Introduccin_a_LDAP Active Directory: Active Directory es el nombre utilizado por Microsoft (desde Windows 2000) como almacn centralizado de informacin de uno de sus dominios de administracin.

Un Servicio de Directorio es un depsito estructurado de la informacin de los diversos objetos que contiene el Active Directory, en este caso podran ser impresoras, usuarios, equipos...

Bajo este nombre se encuentra realmente un esquema (definicin de los campos que pueden ser consultados) LDAP versin 3, lo cual permite integrar otros sistemas que soporten el protocolo. En este LDAP se almacena informacin de usuarios, recursos de la red, polticas de seguridad, configuracin, asignacin de permisos, etc.

Novell Directory Services: Tambin conocido como eDirectory es la implementacin de Novell utilizada para manejar el acceso a recursos en diferentes servidores y computadoras de una red. Bsicamente est compuesto por una base de datos jerrquica y orientada a objetos, que representa cada servidor, computadora, impresora, servicio, personas, etc. entre los cuales se crean permisos para el control de acceso, por medio de herencia. La ventaja de esta implementacin es que corre en diversas plataformas, por lo que puede adaptarse fcilmente a entornos que utilicen ms de un sistema operativo.

iPlanet: Basado en la antigua implementacin de Netscape, iPlanet se desarroll cuando AOL adquiri Netscape Communications Corporation y luego conjuntamente con Sun Microsystems comercializaron software para servidores, entre ellos el iPlanet Directory Server, su implementacin de LDAP.

OpenLDAP: Se trata de una implementacin libre del protocolo que soporta mltiples esquemas por lo que puede utilizarse para conectarse a cualquier otro LDAP. Tiene su propia licencia, la OpenLDAP Public License. Al ser un protocolo independiente de la plataforma, varias distribuciones Linux y BSD lo incluyen, al igual que AIX, HP-UX, Mac OS X, Solaris, Windows (2000/XP) y z/OS. OpenLDAP tiene cuatro componentes principales:

slapd: demonio LDAP autnomo. slurpd: demonio de replicacin de actualizaciones LDAP autnomo. Rutinas de biblioteca de soporte del protocolo LDAP.

Implementaciones de LDAP

Introduccin_a_LDAP Utilidades, herramientas y clientes. Red Hat Directory Server: Directory Server es un servidor basado en LDAP que centraliza configuracin de aplicaciones, perfiles de usuarios, informacin de grupos, polticas as como informacin de control de acceso dentro de un sistema operativo independiente de la plataforma. Forma un repositorio central para la infraestructura de manejo de identidad, Red Hat Directory Server simplifica el manejo de usuarios, eliminando la redundancia de datos y automatizando su mantenimiento.

Apache Directory Server: Apache Directory Server (ApacheDS), es un servidor de directorio complemente escrito en Java por Alex Karasulu y disponible bajo la licencia de Apache Software, es compatible con LDAPv3 certificado por el Open Group, soporta otros protocolos de red tal como Kerberos y NTP, adems provee Procedimientos Almacenados, triggers y vistas; caractersticas que estn presente en las Base de Datos Relacionales pero que no estaban en presentes en el mundo LDAP.

Requerimientos Bsicos para la Instalacin de OpenLDAP

Procesador: Normalmente servidores multiporcesador. Discos Duros: Para OpenLDAP los ms ptimo es usar un disco duro para el sistema operativo (preferiblemente en RAID) y un disco separado para la base de datos (normalmente sin RAID). Elegir discos duros muy rpidos, esta es la optimizacin ms importante para OpenLDAP. Tamao de la Memoria: Depender del nmero de entradas que quiera almacenar y del nmero de atributos que use cada entrada. Tambin de las pruebas de carga que se realicen y sus resultados. Normalmente se necesitaran entre 1 GB y 4 GB. Instalacin del Sistema Operativo: Elegir una instalacin simple, slo con los complementos imprescindibles. Actualizar el sistema operativo con los ltimos parches o service packs (ej.: sunsolve.sun.com, redhat.com, windowsupdate.microsoft.com?.) Elegir un sistema de archivos adecuado, normalmente: Ext3 para Linux UFS con LOGGING para Solaris Parar todos los servicios y demonios que no se vayan a usar. Securizar el servidor. Requerimientos Bsicos para la Instalacin de OpenLDAP 5

Introduccin_a_LDAP Optimizar los parmetros del sistema operativo (hay diversos mtodos de hacerlo que no se incluyen en este manual) Optimizar la configuracin de la pila TCP.

Referencias
LDAP: http://www.ldapman.org/articles/sp_intro.html

Requerimientos LDAP: http://www.ldap-es.org/contenido/04/12/4.1.-c%C3%A1lculo-del-dimensionamiento-del-servidor/

[subir]

Volver

Referencias