Protocolo LDAP: Organización y Acceso a Datos en Redes

Ingeniería informática, , ,

LDAP: Protocolo Ligero de Acceso a Directorios (Lightweight Directory Access Protocol)

Origen y Evolución

  • Surge como solución al problema de la compartición de datos de manera eficiente.
  • Inicialmente se utilizaba el protocolo DAP (Directory Access Protocol), más complejo y pesado.
  • LDAP es un protocolo que permite la organización de datos en un directorio alojado en un servidor.
  • Es la parte vital del sistema de directorio.

Funcionamiento de LDAP sobre TCP/IP

  1. El cliente se conecta al servidor mediante una autenticación.
  2. Si el cliente quiere acceder a un recurso del dominio, realiza una operación de búsqueda o ejecución otorgada por LDAP.
  3. El servidor comprueba la operación ejecutada por el cliente, verificando si cumple con los permisos necesarios.
  4. Si tiene permisos, el servidor ejecuta la operación y pone a disposición del cliente los recursos solicitados.

Modelos de LDAP

  • Modelo de Información: Define la estructura de la información almacenada en el directorio.
  • Modelo de Nombrado: Describe cómo se organiza e identifica la información en el directorio.
  • Modelo Funcional: Describe qué operaciones se pueden realizar dentro del directorio.
  • Modelo de Seguridad: Describe cómo puede protegerse la información contenida en el directorio.

Características Generales de LDAP

  • Dinámicos:
    • Actualizaciones en tiempo real. La información no es caduca.
    • Los cambios se producen en todo momento.
  • Flexibles:
    • Flexibles en cuanto a búsqueda y contenido. Un contenido es accesible mediante varios caminos de búsqueda y el contenido es actualizable sin alterar el comportamiento del sistema.
  • Seguro: El administrador marca las pautas de acceso al directorio.
  • Configurable: Configuración del contenido. Por ejemplo, se puede modificar el contenido a mostrar dependiendo del usuario.

LDAP como Base de Datos Distribuida

  • Un servicio de directorio LDAP es una base de datos distribuida.
  • Comparte información de la base de datos entre numerosos ordenadores.
  • Características técnicas de LDAP como base de datos distribuida:
    • Relación Lectura/Escritura (L/E)
    • Extensibilidad
    • Distribución de datos
    • Replicación de la información
    • Rendimiento
    • Estándares

Características Técnicas Detalladas

  • Relación Lecturas – Escrituras:
    • Se pueden realizar multitud de operaciones, pero las más comunes son las lecturas.
    • Se busca favorecer los tiempos de lectura.
  • Extensibilidad: Capacidad de cambiar y aumentar la forma de la organización sin que el servicio se vea afectado.
  • Distribución de Datos: Se da la fragmentación horizontal. La información de un grupo de usuarios (UO) se guarda solo en el servidor que controla dicho grupo.
  • Replicación de la Información: La información debe ser coherente en el directorio. La replicación depende del nivel de importancia, pudiendo existir cierta inconsistencia temporal en elementos menos importantes.
  • Rendimiento: Múltiples conexiones simultáneas, superando miles de accesos por segundo.
  • Estándares: Basado en el estándar X.500, lo que facilita la interconexión con diversos sistemas.

Objetivo de LDAP

  • Organizar la información de manera ordenada y lógica para que un objeto pueda acceder a ella:
    • Organización simple.
    • Organización eficiente.
  • Un servicio de directorio está más orientado a la lectura que a la escritura.
  • El acceso a la información por parte de usuarios o aplicaciones del dominio debe estar siempre disponible.

Ámbito de Aplicación de LDAP

  • Lectura de Información: Acceso a diferentes recursos para su lectura, sin modificación.
  • Gestión de Información: Acceso para lectura y modificación de datos, así como ofrecer los recursos disponibles a diversas aplicaciones.
  • Aplicaciones de Seguridad: Distribución de certificados electrónicos (claves públicas).

Implementaciones de LDAP

Servicios de Directorio

  • Existen multitud de servicios de directorio con diferentes características, como Active Directory y OpenLDAP para Windows y Ubuntu, respectivamente.

Active Directory

  • Presente en Windows desde la versión 2000, es la herramienta básica de la versión Server.
  • Fácil implementación y sencillo manejo.

OpenLDAP

  • Implementación abierta con licencia propia (OpenLDAP Public Licence), instalable en multitud de plataformas.
  • Solo permite autenticación de usuarios, por lo que habría que añadirle algún paquete de distribución de archivos.

Directorio Activo (Active Directory)

  • Herramienta propietaria de Windows para la centralización de recursos.
  • Se instala como Rol en el servidor que manejará los datos.
  • Se basa en la arquitectura Cliente – Servidor.

Características de Active Directory

  • Escalabilidad: Puede crecer y soportar un elevado número de objetos. Garantizar la escalabilidad es clave debido al continuo movimiento en el número de objetos en la base de datos.
  • Integración con el DNS: Los nombres de dominio son nombres DNS y tienen que estar registrados en él. Active Directory usa el servicio DNS para organizar los contenidos y posibilitar su localización dentro de la estructura.
  • Extensible: Permite personalizar las clases y objetos que están definidas dentro de AD según las necesidades propias, con la posibilidad de añadir nuevas.
  • Seguridad: Se controla el acceso a cada objeto, otorgando permisos a cada usuario. Las GPOs facilitan este trabajo.
  • Multimaestro: Existe la posibilidad de incorporar Controladores de Dominio Secundarios para mayor flexibilidad.
    • Cualquier controlador de dominio puede procesar cambios del directorio.
    • Las actualizaciones o modificaciones realizadas en un controlador se replican al resto, siendo todos “iguales”.
  • Flexible: Gracias a las posibilidades de las estructuras lógicas y físicas, se puede crear la estructura real de la empresa u organización donde se instala.
  • Basado en Estándar: Sigue el estándar LDAP, lo que facilita su interconexión con otros sistemas.

Conceptos Clave en Active Directory

Espacio de Nombres

Los nombres de los objetos son distribuidos por el servidor DNS, siendo la forma de localización dentro del directorio. Hay cuatro tipos de nombres:

  • DN (Distinguished Name): Único para cada objeto. Formado por el nombre del dominio al que pertenece, las unidades organizativas en las que está y el nombre relativo del objeto.
  • RDN (Relative Distinguished Name): Identifica unívocamente al objeto dentro de su unidad organizativa. Es parte del DN. Pueden existir dos objetos con el mismo RDN en dominios diferentes.
  • GUID (Globally Unique Identifier): Número de 128 bits, distinto para cada objeto.
  • UPN (User Principal Name): Nombres cortos y descriptivos del objeto. El nombre común del objeto se combina con el dominio para formar el UPN.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.