Introducción a LDAP

¿Qué es LDAP?

LDAP o Lightweight Directory Access Protocol es un protocolo ligero de acceso a directorios, definido en el RFC 4511, concede una gamma de servicios diferentes para los directorios de los usuarios, así como la seguridad y accesos de éstos por medio de sus respectivos roles. Sus características principales son las siguientes:

• Contar con varios directorios, que es una recopilación de información que sirve para buscar una persona, organización, etc. Probablemente ha encontrado dentro de su usuario en su empresa o bien en su universidad muchos directorios, entre los cuáles podrían contener:
  – Un libro de “directorio telefónico”
  – Un servicio telefónico de “consultas de directorio”
  – Un directorio de clubes deportivos, embajadas, empresas locales, o la información de directorios de algún otro lugar. En el caso de UNIX, se usa el término directorio de la misma manera que Windows usa el término carpeta.
• Permite a los usuarios buscar un archivo por su nombre
• LDAP es ligero en comparación con su predecesor (el servicio de directorio X.500)
  – Implementado sobre el protocolo TCP / IP en lugar de la pila OSI de 7 capas.
  – Omite muchas operaciones que rara vez se usaban en X.500.
• LDAP es un protocolo independiente del lenguaje, es decir, una especificación de cómo los clientes se comunican con los servidores, en donde los desarrolladores pueden implementar clientes y servidores LDAP en muchos lenguajes de programación y en muchos sistemas operativos.
• LDAP es un protocolo ligero que permite a los clientes acceder a los servicios de directorio.
• Es de fácil implementación, sin embargo, es necesario tener algún conocimiento de LDAP cuando se trabaja con comunicaciones seguras.
• Un certificado X509 contiene un nombre distinguido: este término proviene de LDAP. ¡Wow!
• Algunas organizaciones usan LDAP para centralizar su información sensible, tales como:
  – Nombres de usuario y contraseñas
  – Certificados de clave pública
  – Asignaciones de roles de usuario (para listas de control de acceso)

Uso típico de LDAP

En LDAP, los sistemas multiusuario ofrecen la ventaja del acceso a la información del directorio en forma centralizada y de bajo peso, la cual es accesible para uno o varios usuarios de acuerdo a los privilegios de éstos que pueden definirse o bien asignar diferentes roles. Algunos de los datos y servicios que podemos mencionar que se centralizan son los siguientes:

• Sistema operativo: nombres de usuario y contraseñas, información específica del usuario, grupos, directorio de inicio, shell predeterminado, e información del directorio de trabajo del usuario.
• Cliente de correo: nombres de usuario y contraseñas, direcciones de correo electrónico.
• Wiki con la información relevante.
• Aplicación de seguimiento de errores: Es propenso a errores actualizar los detalles de un usuario si cada sistema tiene su propio servicio de directorio.

Primeros consejos al usar LDAP

Como vemos, cada sistema podría actuar como un cliente LDAP. No obstante la pregunta más importante en este momento es: ¿Cómo lo implemento este protocolo en mi servidor?. Para responder esta pregunta tenemos que conocer algunos consejos generales para usar las funciones generales de LDAP y así centralizar la información del directorio haciendo la administración más fácil.

• Verificar siempre los detalles de inicio de sesión.
• Realizar la finalización automática de, por ejemplo, nombres o direcciones de correo electrónico .
• Recuperar asignaciones de roles de usuario para listas de control de acceso, el protocolo es de beneficio limitado si solo tiene un sistema multiusuario.
• El sistema multiusuario puede proporcionar su propio servicio de directorio integrado que es más fácil de usar. Los beneficios de LDAP crecen rápidamente a medida que una organización obtiene varios sistemas multiusuario
• Como ya se discutió, LDAP ofrece administración centralizada
• LDAP también ofrece replicación y delegación (división de un directorio contenido en varios servidores LDAP interconectados)

Es poco probable que las personas con una computadora independiente, por ejemplo, usuarios domésticos, usen LDAP o incluso sepan lo que significa, sin embargo los administradores de las grandes organizaciones tienen más probabilidades de estar familiarizados con él.

Esquemas

Un esquema es metainformación: A menudo escrito en la sintaxis de lo que se describe, por ejemplo en el caso de base de datos se describe la estructura de una base de datos con nombres de tablas, nombres y tipos de columnas dentro de cada tabla.
Puede definir un esquema LDAP para la información que desea almacenar.

Bases de datos

LDAP y las bases de datos tienen algunas características en común: Pueden realizar búsquedas rápidamente y contienen esquemas extensibles. Sin embargo, hay algunas diferencias: LDAP asume que las lecturas son mucho más frecuentes que las actualizaciones a diferencia de que una base de datos asume que las lecturas y actualizaciones ocurren con una frecuencia similar.

No admite transacciones

Recuerde que LDAP es un protocolo libre de tecnologías, un servidor LDAP puede usar cualquier tecnología que desee para almacenar sus datos e incluso tanto puede usar archivos de texto como usar una base de datos
(pero sin exponer la capacidad de transacción de la base de datos a los clientes)

Recapitulando

El Protocolo ligero de acceso a directorios es útil cuando tienes varios sistemas multiusuario. Se recomienda su uso para centralizar la información del directorio y así permitir una administración más fácil; además de ser efectivamente seguro, porque hace uso de certificados X509. Éstos contienen un nombre distinguido LDAP y se pueden utilizar para centralizar nombres de usuario, contraseñas, certificados de clave pública y asignaciones de roles de usuario.

También te invitamos a conocer: Comandos iniciales de LDAP, para ayudarte a adentrarte más en el uso de éste protocolo, así como en cada una de sus aplicaciones en Linux, Unix y otros sistemas operativos a nivel servidor.