▷ Ldap: què és i per a què s'utilitza aquest protocol

El protocol LDAP és molt utilitzat actualment per empresa que aposten pel programari lliure a l'utilitzar distribucions de Linux per a exercir les funcions pròpies d'un directori actiu en què es gestionaran les credencials i permisos dels treballadors i estacions de treball en xarxes LAN corporatives en connexions client / servidor.

Índex de continguts

En aquest article veurem de la manera més completa possible en què consisteix aquest protocol i corresponent eina juntament amb l'estructura i termes més utilitzats en ell.

Què és LDAP?

LDAP són les sigles de Protocol Lleuger d'Accés a Directori, o en anglès Lightweight Directory Access Protocol). Es tracta d'un conjunt de protocols de llicència oberta que són utilitzats per accedir a la informació que està emmagatzemada de forma centralitzada en una xarxa. Aquest protocol s'utilitza a nivell d'aplicació per accedir als serveis de directori remot.

Un directori remot és un conjunt d'objectes que estan organitzats de forma jeràrquica, com ara nom claus adreces, etc. Aquests objectes estaran disponibles per una sèrie de client connectats mitjançant una xarxa, normalment interna o LAN, i proporcionaran les identitats i permisos per a aquests usuaris que els utilitzin.

LDAP està basat en el protocol X.500 per compartir directoris, i conté aquesta informació de forma jerarquitzada i mitjançant categories per proporcionar-nos una estructura intuïtiva des del punt de vista de la gestió per part dels administradors. És, per així dir-ho, una guia telefònica, però amb més atributs i credencials. En aquest cas utilitzem el terme directori per referir-nos a l'organització d'aquests objectes.

De forma general, aquests directoris s'utilitzen bàsicament per a contenir informació virtual d'usuaris, perquè altres usuaris accedeixin i disposin d'informació sobre els contactes que són aquí emmagatzemats. Però és molt més que això, ja que és capaç de comunicar-se de forma remota amb altres directoris LDAP situats en servidors que poden estar a l'altra banda de món per accedir a la informació disponible. D'aquesta manera es crea una base de dades d'informació descentralitzada i completament accessible.

La versió actual es denomina LDAPv3 i es troba definida en un full de documentació RFC 4511 accessible de forma pública.

Funcionament de LDAP

LDAP és un protocol basat en la connexió entre client i servidor. Al servidor LDAP s'emmagatzemaran les dades relatives a directori, el qual podrà utilitzar una àmplia varietat de bases de dades per a aquest emmagatzematge, arribant a ser de grans dimensions.

El funcionament d'accés i administració és molt similar a Active Directory de Windows. Quan el client LDAP es connecta amb el servidor, podrà realitzar dues accions bàsiques, bé consultar i obtenir informació de directori, o modificar-la.

• Si un client consulta la informació del servidor LDAP pot connectar-la directament si tenen un directori allotjat en ell, o bé redirigir la sol·licitud fins a un altre servidor que efectivament tingui aquesta informació. Aquest podrà ser local, o remot. Si un client vol modificar la informació de directori, el servidor comprovarà si l'usuari que està accedint a aquest directori té permisos d'administrador o no. Llavors, la informació i gestió d'un directori LDAP es podrà fer de forma remota.

El port de connexió per al protocol LDAP és el TCP 389, encara que per descomptat, es pot modificar per l'usuari i establir-ho en el que desitgi si així li ho s'indica a servidor.

Com s'emmagatzema la informació en LDAP

En un directori LDAP podrem emmagatzemar bàsicament la mateixa informació que en un Directori Actiu de Windows. El sistema està basat en la següent estructura:

• Entrades, trucades objectes en Active Directory. Aquestes entrades són col·leccions d'atributs amb un nom Distingit (DN) Aquest nom s'utilitza per donar un identificador únic i irrepetible a una entrada de directori. Una entrada pot ser el nom d'una organització i d'ella penjaran uns atributs. També una persona pot ser una entrada. Atributs: els quals posseeixen un tipus identificador i els corresponents valors. Els tipus s'utilitzen per identificar els noms d'atributs, per exemple "mail", "name", "jpegPhoto", etc. Alguns dels atributs que pertanyen a una entrada ha de ser obligatoris i altres opcionals. LDIF: el Format d'Intercanvi de Dades de LDAP és la representació en text ASCII de les entrades LDAP. Aquest ha de ser el format dels arxius que s'utilitzin per importar informació a un directori LDAP. Quan s'escrigui una línia en blanc, significarà el final d'una entrada.

dn: :::

Arbres: És l'organització jerarquitzada d'entrades. Per exemple, en una estructura d'arbre podrem trobar un país a la part superior i com a principal, i dins d'aquest tindrem els diferents estats que conforma el país. Dins de cada estat podrem enumerar els districtes, ciutadans i adreces d'on viuen, i així successivament.

Si apliquéssim això a Internet i la informàtica, podríem organitzar un directori LDAP mitjançant un nom de domini que faria les funcions d'arbre i d'ell penjarien els diferents departaments o unitats organitzatives d'una empresa, empleats etc. I és precisament d'aquesta manera com actualment es forma els directoris, gràcies a l'ús d'un servei DNS, podrem associar una adreça IP amb un directori LDAP per a poder accedir-hi mitjançant el nom de domini

Com s'accedeix a la informació en LDAP

Un exemple d'entrada d'un directori LDAP pot ser:

dn: cn = Jose Castell, dc = profesionalreview, dc = com cn: Jose Castell GivenName: Jose sn: Castell telephoneNumber: +34 666.666.666 mail: [email protected] objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person objectClass: top

• dn (domain name): nom d'entrada, però no forma part de la pròpia entrada. dc: component de domini per identificar les parts de l'domini on s'emmagatzema el directori LDAP. cn (common name): nom d'atribut per identificar el nom d'usuari, per exemple sn (surname): cognom de l'usuari telephoneNumbre, mail…: identificar de nom per a l'atribut telèfon i correu electrònic. objectClass: diferents entrades per definir les propietats dels atributs

Un servidor LDAP, a més d'emmagatzemar un arbre, pot contenir subarbres que inclouen entrades específiques de l'domini principal. A més, pot emmagatzemar referències a altres servidors de directori per dividir el contingut si cal.

Estructura d'una URL d'accés a LDAP

A l'efectuar connexions remotes a un servidor LDAP, necessitarem de l'ús d'adreces URL per obtenir informació d'aquest. L'estructura bàsica

ldap: // servidor: port / DN? atributs? àmbit? filtres? extensions

• servidor o host: és l'adreça IP o nom de domini de servidor LDAP port: el port de connexió de servidor, per defecte serà el 389 DN: nom distingit per utilitzar en la recerca Atributs: és una llista de camps a retornar separats per comes àmbit o scope: és l'àmbit de la recerca Filtres: per filtra la recerca segons l'identificador de l'objecte, per exemple. Extensions: seran les cadenes de caràcters extensions de la URL a LDAP.

Per exemple:

ldap: //ldap.profesionalreview.com/cn=Jose%20Castillo, dc=profesionalreview, cd=com

Estem buscant tots els usuaris que hi hagi a l'entrada de Jose Castell en profesionalreview.com.

A més d'aquesta notació, també tindrem una versió de LDAP amb certificat de seguretat SSL, amb identificador per a la URL serà "ldaps:".

Eines més importants que utilitzen el protocol LDAP

En l'actualitat hi ha diverses eines que utilitzen aquest protocol per a la comunicació client servidor d'un servei de directori. El més rellevant és que fins i tot Active Directory de Windows utilitza aquest protocol de comunicació.

• OpenLDAP: és la implementació lliure de el protocol LDAP. Té la seva pròpia llicència i és compatible amb altres servidors que utilitzin el mateix protocol. És utilitzat per diferents distribucions Linux i BSD. Active Directory: és un magatzem de dades de directori amb llicència Microsoft i implementat en els seus sistemes operatius server des de Windows 2000. Realment sota l'estructura d'Active Directory es troba un esquema LDAPv3, de manera que també és compatible amb altres sistemes que implementi aquest protocol en els seus directoris. Red Hat Directory Server: és un servidor que també es basa en LDAP similar a Active Directory, però mitjançant una eina de codi obert. Dins d'aquest directori podrem emmagatzemar objectes com a usuaris claus, grups, polítiques de permisos, etc. Apache Directory Server: una altra de les grans implementacions que utilitzen LDAP és el directori amb llicència d'Apache Software. A més, implementa altres protocols com Kerberos i NTP i compta amb una interfície de vistes pròpies de les bases de dades relacionals. Novell Directory Services: aquest és el servidor de directori propi de Novell per gestionar l'accés a un magatzem de recursos en un o diversos servidors connectats en xarxa. Es compon d'una estructura de base de dades jeràrquica orientada a objectes en la qual s'emmagatzemen tots els objectius típics dels directoris. Open DS: acabem aquesta llista amb el directori basat en java de SUN Microsystems, que posteriorment s'alliberaria per a tots els usuaris. Per descomptat, està desenvolupat en JAVA el necessitarem el paquet Java Runtime Environmet perquè aquest funcioni.

Aquestes són les característiques més interessants i informació més rellevant sobre el protocol LDAP. Per descomptat intentarem anar ampliant informació amb tutorials que anem traient sobre aquest tema.

Mentrestant, et pot interessar aquest informació:

Esperem que aquesta informació hagi estat d'utilitat. Per afegir alguna cosa o dir-nos que penses sobre LDAP escriu-nos en els comentaris.