Post on 07-Oct-2015
description
Administracin de
LDAP
Universidad Tecnolgica del Sur de Sonora
Jos Manuel Acosta Enero 2011
Introduccin a la estructura de rbol
Tradicionalmente se han usado las estructuras de rbol para jerarquizar lainformacin contenida en un medio. El ejemplo ms claro es la estructura decarpetas (directorios) de un sistema operativo. Esta organizacin nos permiteordenar la informacin en subdirectorios que contienen informacin muyespecfica.
Otro ejemplo muy comn son los servidores DNS que nos permiten accedera distintos servicios concretos que representan un dominio, por ejemplo
www.empresa.com servidor www principal de la empresa www.admin.empresa.com servidor de administracin mail.empresa.com servidor de mail de la empresa us.mail.empresa.com servidor secundario de correo en USA mx.mail.empresa.com servidor secundario de correo en Mxico
Jerarquas en rbol
Dos ejemplos de jerarquas en rbol
Definicin de trminos
Entradas
El modelo de informacin de LDAP est basado en entradas. Una entrada esuna coleccin de atributos que tienen un nico y global Nombre Distintivo(DN). El DN se utiliza para referirse a una entrada sin ambigedades. Cadaatributo de una entrada posee un tipo y uno o ms valores. Los tipos sonnormalmente palabras nemotcnicas, como cn para common name, o mailpara una direccin de correo.
La sintaxis de los atributos depende del tipo de atributo. Por ejemplo, unatributo cn puede contener el valor Jose Manuel Suarez. Un atributo emailpuede contener un valor jmsuarez@ejemplo.com. El atributo jpegPhoto hade contener una fotografa en formato JPEG.
Cmo se construyen los DNs de las entradas
Atributos
Los datos del directorio se representan mediante pares de atributo y su valor.Por ejemplo el atributo commonName, o cn (nombre de pila), se usa paraalmacenar el nombre de una persona. Puede representarse en el directorio auna persona llamada Jos Suarez mediante: cn: Jos Suarez
Cada persona que se introduzca en el directorio se define mediante lacoleccin de atributos que hay en la clase de objetos person.
Otros atributos: givenname: Jos surname: Suarez mail: jmsuarez@ejemplo.com
Los atributos requeridos son aquellos que deben estar presentes en lasentradas que utilicen en la clase de objetos. Todas las entradas precisas delos atributos permitidos son aquellos que pueden estar presentes en lasentradas que utilicen la clase de objetos.
Por ejemplo, en la clase de objetos person, se requieren los atributos cn y sn.Los atributos description (descripcin), telephoneNumber (nmero detelfono), see also (vase tambin), y userpassword (contrasea del usuario)se permiten pero no son obligatorios.
Atributos
Cada atributo tiene la definicin de sintaxis que le corresponde. La definicin de sintaxis describe el tipo de informacin que proporciona ese atributo:
bin binario
ces cadena con maysculas y minsculas exactas (las maysculas y
minsculas son significativas durante las comparaciones)
cis cadena con maysculas y minsculas ignoradas (las maysculas y
minsculas no son significativas durante las comparaciones)
tel cadena de nmero de telfono (como cis, pero durante las comparaciones
se ignoran los espacios en blanco y los guiones"_")
dn "distinguished name" (nombre distintivo)
Tipos de Atributos
Una definicin de tipo de atributo especifica la sintaxis de un atributo y cmose ordenan y comparan los atributos de ese tipo.
Los tipos de atributos en el directorio forman un rbol de clases.
Por ejemplo, el tipo de atributo "commonName" es una subclase del tipo deatributo "name".
Tipos de Atributos
Hay atributos obligatorios y opcionales listados en la siguiente tabla:
Tipos de Atributos
LDIF
Para importar y exportar informacin de directorio entre servidores dedirectorios basados en LDAP, o para describir una serie de cambios que hande aplicarse al directorio, se usa en general el fichero de formato conocidocomo LDIF (formato de intercambio de datos de LDAP).
Un fichero LDIF almacena informacin en jerarquas de entradas orientadas aobjeto. Todos los servidores LDAP que incluyen una utilidad para convertirficheros LDIF a formato orientadas a objeto. Normalmente es un ficheroASCII.
EJEMPLO:Un fichero LDIF corrientetiene este aspecto:
Formato LDIF para cuentade usuario.
LDIF
Como se puede notar, cada entrada est identificada por un nombredistintivo:
DN (distinguished name, nombre distintivo) esta compuesto por elnombre de la entrada en cuestin, ms la ruta de nombres que permitenrastrear la entrada hacia atrs hasta la parte superior de la jerarqua deldirectorio.
Objetos
En LDAP, una clase de objetos define la coleccin de atributos que puedenusarse para definir una entrada. El estndar LDAP proporciona estos tiposbsicos para las clases de objetos:
Grupos en el directorio, entre ellos listas no ordenadas de objetos
individuales o de grupos de objetos.
Emplazamientos, como por ejemplo el nombre del pas y su descripcin.
Organizaciones que estn en el directorio.
Personas que estn en el directorio.
Una entrada determinada puede pertenecer a ms de una clase de objetos.
Por ejemplo, la entrada para personas se define mediante la clase de objetosperson, pero tambin puede definirse mediante atributos en las clases deobjetos inetOrgPerson, groupOfNames y organization. La estructura de clasesde objetos del servidor determina la lista total de atributos requeridos ypermitidos para una entrada concreta.
Atributos LDAP y clases de objetos usados ms frecuentemente
Atributos LDAP y clases de objetos usados ms frecuentemente
Atributos LDAP y clases de objetos usados ms frecuentemente
Podemos crear nuestros propios objectclass con los atributos que vayamosa necesitar.Por ejemplo, vamos a crear un objectclass para un servidor de correo:
Integracin con otros sistemas
Una vez que hayamos configurado e instalado LDAP lo podemos usar comorepositorio de datos para multitud de aplicaciones que disponen de soporte:
Radius Samba DNS Mail Transfer Agents Libretas de direcciones Servidores FTP Servidores de certificados de seguridad
Dudas ?
Gracias
Jos Manuel Acosta R.Enero 2011