LDAP_Introduccion-Objetos

7/23/2019 LDAP_Introduccion-Objetos

1/35

LDAP
http://www.pdfxviewer.com/http://www.pdfxviewer.com/


2/35

1. Breve historia de LDAP

A finales de los aos 70, ITU (International TelecommunicationUnion) empez a trabajar en el email estndar !"00! #l estndarnecesitaba un directorio de nombres para acceder entre redes enestilo jerr$uico no mu% diferente al de &'!

#sta necesidad izo necesario desarrollar una serie de estndar %

espec*ficamente el estndar !+-, $uien defin*a &A. (&irector%Access .rotocol)!

#stos dos protocolos eran /randes, pesados % consum*an mucosrecursos!

A inicios de los aos -0, I#T 1e la necesidad de modificar este

protocolo % utilizar capas del protocolo T2.3I. % si/uiendo elestndar !+-! A este protocolo le darn el nombre 4&A. (Light&irector% Access .rotocol)!
http://www.pdfxviewer.com/http://www.pdfxviewer.com/http://www.pdfxviewer.com/http://www.pdfxviewer.com/


3/35

2. Visin general de LDAP I

T5cnicamente, 4&A. es un protocolo $ue define el m5todo aemplear para acceder a datos de un directorio ordenado!

&efine como car/ar los datos en el directorio (importar) % como/uardar los datos (e6portar) desde el directorio (4&I)!

4&A. no define $ue tipo de informacin se 1a a /uardar!

4&A. define cuatro modelos

Modelo de informacin:&efine como estarrepresentado la informacin en sistemas de 4&A.!

Modelo de nombre: #structura de nombres! #jem!8dc9e6ample, dc9com8

Modelo de fncionamiento: &efine como leer, buscar,escribir o modificar la informacin!

Modelo de segridad.


4/35

2. Visin general de LDAP II


5/35

2. Visin general de LDAP III

4&A. no define $ue tipo de datos se 1an a /uardar, solamentecomo acceder a estos! .ero la ma%or*a de los 4&A., utilizan una:& estndar como bac; acceder a losser1icios de 4&A. % operar con los ser1icios 4&A.! .or un ladotendremos es$uemas % or/anizacin de la informacin! ? por otra laimplementacin % utilizar los datos!

Un directorio es un conjunto de objetos con atributos or/anizadosen una manera l/ica % jerr$uica


6/35

!. LDAP vs BD I

4a caracter*stica de 4&A. es, escribir una 1ez % leer mucas 1eces!

4&A. no est preparado para cambiar la informacin en cadaacceso! 4as respuestas de la escritura son mu% lentas! inembar/o si tiene $ue estar mu% preparado para reaccionar deforma mu% rpida cuando acceden usuarios, trabajadores a entrada

de la fbrica, etc! 4a lectura de datos es muco ms rpida comparando con las :&

como @%4 o .ostBres4!

Todos los datos estn inde6ados!

.or las duplicaciones de 4&A., al modificar o crear una nue1aentrada de datos, se /enerarn mCltiples transacciones!


7/35

!. LDAP vs BD II

4os datos entre 4&A. maestro % escla1o se sincronizan medianteun proceso de DreplicacinE simple!

#n el momento de la DreplicacinE una pre/unta al escla1o % almaestro pueden de1ol1er distinta respuesta! A$u* se diferenciamuco de la consistencia $ue pueden dar las bases de datos

relacionales! Fo% en d*a se a mejorado en la DreplicacinE % las cone6iones

mediante internet se an mejorado pero esta caracter*stica no se asubsanado!


8/35

". Por #$ tili%ar LDAP

4&A. da acceso a clientes tanto de intranet como e6tranet, % esteacceso est estandarizado! .or este moti1o, se puede sustituir unser1idor 4&A. por otro sin $ue los clientes se den cuenta!

Al ser un estndar, el desarrollo tanto del ser1idor como el delcliente pueden ser independientes!

.uede dar soporte a ser1icios mu% distantes! .odemos disponer unser1idor de 4&A. para una empresa pe$uea o ms de un ser1idorcon la informacin DreplicadaE para una multinacional!


9/35

&. 'ncionalidad LDAP

4&A. normalmente dar ser1icio a otros ser1icios!

Acceso condicional! 4la1es electrnicas, acceso a informacindi/ital, acceso a redes, acceso a sistemas operati1os, autenticacinen otros ser1icios (Apace, T., G)!

.a/inas amarillas! 4a informacin /uardada en 4&A. ser Ctilcomo consulta de datos! 4os emails de los trabajadores, contactode clientes, G

ustitucin de un &' clsico por un 4&A.!

ustitucin de 'I!

:ase de datos de consulta! 2onsulta a 4&A. desde .F., .erl o otros len/uajes de

pro/ramacin!


10/35

(. Modelo de datos I

4&A. utiliza los directorios en un modelo de datos $ue asumen orepresenta los datos en una jerar$u*a de objetos! #sto no implica$ue 4&A. sea un base de datos orientada a objetos!

4&A. es un protocolo $ue da acceso a si mismo sin definir $ue tipode informacin se 1a a /uardar!

4as primiti1as read, Hrite % modif% funcionan describiendo los datoscon caracter*sticas de modelo!


11/35

(. Modelo de datos II

#structura de rbol de objetos

4os datos se representan como objetos jerr$uicos,llamadas entradas!

2ada entrada tiene una entrada padre % puede tener msde una entrada ijo!

2ada entrada est compuesto por uno o ms objetos declase (ob)ectclass)

2ada ob)ectclasspuede contener uno o ms de unatributo (attribte)!

4as caracter*sticas de los ob)ectclass % los attribtesedescriban con definiciones A'!!


12/35

(. Modelo de datos III


13/35

*. Atribtos I

Todos los atributos pertenecen a un o a 1arios objectclass!

2ada atributo define el tipo de datos utilizado!

trin/s, 'umbers, :oolean, !!!

Time, Telepone numbers, G

:inar%, &istin/uised 'ame (&'), :it strin/, G #jemplo

.uede aber atributos obli/atorios (@UT) o opcionales (@A?)definidos en el objectclass del $ue es parte! #sto se asemeja a lautilizacin de formularios!

4os atributos pueden tener uno (sin/le) o 1arios 1alores (multi)! i elatributo define el email, para una misma entrada puede aber msde un email! .or defecto los atributos suelen tener el 1alor multi!

4os atributos suelen tener nombres % al/unas 1eces aliases oabre1iaturas! .or ejemplo, el atributo common+amees miembro

del objectclase ,erson (% de otras) % se utiliza como cn.
http://www.zytrax.com/books/ldap/ape/index.html#attributeshttp://www.pdfxviewer.com/http://www.pdfxviewer.com/http://www.zytrax.com/books/ldap/ape/index.html#attributeshttp://www.pdfxviewer.com/http://www.pdfxviewer.com/


14/35

*. Atribtos II

Al mismo ni1el, cual$uier atributo se puede definir como Duni$ueEpara realizar bCs$uedas a posteriori!

uponemos $ue tenemos una a/enda con los si/uientesatributos names, pone number, addresses % fa1oritedrin; (es un atributo $ue podemos encontrar en 4&A.

por defecto)! eleccionamos como Duni$ueE el atributo -+.As*

podremos realizar cual$uier bCs$ueda con este atributo!

i no disponemos de un atributo uni$ue, una consulta nospuede de1ol1er todas las entradas $ue coincidan con

los parmetros de bCs$ueda! e pueden definir ms de un atributo como uni$ue cn

favoriteDrin/


15/35

0. b)ect-lass

#l object2lass en definiti1a es un pa$uete de atributos!

2ada object2lass es un pa$uete relacionado con aplicaciones oser1icios mu% abituales! .or este moti1o no suele ser mu%corriente crear un object2lass para un ser1icio comCn! #s 1erdadsin embar/o $ue un object2lass no se 1a a ajustar 00 al ser1icio

o aplicacin $ue necesitas % se tendr infrautilizar! #l object2lass define los atributos con @UT o @A?!

#l object2lass puede ser parte de una jerar$u*a, en este caso 1a aeredar todas las caracter*sticas de sus parientes!

=bject2lass ms utilizados

=bject2lass
http://www.zytrax.com/books/ldap/ape/http://www.pdfxviewer.com/http://www.pdfxviewer.com/http://www.zytrax.com/books/ldap/ape/http://www.pdfxviewer.com/http://www.pdfxviewer.com/


16/35

. Describir el 3rbol I

4a descripcin del rbol se realizar mediante entradas a nuestro4&A.! #mpezando desde el DrootE % bajando en la jerar$u*a $ue seadecue a nuestras necesidades!

#s mu% importante disear en DpapelE la jerar$u*a $ue necesitamospara nosotros % mirando siempre las necesidades tecnol/icas % no

la estructuracin f*sica nuestra! 4os parientes siempre se tendrn $ue definir antes de los ijos!

&espu5s no a% forma de cambio sencillo!

.ara las entradas utilizaremos el formato 4&I!


17/35

. Describir el 3rbol II

#jemplo

version: 1## version not strictly necessary but good practice to include forfuture## DEFINE DIT ROOT/!"E/"FFI$ ###### uses RF% &'(( for)at## dcOb*ect is an !$I+I!R, ob*ectclass and -"T## .ave a "TR%TR!+ ob*ectclass organi0ation in t.is case

# t.is is an ENTR, se2uence and is preceded by a +!N3 linedn: dc4e5a)ple6dc4co)dc: e5a)pledescription: T.e best co)pany in t.e 7.ole 7orldob*ect%lass: dcOb*ectob*ect%lass: organi0ationo: E5a)ple6 Inc8## FIR"T +evel .ierarc.y 9 people# t.is is an ENTR, se2uence and is preceded by a +!N3 linedn: ou4people6 dc4e5a)ple6dc4co)ou: people

description: !ll people in organisationob*ect%lass: organi0ationalnit## "E%OND +evel .ierarc.y 9 people entries# t.is is an ENTR, se2uence and is preceded by a +!N3 linedn: cn4oe "c.)o6ou4people6dc4e5a)ple6dc4co)ob*ectclass: inetOrg;ersoncn: oe "c.)osn: "c.)ouid: *sc.)o)ail: *oe


18/35

14.+avegar en el 3rbol

.ara na1e/ar por el rbol utilizaremos los comandos (read, searc,modif%,!!!), % de esta manera tendremos la posibilidad de decir al4&A. donde est la informacin $ue buscamos o $ueramoscambiar!

Al meter la informacin, se an utilizado atributos, al/uno de ellos

con la propiedad Duni$ueE! e utilizarn estos atributos para realizarlas bCs$uedas!

2ada entrada dispondr de un nombre distin/uido! (&')!


19/35

11.Dividir LDAP I

Uno de los aspectos ms importantes de 4&A., es la capacidad$ue dispone para dele/ar responsabilidades a otros ser1idores4&A.!

Una empresa puede disponer de una dele/acin en otro pa*s! #stadele/acin dispondr de su parte de 4&A., % el mantenimiento de

esta parte se podr dele/ar completamente a esa dele/acin! #jemplo roamin/ uni1ersidad!

A diferencia con el &', un ser1idor 4&A. si sabe $ue a dele/adoesa parte de informacin a otro ser1idor, no buscar el lainformacin e6i/ida por el ser1idor, sino $ue le pasar al cliente la

direccin del ser1idor $ue pueda disponer esa informacin!


20/35

11. Dividir LDAP II


21/35

11. Dividir LDAP III


22/35

12. 5$,licas de LDAP I

4as r5plicas no se realizan al ni1el de 4&A. sino a ni1el de &IT!&entro de un mismo ser1idor 4&A. puede aber ms de un &IT,por este moti1o nos puede interesar replicar Cnicamente uno!

4a r5plica del &IT sucede peridicamente, a esta fase se le conocecomo Dreplication c%cle timeE!

Fa% m5todos para reducir el tiempo de la r5plica al m6imo posible! =pen4&A. asta la 1ersin J!K utilizaba el demonio slurpd para

este fin, pero cambiaron la estrate/ia % aora es ms manejable %ms fle6ible!

.odemos encontrar dos modos de r5plicas

@aster


23/35

12. 5$,licas de LDAP II

@aster


24/35

12. 5$,licas de LDAP III

@ulti


25/35

12. 5$,licas de LDAP IV


26/35

Objetos LDAP


27/35

1. Introduccin Todo en LDAP es jerrquico, tambin con objectClass y attributes.

Los Schemas sin embargo son aquetes de unidad, dondeaarecern en gruos y relacionados objectClass y attributes.

Schemas!

Todos los objectClass y attributes estn de"inidos enschemas. #$ceto algunos que estn embebidos en el

roio sistema LDAP. Todos los schemas utili%ados en alicaciones LDAP, debe

de conocer &tener instalado' el ser(idor LDAP.


28/35

1. Introduccin II

)bjectClass! gruo de attributes!

Los )bjectClass estn de"inidos en los schemas.

Pueden estar organi%ados en jerarqu*a, en este casoheredan las roiedades.

Pueden ser +ST-CT-AL, en este caso se utili%an aracrear entradas, +A-/0L0A1, en este caso se utili%anara ayudar a las entradas o +A2STACT no se utili%ancomo entradas, or ejemlo! To.

Tienen un nombre identi"icati(o y 3nico.

De"ine cada atributo que comone, siendo estosnecesarios o ocionales.

Puede haber ms de un )bjectClass resente en unaentrada de LDAP.

Pero 3nicamente un 3nico +)bjectClass structural


29/35

1. Introduccin III

Attributes!

Todos los atributos estn incluidos en un o en (ariasobjectclass

Para utili%ar un atributo en una entrada, re(iamente habrque de"inir que se (a a utili%ar el objectclass donde est

de"inido el atributo. #l atributo uede aarecer (arias (eces en una entrada si

est de"inido como 4-LT056AL-# &or de"ecto'. Si estde"inido como S078L#56AL-# aarecer una 3nica(e%.

La de"inici9n de un atributo contemla el "ormato delatributo, or ejemlo, string o number. 1 tambin comoactuar en ciertas oeraciones, como comaraciones,donde ueda ser sensible a may3sculas o no.


30/35

1. Introduccin IV

#ntradas!

Las entradas deben de contener un objectclass estructuraly solamente uno.

Pueden contener objectclass au$iliares tantos como senecesitan.

Puede contener un 3nico abstract objectclass.

Las entradas ueden tener otras entradas debajo en lajerarqu*a.

Las entradas ueden tener otra entrada arriba en lajerarqu*a.

Las entradas ueden tener ms entradas a la misma alturay comartir el mismo ariente.


31/35

1. Introduccin V


32/35

2. Schema

Como se ha de"inido anteriormente, es un aquete dondeencontraremos objectclass y atributos de"inidos.

-n ser(icio que quiera utili%ar un LDAP ara un ser(icio concretotendr dos ociones!

-tili%ar esquemas habituales e instaladas or de"ecto.

Crear su roio schema ara interactuar con el ser(idorLDAP. #sta schema se +instalar en el ser(idor LDAP yse tendrn que crear o modi"icar entradas utili%ando losatributos &y los objectclass' ara este ser(icio.


33/35

3. ObjectClass

De esta manera se de"ine un obejctClass!

ObjectClassDescription = "(" whspnumericoid whsp ; ObjectClass identifier[ "NAM" !descrs [ "D#C" !dstrin$ [ "O%#O&'" whsp [ "#)" oids ; #uperior ObjectClasses

[ ( "A%#'*AC'" + "#'*C'*A&" + "A,-&-A*." / whsp ; default structural[ "M#'" oids ; Attribute'0pes[ "MA." oids ; Attribute'0pes whsp "/"

-na clase habitual!

objectclass ( 1232421 NAM 5countr05#) top #'*C'*A& M#' c MA. ( search6uide 7 description/ /


34/35

. Attributes

Cada atributo es incluido en uno o en ms objectclass.

#l atributo debe de ser reconocido or el ser(icio LDAP.

-n atributo uede tener un (alor &S078L#56AL-#' o ms de un(alor &4-LT056AL-#'.

La de"inici9n de un atributo incluye la de"inici9n de tio y el sinta$isa emlear ara desus reali%ar las b3squedas correctamente.


35/35

. Attributes II

Attribute'0peDescription = "(" whsp

numericoid whsp ; Attribute'0pe identifier[ "NAM" !descrs ; name used in Attribute'0pe[ "D#C" !dstrin$ ; description[ "O%#O&'" whsp [ "#)" woid ; deri8ed from this other ; Attribute'0pe[ "9A&-'." woid ; Matchin$ *ule name[ "O*D*-N6" woid ; Matchin$ *ule name[ "#%#'*" woid ; Matchin$ *ule name

[ "#.N'A," whsp noidlen whsp ; #0nta: O-D[ "#-N6&

LDAP_Introduccion-Objetos

Documents

Transcript of LDAP_Introduccion-Objetos