Disclaimer
Todo esto ha sido fruto de lo que he aprendido durante mis prácticas en empresa en la Escuela de Ingenieros en Informática de Sevilla,
http://www.eii.us.es, dónde tuvimos que implementar un sistema de autentificación basado en OpenLDAP
para que los clientes, rembo, windows y linux, utilizasen el directorio LDAP y no sus ficheros
locales. Ya que OpenLDAP es extenso y dado que tuvimos que dedicarnos a solventar varios tipos de problemas en la implementación,
este artículo es una recopilación de todo lo que averiguamos durante las prácticas, más que nada para tener constancia
de todo lo que hicimos y para ayudar a otra gente que se encuentre con el mismo problema.
No soy un experto en OpenLDAP y puede que, para cuando leas este artículo, ya me haya olvidado de muchas cosas sobre OpenLDAP ;-). Así que
aquí queda esto como pequeña guía rápida.
Introducción al sistema de directorio
Un directorio es, básicamente, una base de datos que está optimizada para lecturas,
dónde se van a producir pocas
escrituras. Un directorio es, por ejemplo, el DNS, dónde el número de consultas es mucho mayor que el
de adiciones o modificaciones. Los típicos usos que se le dan incluyen el almacenamiento de la información
del usuario, claves, direcciones de correo, etc...
El protocolo DAP , X.500, es el protocolo de acceso a directorio de la pila OSI.
El LDAP, del inglés Lightweight Directory Access Protocol, es un protocolo que está implementado
sobre la pila TCP/IP y que surge como versión ligera al DAP, ya que este último requiere
bastantes más recursos que LDAP.
Tenemos varias alternativas a la hora de elegir un servidor LDAP, entre ellos los creados por la Universidad
de Michigan y el servidor LDAP de Netscape. OpenLDAP es la versión libre de este tipo de servidores.
En este artículo veremos como hacer una instalación simple de LDAP y cómo configurarlo para que use transmisiones
seguras gracias a las librerías OpenSSL. Si quires más información sobre LDAP, puedes consultar el
RFC2251.
Entrada en materia.
La información que se suele guardar en un directorio está formada por entradas. Cada entrada es un
conjunto de atributos (información) que se identifica a traves de un nombre distinguido, DN,
Distished name en inglés. Cada uno de estos atributos es de un tipo concreto y puede tener uno o varios valores.
Estos atributos suelen ser nemónicos como por ejemplo cn (common name) o mail
que indicaría el nombre o email de una entrada en el directorio.
La información se almacena en el directorio en forma de árbol jerarquico. Tradicionalmente se almacenaban
utilizando como raíz los distintos paises, siendo los hijos las distintas provincias, e hijos de estos las distintas
organizaciones o compañias que podía haber en una provicia.
También se puede utilizar la jerarquía de internet para definir la estructura de un directorio LDAP utilizando,
por ejemplo, los nombres de dominio. Así, la raíz podría ser net, un hijo, bulmalug y dentro de
este los diversos usuarios que pudiera tener, etc.
LDAP posee un atributo, objectClass, que permite definir que datos van a ser obligatorios y cuales opcionales
a través de los esquemas (schemas). O sea, los esquemas van a ser como definiciones de los datos que va a contener
el directorio. OpenLDAP incluye varios esquemas, pero podremos añadir o modificar los ya existentes para cumplir
con nuestras necesidades.
El acceso a la información del directorio, se hace a través de los nombres distinguidos, DN, y de los RND, nombres distinguidos
relativos. Estos se construyen a partir de una entrada, concatenandole el DN de todos sus
padres. Por ejemplo, para el ejemplo de bulma, imaginemos que tenemos un autor que tiene de uid
autor1, su DN sería "uid=autor1, ou=autores, dc=bulmalug, dc=net". Para encontrar más información sobre
el formato DN, puedes consultar el RFC2253.
OpenLDAP permite, además, definir ACL (access control lists) para el acceso a los datos, a parte de que permite
transmitir los datos sobre una capa segura como OpenSSL. Así mismo, OpenLDAP permite la replicación de los datos
entre varios servidores OpenLDAP para descongestionar los servidores. |
OpenLDAP es un servicio de directorio que, entre otras cosas, nos permite contener los datos (logins, claves) de una
serie de usuarios y realizar la autentificación en máquinas clientes a través de un único servidor OpenLDAP.
