LDAP Lightweight Directory Access Protocol

1
LDAPLightweight Directory Access Protocol

• Autor
• José Raúl San José Pozuelo

2
Introducción al LDAP

• LDAP son las siglas de "Protocolo de Acceso
  Ligero a Directorio.( X.500 Lite )
• Surge en 1993 en la Universidad de Michigan
• Se creó para dar una respuesta muy rápida(lectura
  y búsqueda) a un volumen muy grande de datos en
  una petición
• LDAP es un protocolo de tipo cliente-servidor
  para acceder a un servicio de directorio y
  utilizarlo para buscar, modificar, añadir o
  eliminar.

3
Elementos Del Protocolo
LDAPMessage SEQUENCE
messageID MessageID,
protocolOp CHOICE
bindRequest BindRequest,
bindResponse
BindResponse,
unbindRequest UnbindRequest,
searchRequest
SearchRequest,
searchResponse SearchResponse,
modifyRequest
ModifyRequest,
modifyResponse ModifyResponse,
addRequest
AddRequest,
addResponse AddResponse,
delRequest DelRequest,
delResponse
DelResponse,
modifyRDNRequest ModifyRDNRequest,
modifyRDNResponse
ModifyRDNResponse,
compareDNRequest CompareRequest,
compareDNResponse
CompareResponse,
abandonRequest AbandonRequest
MessageID
INTEGER (0 .. maxInt)

4
Ventajas e inconvenientes (I)
5
Ventajas e inconvenientes (II)

• El lado negativo es que no hay muchas
  aplicaciones LDAP y además, si bien LDAP soporta
  algunos controles en el acceso, no soporta todos
  los aspectos de la seguridad incluidos en X.500.
• La ventaja principal de usar LDAP es la
  consolidación de cierto tipo de información en el
  interior de su empresa.

6
Que se puede hacer con LDAP?

• 1.Base de datos común.
• Vemos que aquí se realizarán más consultas que
  inserciones o actualizaciones.
• 2.Sustitución de un DNS clásico por LDAP.
• Aunque ambos están organizados en árbol, es
  mejor que la información este organizada en
  atributos para verificar más fácilmente la
  contraseña que en dominios como en el DNS.
• 3.Autenticación de usuarios.
• Existen librerías que nos permiten realizar
  todo con LDAP. LDAP por su parte soporta
  autenticación con la librería SASL y el
  protocolo SSL (Secure Socket Layer) en su
  versión LDAPv3 de modo que se garantiza la
  seguridad del trafico de red.

7
Autenticación simple (X.509)

• Para validar a un usuario en una máquina bastaría
  comparar la clave encriptada con la almacenada en
  el directorio, UserPassword, si el "bind es
  afirmativo, se aceptará al usuario sin necesidad
  de que la clave o el fichero de claves viaje por
  la red.
• La petición de la operación Bind deberá ser la
  primera orden que el cliente lance al servidor al
  comienzo de la sesión

8
Operación Bind

• BindRequest
• APPLICATION 0 SEQUENCE
• version INTEGER (1
  .. 127),
• name LDAPDN,
• authentication
  CHOICE
• simple
  0 OCTET STRING,
• krbv42LDAP
  1 OCTET STRING,
• krbv42DSA
  2 OCTET STRING

La contraseña almacenada en el directorio en
ASN.1 será userPassword ATTRIBUTE WITH
SYNTAX octet string (SIZE ) EQUALITY MATCHING
RULE octetStringMatch ID id-at-userPassword
9
Autenticación fuerte (X.509) (I)

• Es el método más complejo, se basa en la
  criptografía de claves públicas.
• Utiliza las propiedades de los PKCS(criptosistemas
  de claves públicas ).
• La más importante es la permeabilidad.
• Cualquier usuario podrá descifrar la información
  del usuario X si tiene la Xp.

10
Autenticación fuerte (X.509) (II)

• La autenticación se basa en que cada usuario
  posea un nombre distinguido único.
• Cada usuario queda identificado por el hecho de
  estar en posesión de la clave secreta
• Cada usuario tiene por consiguiente que confiar
  en que las autoridades de denominación no expidan
  nombres distinguidos duplicados

11
Obtención de una clave pública de usuario

• Para que un usuario confíe en el procedimiento de
  autenticación, tiene que obtener la clave pública
  del otro usuario desde una fuente en la cual
  confía. Dicha fuente, llamada autoridad de
  certificación (CA), asigna los certificados.

12
Procedimientos de autenticación fuerte (X.509)

• El enfoque básico de la autenticación es
  corroborar la identidad demostrando la posesión
  de una clave secreta.
• Son posibles muchos procedimientos de
  autenticación que emplean este enfoque
• Autenticacion unidireccional.
• Autenticacion bidireccional.
• Autenticacion tridireccional.

13
Autenticacion Unidireccional
14
Autenticacion Bidireccional
15
Autenticacion Tridireccional
16
Aplicaciones

• Con LDAP se consigue
• Aislar (tanto como sea posible) al usuario de la
  red de los cambios frecuentes que ocurren en
  ella.
• Presentar una imagen de la red, que se mas
  comoda para el usuario.

17
Aplicaciones

• Las típicas aplicaciones de LDAP son
• Denominación cómoda para el usuario
• Examen rápido (hojeado).
• Paginas amarillas.

18
Futuro de LDAP y Conclusiones

• Existen grandes proyectos de desarrollo
  actualmente con LDAP que proponen una nueva
  manera de trabajo en la que LDAP marca de manera
  muy acentuada su modo de trabajo.
• El numero de aplicaciones con LDAP esta creciendo
  rápidamente y el futuro de este estándar en
  proyectos determinados. Ej el gran uso de
  OpenLDAP es ciertamente prometedor.