Objetivos. Conocer el protocolo LDAP (Lightweight Directory Access Protocol)

Transcripción

1

2 Objetivos Conocer el protocolo LDAP (Lightweight Directory Access Protocol) Explicar los factores que nos llevan a usar este tipo de organización de datos en nuestro entorno. Qué ventajas aporta el diseño de árboles LDAP con respecto a otras estructuras de datos de almacenamiento. Describir los tipos de objetos y schemas que permiten entender la configuración de LDAP. Manejo de herramientas de administración y gestión LDAP.

3 Conceptos: Servicios de Directorio Creación de objetos (usuarios/atributos/máquinas.. ) en una organización estructurada jerárquicamente. Base de datos Acceso, localización y búsqueda avanzada LDAP + lecturas - escrituras. Acceso a los datos + autentificación + integración de otros servicios. Schemas que permiten extender la complejidad de la estructura arbórea añadiendo nuevos objetos. Estructura compartida: Nombres de objetos + Atributos/ Actualizaciones simples-búsquedas sencillas. Información replicada y redundante si se desea.

4 Conceptos: Servicios de Directorio Diferencias entre Servicios de Directorio/Bases de datos Servicios de Directorio almacenan información relativamente estática. Servicios de Directorio no soportan transacciones (Las transacciones son operaciones de base de datos que permiten controlar la ejecución de una operación compleja, de modo que dicha operación se completa totalmente o no se ejecuta en absoluto) Los directorios LDAP utilizan un protocolo simplificado y optimizado que puede ser utilizado para la construcción de aplicaciones simples y pequeñas. Utilización + Consulta - Transacciones Base de datos especializada

5 Conceptos: Servicios de Directorio Diferencias entre Servicios de Directorio/Estructura de ficheros Los Servicios de Directorio están optimizados: Almacenar pequeños fragmentos de información Entradas con diferentes atributos Los sistemas de ficheros permiten acceder a un fichero y posicionarse dentro de él. Los Servicios de directorio permiten acceder a un atributo, pero no hay forma de posicionarse dentro de dicho atributo, Debe ser leído por completo

6 Conceptos: Servicios de Directorio Diferencias entre Servicios de Directorio/Servicios DNS Los Servicios de Directorio utilizan protocolos orientados a conexión mientras que en DNS son no orientados a conexión (UDP) El servicio DNS esta optimizado para realizar la traslación de nombres a direcciones IP, mientras que los Servicios de Directorio están optimizados de forma más general en función de la estructura de sus objetos y su sintáxis.

7 Ejemplos : Servicios de Directorio OpenLDAP Software libre Fedora Directory Server (FDS) Software libre Novell Directory Server (NDS) Propietario Microsoft Active Directory (AD) Propietario Oracle Internet Directory (OID) Propietario Sun Java Syst em Directory Server EE Freeware

8 Definición: LDAP (Lightweight Directory Access Protocol) Qué es LDAP? Protocolo ligero Permite acceso a un servicio de directorio Basado en X.500: LDAP implementación simplificada del protocolo DAP (Directory Access Protocol) de X.500.(Modelo OSI) Enlazar (Bind) Modificar (Modify) Buscar (Search) Información de una organización almacenada en un repositorio centralizado y optimizado para la consulta Listar (List) Crear (Add) Borrar (Delete) Pila de protocolos TCP/IP Orientado a conexión cliente-servidor operaciones básicas DAP

9 LDAP (Lightweight Directory Access Protocol) X.500 Conjunto de estándares sobre servicios de directorio dentro del modelo de referencia OSI (Open Systems Interconnection) Utilización: Guía de direcciones compartida Autentificación de usuarios centralizada. Perfiles de usuarios centralizados Acceso a cualquier objeto de una red Características: Plataforma abierta (múltiples implementaciones) Personalización de aplicaciones Administración Distribuída

10 LDAP (Lightweight Directory Access Protocol) Protocolo de acceso unificado Servicio flexible para administración central de servicios Facilidad de mantenimiento Lecturas intensivas Cambios poco frecuentes Seguridad (Ideal para la distribución de Certificados Digitales) Distribución de los datos Replicación Extensibilidad-Tipos de esquemas diferentes

11 LDAP (Lightweight Directory Access Protocol) Extensibilidad El término de esquema hace referencia al tipo de información que puede ser almacenada el conjunto de reglas que deben cumplir su comportamiento. Un esquema es un paquete de Clases de Objetos Atributos. Todos los objetos y clases deben ser conocidos y definidos en un esquema. Esto se hace vía include dentro del fichero de configuración del servidor LDAP. Los atributos son jerárquicos y se heredan de padres a hijos. Un directorio no se limita a la utilización de un esquema fijo que pueda ser utilizado para almacenar y recuperar la información.

12 Terminología LDAP Una entrada es una unidad en un directorio LDAP. Es identificada por su único Distinguished Name (DN).Al conjunto de entradas que forman el árbol del directorio se le conoce como Directory Information Tree (DIT). Un DN consiste en una secuencia de partes más pequeñas llamadas Relative Distinguished Name (RDN) Cada entrada tiene atributos (fragmentos de información directamente asociados con la entrada).cada atributo tiene un tipo y uno o varios valores. El tipo define la clase de información que va a almacenar y los valores son la información en sí.ciertos atributos son necesarios, mientras que otros son opcionales. Una objectclass discrimina los atributos necesarios de los que no lo son. La definición de la clase de objeto se encuentra en los esquemas /etc/openldap/schema (Linux) El LDAP Data Interchange Format (LDIF) es un fichero con formato texto ASCII para las entradas LDAP. Los ficheros que exportan e importan datos de un servidor LDAP deben estar en formato LDIF. Una entrada LDIF se parece a: [<id>] dn: <distinguished name> <attrtype>:<attrvalue>

13 Árbol LDAP c=es o=cum ou=ral ou=pdi ou=master uid=vchampo uid=miguel uid=brieba uid=carlos dn: uid=carlos,ou=master,o=cum,c=es

14 Terminología LDAP Una entrada puede contener tantas líneas emparejadas <attrtype>: <attrvalue> como sean necesarias. Una línea vacía indica que la entrada ha terminado y que otra entrada está a punto de comenzar. Cualquier cosa comprendida entre < > es variable y puede configurarla cuando añada una entrada LDAP, con la excepción de <id>. El <id> es un número normalmente configurado por las herramientas LDAP. dn: uid= vchampo,ou= ral,dc=cum,dc=es cn: VíctorHernandez objectclass: account objectclass: posixaccount objectclass: top loginshell: /bin/bash

15 Árbol LDAP : Estructura de Objeto dn: uid=vchampo,ou=ral,o=cum,c=es objectclass: top objectclass: person objectclass: inetorgperson objectclass: posixaccount objectclass: shadowaccount objectclass: sambasamaccount uid: vchampo cn: Victor sn: Hernandez Cham givenname: Moi uidnumber: loginshell: /bin/bash gidnumber: homedirectory: /home/usuarios/vchampo sambaprimarygroupsid: S sambasid: S mail: hdezcham@unex.es mobile:

16 Terminología LDAP Entrada = colección de atributos Tiene un tipo y un conjunto de valores Clase de objetos (ObjectClass) Definición de atributos (atributo clase de objetos) requeridos vs permitidos Esquema reglas de diseño ( create table en SQL) Componentes Posibilidad de que una entrada tenga más de una clase: persona person, inetorgperson, organization,... cuenta usuario posixaccount, sambasamaccount atributos obligatorios: cn, uid, uidnumber, gidnumber atributos permitidos: userpassword, loginshell,...

17 Terminología LDAP: Objetos LDAP atributos comunes Función Objectclass Atributos Descripción Top Person Default Valor por defecto Ou Organizational Unit Users Owner is a person uid unix login name Victor cn Common Name vchampi sn Surname Cham Account Owner has an account User accounts Machine accounts posixaccount sambaaccount Top posixaccount Owner has a Unix account uidnumber Uid 0 gidnumber Gid 0 homedirectory Home directory /root userpassword unix password Wachy Owner has a samba account ntuid Unknown uid rid Unknown uidnumber lmpassword Lanman password hash Unused ntpasswd NT password hash Unused loginshell Users shell /bin/bash Default ou Organizational Unit Machines Owner has a unix uid login name speed$ uidnumber unix uid 514 gidnumber Gid 100 homedirectory Home directory Unused

18 Tipos de Operaciones/Modos de Funcionamiento Operaciones de consulta: Su función es realizar búsquedas en el directorio y recuperar datos. Operaciones de Consulta Utiliza un filtro de equiparación Dada una entrada que cumpla con las especificaciones pero que no tiene el atributo que Comparar se desea devolver, el directorio devuelve (Compare) un valor especial Indica que dicha entrada cumple con los requisitos, pero no dispone del atributo. Buscar entradas que cumplan las especificaciones indicadas Indicar el punto de inicio de la búsqueda La profundidad Buscar (Search) Valores que deben tener determinados atributos Qué atributos serán devueltos si la entrada cumple las especificaciones

19 Tipos de Operaciones/Modos de Funcionamiento Operaciones de actualización: Se encargan de añadir, borrar, renombrar y modificar entradas del directorio. Operaciones de actualización El nodo padre debe existir en el directorio. No debe haber otra entrada con el mismo DN. Añadir (ADD) La entrada debe cumplir con los requisitos especificados en el esquema. El control de accesos permita esta operación. La entrada a renombrar debe existir. No debe Renombrar existir una entrada con el nuevo DN. (RENAME) El control de accesos debe permitir esta operación. Las modificaciones de los atributos deben realizarse. La entrada resultante debe ser Modificar (MODIFY) conforme al esquema. El control de accesos debe permitir la actualización. Las operaciones en LDAP son atómicas La entrada a borrar debe existir en el directorio. Dicha entrada Borrar no debe tener ningún hijo. El control (DELETE) de accesos debe permitir esta operación.

20 Tipos de Operaciones/Modos de Funcionamiento Operaciones de autentificación y control: permiten la identificación de los clientes y del directorio, así como controlar ciertos aspectos de una sesión. Operaciones de Autentificación Sesión anónima: En ésta no se especifica el usuario ni la contraseña. Solo tienen sentido para operaciones de búsqueda, ya que no se ha realizado ningún tipo de comprobación de la identidad del cliente. BIND/UNBIND (enlazar/desunir) Sesión autentificada: En ésta al establecer la conexión se envían al servidor el nombre distinguido del usuario y su contraseña sin encriptar. El servidor considera que el cliente se ha autenticado si la contraseña coincide con la almacenada en el campo userpassword. Esta información es enviada en claro desde el cliente al servidor, lo cual implica un riesgo de seguridad muy alto. ABANDONAR (abandon) Esta operación permite indicar al servidor LDAP que el cliente abandona la operación en curso. En LDAPv2 solo se permiten sesiones anónimas y autenticación mediante texto en claro. Debido a esto, algunos fabricantes incorporaron mecanismos de seguridad adicionales, como Kerberos. La operación bind de LDAPv3 tiene soporte para Simple Authenticacion Security Layer (SASL). Además se han definido operaciones extendidas, una de ellas relacionada con la seguridad es la Extension for Transport Layer Security (TSL) para LDAPv3. Sesión cifrada: En ella el cliente envía el nombre distinguido del usuario, el método de autenticación que va a emplear y las credenciales necesarias para autenticarse. LDAPv3 contempla el establecimiento de sesiones cifradas.

21 El LDAP Data Interchange Format (LDIF) es un fichero con formato texto ASCII para las entradas LDAP. Actualmente los ficheros que exportan e importan datos de un servidor LDAP deben estar en formato LDIF. Características: Exportación/importación de datos Independiente del servidor LDAP Almacenamiento en disco duro migración entre servidores Unifica tratamiento de los datos Formato de texto ASCII: dn:<nombre distinguido> objectclass: <nombre clase> <nombre_atributo>:valor <nombre_atributo>:valor Número arbitrario de pares atributo-valor Ventajas Estructura y componentes LDAP Copias de seguridad Importación de cambios

22 Ejemplo de operaciones LDIF dn: uid=vchampo,ou=ral,o=cum,c=es objectclass:person objectclass:organizationalperson objectclass:inetorgperson objectclass:account objectclass:posixaccount objectclass:top uid:vchampo sn: Hernandez Cham cn: Victor description: supervisor loginshell:/bin/sh uidnumber:202 gidnumber:100 postaladdress:despacho: 41$SANTA TERESA DE JORNET,38$CAMPUS DE MÉRIDA$06800 MÉRIDA telephonenumber: homedirectory:/home/vchampo

23 Ejemplo de operaciones LDIF Los atributos de imágenes se codifican en base64. Jpegphoto:R0lGODlheAHdAfUAAKysqKmlmQwPDggKCVVNSk1KRycoJhwhJcm8p7 a1qktiqudbp83mxmm8wobu6ubm1djr28jo10disdxbsfnhcvnbyxcxfreseae+xpu mv6gugjuhgscuoscqlyfycxxvzmxhwwffwjf+fo17crrfz7m5uyobeh58b6yymqe Sj+T7/NX3+lVUUkdMUiAhHhcaG3FzcnFwZXBlZGJjZbqlpJyblJ2LjFFWW0E/PI2Pk3eC k83m546lfzg5ojqylmbvuiwaaaaaeahdaqug/sdykuysykkhgpkfbmvghyjsrk1a r1iribo9mb5gsjdafhrd6prxzgkz0yd3e/4+i8kxgyvv6nuoby8vf4sffxywl4iily6nl pawhxaqjpsvljcubwy+bi6lmzqfojwmlgapqzgskqcilauqprq9cwskbd8gh71vut FRV3JrX2cjJshfyHJsI24iz3NdVWDIym/ZdGrc3d7VamNb41lDME8nMOcxMxUsEhIFu0 VDVOrq6flTUyYw/eP+/G3xx6XgGHH91k05M4YHwhPKipngMRENMWUQq8Dw4GFM Rw8yZoRg0cPHn0ACX

24 Ejemplo de operaciones LDIF Para borrar una entrada basta indicar el cambio delete: Dn: nombre distinguido Changetype: delete Dn: uid= carlos,ou= master,o=cum,c=es Changetype: delete Para modificar una entrada tenemos: Dn: nombre distinguido Changetype: modify TipoCambio: atributo atributo: valor Dn: uid= carlos,ou= master,o=cum,c=es Changetype: modify Add: telephonenumber TelephoneNumber:

25 Ejemplo de operaciones LDIF Si deseamos actualizar un atributo: Dn: nombre distinguido Changetype: delete Dn: uid= carlos,ou= master,o=cum,c=es changetype: modify replace: telephonenumber telephonenumber: Varias operaciones se pueden combinar en un único fichero si las separamos por un guión: Dn: uid= carlos,ou= master,o=cum,c=es changetype: modify delete: telephonenumber telephonenumber: add: mail mail: vchampo@gmail.com - delete: description

26 Creación y búsqueda en el árbol LDAP ldapadd Nos permite introducir datos dentro del directorio desde un fichero ldif: # ldapadd -x -W -f file.ldif -D cn=admin,dc=unex,dc=es ldapsearch Nos permite realizar búsquedas en el directorio: # ldapsearch -x -W -b dc=es -D cn=admin,dc=unex,dc=es '(uid=vchampo)' cn uid

27 Otras operaciones en el árbol LDAP ldapdelete - Borra entradas de un directorio LDAP al aceptar instrucciones del usuario por medio de la entrada desde el indicador de comandos o por medio de un archivo LDIF. ldapmodify - Modifica las entradas en un directorio LDAP, aceptando la entrada por medio de un archivo o entrada estándar. ldappasswd - Configura una contraseña para un usuario LDAP. ldapcompare - Abre una conexión a un servidor LDAP y hace una comparación utilizando parámetros especificados. ldapwhoami - Abre una conexión en un servidor LDAP y realiza una operación whoami. ldapmodrdn - Abre una conexión en un servidor LDAP y modifica los RDNs de entradas.

28 Instalación OpenLDAP Paquetes apt-get install slapd servidor apt-get install ldap-utils servidor y cliente Características: SLAPD: servidor OpenLDAP v3. Control de acceso a la información mediante listas ACL Varios backends de almacenamiento Posibles peticiones porciones del árbol diferentes Configurable para copias/replicación (slurpd)

29 Autentificación basada en LDAP Una de las utilidades más importantes de un servidor LDAP Servidor de autentificación Autentificarse es necesario para entrar en un sistema linux Acceder a algunos servicios como un servidor FTP Utilizar un servidor LDAP para permitir el acceso a páginas web privadas o REALIZAR MODIFICACIONES para autentificar sin usar los clásicos /etc/passwd, /etc/group y /etc/shadow

30 Autentificación basada en LDAP Librerías de autentificación pam-ldap / nss-ldap Instalar la librería con apt-get install libpam_ldap pam-ldap permite que las aplicaciones que utilizan PAM para autentificarse, puedan hacerlo mediante un servidor LDAP Archivos de configuración /etc/pam_ldap.conf Ficheros contenidos en /etc/pam.d

31 Autentificación basada en LDAP apt-get install libpam-ldap Archivo de configuración /etc/pam_ldap.conf Preguntas? 1. Quién es el servidor LDAP (nombre o IP) host Cuál es la base de nuestro directorio LDAP (base DN) base dc=cum,dc=es 3. Cuál es la versión de LDAP a utilizar ldap_version 3 4. Quién es el administrador del directorio LDAP rootbinddn cn=admin,dc=cum,dc=es 5. En qué unidad organizativa se encuentran los usuarios (sustituto de /etc/passwd) nss_base_passwd ou=users,dc=cum,dc=es?one 6. En qué unidad organizativa se encuentran las contraseñas (sustituto de /etc/shadow) nss_base_shadow ou=users,dc=cum,dc=es?one 7. En qué unidad organizativa se encuentran los grupos (sustituto de /etc/group) nss_base_group ou=groups,dc=ieslapaloma,dc=com?one

32 o Autentificación basada en LDAP Configurar los archivos en /etc/pam.d/ Editando los archivos que hay en la carpeta /etc/pam.d, podemos configurar la forma en la que se autentifica cada uno de los servicios que requieren autentificación. /etc/pam.d/common-auth (para autentificarse) /etc/pam.d/common-account (para disponer de una cuenta) /etc/pam.d/common-session (para poder iniciar sesion) /etc/pam.d/common-password (para poder cambiar password) Configuración archivo common-auth // Añadir en /etc/pam.d/common-auth encima de la línea pam_unix.so auth sufficient pam_ldap.so

33 Autentificación basada en LDAP Configuración archivo common-account // Añadir en /etc/pam.d/common-account encima de la línea pam_unix.so account sufficient pam_ldap.so Configuración archivo common-session // Añadir en /etc/pam.d/common-session encima de la línea pam_unix.so session sufficient pam_ldap.so

34 Autentificación basada en LDAP Configuración archivo common-password // Añadir en /etc/pam.d/common-password encima de la línea pam_unix.so password sufficient pam_ldap.so Librería de autentificación nss-ldap Instalar la librería con apt-get install libnss_ldap

35 Autentificación basada en LDAP # apt-get install libnss_ldap nss-ldap permite que un servidor LDAP suplante a los archivos /etc/passwd, /etc/group y /etc/shadow como bases de datos del sistema Archivos de configuración /etc/libnss-ldap.conf /etc/nsswitch.conf nss_base_passwd ou=users,dc=cum,dc=es nss_base_group ou=groups,dc=cum,dc=es Elegir autentificación ldap en vez de files, dns, nis.. passwd: compat ldap group: compat ldap shadow: compat ldap

36 Requisitos del servidor Certificado SSL lado servidor (opcional en cliente) Recompilar soporte SSL/TLS: OpenSSL ó gnutls TSL/SSL SSL 636: comunicación encriptada desde el principio TSL inicialmente 389, cambio a modo seguro: 636 Certificado formato PEM Editar slapd.conf OpenLDAP seguro (ldaps://..) TLSCipherSuite TLS_RSA_AES_256_CBC_SHA1 TLSCACertificateFile /etc/lap/certs/ca/cacert.pem TLSCertificateFile /etc/ldap/certs/servercert.pem TLSCertificateKeyFile /etc/ldap/certs/serverkey.pem TLSVerifyClient never

37 OpenLDAP seguro (ldaps://..) Utiliza las prestaciones de cifrado que ofrece el paquete OpenSSL Certificado firmado por una entidad certificadora (CA) configurar slapd para que utilice los certificados Configuración Crear una nueva entidad certificadora Crear una petición de firma de certificado de servidor # /usr/lib/ssl/misc/ca.pl -newca # openssl req -newkey rsa:1024 -nodes keyout serverkey.pem out serverkey.pem Firmar el certificado con la CA # /usr/lib/ssl/misc/ca.sh -sign Obtenemos servercrt.pem

38 Requisitos del servidor Certificado SSL lado servidor (opcional en cliente) Recompilar soporte SSL/TLS: OpenSSL ó gnutls TSL/SSL SSL 636: comunicación encriptada desde el principio TSL inicialmente 389, cambio a modo seguro: 636 Certificado formato PEM Editar slapd.conf OpenLDAP seguro (ldaps://..) TLSCipherSuite TLS_RSA_AES_256_CBC_SHA1 TLSCACertificateFile /etc/lap/certs/ca/cacert.pem TLSCertificateFile /etc/ldap/certs/servercert.pem TLSCertificateKeyFile /etc/ldap/certs/serverkey.pem TLSVerifyClient never

39 Explorando el árbol LDAP Herramientas LDAP Phpldapadmin apt-get install phpldapadmin

40 Explorando el árbol LDAP Herramientas LDAP JXplorer # sh./jxv3.1_install_linux.bin #./JXplorer_LDAP_Browser