LDAP

De doc.ubuntu-es
Saltar a: navegación, buscar

LDAP es un servicio global de directorios. Este directorio se puede usar para almacenar todo tipo de información. Se le puede considerar como una base de datos de objetos de distintas clases. Pero, a diferencia de las bases de datos tradicionales, una base de datos LDAP es especialmente apta para operaciones de lectura, búsqueda y navegación en vez de serlo para operaciones de escritura.

Introducción

El Lightweight Directory Access Protocol (LDAP) o protocolo de ligero de acceso a directorios, se trata de un conjunto de protocolos abiertos utilizados para acceder y modificar información almacenada y centralizada en una red. LDAP se basa en el estandar X.500 (X.500 es un estándar ISO que define un modelo universal para servicios de directorios distribuidos) pero es una versión más ligera que el estándar original.

La RFC 2251 explica la relación así: "LDAP está diseñado para proporcionar acceso a directorios que respaldan modelos X.500, pero sin incurrir en los requerimientos de recursos que impone el protocolo de acceso a directorios X.500. Al igual que las bases de datos tradicionales, una base de datos LDAP se puede consultar para extraer la información que almacena".

LDAP fue creado por la Universidad de Michigan en 1992 como una alternativa ligera al Directory Access Protocol (DAP). Por sí mismo, LDAP no define el servidio de directorios. En vez de ello, define el transporte y el formato de mensajes utilizado o un cliente para acceder a los datos en un directorio (un directorio X.500, por ejemplo).

LDAP es ampliable, relativamente fácil de implementar y se basa en un estándar abierto, es decir, no propietario (que no es propiedad de alguien en particular).

Directorio LDPA

Al igual de DNS, las entradas de un directorio LDAP están estructuradas en forma de árbol jerásquico. Como sucede en muchas estructuras jeráquicas, tanto mayor sea la profundidad del árbol, mayor será la precisión del contenido almacenado en ella. A la estructura de árbol jerárquico de LDAP se le conoce de manera formal como directory information tree (DIT) o árbol de información del directorio. A la parte superior de esta estructura jeráquica se le conoce como el elemento raíz. La ruta completa hacia cualquier nodo en la estructura del árbol, misma que define a este nodo en forma única, se le conoce como distinguished name (DN) o nombre diferenciado del nodo u objeto.

Al igual de DNS, es usual que la estructura de uns directorio LDAP refleje límites geográficos u organizacionales. los límites geográficos pueden ocurrir en las líneas divisorias de un país, de un estado, de una ciudad, y demás. Los límites organizacionales pueden, por ejemplo, referirse a líneas divisorias entre funciones, departamentos o unidades organizacionales.

Modelo cliente/servidor

Como sucede con la mayoría de los servicios de red, LDAP se apega al paradigma cliente/servidor. En este contexto, una interacción típica entre el cliente y el servidor sería como se describe a continuación:

  • La aplicacion de un cliente LDAP se conecta al servidor LDAP. A ello se le conoce a veces como atarse o enlazarse al servidor.
  • Dependiendo de las restricciones de acceso configuradas en el servidor LDAP, éste tiene dos opciones: acepta la solicitud de enlace / conexión, o la rechaza.Suponiendo que acepta:
  • El cliente entonces tiene las opciones de consultar al servidor del directorio, escudriñar la información almacenada en el servidor, o intentar la modificación / actualización de la información en el servidor LDAP.
  • Si por el contrario, basándose en las restricciones de acceso definida, el servidor rechaza cualquiera de las operaciones definidas por el cliente, puede redirigir o referir a dicho cliente hacia un servidor LDAP superior que quizá tenga mayor autoridad para atender la solicitud.

Usos de LDAP

LDAP es un servicio de directorios distribuidos y como tal puede utilizarse para almacenar varios tipos de información. Prácticamente se puede almacenar cualquier clase de información en un directorio LDAP, tan variada en su naturaleza como texto, imágenes, datos binarios o certificados públicos.

Al pasar los años se han creado varios esquemas LDAP para almacenar diferentes gamas de datos en un directorio LDAP. Enseguida se listan algunos ejemplos de usos de LDAP:

  • LDAp puede servir como una completa solución para la administración de identidad dentro de una organización. Puede proporcionar servicios de autenticación y autorización para usuarios. De hecho, los servicios proporcionados por el Servicio de la Información en Red (NIS) se puede reemplazar por completo con LDAP.
  • La información almacenada en registros DNS se puede almacenar en LDAP.
  • LDAP se puede usar para proporcionar servicios de "páginas amarillas" dentro de una organización ( por ejemplo, para proveer la información de contacto de los usuarios o empleados, números telefónicos, direcciones, departamentos, etc).
  • La información de ruta para corro electrónico se puede almacenar en LDAP.
  • Existe un esquema en Samba que permite que un servidor Samba almacene grandes cantidades de objetos y sus respectivos atributos en LDAP. Ello permite que Samba pueda operar como un robusto reemplazo de los controladores de dominio de Windows NT en ambientes donde se necesita la redundancia y la duplicación.

Terminología de LDAP

Algunos términos que con frecuencia encontrará al lidiar con LDAP:

  • Entrada u objeto. La unidad mínima en un directorio LDAP es un objeto. A cada onjeto se le llama por su nombre diferenciado (DN).
  • Atributos. Estas son las piezas de información asociadas a un objeto. Por ejemplo, la dirección de una organización o el puesto y los números telefónicos de un empleado.
  • objectClass. Éste es un tipo especial de atributo. Todos los objetos de LDAP deben tener el atributo objectClass. La definición de objectClass especifica cuáles atributos requiere un objeto LDAP, así como las clases de objetos que pueden existir. Los valores de este atributo los pueden modificar los clientes, pero el atributo objectClass en sí no puede eliminarse.
  • Esquema (Schema). Un esquema es una colección de reglas que determinan la estructura y contenido de un directorio. El esquema contiene las definiciones, los tipos de atributo y de las clases de onjetos, etc.
Además de listar los atributos para cada clase de objeto, un esquema define se esos atributos son opcionales u obligatorios. es usual que los esquemas se almacenen en archivos de texto plano.
  • LDIF. Es un archivo de texto plano para objetos LDAP. Los archivos que importan o exportan datos hacia y desde un servidor LDAP deben hacerlo con este formato. Los datos utilizados para la duplicación entre servidores LDAP también están en este formato.

Véase también

Wikipedia logo.png Wikipedia alberga un artículo enciclopédico sobre LDAP.


  • OpenLDAP. Implementación de abierta de LDAP.

Bibliografía

  • Steve Shah y Wale Soyinka (2007). Manual de Administración Linux. México: McGraw-Hill

Enlaces externos

Este artículo es, por ahora, sólo un esbozo.
Ampliándolo ayudarás a mejorar la Documentación de Ubuntu.

Herramientas personales