1 / 21

LDAP Servicio de Directorio 4/V/2007

LDAP Servicio de Directorio 4/V/2007. Cidir Gipuzkoa libo.revilla@ehu.es rootkiller. Índice. Qué es Situación actual del servicio de directorio Atributos y clases de objetos para los usuarios Servicios que proporciona Autenticación Autorización Futuro. ¿Qué es?.

hedda
Download Presentation

LDAP Servicio de Directorio 4/V/2007

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. LDAPServicio de Directorio4/V/2007 Cidir Gipuzkoa libo.revilla@ehu.es rootkiller

  2. Índice • Qué es • Situación actual del servicio de directorio • Atributos y clases de objetos para los usuarios • Servicios que proporciona • Autenticación • Autorización • Futuro

  3. ¿Qué es? • Es “Lightweight Directory Access Protocol” • Es decir un “Protocolo Ligero de Acceso a Directorios” • Inicialmente se usó para “descargar” el X500 • Finalmente lo ha sustituido

  4. ¿Qué es? - 2 • Es una “base de datos” pensada para “muchas consultas • y pocas modificaciones”. • Todos los datos son “objetos” que tienen “atributos” • Es una “copia” de los datos necesarios para poder • ser utilizados en los diferentes servicios que proporciona • Los datos de identificación de los usuarios se deben • cambiar en las fuentes originales

  5. Situación actual • El servicio de directorio de la UPV/EHU, en este • momento está formado por 2 tipos de servidores LDAP • Servidores principales con openldap • Servidores secundarios con directorio activo de M$ • El servicio se basa en openldap y, para servicios que • necesiten “cosas” del directorio activo, se podrían conectar • a los nuevos servidores de directorio basados en DA. • Todo lo que está en el DA (salvo datos internos del DA) • tiene que estar en el OL. • La actualización es SIEMPRE OL -> DA

  6. Situación actual - servidores • El servicio de directorio de la UPV/EHU, en este • momento está formado por 5 servidores: • Servidor maestro: ldaps.vc.ehu.es (Vitoria) • Servidor esclavo: ldaps.sc.ehu.es (Donostia) • Servidor esclavo: ldaps.lg.ehu.es (Lejona) • Servidor esclavo de DAM$: lgpxsa.adm.ehu.es • Servidor esclavo de DAM$: lgpxsb.adm.ehu.es • Nota: Los servidores de DA se actualizan desde el • servidor de openldap de Lejona • La contraseña se cambia “a la vez” en OL y DA

  7. Situación actual - servidores

  8. Situación actual - árbol • Arbol ldap • dc=ehu,dc=es • | • +-ou=people • | • +-ou=groups • | • +-ou=areas • | • +-ou=listas • | • +-ou=sistema

  9. Situación actual - Atributos • Cada usuario tiene un objeto en el ldap con sus datos • dn: uid=prueba123,ou=people,dc=ehu,dc=es • uid: prueba123 • irisUserEntitlement: urn:mace:rediris.es:ehu.es:iturria:ikasle • cn: apellido1 apellido2, nombre • sn: apellido1 apellido2 • sn1: apellido1 • sn2: apellido2 • givenName: nombre • l: UPV/EHU • irisPersonalUniqueID: 99999998 • irisMailMainAddress: prueba123@ikasle.ehu.es • employeeNumber: 99999999 • eduPersonAffiliation: student • mail: prueba123@ikasle.ehu.es • schacExpiryDate: 20071231235959Z • sambaLMPassword: 1A992DF2535550E39B7565E0C8D76954A50 • sambaNTPassword: 3CAD4417082FD32CAE556A4D351ECA3811A • userPassword: {CRYPT}$1$0HVDUp1n$VhluZ48Z56iRXPsrhvgGjxcU1

  10. Situación actual – Atributos - 2 • Cada grupo tiene un objeto en el ldap con sus datos: • dn: cn=32656_AD,ou=groups,dc=ehu,dc=es • objectClass: top • objectClass: groupOfNames • cn: 32656_AD • owner: uid=bckaggar,ou=people,dc=ehu,dc=es • owner: uid=lgzmagej,ou=people,dc=ehu,dc=es • owner: uid=para_portalweb,ou=sistema,dc=ehu,dc=es • member: uid=lgzmagej,ou=people,dc=ehu,dc=es • description: Pruebas portalweb

  11. Situación actual – Atributos - 3 • Para guardar las clasificaciones se usan este tipo • de objetos • dn: copaAreaCode=a01b02c24,ou=areas,dc=ehu,dc=es • copaAreaCode: a01b02c24 • copaCode: urn:mace:rediris.es:ehu.es:classif:ehu1:20060620:a01b02c24 • objectClass: copaArea • objectClass: top • copaName;lang-es: Facultad de Derecho • copaName;lang-eu: Zuzenbide Fakultatea • copaName: Facultad de Derecho • description: 224

  12. Situación actual - Atributos - 4 • Atributos que se actualizan “diariamente” • cn • sn • sn1 • sn2 • givenName • eduPersonAffiliation • eduPersonPrimaryAffiliation • employeeNumber • irisPersonalUniqueID • centro • departamento • cargo • telephoneNumber (*) • sambaDomainName • irisMailMainAddress • schacExpiryDate

  13. Servicios que se proporcionan • Servicio de búsquedas • Servicio de Autenticación • Servicio de Autorización

  14. Servicio de búsquedas • Bilatu • https://www.ehu.es/bilatu • Navega 2.0 • https://scuc06.sc.ehu.es/navega2.0 • Desde el cliente de correo • http://www.ehu.es/ldap

  15. Autenticación • Entendemos por autenticar (o autentificar) saber si • un usuarios es quien dice ser • En el caso del ldap se consigue haciendo que el • usuario “haga un bind con sus credenciales” al servicio de • directorio

  16. Autenticación - 2 • Los datos necesarios para lograr la autenticación son: • raiz del directorio: dc=ehu,dc=es • los usuarios están en: ou=people,dc=ehu,dc=es • el acceso es siempre SSL • los certificados están firmados por: IZENPE • el login del usuario es el: UID • se debe usar el servidor del campus y, el resto, de • forma dextrógira (alta disponibilidad)

  17. Autenticación - 3 • Algunos de los servicios que usan autenticación en el • directorio de la upv/ehu: • vpn • wifi (eduroam) • ikasle • moodle y moodle-tic • ekasi • bilatu • bildu • p-gina • complementos del profesorado

  18. Autorización • Autorización es saber si un usuario tiene derecho a • usar un recurso o no. • Ejemplo: ¿un pdi puede usar el servicio ikasle? • No está puesto en todos los servicios que dependen • del ldap. Depende de cada responsable del servicio. • Se puede hacer por atributo (para datos globales) • o por grupos (para conjuntos pequeños de usuarios) • La administración de grupos se hace desde BILATU

  19. Autorización - 2 • Unos ejemplos del filtro adecuado para un grupo estándar • serían así: • "(&(uid=UID_DEL_USUARIO) (eduPersonAffiliation=student))" • "(&(uid=UID_DEL_USUARIO) (irisUserEntitlement=urn:mace:rediris.es: • ehu.es:Servicios:WiFi:DOC))" • "(&(uid=UID_DEL_USUARIO) • (irisClasifCode=urn:mace:rediris.es:ehu.es:classif:ehu2:20060620:a06b00c39))" • Un ejemplo de filtro adecuado para un GRUPO sería así: • "(&(cn=NOMBRE_DE_GRUPO) • (objectClass=GroupOfNames)(member=EL_DN_DEL_USUARIO))"

  20. Futuro • Nuevos atributos: • irisUserEntitlement: Derechos que tiene la cuenta • relacionados con el correo electrónico • Mejoras en el ”árbol copa” (siledap) • Gestión de la identidad • PAPI (SSO)

  21. Ruegos y Preguntas • Ruegos y preguntas Gracias por vuestra atención Liborio Revilla Alonso CIDIR Gipuzkoa libo.revilla@ehu.es Huella digital de PGP: 112A 5B4F 9015 3790 454F 9EB3 0B9E 59F5

More Related