210 likes | 424 Views
LDAP Servicio de Directorio 4/V/2007. Cidir Gipuzkoa libo.revilla@ehu.es rootkiller. Índice. Qué es Situación actual del servicio de directorio Atributos y clases de objetos para los usuarios Servicios que proporciona Autenticación Autorización Futuro. ¿Qué es?.
E N D
LDAPServicio de Directorio4/V/2007 Cidir Gipuzkoa libo.revilla@ehu.es rootkiller
Índice • Qué es • Situación actual del servicio de directorio • Atributos y clases de objetos para los usuarios • Servicios que proporciona • Autenticación • Autorización • Futuro
¿Qué es? • Es “Lightweight Directory Access Protocol” • Es decir un “Protocolo Ligero de Acceso a Directorios” • Inicialmente se usó para “descargar” el X500 • Finalmente lo ha sustituido
¿Qué es? - 2 • Es una “base de datos” pensada para “muchas consultas • y pocas modificaciones”. • Todos los datos son “objetos” que tienen “atributos” • Es una “copia” de los datos necesarios para poder • ser utilizados en los diferentes servicios que proporciona • Los datos de identificación de los usuarios se deben • cambiar en las fuentes originales
Situación actual • El servicio de directorio de la UPV/EHU, en este • momento está formado por 2 tipos de servidores LDAP • Servidores principales con openldap • Servidores secundarios con directorio activo de M$ • El servicio se basa en openldap y, para servicios que • necesiten “cosas” del directorio activo, se podrían conectar • a los nuevos servidores de directorio basados en DA. • Todo lo que está en el DA (salvo datos internos del DA) • tiene que estar en el OL. • La actualización es SIEMPRE OL -> DA
Situación actual - servidores • El servicio de directorio de la UPV/EHU, en este • momento está formado por 5 servidores: • Servidor maestro: ldaps.vc.ehu.es (Vitoria) • Servidor esclavo: ldaps.sc.ehu.es (Donostia) • Servidor esclavo: ldaps.lg.ehu.es (Lejona) • Servidor esclavo de DAM$: lgpxsa.adm.ehu.es • Servidor esclavo de DAM$: lgpxsb.adm.ehu.es • Nota: Los servidores de DA se actualizan desde el • servidor de openldap de Lejona • La contraseña se cambia “a la vez” en OL y DA
Situación actual - árbol • Arbol ldap • dc=ehu,dc=es • | • +-ou=people • | • +-ou=groups • | • +-ou=areas • | • +-ou=listas • | • +-ou=sistema
Situación actual - Atributos • Cada usuario tiene un objeto en el ldap con sus datos • dn: uid=prueba123,ou=people,dc=ehu,dc=es • uid: prueba123 • irisUserEntitlement: urn:mace:rediris.es:ehu.es:iturria:ikasle • cn: apellido1 apellido2, nombre • sn: apellido1 apellido2 • sn1: apellido1 • sn2: apellido2 • givenName: nombre • l: UPV/EHU • irisPersonalUniqueID: 99999998 • irisMailMainAddress: prueba123@ikasle.ehu.es • employeeNumber: 99999999 • eduPersonAffiliation: student • mail: prueba123@ikasle.ehu.es • schacExpiryDate: 20071231235959Z • sambaLMPassword: 1A992DF2535550E39B7565E0C8D76954A50 • sambaNTPassword: 3CAD4417082FD32CAE556A4D351ECA3811A • userPassword: {CRYPT}$1$0HVDUp1n$VhluZ48Z56iRXPsrhvgGjxcU1
Situación actual – Atributos - 2 • Cada grupo tiene un objeto en el ldap con sus datos: • dn: cn=32656_AD,ou=groups,dc=ehu,dc=es • objectClass: top • objectClass: groupOfNames • cn: 32656_AD • owner: uid=bckaggar,ou=people,dc=ehu,dc=es • owner: uid=lgzmagej,ou=people,dc=ehu,dc=es • owner: uid=para_portalweb,ou=sistema,dc=ehu,dc=es • member: uid=lgzmagej,ou=people,dc=ehu,dc=es • description: Pruebas portalweb
Situación actual – Atributos - 3 • Para guardar las clasificaciones se usan este tipo • de objetos • dn: copaAreaCode=a01b02c24,ou=areas,dc=ehu,dc=es • copaAreaCode: a01b02c24 • copaCode: urn:mace:rediris.es:ehu.es:classif:ehu1:20060620:a01b02c24 • objectClass: copaArea • objectClass: top • copaName;lang-es: Facultad de Derecho • copaName;lang-eu: Zuzenbide Fakultatea • copaName: Facultad de Derecho • description: 224
Situación actual - Atributos - 4 • Atributos que se actualizan “diariamente” • cn • sn • sn1 • sn2 • givenName • eduPersonAffiliation • eduPersonPrimaryAffiliation • employeeNumber • irisPersonalUniqueID • centro • departamento • cargo • telephoneNumber (*) • sambaDomainName • irisMailMainAddress • schacExpiryDate
Servicios que se proporcionan • Servicio de búsquedas • Servicio de Autenticación • Servicio de Autorización
Servicio de búsquedas • Bilatu • https://www.ehu.es/bilatu • Navega 2.0 • https://scuc06.sc.ehu.es/navega2.0 • Desde el cliente de correo • http://www.ehu.es/ldap
Autenticación • Entendemos por autenticar (o autentificar) saber si • un usuarios es quien dice ser • En el caso del ldap se consigue haciendo que el • usuario “haga un bind con sus credenciales” al servicio de • directorio
Autenticación - 2 • Los datos necesarios para lograr la autenticación son: • raiz del directorio: dc=ehu,dc=es • los usuarios están en: ou=people,dc=ehu,dc=es • el acceso es siempre SSL • los certificados están firmados por: IZENPE • el login del usuario es el: UID • se debe usar el servidor del campus y, el resto, de • forma dextrógira (alta disponibilidad)
Autenticación - 3 • Algunos de los servicios que usan autenticación en el • directorio de la upv/ehu: • vpn • wifi (eduroam) • ikasle • moodle y moodle-tic • ekasi • bilatu • bildu • p-gina • complementos del profesorado
Autorización • Autorización es saber si un usuario tiene derecho a • usar un recurso o no. • Ejemplo: ¿un pdi puede usar el servicio ikasle? • No está puesto en todos los servicios que dependen • del ldap. Depende de cada responsable del servicio. • Se puede hacer por atributo (para datos globales) • o por grupos (para conjuntos pequeños de usuarios) • La administración de grupos se hace desde BILATU
Autorización - 2 • Unos ejemplos del filtro adecuado para un grupo estándar • serían así: • "(&(uid=UID_DEL_USUARIO) (eduPersonAffiliation=student))" • "(&(uid=UID_DEL_USUARIO) (irisUserEntitlement=urn:mace:rediris.es: • ehu.es:Servicios:WiFi:DOC))" • "(&(uid=UID_DEL_USUARIO) • (irisClasifCode=urn:mace:rediris.es:ehu.es:classif:ehu2:20060620:a06b00c39))" • Un ejemplo de filtro adecuado para un GRUPO sería así: • "(&(cn=NOMBRE_DE_GRUPO) • (objectClass=GroupOfNames)(member=EL_DN_DEL_USUARIO))"
Futuro • Nuevos atributos: • irisUserEntitlement: Derechos que tiene la cuenta • relacionados con el correo electrónico • Mejoras en el ”árbol copa” (siledap) • Gestión de la identidad • PAPI (SSO)
Ruegos y Preguntas • Ruegos y preguntas Gracias por vuestra atención Liborio Revilla Alonso CIDIR Gipuzkoa libo.revilla@ehu.es Huella digital de PGP: 112A 5B4F 9015 3790 454F 9EB3 0B9E 59F5