PDF de programación - Una Introducción a LDAP

Una Introducción a LDAP

Michael Donnelly

N.del T. : El presente articulo de Michael Donnelly en http://www.ldapman.org es traducido al castellano
con el ánimo de ayudar a los que quieren aprender acerca de LDAP. La traducción no está sujeta a garantía de
ningún tipo y el original pertenece a Michael Donnelly. El traductor Pere Benavent pone la traducción bajo
licencia GFDL GNU Free Documentation License .

Si trabajas en la industria informática, hasta ahora has oído hablar de buenas oportunidades de LDAP. Te
preguntas de qué va toda esa novedad ? Quieres saber un poco más acerca de la tecnología subyacente? Has
venido al lugar adecuado. En esta introducción - la primera en una serie de artículos describiendo como
diseñar, implementar, e integrar un entorno LDAP en tu empresa - te familiarizarás con los conceptos que hay
tras LDAP mientras que se dejan los detalles duros del núcleo del asunto para más tarde. Aquí trataremos los
siguientes asuntos;

Qué es LDAP, en cualquier caso?
Cuando deberías utilizar LDAP para almacenar tus datos?
La estructura de un árbol de directorio LDAP
Registros individuales LDAP
Personalizando las clases de objetos (object classes) de tu directorio
Un ejemplo de una entrada individual LDAP
Replicación LDAP
Seguridad y control de acceso

Para empezar con ello, lo que está ocurriendo con LDAP hoy es novedoso. Una implementación a lo largo de
la empresa puede facilitar la obtención de información de tu directorio LDAP a casi cualquier aplicación,
ejecutándose en cualquier plataforma de computación . Y en teoría puede ser utilizada para almacenar un
amplio rango de datos: dirección de correo electrónico e información de encaminamiento de correo, datos de
RRHH, claves publicas de seguridad, listas de contactos, y mucho más. Haciendo un directorio LDAP un
punto de enfoque en tu integración de sistemas, estas proveyendo de un almacén de ’única parada’ para
cualquier persona que busque información dentro de tu empresa - incluso si la fuente primaria de datos reside
en cualquier otro lugar.

Espera, me diras. Ya estás utilizando una base de datos Oracle, Sybase, Informix, o Microsoft SQL para
almacenar mucha de esa misma información. ¿ Qué tiene de diferente LDAP? ¿ Qué lo hace mejor? Sigue
leyendo.

De cualquier manera, qué es LDAP ?

El Protocolo de Acceso Ligero a Directorio, mejor conocido como LDAP (por sus siglas en inglés), está
basado en el estándar X.500, pero significativamente más simple y más realmente adaptado para satisfacer
las necesidades del usuario. A diferencia de X.500 LDAP soporta TCP/IP, que es necesario para el acceso a
Internet. El núcleo de las especificaciones LDAP está totalmente definido en las RFCs -- una lista completa de
las RFCs relacionadas se puede encontrar en la página LDAPman RFC.


Utilizando "LDAP" en una frase
En una conversación de cualquier día, oirás que gente bien intencionada dice cosas como, "¿ Deberíamos
almacenarlo en LDAP ?" o "Simplemente obtén los datos de la base de datos LDAP", o "¿ Cómo hacemos
para enlazar LDAP con una RDB (Base de Datos Relacional en ingles) ?". Hablando estrictamente, piensa,
LDAP no es una base de datos en absoluto, sino un protocolo utilizado para acceder a información almacenada

en un directorio de información (también conocido como un directorio LDAP). Una formulación más precisa
se podría parecer a algo como esto: "Utilizando LDAP, los datos serán recuperados (o almacenados en) la
localización correcta dentro de nuestro directorio de información." Pero no me encontrarás corrigiendo a nadie
en este punto: de otro modo, te harás una idea a lo largo de este punto, y eso es lo que cuenta.

¿ Es un directorio de información LDAP una base de datos ?
Así como un Sistema de Gestión de Base de Datos (DBMS por sus siglas en ingles) como Sybase, Oracle,
Informix o Microsoft se utiliza para procesar consultas y actualizaciones a una base de datos relacional, un
servidor LDAP es utilizado para procesar consultas y actualizaciones a un directorio de información LDAP. En
otras palabras, un directorio de información LDAP es un tipo de base de datos, pero no es una base de datos
relacional. Y a diferencia de una base de datos que está diseñada para procesar cientos o miles de cambios por
minuto - como los sistemas de Procesamiento de Transacciones En Linea (OLTP por sus siglas en ingles) a
menudo utilizados en el e-commerce - los directorios LDAP están fuertemente optimizados para el
rendimiento en lectura.

Las ventajas de los directorios LDAP
Ahora que nos hemos "enderezado", ¿ cuales son las ventajas de los directorios LDAP ? La actual popularidad
de LDAP es la culminación de un numero de factores. Te daré unas pocas razones básicas, con tal que tengas
en mente que es solo una parte de la historia.

Tal vez la mayor ventaja de LDAP es que tu empresa puede accedes al directorio LDAP desde casi cualquier
plataforma de computación, desde cualquier del numero creciente de aplicaciones fácilmente disponibles para
LDAP. Es también fácil personalizar tus aplicaciones internas de empresa para añadirles soporte LDAP.

El protocolo LDAP es utilizable por distintas plataformas y basado en estándares, de ese modo las aplicaciones
no necesitan preocuparse por el tipo de servidor en que se hospeda el directorio. De hecho, LDAP esta
encontrando mucha más amplia aceptación a causa de ese estatus como estandard de Internet. Los vendedores
están más deseosos de codificar en sus productos integración con LDAP por que no tienen que preocuparse
de lo que hay al otro lado. Tu servidor LDAP puede ser cualquiera de un numero de los servidores de directorio
LDAP de código abierto o comercial ( o incluso un servidor DBMS con una interfaz LDAP), puesto que
interactuar con cualquier servidor LDAP verdadero acarrea el mismo protocolo, paquete de conexión cliente y
comandos de consulta. Por contraste, los vendedores que intentan integrar directamente con un DBMS
habitualmente deben personalizar sus productos para trabajar con cada servidor de base de datos de cada
vendedor individualmente.

A diferencia de las bases de datos relacionales, no tienes que pagar por cada conexión de software cliente o por
licencia.

La mayoría de los servidores LDAP son simples de instalar, fácilmente mantenibles, y fácilmente
optimizables.

Los servidores LDAP pueden replicar tanto algunos de sus datos como todos a través de métodos de envío o
recepción, lo que permite enviar datos a oficinas remotas, incrementar tu seguridad y demás. La tecnología de
replicación está incorporada y es fácil de configurar. Por contraste, muchos de los vendedores de DBMS
cobran un extra por esta característica, y es bastante más difícil de gestionar.

LDAP te permite delegar con seguridad la lectura y modificación basada en autorizaciones según tus
necesidades utilizando ACIs (colectivamente, una ACL, o Lista de Control de Acceso por sus siglas en inglés).
Por ejemplo, tu grupo de facilidades puede dar acceso a cambiar la localización de los empleados, su cubículo,
o número de oficina, pero no se permite que se modifiquen entradas de cualquier otro campo. Las ACIs pueden
controlar el acceso dependiendo de quien está solicitando los datos, que datos están siendo solicitados, dónde
están los datos almacenados, y otros aspectos del registro que está siendo modificado. Todo esto hecho
directamente a través del directorio LDAP, así que no necesitas preocuparte de hacer comprobaciones de
seguridad en el nivel de aplicación de usuario.

LDAP es particularmente utilizable para almacenar información que desees leer desde muchas localizaciones,
pero que no sea actualizada frecuentemente. Por ejemplo, tu empresa podría almacenar todos los datos
siguientes en un directorio LDAP:

La listín de teléfonos de empleados de la empresa y el esquema organizacional
Información de contacto de clientes externos

Información de la infraestructura de servicios, incluyendo mapas NIS, alias de email, y demás
Información de configuración para paquetes de software distribuidos
Certificados públicos y claves de seguridad

Cuando deberías utilizar LDAP para almacenar tus datos?

La mayoría de los servidores LDAP están fuertemente optimizados para operaciones de lectura intensivas. A
causa de esto, típicamente uno puede ver un orden de magnitud diferente cuando lee datos de un directorio
LDAP frente a la obtención de los mismos datos de una base de datos relacional optimizada para OLTP. Sin
embargo, a causa de esta optimización a la mayoría de los directorios LDAP no les viene bien el
almacenamiento de datos donde los cambios son frecuentes. Por ejemplo, un servidor de directorio LDAP es
bueno para almacenar el directorio de teléfonos internos de la empresa, pero ni se te ocurra pensar en utilizarlo
como repositorio de base de datos para un sitio de comercio electrónico de alto volumen.

Si las respuestas a cada una de las siguientes preguntas es Sí, entonces, almacenar tus datos en LDAP es una
buena idea.

Te gustaría que tus datos estén disponibles a través de varias plataformas?
Necesitas acceso a estos datos desde un número de ordenadores o aplicaciones?
Los registros individuales que estás almacenado cambian unas pocas veces al día o menos, como medía?
Tiene sentido almacenar este tipo de datos en una base de datos plana en lugar de una base de datos
relacional? Esto es, puede almacenar todos los datos, para un item dado, efectivamente en un solo
registro?

Esta cuestión final a menudo hace que la gente tome una pausa, porque es muy común acceder a un registro
llano para obtener datos que son relacionales en su naturaleza. Por ejemplo, un registro para un empleado de
una empresa puede incluir el nombre de login del gerente de ese empleado. Es bueno emplear LDAP para
almacenar este tipo de información. La prueba del algodón: si puedes imaginarte almacenado todos tus datos
en un Rodolex electrónico, entonces puedes almacenar tus datos fácilmente en un directorio LDAP.
La estructura de un árbol de directorio