PDF de programación - Introducción a LDAP sobre Linux

Convert to GutenPalm
or to PalmDoc

Introducción a LDAP sobre Linux



por Atif Ghaffar

Sobre el autor:

Atif is un camaleón. Cambia de
tareas, de Administrador de
Sistemas, a programador, a
profesor, a jefe de proyecto, a lo
que sea necesario para terminar
el trabajo.
De vez en cuando le gusta
programar en el portátil
mientras ve una película en el
cine.
Atif opina que le debe mucho a
la comunidad y a los proyectos
de código libre y de Linux por
enseñarle muchas cosas.
Podéis encontrar más cosas
sobre él en su página web

openLDAP

Resumen:

En este artículo exploraremos LDAP y sus implementaciones usando nuestro
sistema operativo Linux.

Se encuentra mucha literatura sobre LDAP, por lo que no lo repetiré todo de
nuevo aquí, ni hablaré sobre términos avanzados de LDAP, esquemas,
diferencias de la v2 frente a la v3, etc. De hecho no se mucho sobre todo eso.
En su lugar, trataré de explicar en palabras sencillas lo que es LDAP, qué
beneficios nos aporta y cómo podemos usarlo.

No soy un experto en LDAP. De hecho soy un principiante. Escribiré aquí
báasicamente qué he hecho con LDAP y cómo. Trataré de no confundiros
como lo estube yo durante mucho tiempo.

Pregunta: ¿si eres un principiante, por qué escribes un artículo sobre el tema?
Recientemente necesité ayuda de un colega para un proyecto. La base del
proyecto era LDAP. El me podía ayudar con Perl, servidores de correo, etc
pero no sabía nada sobre LDAP. De hecho, cada vez que intentaba enterarse
de algo se liaba más y más.
Ya que saber algo de LDAP era un requerimiento mínimo para el proyecto le
di un curso intensivo sobre LDAP en media hora y se le aclararon todas las
ideas. Los conceptos son fáciles. Solo necesitaba que se los aclararan un
poco y unos ejemplos sencillos.

Contenidos:

Intentaré hacer lo mismo en este artículo.

¿Qué es LDAP?
Directorio Base o Root
(raíz)
Distinguished Name
(nombre distinguido)
Servidores LDAP
Construcción del
directorio LDAP
Descarga e instalación de
openLDAP
Configurar el servidor
LDAP
Cómo añadir datos al
nuevo servidor LDAP
Interrogando a la base de
datos LDAP
Ventajas de LDAP
Implementaciones de
ejemplo de LDAP
Escribe artículos: enseña

Podéis encontrar muchas url sobre LDAP en la sección de referencias.



¿Qué es LDAP?

LDAP significa Protocolo de Acceso a Directorios Ligeros (siglas en inglés
de Lightweight Directory Access Protocol) y es un servicio de directorio, muy
similar a los directorios del sistema de ficheros al que estamos
acostumbrados, o a la guía de teléfonos que usamos para buscar números de
teléfono, o a los servicios de directorios de red como el NIS de SUN
(Network Information Service, Servicio de Información de Red), DNS
(Domain Name Service), o al árbol que ves en tu jardín (o en el de tu
vecino).

LDAP es una base de datos especializada. Es muy importante recordar que
LDAP no es otra base de datos más. LDAP está optimizada para hacer

y aprende
Recursos
Formulario de "talkback"
para este artículo

búsquedas (leer datos). Las lecturas en LDAP se realizan de manera mucho
más frecuente que las escrituras.

¿Qué tienen todos estos servicios en común?
Todos devuelven alguna información cuando se les pregunta con algún
criterio.

Ejemplos.

Directorio del sistema de ficheros
ls /etc
Devolverá todos los ficheros y subdirectorios del directorio /etc

ls /etc/p*
Devolverá todos los ficheros y subdirectorios que empiezan por p

find /usr/local/apache -name index.html
Buscará en el sistema de ficheros un fichero o directorio que se llame index.html, empezando en la base
"/usr/local/apache"

Directorio de NIS
ypcat passwd
Devolverá el nombre de usuario, contraseña, userid, etc de la base de datos de NIS

ypmatch atif passwd
Devolverá las entradas para la contraseña para el usuario atif

Directorio DNS
nslookup www.linuxfocus.org
Devolverá la dirección ip para la entrada www.linuxfocus.org de la base de datos de DNS

nslookup -type MX linuxfocus.org
Devolverá solo información MX de la base de datos de DNS donde el nombre de host sea linuxfocus.org

Directorio LDAP
(lo veremos con detalle más abajo)

ldapsearch uid=aghaffar
Devolverá toda la información pública sobre el usuario aghaffar
Similar al comando de unix find / -uid aghaffar

ldapsearch uid=aghaffar mail
Solo devolveráa el mail del usuario aghaffar



Directorio Base o Root (raíz)

En cada servicio de directorio de los que hemos mencionado arriba, siempre hay un punto de inicio desde el
que empezar a buscar. Este punto de inicio se llama normalmente "root". Es similar a la raíz del árbol.
Cada árbol tiene una raíz, luego algunas ramas, y luego más ramas y hojas y flores, etc.

Para el sistema de ficheros, el root es /
para el NIS el root es el nombre de dominio, por ejemplo "linuxfocus.org"
para el DNS está Internic, por ejemplo, que mantiene la base de datos principal sobre servidores de
nombre
de igual modo para LDAP existe una base que es definible. Por ejemplo "o=linuxfocus.org" donde o
significa Organización

Cada raíz puede tener varias ramas (como en el árbol del jardín de tu vecino), para el sistema de ficheros esas
ramas pueden ser, por ejemplo, otro subdirectorio, o un fichero.
Cada una de las ramas puede tener atributos.
Por ejemplo, las ramas del sistema de ficheros (subdirectorios and ficheros) tienen los siguientes atributos.

nombre
hora de modificación
propietario
grupo
etc

A continuación hay un diagrama que muestra el directorio de un sistema de ficheros.
Los atributos representan la salida del comando de unix ls -ld /usr
drwxr-xr-x 29 root root 749 Jun 17 23:45 /usr

Ahora un diagrama para un directorio LDAP

Hablaremos sobre este diagrama más tarde.



Distinguished Name (nombre distinguido)

Al contrario que en un árbol natural, cada rama del directorio del sistema de ficheros, del LDAP o de la guía
de teléfonos tiene como mínimo un atributo único, que nos ayuda a diferenciarlas las unas de las otras.

En los sistemas de ficheros este atributo único es el nombre del fichero con todo el camino, por ejemplo
/etc/passwd El nombre del fichero passwd tiene que ser único dentro de su camino. Claro que podemos tener
/usr/passwd y /opt/passwd que son únicos con todo su nombre completo.
De igual modo, el sistema DNS tiene el FQDN (Fully Qualified Domain Name) que es una entrada
&uaacute;nica (ya se que puedes asignar muchas ip al mismo FQDN!).

En LDAP el nombre completo de una entrada se llama "dn" o nombre distinguido (en inglés Distinguished
name). Este nombre es siempre &uaacute;nico en un directorio. Por ejemplo, mi dn es "uid=aghaffar,
ou=People, o=developer.ch"
No es posible tener otras entrada con el mismo dn, pero seguramente podremos tener un dn como
"uid=aghaffar, ou=Administrators, o=developer.ch"
Esto representa el ejemplo de las entradas del sistema de ficheros /etc/passwd y /usr/passwd
Tenemos un único atributo llamado uid in the árbol "ou=Administrators, o=developer.ch" y tenemos un único
atributo llamado uid en el árbol "ou=People, o=developer.ch". No colisionan.



Servidores LDAP

Hoy en día hay muchos servidores LDAP disponibles en el mercado, y la mayoría de ellos funcionan bien con
Linux.
Para este artículo uaremos openLDAP.

¿Por qué he elegido openLDAP? ¿Por qué deberías elegir tú openLDAP?

Porque su código es libre

openLDAP está disponible en http://www.openldap.org. Puedes bajarte el código fuente y construirtelo tú
mismo, o mirar a ver si está el package para tu distribución de Linux. Te ahorrará el esfuerzo e isntalarás
directamente los binarios.
Yo lo he provado en SuSE6.x y en RedHat6.x.

Construcción del directorio LDAP

En esta sección montaremos un servidor LDAP paso por paso.
Pasos a realizar:

Descargar e instalar openLDAP
Configurar el servidor LDAP
Configurar las variables de entorno para apuntar a la instalación de LDAP
Inicializar la base de datos de LDAP
Interrogar a LDAP
Añadir y/o modificar entradas LDAP



Descarga e instalación de openLDAP

Como ya hemos dicho, debes descargar los fuentes de www.openldap.com e instalarlos según la
documentación o instalar un package de binarios precompilados (instalar los packages o un HOWTO sobre
cómo compilar aplicaciones queda más allá de las intenciones de este artículo).



Configurar el servidor LDAP

Para este ejemplo, construiremos un directorio LDAP para linuxfocus.org. Si quieres, puedes cambiar los
nombres y todo lo necesario para adaptarlo a tu site.
Para configurar el servidor principal, tenemos que editar los ficheros slapd.conf y ldap.conf. Lo puedes hacer
en tu editor favorito.
En mis servidores, estos ficheros están en /etc/openldap. Los tuyos pueden estar en /usr/local/etc/openldap o en
algún otro sitio, dependiendo de tu Distribución de Linux, o de los parámetros de configuración si compilaste
openLDAP tu mismo.

######### /etc/openldap/slapd.conf ###################################
# lo que sigue esta definido por defecto en mi linux suse 6.4
# hablaremos mas sobre ello en la segunda o tercera parte de este articulo
# Quizas por entonces ya sepa que significa :)

include /etc/openldap/slapd.at.conf
include /etc/openldap/slapd.oc.conf
schemacheck off

pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args

#######################################################################
# definiciones de la base de datos ldbm
#######################################################################

# esto define el tipo de base de datos a usar. manten el valor por
# defecto ldbm
database ldbm

# sufijo o raiz (root) del directorio. Es el nodo raiz superior
# de tu directorio LDAP
suffix "o=linuxfocus.org"

# aqui es donde se guardara el dbs de ldap
directory /var/lib/ldap

# el nombre distingudo (distinguished name) del directorio manager
rootdn "cn=Manager, o=linuxfocus.org"

# no es muy buena idea guardar la contraseña en texto llano,
# pero la dejaremos asi al principio hasta que controlemos mas sobre LDAP
rootpw se