PDF de programación - Implantación de OpenLDAP y medición de su rendimiento

Implantaci´on de OpenLDAP y medici´on de su

rendimiento

Luis Gerardo de la Fraga, Axel Ernesto Moreno Cervantes

y Guillermo Morales Luna

Secci´on de Computaci´on

Departamento de Ingenier´ıa El´ectrica

CINVESTAV-IPN

Av. Instituto Polit´ecnico Nacional 2508. 07300 M´exico, D.F.

E-mail: {fraga,gmorales}@cs.cinvestav.mx

Resumen

tos

4 Configuraci´on del servidor de

LDAP
4.1 Configuraci´on de un cliente

5 Creaci´on y mantenimiento de

la base de datos

6 Autenticaci´on

7 Replicaci´on

del

servidor

LDAP

8 LDAP sobre IPv6 y otras pla-

taformas

9 Conclusiones

3

4
5

6

7

8

9

9

El Protocolo Ligero de Acceso a Directo-
rio (Lightweight Directory Access Proto-
col) puede ser visto como un repositorio
donde podemos colocar informaci´on para
depu´es consultarla para su procesamiento.
El repositorio se asemeja a una base de da-
tos, pero en LDAP ha sido dise˜nada y op-
timizada para realizar operaciones de con-
sulta. Con el uso de LDAP podemos cen-
tralizar informaci´on que pueden ser consul-
tada por todos los clientes. En este trabajo
se presenta la implantaci´on de un servidor
con OpenLDAP para autenticar a todos los
usuarios de una red. Tambi´en se presentan
las medidas de su rendimiento que se han
obtenido con distintos clientes y en redes
con IPv4 e IPv6.

Palabras clave: LDAP, seguridad en re-

des, administraci´on de redes.

´Indice General

1 Introducci´on

2 Sistema desarrollado

3 Organizaci´on de la base de da-

1

2

1

1

Introducci´on

El Protocolo Ligero de Acceso a Directo-
rio (LDAP en ingl´es) fue desarrollado en la
Universidad de Michigan en 1993 para re-
mover parte de la carga excesiva del acceso
de X.500 desde los clientes del directorio.
[1]. A LDAP se le modificaron muchas ope-
raciones de X.500, retirando caracter´ısticas
poco usadas y emulando algunas operacio-
nes con otras.

Las principales caracter´ısticas de LDAP

son:

• Est´a basado en el modelo cliente-

servidor

• Organiza la informaci´on de modo

jer´arquico, utilizando directorios.

• Es capaz de propagar sus directorios

a otros servidores LDAP

• Tiene un API de programaci´on bien

definido

tipo de

directorio LDAP puede
cualquier

con-
Un
tener
informaci´on,
desde im´agenes, direcciones de correo
electr´onico,
contrase˜nas y referencias
html, hasta certificados digitales, direccio-
nes IP, etc.

La gran diversidad de informaci´on que
puede ser almacenada en estos directorios
los hace aptos para utilizarse en aplicacio-
nes como:

• Directorios de p´aginas blancas o ama-

rillas

• Servidores de correo electr´onico
• Servidores de nombres de dominio

(DNS)

• Repositorio para certificados digitales
• Repositorios de cuentas de usuario

por s´olo mencionar algunas.

En este trabajo se presentar´a la utiliza-
ci´on de LDAP como un repositorio de la
informaci´on de cuentas de usuario. Por
ejemplo, en una computadora GNU/Linux
la lista de usuarios (en /etc/passwd), la de
contrase˜nas (en /etc/shadow), y la de gru-
pos (en /etc/shadow) puede ser manejada
por un servidor LDAP y adem´as todas las
computadoras de los usuarios pueden en-
contrar estos datos en el servidor. Desde
este punto de vista, LDAP facilita la ad-
ministraci´on de una red al centralizar la

2

informaci´on usada tanto por el servicio de
autenticaci´on para todos los usuarios como
por el Servicio de Conmutaci´on de Nom-
bres (NSS, Nameservice Switch).

La desventaja de LDAP es que resulta
complicado de configurar [2] ya que es un
sistema complejo. De hecho, la puesta a
punto del sistema que se presentar´a llev´o
varias semanas y tuvo que activarse el ar-
chivos de autor´ıa (log) durante este perio-
do de configuraci´on para revizar donde es-
taban las fallas. La documentaci´on prima-
ria de LDAP puede encontrarse en [3] y
[4].

Primero se describir´a el sistema que se
implant´o en la Secci´on de Computaci´on del
CINVESTAV y a continuaci´on de descri-
bir´an todos los detalles de la configuraci´on
y administraci´on del sistema.

2 Sistema desarrollado

En la Fig. 1 se observa el sistema que se
desea desarrollar. Los laboratorios y salas
de estudiantes de la Secci´on de Computa-
ci´on se encuentran dentro de zonas milita-
rizadas [5] (redes con direcciones IP priva-
das). Se cuentan con varias salas de estu-
diantes, la mayor con 30 computadoras con
GNU/Linux; en la Fig. 1 s´olo se muestran
dos maquinas cliente dentro de una sola
zona militarizada. La puerta de la Fig. 1
es una m´aquina GNU/Linux que realiza la
traducci´on de direcci´on IP con IPTables,
m´as detalles pueden encontrarse en la re-
ferencia [5].

Hasta aqu´ı puede entenderse por qu´e es
necesario un servidor de autenticaci´on: te-
ner actualizados los archivos /etc/passwd,
/etc/shadow y /etc/group para todas la
m´aquinas cliente en todos los laboratorios
y salas de estudiantes es una tarea super
ard´ua si se quiere realizar a mano. Y no se
tiene una soluci´on est´andar para mantener
las contrase˜nas de los usuarios en todas las
m´aquinas cliente si alguno de ellos desease

Figura 2: Estructura del directorio LDAP
usado en el sistema propuesto

inal´ambrica y al servidor de los estudian-
tes, se hace una replicaci´on hacia servido-
res LDAP secundarios para cada labora-
torio. Para ello se ha realizado una nue-
va red, esquematizado en el cable m´as a
la izquierda en la Fig. 1 siendo la red
10.10.10.0/24. La raz´on de esta nueva red
ser´a explicada en la sec. 7

El cortafuegos de la Fig. 1 tiene habilita-
da la entrada del servicio LDAP sobre SSL,
puerto 636, para la IP de la puerta (y del
servidor de estudiantes) y tiene bloqueada
cualquier otra entrada (o tiene bloqueada
la entrada desde Internet). La puerta tie-
ne habilitada la entrada del servicio LDAP
sobre SSL s´olo desde el servidor LDAP pri-
mario.

El servidor de autenticaci´on tambi´en
podr´ıa realizarse con radius o kerberos. Un
trabajo a futuro ser´a comparar las distin-
tas realizaciones del servidor.

3 Organizaci´on de la ba-

se de datos

Lo primer paso que tiene que realizarse pa-
ra implantar LDAP es dise˜nar la forma que
tendr´a el directorio. La estructura que se
maneja es de forma semejante a la estruc-
tura de ´arbol jer´arquica usada en el DNS.
En la Fig. 2 se muestra la estructura usada
en nuestro sistema.

La primera decisi´on que hay que tomar

Figura 1: Implantaci´on de LDAP en la red
de la Secci´on de Computaci´on del CIN-
VESTAV. Detalles en el texto.

cambiar su contrase˜na. Es aqu´ı donde se
justifica el uso del servidor de autentica-
ci´on que nos permitir´a:

• Administrar mejor la red. Se centra-
liza el dar de alta, baja o cambiar las
cuentas y contrase˜nas de usuarios

• Un usuario podr´a cambiar su contra-
se˜na desde cualquier m´aquina cliente.

El servidor de autenticaci´on primario se
muestra en la Fig. 1 dentro de una zona
desmilitarizada [5]. Este servidor LDAP
primario permitir´a el acceso al servidor pa-
ra los estudiantes (no mostrado en la Fig.
1, pero debe estar dentro de la ZDM) desde
Internet. En la Secci´on este servidor pri-
mario tambi´en se usa para autenticar a los
usuarios de la red inal´ambrica y es parte
de un punto caliente realizado con NoCat
[6].

Para no sobrecargar al servidor LDAP
que da servicio a la red

primario,

3

Zona desmilitarizada10.10.10.110.10.10.2ServidorCliente2ZonamilitarizadaServidorCortafuegosCliente1LDAP primarioPuertaInternetLDAPsecundariouid=ldap cn=profsuid=pepecn=usersdc=scdc=cinvestavdc=mxou=Peopleou=Group en el nombre del reino, en nuestro ca-
so es “dc=sc,dc=cinvestav,dc=mx”. “dc”
son las siglas en ingl´es de componente de
dominio. Como estamos usando el servi-
dor para guardar informaci´on de las cuen-
tas de usuario de la Secci´on de Compu-
taci´on, bastar´ıa con poner el nombre del
reino a “dc=sc”.
Se ha puesto como
“dc=sc,dc=cinvestav,dc=mx” por si algu-
na vez se extiende el servicio a toda la red
del CINVESTAV.

El resto de la estructura de la Fig.
2, muestra que existen dos subdominios:
“ou=People” y “ou=Group”. “ou” son las
siglas en ingl´es de unidades organizaciona-
les. Estos subdominios fueron generadas
autom´aticamente con las herramientas de
migraci´on que ser´an explicadas en la sec.
5, por lo tanto no debemos preocuparnos
m´as en como realizarlos. Dentro del sub-
dominio “ou=People” existen los identifi-
cadores de usuario para “ldap” y “pepe” y
existen dos grupos “profs” y “users”.

4 Configuraci´on del ser-

vidor de LDAP

Una vez que tenemos decidido el nombre
del reino hay que configurar el servidor
LDAP primario. El software necesario se
instal´o de los RPMS de RedHat (openldap,
openldap-clients y openldap-servers).

El

archivo que mantiene

la

del

figuraci´on
/etc/openldap/slapd.conf
llenado como sigue:

servidor

LDAP
que

con-
es
fue

1 i n c l u d e

/ e t c / openldap /

schema/ c o r e . schema

2 i n c l u d e

/ e t c / openldap /

schema/ c o s i n e . schema

3 i n c l u d e

/ e t c / openldap /
schema/ i n e t o r g p e r s o n . schema
/ e t c / openldap /

4 i n c l u d e

5 i n c l u d e

schema/ n i s . schema
schema/ redhat / r f c 8 2 2−

/ e t c / openldap /

MailMember . schema

6 i n c l u d e

/ e t c / openldap /
schema/ redhat / a u t o f s . schema
/ e t c / openldap /

7 i n c l u d e

schema/ redhat / k e r b e r o s o b j e c t .
schema

8

9 i d l e t i m e o u t 60

10

11 T L S C e r t i f i c a t e F i l e / usr / share /

s s l / c e r t s / slapd . pem

12 T L S C e r t i f i c a t e K e y F i l e / usr / share

/ s s l / c e r t s / slapd . pem

13

14 # Control de a c c e s o

15

16 a c c e s s

to dn =”.∗, dc=sc , dc=
c i n v e s t a v , dc=mx” a t t r=
userPassword

17

18

19

20

21

22

23

24 a c c e s s

25

26

27

28

by dn=”cn=Manager , dc=sc ,

dc=c i n v e s t a v , dc=mx”
w r i t e

by dn=”cn=r e p l i c a t o r , dc=
sc , dc=c i n v e s t a v , dc=mx
” w r i t e

by dn=”cn=proxyuser , dc=
sc , dc=c i n v e s t a v , dc=mx
” auth

by s e l f w r i t e
by anonymous auth
by ∗ none
to ∗
by dn=”cn=Manager , dc=sc ,

dc=c i n v e s t a v , dc=mx”
w r i t e

by dn=”cn=r e p l i c a t o r , dc