Y







 

  Y

Y





 
  


 ½

‡ !
 
  

 


Un directorio no es ni más ni menos que una base
de datos, pero una base de datos con unas
peculiaridades:
Un directorio está optimizado para realizar
lecturas navegaciones y grandes búsquedas
La información está organizada de modo
jerárquico (estructura típica de un árbol)
Contiene objetos de una clase determinada con
distintos atributos que son los que realmente
contienen la Información
 u


 
  

 
  

 


 
 

  


 
  




‡  

 ‡ G   


 Yrincipalmente orientados a  Yrincipalmente orientadas a

la lectura la escritura
 Diseñado para manejar  Manejan amplio número de
estructuras de datos simples transacciones, operaciones
o transacciones pequeñas en numerosos datos
 Diseñado para tener una  Localización específica
ubicación independiente
 Almacenan la información
 Diseñado para almacenar la como filas en tablas
información en entradas relacionales
 º

‡ !
   

X.500 es el nombre colectivo dado a una serie de

estándares establecidos por la ISO/ITU-T en los
que se definen los protocolos y modelos de
información para un servicio de directorio global
que es independiente de la aplicación informática
y de la plataforma de red

Basar un servicio de directorio sobre X.500

significa que el acceso a los datos es seguro y que
los datos pueden estar distribuidos o centralizados
 @

‡!
  Y 

DAY es el Yrotocolo de Acceso al Directorio

(Directory Access Yrotocol) definido por la
ISO/ITU-T como parte de los estándares del
directorio X.500

Yrovee de un protocolo integrado de sistemas

abiertos para acceder a servidores de
directorio estandarizados
 [

‡ !
  Y

LDAY (Lightweight Directory Access Yrotocol',

«Yrotocolo Ligero de Acceso a Directorios»)
Es un protocolo de tipo cliente-servidor para
acceder a un servicio de directorio. Está
basado en el estándar X.500, pero
significativamente más simple y más adaptado
para satisfacer las necesidades del usuario. A
diferencia de X.500 LDAY soporta TCY/IY
 ·

‰   


 

Y

Accesibilidad al directorio LDAY desde casi

cualquier plataforma de computación (basado
estándares)
Los servidores LDAY pueden replicar tanto
algunos de sus datos como todos
LDAY te permite delegar con seguridad la
lectura y modificación basada en
autorizaciones según tus necesidades
utilizando ACL
LDAY accede a información distribuida
 ü

‡ !


 Y

El servicio de directorio LDAY se basa en un

modelo cliente-servidor
Cliente LDAY se conecta con el servidor LDAY
y le hace una consulta
El servidor contesta con la respuesta
correspondiente, o bien con una indicación de
dónde puede el cliente hallar más información
Entre servidores ficheros se usa LDIF (siglas
de Î
 
 Î «formato de
intercambio de LDAY»).
 

‡ -



 


 

Y

1.  (Distingued name)


  -

  


  

 


 
 

 


 *

-



 


 

Y

 (Unidades organizativas)

Contenedores que separan lógicamente los

datos
Separan la información por categorías amplias
como ou=gente ou=grupos, ou=dispositivos.
 **

‡ Ejemplo estructura de un directorio LDAY





 
      

   

 *½
-



 


 


Y

u. ! 



 

Ejemplo de una entrada.

 !"#!" "  "
$   
$    
! #
 
 %##
 %##
 &%##

! '())*+,-

 ))
  
.! #/ 

  
!0 1 234
5+
!! )*+,

 2 6
6#

 6!6 66

 *u

‡ LDAY y su uso

Autenticación de usuarios de un FTY o YOY

Autenticación general con YAM (Yluggable
Authentication Modules)
Sustitución de NIS (Network Information
Services)
Sustitución de un DNS clásico por LDAY
Base de datos común.
 *º

‡ Y "
Soporte Global

Conocimiento de las referencias

Seguridad: soporte SASL y TSL

Extensibilidad

LDAY versiónu permite publicar información a

otros clientes y servidores LDAY tales como los
protocolos LDAY soportados y una descripción del
esquema de directorio
 *@

ï


 



‡ La utilización de LDAY para centralizar las labores
administrativas (es decir, la creación de un
"dominio Linux") tiene dos partes bien
diferenciadas:
‡ Y IME O hay que instalar y configurar uno o
varios ordenadores del futuro dominio como
 
 y el resto de ordenadores del
dominio como  de dicha información.
‡ SEGUNDO: configurar los clientes para que
utilicen a los servidores como fuente de
información administrativa.
 *[


 





 
‡ El paquete que incorpora el servidor de
OpenLDAY se denomina openldap-servers y
puede encontrarse en la distribución
correspondiente de edHat/Fedora Linux.
‡ Se descarga e instala.
 *·



 
ï




 
‡ La configuración del servicio slapd se realiza
en /etc/openldap/slapd.conf
fundamentalmente.
‡ Cinco parámetros fundamentales:
 *ü

Y


‡

#
š suffix "dc=admon, dc=com³
‡  


   


#
š directory /var/lib/ldap
‡ 
 



#
š rootdn "cn=root, dc=admon, dc=com³
‡ 
  $ 



#
š rootpw <CONT ASEÑA>
 *

‡   
  

š access to <what> [by <who> <acess_control>]+
´ <what> es una expresión que especifica a qué datos del directorio se aplica la regla.
´ <who> indica a quién (a qué !!) se especifica la regla.
´ <access_control> indica qué operación concede la regla.

‡ access to dn=".*, ou=Yeople, dc=admon,

dc=com" attr=userYassword
by self write
by dn="cn=root, dc=admon, dc=com" write
by * auth
 ½

ï  






‡ Ahora se puede iniciar el servicio slapd y
comprobar que, de momento, todo funciona
correctamente. Yara ello:
š service ldap start
‡ Si el servicio ha arrancado correctamente, y a
pesar de que actualmente el directorio está vacío,
deberíamos ser capaces de preguntar al menos por
un tipo de atributo denominado
Î78Î
‡ Yara ello, utilizamos la orden:
š ldapsearch -x -b " -s base '(objectclass=*)'
namingContexts
 ½*

ï




ï

‡ La configuración de los clientes de OpenLDAY se
realiza alternativamente en dos ficheros de
configuración:
š /etc/openldap/ldap.conf: fichero de configuración
por defecto
š /etc/ldap.conf: configuración más específicas para
autentificación, gestión de contraseñas, conexiones
cifradas
‡ En principio, de momento sólo necesitaríamos
configurar un par de opciones del primero de
ambos ficheros en todos los ordenadores clientes,
incluyendo el servidor o servidores de LDAY:
‡ BASE dc=admon,dc=com HOST adlin.admon.com
 ½½

^




 



 
‡ Añadir al directorio, que aún está vacío, toda la
información presente en el ordenador que está
haciendo de servidor.
‡ Ficheros de configuración, tales como cuentas
de usuarios, grupos, ordenadores, etc., así
como diferentes "contenedores" o "unidades
organizativas´.
 ½u

‡ editar el fichero:
š /usr/share/openldap/migration/migrate_com
mon.ph.
´ $DEFAULT_MAIL_DOMAIN = "admon.com";
$DEFAULT_BASE = "dc=admon,dc=com";
 ½º

‡ Yara la migración de la base:

š bash# ./migrate_base.pl > /root/base.ldif
š bash# ldapadd -x -c -D
"cn=root,dc=admon,dc=com" -W -f
/root/base.ldif
‡ Se exporta primero sus objetos a un fichero, en
formato LDIF, y luego se insertan en el
directorio mediante la orden 
%


 ½@

‡ Yara la migración de los usuarios:

š bash# ./migrate_passwd.pl /etc/passwd >
/root/usuarios.ldif
š bash# ldapadd -x -c -D
"cn=root,dc=admon,dc=com" -W -f
/root/usuarios.ldif
‡ Yara la migración de los grupos:
š bash# ./migrate_group.pl /etc/group >
/root/grupos.ldif
š bash# ldapadd -x -c -D
"cn=root,dc=admon,dc=com" -W -f
/root/grupos.ldif
 ½[

  

‡ http://fferrer.dsic.upv.es/cursos/Linux/Avanz
ado/HTML/ch02s04.html