Actualizado el 21 de Marzo del 2018 (Publicado el 27 de Septiembre del 2017)
762 visualizaciones desde el 27 de Septiembre del 2017
121,7 KB
10 paginas
Creado hace 20a (14/01/2005)
Implantaci´on de OpenLDAP y medici´on de su
rendimiento
Luis Gerardo de la Fraga, Axel Ernesto Moreno Cervantes
y Guillermo Morales Luna
Secci´on de Computaci´on
Departamento de Ingenier´ıa El´ectrica
CINVESTAV-IPN
Av. Instituto Polit´ecnico Nacional 2508. 07300 M´exico, D.F.
E-mail: {fraga,gmorales}@cs.cinvestav.mx
Resumen
tos
4 Configuraci´on del servidor de
LDAP
4.1 Configuraci´on de un cliente
5 Creaci´on y mantenimiento de
la base de datos
6 Autenticaci´on
7 Replicaci´on
del
servidor
LDAP
8 LDAP sobre IPv6 y otras pla-
taformas
9 Conclusiones
3
4
5
6
7
8
9
9
El Protocolo Ligero de Acceso a Directo-
rio (Lightweight Directory Access Proto-
col) puede ser visto como un repositorio
donde podemos colocar informaci´on para
depu´es consultarla para su procesamiento.
El repositorio se asemeja a una base de da-
tos, pero en LDAP ha sido dise˜nada y op-
timizada para realizar operaciones de con-
sulta. Con el uso de LDAP podemos cen-
tralizar informaci´on que pueden ser consul-
tada por todos los clientes. En este trabajo
se presenta la implantaci´on de un servidor
con OpenLDAP para autenticar a todos los
usuarios de una red. Tambi´en se presentan
las medidas de su rendimiento que se han
obtenido con distintos clientes y en redes
con IPv4 e IPv6.
Palabras clave: LDAP, seguridad en re-
des, administraci´on de redes.
´Indice General
1 Introducci´on
2 Sistema desarrollado
3 Organizaci´on de la base de da-
1
2
1
1
Introducci´on
El Protocolo Ligero de Acceso a Directo-
rio (LDAP en ingl´es) fue desarrollado en la
Universidad de Michigan en 1993 para re-
mover parte de la carga excesiva del acceso
de X.500 desde los clientes del directorio.
[1]. A LDAP se le modificaron muchas ope-
raciones de X.500, retirando caracter´ısticas
poco usadas y emulando algunas operacio-
nes con otras.
�Las principales caracter´ısticas de LDAP
son:
• Est´a basado en el modelo cliente-
servidor
• Organiza la informaci´on de modo
jer´arquico, utilizando directorios.
• Es capaz de propagar sus directorios
a otros servidores LDAP
• Tiene un API de programaci´on bien
definido
tipo de
directorio LDAP puede
cualquier
con-
Un
tener
informaci´on,
desde im´agenes, direcciones de correo
electr´onico,
contrase˜nas y referencias
html, hasta certificados digitales, direccio-
nes IP, etc.
La gran diversidad de informaci´on que
puede ser almacenada en estos directorios
los hace aptos para utilizarse en aplicacio-
nes como:
• Directorios de p´aginas blancas o ama-
rillas
• Servidores de correo electr´onico
• Servidores de nombres de dominio
(DNS)
• Repositorio para certificados digitales
• Repositorios de cuentas de usuario
por s´olo mencionar algunas.
En este trabajo se presentar´a la utiliza-
ci´on de LDAP como un repositorio de la
informaci´on de cuentas de usuario. Por
ejemplo, en una computadora GNU/Linux
la lista de usuarios (en /etc/passwd), la de
contrase˜nas (en /etc/shadow), y la de gru-
pos (en /etc/shadow) puede ser manejada
por un servidor LDAP y adem´as todas las
computadoras de los usuarios pueden en-
contrar estos datos en el servidor. Desde
este punto de vista, LDAP facilita la ad-
ministraci´on de una red al centralizar la
2
informaci´on usada tanto por el servicio de
autenticaci´on para todos los usuarios como
por el Servicio de Conmutaci´on de Nom-
bres (NSS, Nameservice Switch).
La desventaja de LDAP es que resulta
complicado de configurar [2] ya que es un
sistema complejo. De hecho, la puesta a
punto del sistema que se presentar´a llev´o
varias semanas y tuvo que activarse el ar-
chivos de autor´ıa (log) durante este perio-
do de configuraci´on para revizar donde es-
taban las fallas. La documentaci´on prima-
ria de LDAP puede encontrarse en [3] y
[4].
Primero se describir´a el sistema que se
implant´o en la Secci´on de Computaci´on del
CINVESTAV y a continuaci´on de descri-
bir´an todos los detalles de la configuraci´on
y administraci´on del sistema.
2 Sistema desarrollado
En la Fig. 1 se observa el sistema que se
desea desarrollar. Los laboratorios y salas
de estudiantes de la Secci´on de Computa-
ci´on se encuentran dentro de zonas milita-
rizadas [5] (redes con direcciones IP priva-
das). Se cuentan con varias salas de estu-
diantes, la mayor con 30 computadoras con
GNU/Linux; en la Fig. 1 s´olo se muestran
dos maquinas cliente dentro de una sola
zona militarizada. La puerta de la Fig. 1
es una m´aquina GNU/Linux que realiza la
traducci´on de direcci´on IP con IPTables,
m´as detalles pueden encontrarse en la re-
ferencia [5].
Hasta aqu´ı puede entenderse por qu´e es
necesario un servidor de autenticaci´on: te-
ner actualizados los archivos /etc/passwd,
/etc/shadow y /etc/group para todas la
m´aquinas cliente en todos los laboratorios
y salas de estudiantes es una tarea super
ard´ua si se quiere realizar a mano. Y no se
tiene una soluci´on est´andar para mantener
las contrase˜nas de los usuarios en todas las
m´aquinas cliente si alguno de ellos desease
�Figura 2: Estructura del directorio LDAP
usado en el sistema propuesto
inal´ambrica y al servidor de los estudian-
tes, se hace una replicaci´on hacia servido-
res LDAP secundarios para cada labora-
torio. Para ello se ha realizado una nue-
va red, esquematizado en el cable m´as a
la izquierda en la Fig. 1 siendo la red
10.10.10.0/24. La raz´on de esta nueva red
ser´a explicada en la sec. 7
El cortafuegos de la Fig. 1 tiene habilita-
da la entrada del servicio LDAP sobre SSL,
puerto 636, para la IP de la puerta (y del
servidor de estudiantes) y tiene bloqueada
cualquier otra entrada (o tiene bloqueada
la entrada desde Internet). La puerta tie-
ne habilitada la entrada del servicio LDAP
sobre SSL s´olo desde el servidor LDAP pri-
mario.
El servidor de autenticaci´on tambi´en
podr´ıa realizarse con radius o kerberos. Un
trabajo a futuro ser´a comparar las distin-
tas realizaciones del servidor.
3 Organizaci´on de la ba-
se de datos
Lo primer paso que tiene que realizarse pa-
ra implantar LDAP es dise˜nar la forma que
tendr´a el directorio. La estructura que se
maneja es de forma semejante a la estruc-
tura de ´arbol jer´arquica usada en el DNS.
En la Fig. 2 se muestra la estructura usada
en nuestro sistema.
La primera decisi´on que hay que tomar
Figura 1: Implantaci´on de LDAP en la red
de la Secci´on de Computaci´on del CIN-
VESTAV. Detalles en el texto.
cambiar su contrase˜na. Es aqu´ı donde se
justifica el uso del servidor de autentica-
ci´on que nos permitir´a:
• Administrar mejor la red. Se centra-
liza el dar de alta, baja o cambiar las
cuentas y contrase˜nas de usuarios
• Un usuario podr´a cambiar su contra-
se˜na desde cualquier m´aquina cliente.
El servidor de autenticaci´on primario se
muestra en la Fig. 1 dentro de una zona
desmilitarizada [5]. Este servidor LDAP
primario permitir´a el acceso al servidor pa-
ra los estudiantes (no mostrado en la Fig.
1, pero debe estar dentro de la ZDM) desde
Internet. En la Secci´on este servidor pri-
mario tambi´en se usa para autenticar a los
usuarios de la red inal´ambrica y es parte
de un punto caliente realizado con NoCat
[6].
Para no sobrecargar al servidor LDAP
que da servicio a la red
primario,
3
Zona desmilitarizada10.10.10.110.10.10.2ServidorCliente2ZonamilitarizadaServidorCortafuegosCliente1LDAP primarioPuertaInternetLDAPsecundariouid=ldap cn=profsuid=pepecn=usersdc=scdc=cinvestavdc=mxou=Peopleou=Group�en el nombre del reino, en nuestro ca-
so es “dc=sc,dc=cinvestav,dc=mx”. “dc”
son las siglas en ingl´es de componente de
dominio. Como estamos usando el servi-
dor para guardar informaci´on de las cuen-
tas de usuario de la Secci´on de Compu-
taci´on, bastar´ıa con poner el nombre del
reino a “dc=sc”.
Se ha puesto como
“dc=sc,dc=cinvestav,dc=mx” por si algu-
na vez se extiende el servicio a toda la red
del CINVESTAV.
El resto de la estructura de la Fig.
2, muestra que existen dos subdominios:
“ou=People” y “ou=Group”. “ou” son las
siglas en ingl´es de unidades organizaciona-
les. Estos subdominios fueron generadas
autom´aticamente con las herramientas de
migraci´on que ser´an explicadas en la sec.
5, por lo tanto no debemos preocuparnos
m´as en como realizarlos. Dentro del sub-
dominio “ou=People” existen los identifi-
cadores de usuario para “ldap” y “pepe” y
existen dos grupos “profs” y “users”.
4 Configuraci´on del ser-
vidor de LDAP
Una vez que tenemos decidido el nombre
del reino hay que configurar el servidor
LDAP primario. El software necesario se
instal´o de los RPMS de RedHat (openldap,
openldap-clients y openldap-servers).
El
archivo que mantiene
la
del
figuraci´on
/etc/openldap/slapd.conf
llenado como sigue:
servidor
LDAP
que
con-
es
fue
1 i n c l u d e
/ e t c / openldap /
schema/ c o r e . schema
2 i n c l u d e
/ e t c / openldap /
schema/ c o s i n e . schema
3 i n c l u d e
/ e t c / openldap /
schema/ i n e t o r g p e r s o n . schema
/ e t c / openldap /
4 i n c l u d e
5 i n c l u d e
schema/ n i s . schema
schema/ redhat / r f c 8 2 2−
/ e t c / openldap /
MailMember . schema
6 i n c l u d e
/ e t c / openldap /
schema/ redhat / a u t o f s . schema
/ e t c / openldap /
7 i n c l u d e
schema/ redhat / k e r b e r o s o b j e c t .
schema
8
9 i d l e t i m e o u t 60
10
11 T L S C e r t i f i c a t e F i l e / usr / share /
s s l / c e r t s / slapd . pem
12 T L S C e r t i f i c a t e K e y F i l e / usr / share
/ s s l / c e r t s / slapd . pem
13
14 # Control de a c c e s o
15
16 a c c e s s
to dn =”.∗, dc=sc , dc=
c i n v e s t a v , dc=mx” a t t r=
userPassword
17
18
19
20
21
22
23
24 a c c e s s
25
26
27
28
by dn=”cn=Manager , dc=sc ,
dc=c i n v e s t a v , dc=mx”
w r i t e
by dn=”cn=r e p l i c a t o r , dc=
sc , dc=c i n v e s t a v , dc=mx
” w r i t e
by dn=”cn=proxyuser , dc=
sc , dc=c i n v e s t a v , dc=mx
” auth
by s e l f w r i t e
by anonymous auth
by ∗ none
to ∗
by dn=”cn=Manager , dc=sc ,
dc=c i n v e s t a v , dc=mx”
w r i t e
by dn=”cn=r e p l i c a t o r , dc
Crear cuenta
Comentarios de: Implantación de OpenLDAP y medición de su rendimiento (0)
No hay comentarios