7/25/2019 OPENLPAD 01

1/5

Captulo 11: Instalar y configurar OpenLDAP en Ubuntu 14.04 LTS

11.1. Introduccin

Existen diferentes formas de autenticar clientes en una red GNU/Linux, pero una de

las ms usadas es la combinacin de tres herramientas diferentes: PAM, NSSy

LDAP.

La idea consiste en disponer de un servidor que facilite la autenticacin de los

clientes, de modo que stos recurran al servidor cada vez que un usuario necesite

identificarse. De esta forma, la cuenta de usuario no es especfica de un equipo

cliente, sino que ser vlida en cualquier equipo de la red que haya sidodebidamente configurado.

De hecho, ste es el mtodo que suele utilizarse en GNU/Linuxpara obtener una

gestin de usuarios globales similar a la que ofrecen los Servidores Windowsa travs

de una estructura de dominios.

En este captulo aprenderemos antes de nada cul es la funcin de cada uno de los

componentes, tanto de forma individual como combinado con los dems. Despus,aprenderemos a realizar la instalacin y configuracin de la estructura que hemos

ilustrado en la figura anterior.

Qu es NSS?

http://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/?p=4787#contehttp://somebooks.es/wp-content/uploads/2015/01/cap11v2-001.pnghttp://somebooks.es/?p=4787#conte

7/25/2019 OPENLPAD 01

2/5

NSS(Name Service Switch) es un servicio que permite la resolucin de nombres de

usuario y contraseas (o grupos) mediante el acceso a diferentes orgenes de

informacin. En condiciones normales, esta informacin se encuentra en los archivos

locales del sistema operativo, en concreto en/etc/passwd,/etc/shadowy/etc/group,

pero puede proceder de otras fuentes, como DNS(Domain Name System), NIS

(Network Information Service), LDAP(Lightweight Directory Access Protocol) o WINS

(Windows Internet Name Service).

Los primeros sistemas operativos de tipo Unix

accedan directamente a los archivos de configuracin

o cdigo que dependa de la forma en que se produca

la autenticacin. Esto haca que cualquier cambio en el

modo de autenticacin obligara a cambiar el sistema

operativo.

Ultrixfue el primero en ofrecer una funcionalidad muy parecida a NSS, pero fue Sun

Microsystemsel primero en desarrollar NSSde una forma muy parecida a como lo

conocemos en la actualidad. Por lo tanto, el primer sistema operativo que incorpor

NSSfue Solaris.

Poco despus, se port a diferentes sistemas operativos, comoAIX, NetBSD,

FreeBSDo GNU/Linux.

El objetivo de NSSes que los programas o los comandos del sistema operativo

puedan manejar informacin administrativa relacionada con los usuarios, las

contraseas y los grupos (incluidos aspectos como la caducidad de una contrasea

o su nivel de complejidad) sin tener que conocer el lugar donde se encuentran

almacenados.

7/25/2019 OPENLPAD 01

3/5

Qu es PAM?

PAM (Pluggable Authentication Modules) establece una interfaz entre los programas

de usuario y distintos mtodos de autenticacin. De esta forma, el mtodo de

autenticacin se hace transparente para los programas.

Como ocurri con NSS, PAMsurgi en Sun Microsystems, aunque, en este caso,

como una propuesta a la Open Software Foundation. Fue Red Hatquien lo desarroll

como una herramienta de Software librey lo incorpor por primera vez a la versin

3.0.4 de su sistema operativo en 1996.

La idea se basa en la creacin de mdulos de autenticacin reemplazables, de forma

que sea transparente para el sistema el uso de distintos mtodos de autenticacin.

Esto hace que, sin realizar modificaciones en el sistema, podamos utilizar mtodos

que vayan desde el uso tpico de un nombre de usuario y una contrasea, hasta

dispositivos que faciliten la identificacin biomtrica de los usuarios (lectores de

huellas, de voz, de imagen, etc.). Incluso incorpora opciones para aceptar

contraseas de un solo uso, restringir el acceso a determinados horarios o

establecer polticas de autenticacin especficas para cada usuario o grupos deusuarios.

Bsicamente, PAMcomplementa en algunos aspectos el funcionamiento de NSSya

que mientras ste se centra en la bsqueda y mapeo de los usuarios, PAMcontrola

http://somebooks.es/wp-content/uploads/2015/01/cap11v2-002.png

7/25/2019 OPENLPAD 01

4/5

la autenticacin, el inicio de sesin y su configuracin.

En la actualidad, PAMes el mtodo que utilizan la mayora de las aplicaciones y

herramientas de GNU/Linuxque necesitan relacionarse, de algn modo, con la

autenticacin de los usuarios.

Qu es LDAP?

LDAPes un protocolo que ofrece el acceso a un servicio de directorio implementado

sobre un entorno de red, con el objeto de acceder a una determinada informacin.

Puede ejecutarse sobre TCP/IPo sobre cualquier otro servicio de trasferencia

orientado a la conexin.

LDAPson las siglas en ingls de Lightweight DirectoryAccess Protocol (Protocolo

Ligero de Acceso a Directorios) y podemos considerarlo como un sistema de

almacenamiento de red (normalmente construido como una base de datos) al que se

pueden realizar consultas.

El protocolo LDAPse cre originalmente en la Universidad de

Mchigan, que public un primer desarrollo en 1993. Ms tarde, Tim

Howesy Steve Killela, dos de los diseadores originales del proyecto

comienzan a trabajar en una nueva versin bajo los auspicios de IETF(InternetEngineering Task Force) completando el desarrollo original.

La nueva versin (LDAPv3) se public en 1997 e integraba mecanismos de

autenticacin sencilla y una capa de seguridad. Despus de esto, la IETFha aadido

http://somebooks.es/wp-content/uploads/2015/01/cap11v2-003.png

7/25/2019 OPENLPAD 01

5/5

numerosas extensiones y especificaciones propias que le han ido incorporando

nuevas capacidades.

11.5. Qu es OpenLDAP?

La respuesta es muy sencilla: OpenLDAPes un desarrollo del protocolo LDAP,

implementado con la filosofa del software libre y cdigo abierto.

El proyecto OpenLDAPse inici en agosto de 1998 y est sustentado por una

entidad sin nimo de lucro llamada OpenLDAP Foundation, creada por el

desarrollador estadounidense Kurt D. Zeilengapara coordinar las actividades del

proyecto.

Como ocurra en el caso de LDAP, OpenLDAPest muy optimizado para ofrecer los

mejores resultados en situaciones que requieran operaciones de lectura intensivas.

De esta forma, un directorio OpenLDAParrojar unos resultados muy superiores a

los que ofrece una base de datos relacional optimizada, cuando realicemos

operaciones de consulta intensivas sobre ambas.

Por el contrario, si utilizramos un directorio OpenLDAPpara guardar datos que sean

actualizados de manera frecuente, los resultados obtenidos seran muy inferiores a

los ofrecidos por una base de datos relacional.

No slo podemos encontrar OpenLDAPen la mayora de de las

distribuciones GNU/Linux, sino que tambin lo encontramos para Microsoft

Windows,Apple OSX, Solaris, HP-UX, BSD, etc.

Pages: 1 23456789101112

http://somebooks.es/?p=5616&page=12http://somebooks.es/?p=5616&page=11http://somebooks.es/?p=5616&page=10http://somebooks.es/?p=5616&page=9http://somebooks.es/?p=5616&page=8http://somebooks.es/?p=5616&page=7http://somebooks.es/?p=5616&page=6http://somebooks.es/?p=5616&page=5http://somebooks.es/?p=5616&page=4http://somebooks.es/?p=5616&page=3http://somebooks.es/?p=5616&page=2http://somebooks.es/?p=4787#conte