[AIX Solaris HP-UX Linux Windows][z/OS]

LDAP (Lightweight Directory Access Protocol)

En este apartado se analizan cuestiones sobre qué es y cómo se utiliza LDAP (Lightweight Directory Access Protocol), y se proporcionan visiones generales de alto nivel de X.500 y LDAP.

LDAP es un protocolo estándar que proporciona un medio de almacenar y recuperar información sobre personas, grupos u objetos en un servidor de directorios LDAP o X.500 centralizado. X.500 permite organizar y consultar esa información, utilizando LDAP, desde varios servidores web, utilizando una amplia variedad de atributos. Las consultas LDAP pueden ser tan sencillas o tan completas como sea necesario para identificar la entidad individual o el grupo de identidades que desee. LDAP reduce los recursos necesarios del sistema al incluir sólo un subconjunto funcional del protocolo DAP (Directory Access Protocol) X.500 original.

El módulo LDAP de IBM® HTTP Server permite utilizar un servidor de directorios X.500 para la autenticación y la autorización. IBM HTTP Server puede utilizar esta característica para limitar el acceso de un recurso a un conjunto controlado de usuarios. Esta característica reduce la carga adicional de administración que se necesita normalmente para mantener información de usuarios y grupos para cada servidor web individual.

Puede configurar el módulo LDAP de IBM HTTP Server para que utilice conexiones TCP/IP o SSL (Secure Sockets Layer) con el servidor de directorios X.500. El módulo LDAP se puede configurar para hacer referencia a un único servidor LDAP o a varios servidores.

Visión general de X.500. X.500 proporciona un servicio de directorios con componentes capaces de una recuperación más eficaz. LDAP utiliza dos de estos componentes: el modelo de información, que determina el formato y el carácter, y el espacio de nombres, que habilita la creación de índices y referencias de información.

La estructura de directorios X.500 difiere de otros directorios en el almacenamiento y la recuperación de la información. Este servicio de directorios asocia la información con atributos. Se genera una consulta basada en atributos y se pasa al servidor LDAP, que devuelve los valores respectivos. LDAP utiliza un enfoque sencillo, basado en series, para representar entradas de directorios.

Un directorio X.500 está formado por entradas con tipo basadas en el atributo ObjectClass. Cada entrada consta de varios atributos. El atributo ObjectClass identifica el tipo de entrada, por ejemplo, una persona o una organización, que determina los atributos opcionales y necesarios.

Puede dividir las entradas, organizadas en una estructura de árbol, entre los servidores en una distribución geográfica y organizativa. El servicio de directorios nombra las entradas, de acuerdo con su posición en la jerarquía de distribución, mediante un nombre distinguido (DN).

Visión general del LDAP (Lightweight Directory Access Protocol). El acceso a un directorio X.500 necesita el protocolo DAP (Directory Access Protocol). No obstante, DAP necesita una gran cantidad de recursos del sistema y mecanismos de soporte para manejar la complejidad del protocolo. LDAP se introdujo para que las estaciones de trabajo de escritorio puedan acceder al servicio de directorios X.500.

LDAP, un protocolo basado en cliente y servidor, puede manejar algunos de los recursos complejos que necesitan los clientes de DAP. Un servidor LDAP sólo puede devolver resultados o errores al cliente, con requisitos mínimos del cliente. Si no puede responder a una petición de cliente, el servidor LDAP debe encadenar la petición a otro servidor X.500. El servidor debe completar la petición, o devolver un error al servidor LDAP, que pasa a su vez la información al cliente.

IBM HTTP Server soporta los siguientes servidores LDAP:
[8.5.5.0 o posterior]

Utilización de ldapsearch para depurar problemas de configuración de LDAP

Se dan varias circunstancias que pueden impedir que la configuración de LDAP funcione correctamente. Por ejemplo:
  • El nombre distinguido (DN) no está en la lista de control de accesos del administrador (ACL) y no puede llevar a cabo algunas consultas LDAP.
  • El acceso del DN a LDAP ha quedado bloqueado debido a que se han realizado demasiado intentos fallidos de inicio de sesión.
  • Puede que la contraseña del DN haya cambiado.
  • Puede que el servidor LDAP no permita consultas anónimas.
  • Puede que el filtro predeterminado definido en WebSphere Application Server no se adecue a los valores que utiliza (por ejemplo, se ha definido objectclass=someObjectClass).
  • El cortafuegos no permite la comunicación en el puerto.
  • Se ha establecido LDAP para utilizar un puerto no estándar distinto a 389.
  • El ID de administrador de LDAP se utiliza para el ID de servidor, pero no se ha definido el ID de administrador como usuario normal.
En estas y otras circunstancias que puedan impedir que la configuración LDAP funcione correctamente, puede depurar rápidamente el problema utilizando ldapsearch. ldapsearch es un programa de utilidad de línea de mandatos similar al que WebSphere Application Server utiliza para realizar consultas en el servidor LDAP de la consola administrativa. Por ejemplo:
ldapsearch –h <Host> -p <Puerto> -b “<DN_base>” –D <DN_enlace> -w <Contraseña enlace> “<Filtro usuario>”
donde:
Host
Nombre de host del servidor LDAP. El nombre de host puede ser un nombre abreviado, un nombre largo o una dirección IP.
Puerto
Nombre del puerto LDAP predeterminado, que es 389.
DN_base
Ubicación de inicio de la consulta en el árbol LDAP.
DN_vinculación
DN completo que tiene autorización para enlazar el servidor LDAP y realizar las consultas solicitadas. Algunos servidores LDAP permiten consultas anónimas, por lo que no se exigen DN ni contraseñas de enlace.
Contraseña enlace
Contraseña del DN de enlace.
Filtro usuario
Serie que se utiliza para consultar al servidor LDAP.
Consultas ldapsearch de ejemplo:
C:\>ldapsearch -h petunia -p 389 -b "o=ibm,c=us" uid=test
cn=test,o=ibm,c=us
sn=test
objectclass=top
objectclass=organizationalPerson
objectclass=ePerson
objectclass=person
objectclass=inetOrgPerson
uid=test
cn=test
C:\>ldapsearch -h petunia -p 389 -b "o=ibm,c=us" "(&(uid=test)(objectclass=ePerson))"
cn=test,o=ibm,c=us
sn=test
objectclass=top
objectclass=organizationalPerson
objectclass=ePerson
objectclass=person
objectclass=inetOrgPerson
uid=test
cn=test
Tema de conceptos    

Términos y condiciones para centros de información | Comentarios

Última actualización: October 10, 2014 03:11 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=cihs_ldap
Nombre de archivo: cihs_ldap.html