LDAP es un protocolo cliente-servidor para acceder a un servicio de directorio de forma ligera. Proporciona una forma centralizada de almacenar y acceder a información de usuarios y recursos de red. Los principales objetivos de LDAP son reemplazar el protocolo DAP y permitir el acceso a directorios X.500 de forma más simple e integrada a TCP/IP. LDAP define objetos, atributos y una jerarquía de clases de objetos para representar la información del directorio.

1. LDAP
Susana González Grisales
Gestión de Redes de Datos – 464324
SENA

2. ¿QUÉES LDAP?
LDAP(``LightweightDirectoryAccessProtocol'',«ProtocoloLigerodeAccesoa
Directorios»)esunprotocolodetipocliente-servidorparaaccederaunserviciode
directorio.Elservidorpuedeusarunavariedaddebasesdedatosparaguardarun
directorio,cadaunooptimizadoparaoperacionesdelecturarápidasyengranvolúmen.
CuandounaaplicaciónclienteLDAPseconectaaunservidorLDAPpuede,obien
consultarundirectorio,ointentarmodificarlo.Eneleventodeunaconsulta,elservidor,
puedecontestarlalocalmenteopuededirigirlaconsultaaunservidorLDAPquetengala
respuesta.Silaaplicaciónclienteestáintentandomodificarinformaciónenundirectorio
LDAP,elservidorverificaqueelusuariotienepermisoparaefectuarelcambioydespués
añadeoactualizalainformación.Esunconjuntodeprotocolosabiertosusadospara
accederinformaciónguardadacentralmenteatravésdelared.

3. ¿CÓMOSE ORIGINÓ?
LDAPseoriginódelanecesidaddeunserviciodedirectoriomáslivianoquesupredecesor,
elprotocoloX.500.LDAPhaevolucionadohastaserunabuenaopcióndesdesureleaseen
1993.ActualmenteeselestándardeInternetdefactoparaserviciosdedirectorio.
¿CUÁLES SU OBJETIVO PRINCIPAL?
ElobjetivodelprotocoloLDAP,desarrolladoen1993enlaUniversidaddeMichigan,fue
reemplazaralprotocoloDAP(utilizadoparaaccederalosserviciosdedirectorioX.500por
OSI)integrándoloalTCP/IP.Desde1995,DAPseconvirtióenLDAPindependiente,conlo
cualsedejódeutilizarsóloparaaccederalosdirectoriostipoX500.LDAPesunaversión
mássimpledelprotocoloDAP,deallíderivasunombreProtocolocompactodeaccesoa
directorios.

4. ¿CUÁLESSON SUS VENTAJAS?
LaventajaprincipaldeusarLDAPeslaconsolidacióndeciertotipodeinformaciónenel
interiordesuempresa.Porejemplo,todaslasdiferenteslistasdeusuariosenelinteriorde
suempresapuedenserfusionadasenunsolodirectorioLDAP.Estedirectorio,a
continuación,podríaserconsultadodesdecualquieraplicaciónLDAP-enabledalaquele
sirvalainformación.Eldirectoriotambiénpodríaserutilizadoporlosusuariosque
necesiteninformaciónsobreel.
OtrasventajasdeLDAPsonqueincluyeentreotrascosasgranfacilidaddeimplementar(si
locomparamosconX.500)ylacoherenciadesusAPI.Locualsignificaqueelnúmerode
aplicacionesydegatewaysquedisfrutaLDAPpuedecrecerenelfuturo.

5. ¿CUÁLES LAARQUITECTURADE LDAP?
ILUSTRARCONUNGRÁFICO.

6. ¿CÓMOFUNCIONALDAP?
ElserviciodedirectorioLDAPsebasaenunmodelocliente-servidor.Unoomásservidores
LDAPcontienenlosdatosqueconformanelárboldeldirectorioLDAPobasededatos
troncal.elclienteldapseconectaconelservidorLDAPylehaceunaconsulta.Elservidor
contestaconlarespuestacorrespondiente,obienconunaindicacióndedóndepuedeel
clientehallarmásinformación(normalmenteotroservidorLDAP).Noimportaconqué
servidorLDAPseconecteelcliente:siempreobservarálamismavistadeldirectorio;el
nombrequeselepresentaaunservidorLDAPhacereferenciaalamismaentradaalaque
haríareferenciaenotroservidorLDAP.Eséstaunacaracterísticaimportantedeunservicio
dedirectoriosuniversalcomoLDAP.

7. ¿QUÉ ES UN OBJETO DENTRO DE
LDAP? ILUSTRAR CON EJEMPLOS
Slapdsesuministracontresdiferentesbasesdedatosdebackend(dorsal,obasededatos
desegundoplano)entrelasqueelegir.SetratadeLDBM,unabasededatosdegran
rendimientobasadaendisco:SHELL,unainterfazdebasededatosparaórdenesarbitrarias
deUNIXoguiones(scripts)delintérpretedeórdenes(shell);yPASSWD,unasencillabase
dedatosdecontraseñas.
Eneldesarrollodeestedocumento,sedaporsupuestoquehaelegidolabasededatos
LDBM.

8. LabasededatosLDBMfuncionaasignandounidentificadorcompactodecuatrobytes,
únicoparacadaentradadelabasededatos.Labasededatosutilizaesteidentificadorpara
hacerreferenciaaentradasenlosíndices.Labasededatosestácompuestadeunfichero
índiceprincipal,llamadoid2entry,quemapeaelidentificadorúnicodeunaentradaenla
representaciónentextodeesamismaentrada.Tambiénsedamantenimientoaotros
ficherosíndice.
Paraimportaryexportarinformacióndedirectorioentreservidoresdedirectoriosbasados
enLDAP,oparadescribirunaseriedecambiosquehandeaplicarsealdirectorio,seusaen
generaldelficherodeformatoconocidocomoLDIF(siglasde"LDAPinterchangeformat",
«formatodeintercambiodeLDAP»).UnficheroLDIFalmacenainformaciónenjerarquías
deentradasorientadasaobjeto.ElpaquetedesoftwareLDAPquevaautilizarincluyeuna
utilidadparaconvertirficherosLDIFaformatoLDBM.

9. UnficheroLDIFcorrientetieneesteaspecto:
dn:o=Insflug,c=ES
o:Insflug
objectclass:organization
dn:cn=LuizMalere,o=Insflug,c=ES
cn:LuizMalere
sn:Malere
mail:malere@yahoo.com
objectclass:person
Comopuedecomprobar,cadaentradaestáidentificadaunívocamenteporunnombre
distintivo(DN,"distinguishedname").ElDN(nombredistintivo)estácompuestoporel
nombredelaentradaencuestión,máslarutadenombresquepermitenrastrearla
entradahaciaatráshastalapartesuperiordelajerarquíadeldirectorio.
EnLDAP,unaclasedeobjetosdefinelacoleccióndeatributosquepuedenusarsepara
definirunaentrada.ElestándarLDAPproporcionaestostiposbásicosparalasclasesde
objetos:

10. -Gruposeneldirectorio,entreelloslistasnoordenadasdeobjetosindividualesode
gruposdeobjetos.
-Emplazamientos,comoporejemploelnombredelpaísysudescripción.
-Organizacionesqueestáneneldirectorio.
-Personasqueestáneneldirectorio.
Unaentradadeterminadapuedeperteneceramásdeunaclasedeobjetos.Porejemplo,
laentradaparapersonassedefinemediantelaclasedeobjetosperson,perotambién
puededefinirsemedianteatributosenlasclasesdeobjetosinetOrgPerson,
groupOfNamesyorganization.Laestructuradeclasesdeobjetosdelservidordeterminala
listatotaldeatributosrequeridosypermitidosparaunaentradaconcreta.
Losdatosdeldirectorioserepresentanmedianteparesdeatributoysuvalor.Cualquier
piezadeinformaciónespecíficaseasociaconunatributodescriptivo.

11. PorejemploelatributocommonName,ocn(«nombredepila»),seusaparaalmacenarel
nombredeunapersona.PuederepresentarseeneldirectorioaunapersonallamadaJonás
Saqueiromediante
cn:JonásSaqueiro
Cadapersonaqueseintroduzcaeneldirectoriosedefinemediantelacolecciónde
atributosquehayenlaclasedeobjetosperson.Otrosatributosqueseusanparadefinir
estaentradaserán:
givenname:Jonás
surname:Saqueiro
mail:jonass@midominio.com
Losatributosrequeridossonaquellosquedebenestarpresentesenlasentradasque
utilicenlaclasedeobjetos.TodaslasentradasprecisandelatributoobjectClass,quelistalas
clasesdeobjetoalasqueperteneceunaentrada.

12. Losatributospermitidossonaquellosquepuedenestarpresentesenlasentradasque
utilicenlaclasedeobjetos.Porejemplo,enlaclasedeobjetosperson,serequierenlos
atributoscnysn.Losatributosdescription(«descripción»),telephoneNumber(«número
deteléfono»),seeAlso(«véasetambién»),yuserpassword(«contraseñadelusuario»)se
permitenperonoserequieren.
¿CUÁLESSON LOS RFCQUE DEFINEN
LDAP?
RFCesunasiglaeninglés(RequestForComments)quesignificasolicituddecomentariosy
consisteenundocumentoquepuedeserescritoporcualquierpersonayquecontieneuna
propuestaparaunanuevatecnología,informaciónacercadelusodetecnologíasy/o
recursosexistentes,propuestasparamejorasdetecnologías,proyectosexperimentalesy
demás.

13. LametodologíaqueseutilizaconlasRFCesasignarleacadaunaunnúmeroúnicoquela
identifiqueyqueeselconsecutivodelaúltimaRFCpublicada.UnaRFCyapublicadajamás
puedemodificarse,noexistenvariasversionesdeunaRFC.Loquesehace,encambio,es
escribirunanuevaRFCquedejeobsoletaocomplementeunaRFCanterior.
RFC1779-UNAREPRESENTACIÓNDECADENADENOMBRESCOMPLETOS
RFC1959-UNFORMATODEURLLDAP
RFC1960-UNAREPRESENTACIÓNDECADENADELOSFILTROSDEBÚSQUEDALDAP
RFC1823-LAINTERFAZDEPROGRAMADEAPLICACIÓNDELDAP

14. COMPARE LDAP CON DIRECTORIO
ACTIVO:SEMEJANZASY DIFERENCIAS
ActiveDirectory
ActiveDirectoryesunaimplementaciónpropietaria(creadaporMicrosoft)delosServicios
deDirectorio,yproporcionaunamaneradecompartirinformaciónentrerecursosy
usuariosdelared.Ademásdeproporcionarunafuentecentralizadaparaesainformación,
ActiveDirectorytambiénfuncionacomoautoridaddeseguridadcentralizadade
autenticaciónparalared.
ActiveDirectorycombinacapacidadesquetradicionalmentesehallabanensistemas
separadosyespecializadosdedirectorio,comointegraciónsimplificada,gestióny
seguridaddelosrecursosdelared.ElpaqueteSAMBApuedeconfigurarseparausarlos
serviciosdeActiveDirectorydesdeuncontroladordedominiodeWindows.

15. LDAP
(“LightweightDirectoryAccesProtocol”,enespañolProtocoloLigerodeAccesoa
Directorios)esunprotocolodetipocliente-servidorparaaccederaunserviciode
directorio.SeusóinicialmentecomounFront-Endointerfazfinal,tambiénpuedeusarse
conservidoresdedirectorioúnicosyconotrostiposdeservidoresdedirectorio.¿Quéesun
directorio?Undirectorioesunabasededatos,peroengeneralcontieneinformaciónmás
descriptivaymásbasadaenatributosdeusuariosyrecursosdered.
CUÁLESSERVICIOSNECESITA LDAP
PARA FUNCIONAR.
-ServiciodeDirectoriooDirectoryServicebasadoenOpenLDAP
-ServiciosNTP,DNSyDHCPindependientes
-IntegrarSambaalLDAP
-PosiblementedesarrollaremoslaintegracióndeLDAPyKerberos
-AdministrarelDirectorioconlaaplicaciónwebLdapAccountManager.

16. QUÉ TIPOS DE ORGANIZACIONES
USAN LDAP
LDAPseusasimplementecomoundirectoriotelefónicovirtual,permitiendoalosusuarios
accederfácilmentelainformacióndecontactodeotrosusuarios.PeroLDAPvamuchomás
lejosqueundirectoriotelefónicotradicional,yaqueescapazdepropagarsuconsultaa
otrosservidoresLDAPportodoelmundo,proporcionandounrepositoriodeinformación
ad-hocglobal.

17. WEBGRAFIA
-http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/ch-ldap.html
-http://www.forosdelweb.com/f20/que-ldap-62285/
-http://www.ibm.com/developerworks/ssa/library/l-lpic3-314-3/
-http://es.kioskea.net/contents/269-protocolo-ldap
http://archive.download.redhat.com/pub/redhat/linux/7.0/tc/doc/RH-DOCS/rhl-rg-es-
7.0/s1-ldap-procon.html
-http://es.kioskea.net/contents/269-protocolo-ldap
-http://es.tldp.org/COMO-INSFLUG/COMOs/LDAP-Linux-Como/LDAP-Linux-Como-
1.html
-http://es.tldp.org/COMO-INSFLUG/COMOs/LDAP-Linux-Como/LDAP-Linux-Como-
1.html
-http://www.mikroways.net/2009/07/12/%C2%BFque-es-una-rfc/
-http://zystrax.wordpress.com/2009/12/26/%C2%BFactive-directory-o-ldap-openldap/
-http://blog.desdelinux.net/ldap-introduccion/