Single Sign LDAP con Open LDAP Armando Carvajal
- Slides: 55
Single Sign LDAP con Open LDAP Armando Carvajal – Ing Sistemas Unincca Especialista en software para redes Uniandes Gerente Técnico Unixgroup Octubre 15 de 2004, Bogotá, Colombia E-mail: armando. carvajal@unixgroup. com. co website: http: //www. unixgroup. com. co Encontrando el camino hacia el software libre – ACIS Octubre de 2004
El problema de la Administración de Identidades Encontrando el camino hacia el software libre – ACIS Octubre de 2004
El problema de Administración de Identidades Cada Usuario tiene múltiples identidades en la empresa l Múltiples administradores para cada usuario l No existe un método seguro para compartir las identidades de usuarios entre ambientes linux, UNIX® y Windows® l No existe un único punto de administración para cada usuario l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Costos en Seguridad y Mesa de Ayuda Un usuario promedio utiliza 5+ claves l 55% de los usuarios escribe la clave en papel al menos una vez l 9% de todos los usuarios escriben en papel todas las claves l 51% de todos los usuarios requieren ayuda de TI porque olvidaron su clave l 25% de todas las consultas a las mesas de ayuda están relacionadas con claves l Fuente: Rainbow e. Security, 2003 Gartner Research, 2003 Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Proceso Tradicional de Manejo de Identidades Username: brucem Password: hockey 1 Solaris Username: brucem Pass: hockey 1 AIX Encontrando el camino hacia el software libre – ACIS Octubre de 2004 Username: bmackay Password: hockey 1 Windows Username: bmackay Password: hockey 1 Linux
Proceso tradicional de Manejo de Identidades Username: bruce Password: hockey 1 Solaris Username: brucem Pass: hockey 1 Username: bmackay Password: hockey 1 Windows Username: bmackay Password: hockey 1 Problema: UNIX Linux • 4 nombres de usuarios diferentes • 4 Herramientas de Admin. diferentes • 4 lugares diferentes donde se guardan las claves Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Autenticación Tradicional l /etc/passwd l NIS l PAM/NSS Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Autenticación /etc/passwd login: juana Password: *** /etc/passwd /etc/shadow getpwnam(“juana”) juana: w 8 f{2 rs: 1253: Juana la loca: /home/juana: /bin/bash crypt() strcmp() Falla o llama el shell del usuario Encontrando el camino hacia el software libre – ACIS Octubre de 2004
/etc/passwd Pros/Contras l Ventajas: l l Muy simple Desventajas: l l Diseñado para autenticación local Cada máquina debe tener el archivo /etc/passwd El mismo archivo debe replicarse para las cuentas comúnes /etc/passwd no es extensible Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Network Information System NIS /etc/passwd login: juana Password: *** NIS Server getpwnam(“juana”) juana: s 8 f{2 rs: 1253: Juana: /home/juana: /bin/bash crypt() strcmp() Falla o llama el shell Encontrando el camino hacia el software libre – ACIS Octubre de 2004
NIS Pros/Contras Ventajas: l l Permite distribuir el archivo maestro /etc/passwd y /etc/shadow entre diferentes servidores Compatible con la mayoría de Unix/linux Desventajas: l l Muchos huecos de seguridad Cambios en herramientas administrativas Incompatible con sistemas diferentes a UNIX No trabaja en modo desconectado Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Name Service Switch (NSS) login: juana Password: *** getpwnam() /etc/passwd /etc/nsswitch. conf NIS LDAP jdoe: s 8 f{2 rs: 1253: Juana: /home/juana: /bin/bash SQL Encontrando el camino hacia el software libre – ACIS Octubre de 2004
NSS Pros/Contras Ventajas: Permite que una entrada de /etc/passwd se obtenga de cualquier fuente l 100% transparente a las aplicaciones l Desventajas: No disponible en todos los Unix/Linux l Cuando se busca en multiples fuentes de datos la sincronizacion es un problema l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Pluggable Authentication Modules PAM unix login: juana Password: *** pam_authenticate() /etc/pam. d/login /etc/passwd ldap LDAP Exito o fracaso krb 5 Kerberos Encontrando el camino hacia el software libre – ACIS Octubre de 2004
PAM Pros/Contras Ventajas: l l l Permite autenticar directamente contra cualquier fuente de datos Facilmente configurable según /etc/pam. d Aplicaciones PAM no necesitan “mecanismos especificos” de código para autenticarse Desventajas: l Las utilidades y servicios para autenticarse deben ser “PAM enabled” (es decir escritos en PAM API) Encontrando el camino hacia el software libre – ACIS Octubre de 2004
RFC 2307 Propuesta con Open. LDAP y PAM_LDAP Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Propuesta con Open. LDAP Linux con Open. LDAP Solaris Windows Módulos: nss_ldap, pam_ldap AIX Username: bmackay Password: hockey 1 Linux ¡Problema Solucionado! • 1 identidad de usuario • 1 herramienta de Admin. • 1 almacenamiento de claves Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Ambientes Ideales l Utilización de un ambiente mixto UNIX y Windows l Busqueda de un ambiente heterogéneo seguro l Cambios o rotación de personal l Manejo de 50+ usuarios UNIX/Linux Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Mensajes Claves l l l Establece una única identidad para usuarios UNIX, Linux, y Windows Provee alto nivel de seguridad en la red (SSL y Kerberos) Centraliza la administración de identidades de usuarios UNIX, Linux, y Windows Brinda soporte para múltiples plataformas Se integra en forma transparente en las estaciones de trabajo de los usuarios Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Casos de Exito l l l Guardia di Finanza: 3, 000 usuarios UK Ministry Of Defense: 1, 600 usuarios que acceden a varias aplicaciones, incluyendo una de estadísticas de tripulación aérea Dynatronics - EEUU: Autenticando 40 usuarios que acceden aplicaciones contables en Linux ETB - Bogotá Ministerio de Defensa - Bogotá Encontrando el camino hacia el software libre – ACIS Octubre de 2004
l LDAP Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Qué es LDAP 1 de 2 Es un protocolo liviano de acceso a directorios que permite gestionar información jerarquica para mantenerla actualizada y disponible en la red l LDAP = Lightweight Directory Access Protocol l Es una versión simplifada del pesado X. 500 DAP protocol del modelo OSI de 1990 l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Qué es LDAP 2 de 2 l LDAP ver 1 nació en julio de 1993 con el RFC 1487 l La información se guarda en una BD de tipo jerarquica l El promedio de lectura en la BD es mayor a la de escritura Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Para que sirve LDAP 1 de 2 l. Si usted es un administrador: Se puede administrar en forma centralizada usuarios, grupos, dispositivos l. Usted pueden aislar las aplicaciones de los directorios ej: correo electrónico l. Si usted es un IT manager: Le permite renunciar a estar amarrado a un solo proveedor y/o sistema operativo l. Disminuye costos. Baja el TCO al reducir el total de distintos directorios que se necesitan administrar Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Para que sirve LDAP 2 de 2 l. Si usted es un desarrollador: l. Le permite renunciar a estar amarrado a un solo proveedor y/o sistema operativo l. Ahorra tiempo de desarrollo ya que no debe desarrollar otravez su propio sistema de directoros para usuarios, grupos, objetos, etc Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Arquitectura 1 de 2 Se basa en la arquitectura cliente servidor de dos niveles l Es un protocolo orientado a mensajes l Hay dos clases de directorios los estáticos y los dinámicos l Offline directories: Cambian muy poco, ayudan a la gente a encontrar cosas. Ej. Directorio telefónico, páginas amarillas, guía de televisión, catálogos de compras, librerías, bibliotecas, etc l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Arquitectura 2 de 2 Online directories: l Cambian en forma dinámica, deben ser flexibles, deben ser seguros, y deben personalizarse al gusto del usuario l Debe ser actualizado por el usuario dueño de la información l Ej: Directorio de empleados en una empresa para localizarlos cuando cambien sus datos de tel, fax, etc, directorio de hoteles por los que pasa un funcionario, etc l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Productos Comerciales l l l l l Netscape´s Directory Server Innosoft Distributed Directory Server Lucent Technologies Internet Directory Server Sun Microsystem´s Directory services IBM´s DSSeries LDAP Directory Microsoft Active Directory server Novell Suse Open Exchange - Mail SCOoffice Server - Mail Tarantella – Broker de aplicaciones Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Competidores de respeto l i. Planet de Netscape l e. Directory de Novell l Novell directory l Active directory de Microsoft Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Website: www. openldap. org l Software en formato rpm o fuente se puede obtener de www. openldap. org: l Es heredado de la versión 3. 3 de la Univ. Michigan l A julio de 2004 la version actual es la Open. LDAP 2. 2. 14 Encontrando el camino hacia el software libre – ACIS Octubre de 2004
API para desarrollar en C l Para compilar en C se debe incluir el API l # include <ldap. h> l Algunos comandos asincronicos: ldap_search(), ldap_compare(), ldap_bind(), ldap_unbind(), ldap_modify(), ldap_add(), ldap_delete(), ldap_rename(), ldap_result(). l # man ldap l # man slapd Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Formato de presentación 1 de 2 LDIF: Formato de representación de datos l Código ASCII que se puede pasar como mensajes de e-mail (8 bit clean) l Una entrada LDIF está formada por varias lineas l Inicia con la palabra “DN”, seguido del nombre único que identifica la línea ó entrada en la BD l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Formato de presentacion 2 de 2 l El registro DN debe ocupar una sola línea l Luego siguen los atributos de la entrada l Cada atributo debe ir en una línea diferente l Cada atributo de estar seguido por el signo “: ” y acontinuación su valor Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Ejemplo l dn: o=Acis, c=CO l o: Acis l objectclass: organization l dn: cn=Juana La Loca, o=Acis, c=CO l cn: Juana La Loca l sn: La Loca l telephone. Number: 781 784 7547 l objectclass: inet. Org. Person Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Explicación l Dn: significa distinguished (Distinguido) l Object. Class: (Tipo de objeto) l Cn: significa Common name (Nombre Comun) l Sn: significa surname (Apellido) l Telephonenumber: (Número de tel) l Uid: Cuenta del usuario l user. Password: Clave del usuario l Mail: (e-mail del usuario) Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Explicación l Description: (Descripción del objeto) l O: Significa organization (Nombre de la empresa) l C: significa country (pais) l Es decir primero se tiene un tipo de atributo y en seguida el valor del atributo l Más información ver archivo slapd. conf Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Explicación l El significado de cada atributo está definido en los archivos de tipo “schema” residentes en el directorio: /etc/openldap/schema/core. schema, /etc/openldap/schema/cosine. schema, /etc/openldap/schema/inetorgperson. sch ema Encontrando el camino hacia el software libre – ACIS Octubre de 2004
!!!. CONCURSO MILLONARIO. !!! Que significan las letras LDAP? 1. Gen en espiral de los seres humanos 2. Protocolo liviano para acceso a directorios 3. Marca de las botas de jojoy 4. Nuevo carnaval en Barranquilla 5. Mondongo Le Dio A Burundanga… Encontrando el camino hacia el software libre – ACIS Octubre de 2004
l. Archivos de configuración Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Archivos de configuración: Proceso servidor slapd l. El proceso servidor en binario de ldap se llama: slapd l. Escucha por el puerto tcp 389 lslapd significa: Stand-alone LDAP Daemon l. En tiempo de boot se arranca por /etc/init. d/ldap Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Configuración l. El shell de arranque /etc/init. d/ldap llama al servicio ó demonio slapd y este a su vez busca el archivo de configuración /etc/openldap/slapd. conf l. Ambiente por defecto /etc/openldap/ldap. conf l. Directorio de datos: /var/lib/openldap Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Archivos de configuración: slapd. conf l l l # Indica los atributos y objetos que LDAP puede manejar por cada registro Include /etc/openldap/schema/core. schema Include /etc/openldap/schema/cosine. schema Include /etc / openldap / schema / inetorgperson. schema # Permite compatibilidad con la antigua versión 2 – Falla en RH 9. x allow bind_v 2 Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Archivos de configuración: slapd. conf # Tipo de cifrado en los passwords de los usuarios l password-hash {SSHA} l # Donde formato puede ser algún algoritmo de cifrado simétrico como: {SSHA}, {SHA}, {SMD 5}, {CRYPT}, {CLEARTEXT} l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Slapd. conf l l l # Indica el formato de la base de datos database ldbm # Esta es la base de la llave principal suffix o=Acis, c=CO # Es el directorio donde residen los archivos de la base de datos LDAP directory /var/lib/ldap Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Slapd. conf # Este es la base del registro para el administrador l rootdn cn=root, o=Acis, c=CO l # Este es el password del administrador l rootpw {SSHA}msya. U 45 hc. Xmiq 8 ahe 9 Okew. OCKKA 4 A 5 EY l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Slapd. conf La clave del usuario administrador se puede cifrar con el comando: # slappasswd –h Formato > archivo Donde Formato puede ser algún algoritmo de cifrado simétrico: {SSHA}, {SMD 5}, {CRYPT}, {CLEARTEXT} Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Slapd. conf Nota: Jamás utilice {CLEARTEXT} dado que si un intruso ve el archivo plano entonces ya conocerá la clave del administrador l Se recomienda en cambio el algoritmo más fuerte {SSHA} l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
/etc/openldap/ldap. conf El archivo cliente /etc/openldap/ldap. conf debería estar configurado de la siguiente forma: l HOST 127. 0. 0. 1 l BASE o=Acis, c=CO l PORT 389 l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Archivo de de datos: ldif l dn: o=Acis, c=CO o: Acis postal. Address: Calle 93 con 13 A objectclass: organization dn: cn=Juana La Loca, o=Acis, c=CO cn: Juana La Loca sn: La Loca description: Soporte en Windows l uid: l user. Password: {SSHA}msya. U 45 hc. Xmiq 8 ahe 9 Okew. OCKKA 4 A 5 EY displayname: Armando Carvajal - sistemas mail: acarvaja@acis. org. co car. License: 77036182 home. Phone: 571 528 3101 objectclass: inet. Org. Person l l l acarvaja Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Comandos: l l l Consultar si “openldap” esta instalado: # rpm –q openldap Hacer backup de la base de datos en formato LDIF: # slapcat –l backup. ldif Subir los datos hechos por un backup en formato LDIF: # slapadd –l backup. ldif Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Comandos: Para generar un password cifrado de tipo hash que pueda llevar hacia un archivo, digite: l # slappasswd –h metodo de cifrado l Para cifrar el password del cliente al servidor, digite: l # stunnel –c –d 389 –r localhost: 636 l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Otros comandos: l l l Para ver todos los registros de la BD: #ldapsearch –x –b ´o=Acis, c=CO´ ´objectclass=*´ Para ver los usuarios de la BD: #ldapsearch –x –b ´o=Acis, c=CO´ ´uid=*´ Para adicionar registros desde el archivo bd. ldif: #ldapadd –x –D ´uid=acarvaja, o=Acis, c=CO´ -W –f bd. ldif Encontrando el camino hacia el software libre – ACIS Octubre de 2004
!!! CONCURSO MILLONARIO. !! Cual es el archivo de configuración más importante para el servidor ldap ? 1. /etc/openldap/ldap. conf 2. /etc/sysconfig/daemons/ldap 3. /etc/rc. d/rc 2. d/K 55 ldap 4. /etc/openldap/slapd. conf 5. /etc/rc. d/rc 5. d/S 99 ldap Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Bibliografía Understanding And Deploying LDAP Directory Services, Timothy A. Howes Ph. D, New Riders, 1999, Netscape Communications Corporation, First Edition l Implementing LDAP, Marck Wilcox, Editorial Wrox l www. ldapguru. com l www. openldap. org l Encontrando el camino hacia el software libre – ACIS Octubre de 2004
Encontrando el camino hacia el software libre – ACIS Octubre de 2004
All traffic signs and meanings
Nathaly carvajal biografia
Institucion educativa pablo emilio carvajal buenaventura
La adolescencia nuclear
Biografia de victor carvajal
Jazlyn l. carvajal
Dayana carvajal xx
Dr pedro carvajal
Aulanet umb
Google buscar por imagenes
Open innovation open science open to the world
Ldap adalah
Ldap
Introduction to ldap
Radiant logic ldap
Mim
Ldap benutzerverwaltung
Outline ldap
Ldap cuni
Co je ldap
Tam ldap
Rpcclient hacktricks
Addi ehu tfg
Open dcim
Zeppelin ssl
Armando malay veneration with understanding 1976
Armando sierralta
Armando solar-lezama sketch c like language with holes
Armando maglio
Armando solar-lezama
It has become appallingly obvious that our technology
Dr armando rivero
Armando cosentino
Armando yasci
Armando jorge carneiro
Armando iturralde
Armando iacovantuono
Armando romanelli
Armando catania
Adenomiomatosi della colecisti
Armando sierralta
Armando cordova cortazar
Define armando
Natalya rousanova
Armando sierralta
Dr armando rivero
Armando reveron
Pass
Colegio ing armando i santacruz
"ivan israel ramirez cedillo"
Armando bought 45 baseball cards
Trousseaus sign
Trousseau's
2na + glucose/18
Kernig sign and brudzinski sign
Same signs
