Seguridad en Comunicaciones

LDAP

Diego Fernández Iglesias <[email protected]>

Francisco J. Nóvoa de Manuel <[email protected]>
 Seguridad en Comunicaciones

Índice
1 Introducción a los Servicios de Directorio
2 Esquema LDAP
3 Espacios de nombre y topología en LDAP
4 Operaciones en LDAP
 Seguridad en Comunicaciones

1 Introducción a los Servicios de Directorio

 Seguridad en Comunicaciones

Introducción
• Directorio:
– Base de datos especializada con información consultada habitualmente
• Ejemplo: Guía de teléfonos

– Es empleado por aplicaciones o servicios que necesitan la gestión y búsqueda de

información como alternativa ligera a las bases de datos
• Ejemplo:
– Un servidor de correo electrónico podría almacenar en un servidor de
directorio información de los usuarios como su identificador, nombre,
apellidos y dirección de correo electrónico
– En una red corporativa, el servidor de directorio puede almacenar información
sobre los usuarios de los sistemas: nombre de usuario, contraseña, grupos a
los que pertenece, etc.
 Seguridad en Comunicaciones

Introducción II
• ¿Qué es un servicio de directorio?
– Es un conjunto de hardware, software, procesos, políticas y procedimientos
administrativos necesarios para permitir que los usuarios puedan acceder a la
información almacenada en el directorio [Howes et al, 2003]

– Características diferenciadoras frente a las bases de datos tradicionales:

• Ratio lectura/escritura elevado
• Extensibilidad de la información
• Distribución de datos entre servidores
• Replicación de datos
• Rendimiento, especialmente en operaciones de lectura
• Falta de soporte de transacciones y “joins”
• Capacidades de búsqueda avanzada
 Seguridad en Comunicaciones

LDAP
• ¿Qué es LDAP?
– El protocolo LDAP (Lightweight Directory Access Protocol) es un protocolo IETF
estándar y extensible que permite acceder a los servicios de directorio
– Es un conjunto de cuatro modelos que sirven de guía en el uso del directorio:
• Modelo de información
• Modelo de nombres
• Modelo funcional
• Modelo de seguridad
– Es un formato de intercambio de datos de directorio: LDAP Data Interchange Format
(LDIF)
– Es un software servidor LDAP
– Contiene APIs para el desarrollo de clientes LDAP

• Implementaciones
– Active Directory, OpenLDAP, RedHat Directory Server, Apache Directory Server
 Seguridad en Comunicaciones

LDAP: Visión Global

 Seguridad en Comunicaciones

LDAP: Visión Global

 Seguridad en Comunicaciones

LDAP
• Ejemplo: Directory Entry

Tipo de atributo Valor del atributo

cn: Francisco Novoa
telephoneNumber: 981 167 000 6066
981 167 000 1213
mail: [email protected]

• Entrada o Directory Entry:

– Unidad básica de información
– Guarda información sobre un objeto (máquina, persona, servicio…)
– Distinguished Name (DN): Nombre único que identifica la entrada en un
directorio
– Una entrada contiene varios atributos
 Seguridad en Comunicaciones

LDAP
• Ejemplo
 Seguridad en Comunicaciones

LDAP
• Operaciónes básicas
– Interrogación
• Search
• Compare
– Actualización
• Add
• Delete
• Modify
• Modify DN (rename)
– Autenticación y control
• Bind
• Unbind
• Abandon
Seguridad en Comunicaciones

2 Esquema LDAP
 Seguridad en Comunicaciones

Esquema LDAP
• Esquema de directorio
– Es un conjunto de reglas:
• Qué puede almacenarse en el directorio
• Cómo tratar la información almacenada
– Consiste en:
• Atributos
• Tipo
• Sintaxis
• Reglas de emparejamiento (Matching rules)
• Clases de objeto
 Seguridad en Comunicaciones

Esquema LDAP
• Atributos:
– Describen una característica en particular de un objeto (e.g. nombre, login, número de
teléfono)
– Cada atributo tiene un tipo, que determina la información que almacena y uno (o varios)
valores asociados, que es la información almacenada
– Un tipo de atributo tiene asociadas:
• Sintaxis: Forma de los datos que representa (e.g. INTEGER)
• Matching rules: Reglas que gestionan la comparación entre valores o la
ordenación (e.g. caseIgnoreMatch)
– Existen dos tipos de atributos fundamentales:
• Usuario: Información almacenada por el usuario
• Operacionales: Relacionados con el funcionamiento del directorio (e.g.
modifyTimeStamp)
– Pueden tener reglas adicionales: multivalor o no, longitud máxima…
 Seguridad en Comunicaciones

Esquema LDAP
• Tipo de atributo: Declaraciones de tipo de datos, matching rules y reglas de codificación
 Seguridad en Comunicaciones

Esquema LDAP
• Clases de Objeto
– Representan un “tipo” de objeto
• Por ejemplo: una persona, un servidor…
– Agrupan un conjunto de atributos relacionados con el objeto que representan (e.g. para
una persona: nombre, DNI, teléfono, dirección…)
• Pueden ser obligatorios u opcionales
– Una entrada de directorio pertenece a una o más clases de objetos
– Tipos: Estructural, Auxiliar y Abstracta
– Jerarquía de clases:
 Seguridad en Comunicaciones

Esquema LDAP
• Clases de Objeto

Atributos
obligatorios

Atributos opcionales
 Seguridad en Comunicaciones

Esquema LDAP
• En resumen:
– Cada entrada de directorio almacena información según las reglas establecidas en el
esquema de directorio
– El esquema de directorio especifica:
• Un conjunto de clases de objeto válidas
• Los atributos válidos (obligatorios u opcionales para cada clase de objeto)
• Una sintaxis y “matching rules” de cada tipo de atributo
– Una entrada de directorio pertenece a una o más clases de objetos
• Determinan la información a almacenar
• Atributos objectclass
 Seguridad en Comunicaciones

Esquema LDAP
• Ejemplo: Directory Entry

objectClass: top
Tipo de atributo Valor del atributo
objectClass: person
objectClass: organizationalPerson cn: Francisco J. Nóvoa
objectClass: inetOrgPerson telephoneNumber 981 167000 1213
cn: Francisco J. Nóvoa 981 167000 6066
sn: Nóvoa Mail: [email protected]
telephoneNumber: 981 167000 1213
telephoneNumber: 981 167000 6066
mail: [email protected]
 Seguridad en Comunicaciones
Tipo de atributo Valor del atributo
cn: Francisco J. Nóvoa
Esquema LDAP
telephoneNumber 981 167000 1213
• Ejemplo: Directory Entry 981 167000 6066
Mail: [email protected]
objectClass: top
objectClass: person Clases de objeto a
las que pertenece la
objectClass: organizationalPerson
entrada
objectClass: inetOrgPerson
cn: Francisco J. Nóvoa
sn: Nóvoa
telephoneNumber: 981 167000 1213 El atributo objectclass es
obligatorio para la clase de
telephoneNumber: 981 167000 6066
objeto “top”, de la que
mail: [email protected] heredan todas las clases
estructurales
 Seguridad en Comunicaciones
Tipo de atributo Valor del atributo
cn: Francisco J. Nóvoa
Esquema LDAP
telephoneNumber 981 167000 1213
• Ejemplo: Directory Entry 981 167000 6066
Mail: [email protected]
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
cn: Francisco J. Nóvoa cn (commonName)
sn: Nóvoa y sn (surname) son
telephoneNumber: 981 167000 1213 atributos obligatorios
telephoneNumber: 981 167000 6066 de la clase objeto
“persona”
mail: [email protected]
 Seguridad en Comunicaciones
Tipo de atributo Valor del atributo
cn: Francisco J. Nóvoa
Esquema LDAP
telephoneNumber 981 167000 1213
• Ejemplo: Directory Entry 981 167000 6066
Mail: [email protected]
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
cn: Francisco J. Nóvoa
sn: Nóvoa telephoneNumber
telephoneNumber: 981 167000 1213 es un atributo
multivaluado
telephoneNumber: 981 167000 6066
mail: [email protected]

telephoneNumber es un
atributo opcional de la clase mail es un atributo opcional de la
de objeto clase objeto inetOrgPerson
organizationalPerson
 Seguridad en Comunicaciones

Esquema LDAP
• Esquemas estándar
– Contienen definiciones de atributos y clases de objetos empleados habitualmente
• Ejemplo: RFC 2256
– Evitan tener esquemas diferentes para el mismo objeto
• Simplicidad
• Compatibilidad entre aplicaciones
– Algunas aplicaciones definen sus propios esquemas
• Necesidades específicas de cada aplicación
 Seguridad en Comunicaciones

3 Espacio de nombres y topología en LDAP

 Seguridad en Comunicaciones

Espacio de nombres
• Las entradas de directorio se organizan en una estructura de árbol invertido
– Directory Information Tree (DIT)
– Cualquier entrada puede tener varias entradas “hijas”, pero un solo padre
• El uso de “Alias” permite “enlazar” a otras entradas del árbol

– Ejemplo
 Seguridad en Comunicaciones

Espacio de nombres II
• RDN (Relative Distinguished Name):
– Cada entrada tiene un nombre único entre los hijos de un mismo padre: RDN
– Formado por un par atributo = valor
• Ejemplo: cn= Francisco Nóvoa

• DN (Distinguished Name):
– Nombre único de una entrada
– Formado por los RDN de las entradas entre la entrada en cuestión y la raíz
• Las entradas se separan mediante comas “,”
• Ejemplo: cn= Francisco Novoa,ou=People,dc=udc,dc=es
 Seguridad en Comunicaciones

Topología
• La organización de la estructura de LDAP dependerá del uso que se vaya a hacer de ella
– LDAP es flexible, cada organización puede disponer la estructura que más se adapte a
sus necesidades
– Aspectos a tener en cuenta:
• Organización de los datos
• Uso / soporte por parte de las aplicaciones
• Particionado de datos
• Replicación de datos
• Control de acceso

– Ejemplo:
Seguridad en Comunicaciones

4 Operaciones en LDAP
 Seguridad en Comunicaciones

Operaciones en LDAP
• Las operaciones que se pueden realizar en el directorio utilizando el protocolo LDAP son
de tres tipos:
– Interrogación: SEARCH, COMPARE
– Actualización: ADD, DELETE, MODIFYDN, MODIFY
– Autenticación y control: BIND, UNBIND, ABANDON

• LDAPv3 soporta operaciones extendidas:

– Permite añadir nuevas operaciones
 Seguridad en Comunicaciones

Operaciones en LDAP II
• SEARCH
– Permite realizar búsquedas y recuperar entradas del directorio
– Parámetros:
• Base object: Entrada donde se comienza la búsqueda
• Search scope: SUB (subárbol completo), ONELEVEL (solamente los hijos), BASE
(solamente el objeto base)
• Alias dereferencingoptions
• Size limit: número máximo de entradas a devolver
• Time limit: tiempo máximo de búsqueda
• Atributes-only: solamente atributos o atributos + valor
• Search filter: lista de atributos a devolver
 Seguridad en Comunicaciones

Operaciones en LDAP II
• Base Object y Search Scope
 Seguridad en Comunicaciones

Operaciones en LDAP III

• Base Object y Search Scope
 Seguridad en Comunicaciones

Operaciones en LDAP IV
• Base Object y Search Scope
 Seguridad en Comunicaciones

Búsquedas en LDAP
• Filtros de búsqueda:
– Expresiones booleanas
– Basados en valores de los atributos (pares atributo – valor)
– Tipos:
• Igualdad (cn=Francisco Novoa)
• Subcadena. Hace uso de “wildcards” (cn=*Novoa)
• Aproximación. (cn~=Fran)
• Mayor, menor o igual que (age > 30)
• Presencia (telephoneNumber=*)
• Negación: (!(cn=Francisco Novoa))
• Combinación
– AND , OR
– Notación prefija
– Ejemplos:
» AND: (& (sn=Novoa) (telephoneNumber=123456789))
» OR: (| (sn=Novoa) (sn=Dafonte))
 Seguridad en Comunicaciones

Búsquedas en LDAP II
• Ejemplo: Recuperar los datos de un determinado usuario
 Seguridad en Comunicaciones

Búsquedas en LDAP II
• Ejemplo: Recuperar el nombre de todos los usuarios
 Seguridad en Comunicaciones

Búsquedas en LDAP II
• Ejemplo: Recuperar el nombre y el correo electrónico de todos los usuarios
 Seguridad en Comunicaciones

LDIF
• LDAP Data Interchange Format (RFC 2849)
– Formato de texto estándar para representar entradas en un directorio LDAP
• Comentarios: Líneas que comienzan con #
• Cada entrada se representa en una serie de líneas de texto:
– Formato “atributo: valor”
– “Atributo” “dn” identifica la entrada
– Pueden incluir operaciones de actualización
– Usos
• Intercambio de datos entre directorios
• Realización de operaciones sobre un directorio
• Exportación de datos
– Tipos:
• Listado de entradas
• Operaciones de actualización
 Seguridad en Comunicaciones

LDIF II
 Seguridad en Comunicaciones

LDIF III