LDAP (Li­gh­t­wei­ght Directory Access Protocol)

LDAP se de­sa­rro­lló como protocolo de apli­ca­cio­nes y acceso para pro­vee­do­res de servicios de di­re­c­to­rio. Con el protocolo LDAP se pueden buscar, cambiar o au­te­n­ti­car datos, in­fo­r­ma­ción y elementos a gran escala en servicios de di­re­c­to­rio di­s­tri­bui­dos y gestionar la co­mu­ni­ca­ción con los bancos de datos de los di­re­c­to­rios.

LDAP (“Li­gh­t­wei­ght Directory Access Protocol”) pertenece al grupo de los pro­to­co­los de red y se presenta como protocolo de acceso es­ta­n­da­ri­za­do para consultas y cambios según el modelo cliente-servidor en servicios de di­re­c­to­rio di­s­tri­bui­dos y centrales. A menudo se habla también de servidor LDAP cuando los se­r­vi­do­res de di­re­c­to­rio se comunican a través del protocolo LDAP. “Li­gh­t­wei­ght” se refiere a la variante ligera X.500 del protocolo de acceso DAP (“Directory Access Protocol”). Debido a que DAP es demasiado complejo para im­ple­me­n­ta­cio­nes efectivas en empresas grandes con datos de usuarios ili­mi­ta­dos, en la práctica se suele utilizar LDAP.

LDAP se basa en una pila de pro­to­co­los de TCP/IP y se puede usar de manera flexible para todos los sistemas de di­re­c­to­rio. Para la tra­n­s­mi­sión de datos puedes usar puertos TCP y UDP. LDAP está es­pe­cia­l­me­n­te extendido en áreas e in­du­s­trias que necesitan procesar y gestionar grandes ca­n­ti­da­des de datos e in­fo­r­ma­ción, por ejemplo, en el sector de la te­le­co­mu­ni­ca­ción, aviación, te­c­no­lo­gías de la in­fo­r­ma­ción y de­sa­rro­llo de hardware y software. Como puertos estándar para tra­n­s­fe­re­n­cia de datos existen el puerto 389, para la tra­n­s­fe­re­n­cia de datos no cifrados, y el puerto 636, para la tra­n­s­fe­re­n­cia de datos cifrados.

Unas tareas y objetivos de uso im­po­r­ta­n­tes y fre­cue­n­tes de LDAP son:

• Al­ma­ce­na­mie­n­to central/au­te­n­ti­ca­ción/au­to­ri­za­ción de datos de usuario y co­n­tra­se­ñas
• Inserción de entradas y ope­ra­cio­nes en la base de datos del di­re­c­to­rio
• Au­te­n­ti­ca­ción o enlace de sesiones
• Mo­di­fi­ca­ción, búsqueda, co­m­pa­ra­ción, am­plia­ción o eli­mi­na­ción entradas del di­re­c­to­rio
• Búsqueda de esquemas
• Pre­se­n­ta­ción de consultas
• De­s­vi­n­cu­la­ción de ope­ra­cio­nes

Las co­n­fi­gu­ra­cio­nes de LDAP utilizan una es­tru­c­tu­ra de árbol de di­re­c­to­rio (DIT) es­ta­n­da­ri­za­da y je­rá­r­qui­ca para los di­re­c­to­rios y es­tru­c­tu­ra de datos, que puede di­s­tri­bui­r­se en varios se­r­vi­do­res. La es­ta­n­da­ri­za­ción se realiza sobre los re­s­pe­c­ti­vos esquemas de las clases de objetos y sus atributos. A su vez, la jerarquía del árbol se divide o ramifica en di­fe­re­n­tes niveles políticos, geo­grá­fi­cos u or­ga­ni­za­ti­vos re­pre­se­n­ta­ti­vos, tal y como te mostramos a co­n­ti­nua­ción:

• Di­re­c­to­rio raíz
• Países
• Or­ga­ni­za­cio­nes
• Unidades de or­ga­ni­za­ción
• Personas
• Personas in­di­vi­dua­les (in­di­vi­duos, recursos)

El di­re­c­to­rio LDAP puede pre­se­n­tar­se en se­r­vi­do­res LDAP como una versión completa copiada que si­n­cro­ni­za las mo­di­fi­ca­cio­nes de la versión original. Las consultas en el servidor pasan por el servidor LDAP, también llamado Directory System Agent (DSA), que puede di­s­tri­buir las consultas a más se­r­vi­do­res DSA y así ga­ra­n­ti­zar a los usuarios una respuesta rápida y eficaz.

LDAP utiliza un enfoque de pro­gra­ma­ción orientado a objetos, que cuenta con objetos, clases, herencia y po­li­mo­r­fi­s­mo asociado. Una entrada de di­re­c­to­rio LDAP in­de­pe­n­die­n­te (objeto LDAP) se compone de atributos y de la de­sig­na­ción obli­ga­to­ria del objeto “Di­s­ti­n­gui­shed Name” (DN). La es­tru­c­tu­ra de DN es similar a las co­n­ve­n­cio­nes de nombre de archivos y evita que haya dos objetos idénticos en un nivel.

Los atributos que componen un objeto tienen pueden ide­n­ti­fi­car­se con abre­via­tu­ras como cn (common name), st (state) o sn (surname). Además, los atributos pueden ser de uno o varios valores. Mientras que hay objetos co­n­te­ne­do­res que incluyen objetos, los extremos de una jerarquía de árbol se ramifican en objetos hoja in­di­vi­dua­les (objetos).

El protocolo usa pro­ce­di­mie­n­tos de acceso es­pe­cí­fi­cos que indican al servidor LDAP a través de la directiva bind y una de­no­mi­na­ción di­s­ti­n­gui­da (DN) quién accede al di­re­c­to­rio. El BaseDN se utiliza para definir qué niveles del di­re­c­to­rio entran en co­n­si­de­ra­ción para la búsqueda, por ejemplo, mediante es­pe­ci­fi­ca­cio­nes como base (este objeto), sub (este y todos los objetos por debajo de él) o one (el nivel por debajo del BaseDN).

LDAP es, junto a Kerberos, SMB y DNS, uno de los cuatro pro­to­co­los estándar centrales que pro­po­r­cio­na una co­mu­ni­ca­ción y tra­n­s­mi­sión de datos fluidas en Microsoft Active Directory. Active Directory se de­sa­rro­lló para ser usado como servicio de di­re­c­to­rio en los se­r­vi­do­res Exchange con soporte LDAP para permitir consultas uniformes a los di­re­c­to­rios de Active Directory e integrar los servicios con base de LDAP en el entorno AD.

Active Directory es un servicio de di­re­c­to­rio potente y re­la­ti­va­me­n­te fácil de escalar para empresas grandes con varios miles de tra­ba­ja­do­res. Se concentra en es­tru­c­tu­ras de Windows. El protocolo LDAP ofrece mayor fle­xi­bi­li­dad y ex­te­n­si­bi­li­dad para grandes im­ple­me­n­ta­cio­nes con una comunidad de usuarios ra­mi­fi­ca­da gracias al entorno Linux/Unix y a su co­m­pa­ti­bi­li­dad con código abierto. Por ello, LDAP y los se­r­vi­do­res LDAP se utilizan también en sectores in­du­s­tria­les como la telefonía móvil o la aviación, donde se procesan varios millones de so­li­ci­tu­des de au­te­n­ti­ca­ción de usuarios.

Casos en los que merece la pena usar LDAP:

• Gestión de usuarios y sistemas
• Cla­si­fi­ca­ción de pro­to­co­los y RFC
• In­fo­r­ma­ción de NIS/Boot
• Gestión de datos de zonas DNS y de los puntos de montaje
• Or­ga­ni­za­ción de alias (correo ele­c­tró­ni­co) y se­r­vi­do­res DHCP

LDAP está es­pe­cia­l­me­n­te extendido en los ámbitos que dependen de las consultas de di­re­c­cio­nes completas y de la au­te­n­ti­ca­ción de usuarios. Entre ellos se en­cue­n­tran:

• Libreta de di­re­c­cio­nes: so­lu­cio­nes de software ad­mi­ni­s­tra­ti­vo para libretas de di­re­c­cio­nes como Mozilla Thu­n­de­r­bi­rd, Microsoft Outlook o el servicio de contacto de Apple
• Gestión de usuarios: servicios de di­re­c­to­rio para la gestión de usuarios como Apple Open Directory, Microsoft Active Directory o NetlQ eDi­re­c­to­ry
• Au­te­n­ti­ca­ción: in­te­r­fa­ces de pro­gra­ma­ción para la au­te­n­ti­ca­ción de usuarios como PAM
• Gestión de datos de usuarios: or­ga­ni­za­ción/gestión de datos de usuarios en se­r­vi­do­res POP/IMAP/SMTP o sistemas de bancos de datos y se­r­vi­do­res de correo ele­c­tró­ni­co como qmail, sendmail o exim
• Sistemas de gestión de do­cu­me­n­tos: le­gi­ti­ma­ción de usuarios so­li­ci­ta­n­tes o creación de libretas de teléfonos como en im­pre­so­ras mu­l­ti­fu­n­ción, so­lu­cio­nes antispam VoIP, WebProxy o NetScaler

LDAP ofrece una au­te­n­ti­ca­ción y au­to­ri­za­ción op­ti­mi­za­das y una búsqueda eficaz de datos de di­re­c­cio­nes y de usuarios. Debido a sus muchas ventajas para las empresas, LDAP sirve a modo de un estándar de la industria y es co­m­pa­ti­ble con la mayoría de los productos de software. Las ventajas pri­n­ci­pa­les son la rapidez de las consultas y co­ne­xio­nes, un lenguaje de consulta sencillo y un protocolo cla­ra­me­n­te es­tru­c­tu­ra­do.

El acceso a los datos, así como su lectura en los servicios de di­re­c­to­rio co­m­pa­ti­bles con LDAP, funciona de manera in­i­n­te­rru­m­pi­da gracias al al­ma­ce­na­mie­n­to de datos no no­r­ma­li­za­dos. Esto es pa­r­ti­cu­la­r­me­n­te notable en áreas con muchas entradas de datos pequeñas y no muy su­b­di­vi­di­das.

LDAP ofrece también para consultas regulares en bases de datos grandes o para al­ma­ce­na­mie­n­to di­s­tri­bui­do de datos un gran ahorro de tiempo y es­tru­c­tu­ras de datos potentes. Esto se lleva a cabo a través de servicios de di­re­c­to­rio di­s­tri­bui­dos en todo el servidor, réplicas de di­re­c­to­rio acopladas para la co­m­pa­ra­ción de datos y alta di­s­po­ni­bi­li­dad fiable, entre otros.

Con la variante de LDAP protegida por SSL/TLS, se garantiza también el cifrado de datos del remitente y del de­s­ti­na­ta­rio y, por co­n­si­guie­n­te, una au­te­n­ti­ca­ción re­s­pa­l­da­da por ce­r­ti­fi­ca­dos. A través del es­ta­ble­ci­mie­n­to de una conexión SSL/TLS, se protege el in­te­r­ca­m­bio de datos además contra la ma­ni­pu­la­ción y el robo de datos.