¿Qué es el protocolo LDAP y para qué sirve?

Luz Acedo
¿Qué es el protocolo LDAP y para qué sirve?

LDAP son las siglas en inglés de “Lightweight Directory Access Protocol lo que en español significa Protocolo Ligero de Acceso a Directorios. Se trata de un conjunto de protocolos multiplataforma de código abierto que se utilizan para para acceder a varias implementaciones de servicios de directorio,en tiempo real, incluido Active Directory.

Mientras tanto, Active Directory (AD) es la implementación patentada de Microsoft del servicio de directorio: un conjunto de servicios de software y bases de datos para representar jerárquicamente los recursos de información en la red (computadoras, impresoras, unidades de red, etc.) y configurar el acceso a ellos.

¿Cuál es el origen de LDPA?

El protocolo LDAP fue desarrollado por la Universidad de Michigan en 1995 para facilitar el acceso a los directorios X.500. El protocolo X.500 era demasiado complejo y hacía un uso intensivo de la computadora para muchos usuarios, por lo que se desarrolló una versión simplificada. El protocolo LDAP está especialmente dirigido a aplicaciones de gestión y navegación que proporcionan acceso interactivo de lectura/escritura a directorios.

Cuando se usa junto con un directorio que admite protocolos X.500, este protocolo está diseñado para usarse como un complemento del Protocolo de acceso a directorios (DAP) X.500. El protocolo LDAP usa el protocolo TCP directamente y se puede usar para acceder a un servicio de directorio LDAP independiente o a un servicio de directorio que termina con un directorio X.500.

¿Para qué sirve?

La tarea principal de Active Directory es almacenar información sobre todos los objetos en la red y proporcionarla a sistemas externos. A su vez, LDAP permite a los usuarios acceder a los recursos en función de los derechos configurados por el administrador del servicio de directorio.

LDAP se ha utilizado como una base de datos de información, principalmente almacenando información como: usuarios, atributos sobre esos usuarios, privilegios de pertenencia a grupos y más…

Luego, esta información se usó para permitir la autenticación de los recursos de TI, como una aplicación o un servidor.

Posteriormente, estandarizado por el IETF (Internet Engineering Task Force), el protocolo LDAP proporciona a los usuarios métodos que les permiten, entre otras cosas:

  • Conectarse y desconectarse de una red.
  • Buscar y ejecutar una consulta para encontrar algo en la base de datos.
  • Comparar y examinar dos archivos para encontrar similitudes o diferencias.
  • Editar y realizar un cambio en una entrada existente.

¿Cómo funciona un servidor LDAP?

LDAP te permite eliminar, agregar y modificar registros. Ayuda a encontrar estos registros para facilitar la autenticación y autorización de estos recursos a los usuarios. Algunos procesos dentro de LDAP normalmente involucran:

  • Conexión segura: el usuario establece una conexión segura con el servidor a través del directorio LDAP.
  • Consulta de búsqueda: el usuario luego busca su consulta. Por ejemplo, puede buscar correo electrónico u otros datos útiles.
  • Autenticación: el directorio LDAP verifica si el usuario está autorizado para acceder a los datos.
  • Respuesta: el protocolo LDAP busca la información requerida por el usuario en el directorio y luego proporciona los datos requeridos.
  • Finalización: La conexión segura se cierra cuando el usuario se desconecta del puerto.

Aunque pueda parecer simple, el código puede volverse complejo rápidamente en la práctica. Los desarrolladores deben especificar el tiempo de procesamiento de una búsqueda, el límite de tamaño de la búsqueda, las variables que pueden regir la búsqueda, etc.

La consulta de búsqueda solo avanza después de que los usuarios hayan sido autenticados por LDAP, como se describe anteriormente. Puedes utilizar los siguientes dos métodos para autenticar la búsqueda:

  • Método simple: en este método, el usuario ingresa el nombre y la contraseña exactos para conectarse al servidor.
  • SASL (Simple Authentication and Security Layer): Antes de conectarse al servidor, el usuario se autentica con un servicio secundario. Este método es ventajoso para las empresas que necesitan seguridad avanzada al realizar búsquedas.

La mayoría de las solicitudes de conexión LDAP no están cifradas ni codificadas, lo que las hace menos seguras en algunos casos. Para resolver este problema, las organizaciones utilizan TLS, también conocido como Transport Layer Security, para asegurar el uso de la comunicación LDAP.

Proceso de autenticación LDAP

El proceso de autenticación LDAP sigue un modelo de autenticación cliente-servidor que se basa en los siguientes elementos clave:

  • DSA (Directory System Agent): servidor que ejecuta el protocolo LDAP en su red.
  • DUA (agente de usuario de directorio): usuario que accede a DSA como cliente (por ejemplo, la computadora portátil de un usuario).
  • DN (Nombre distinguido): Nombre distinguido que contiene una ruta que atraviesa el DIT (Árbol de información del directorio) para que el protocolo LDAP pueda acceder a él (por ejemplo: cn=Susanne, ou=usuarios, o=Empresa).
  • RDN (Relative Distinguished Name): nombre distinguido relativo compuesto por cada elemento de la ruta en el DN (p. ej.: cn=Susanne).
  • API: interfaz de programación de aplicaciones que permite que un producto o servicio se comunique con otros productos y servicios sin conocer los detalles de su implementación.

Componentes del protocolo LDAP

Gracias a su estructura ligera y al uso de un árbol DIT, el protocolo LDAP permite realizar búsquedas rápidamente y obtener resultados satisfactorios. Debe comprender la estructura del árbol DIT para navegar de manera efectiva en un servidor LDAP y comprender cómo funcionan las búsquedas.

  • dc (componente de dominio): el dc (es decir, dc=com, dc=example), o componente de dominio, utiliza el mapeo del Sistema de nombres de dominio (DNS) para ubicar nombres de dominio en Internet y traducirlos a direcciones IP.
  • (Nombre de la organización): la subclase o (por ejemplo, o-Company), que denota el nombre de la empresa, es una de las subclases más generales de DN. Aquí es donde suele comenzar una búsqueda LDAP. Por ejemplo, una ruta simple a menudo comienza con la subclase o, luego va a la subclase o (Unidad organizativa) antes de llegar a una cuenta o grupo de usuarios.
  • (Unidad organizativa): la clase o es una subclase de la clase o. En general, se asocia a los valores ou=usuarios o ou=grupo, que contienen respectivamente una lista de cuentas y una lista de grupos de usuarios. Aquí hay un ejemplo de un directorio.

o-Compañía

       ou=grupos

              cn=desarrolladores

      ou=usuarios

              cn=Susana

  • cn (Nombre común): se utiliza un cn, o nombre común, para identificar el nombre de una cuenta o grupo de usuarios (p. ej.: cn=desarrolladores, cn=Susanne). Un usuario puede ser parte de un grupo. Así, suponiendo que Susanne sea desarrolladora, también puede aparecer en la clase cn=desarrolladores.
  • Atributos y valores: cada subclase del árbol DIT LDAP (o, ou, cn) contiene atributos y valores, o esquemas que dan información sobre la estructura de un directorio LDAP que permite reducir el campo de búsqueda.

Beneficios

Los administradores de red de una empresa regularmente gestionan miles de usuarios al mismo tiempo. Por lo tanto, LDAP sirve para asignar controles y políticas de acceso según el rol de los usuarios y su nivel de acceso a los archivos para las tareas del día a día, como conectarse a la intranet de la empresa.

  • El protocolo LDAP simplifica este proceso de gestión, ahorra un tiempo valioso a los administradores de red y centraliza el proceso de autenticación.
  • Aunque LDAP se usa regularmente con AD, también resulta muy útil para autenticar usuarios en otras herramientas y entornos de clientes, incluidas las soluciones Red Hat Directory Server en UNIX o la aplicación OpenLDAP de código abierto en Windows.
  • Este método de autenticación y sus capacidades de administración de usuarios es muy conveniente para la administración de API, el control de acceso basado en roles (RBAC) u otras aplicaciones y servicios, como Docker y Kubernetes.

Podría interesarte: 9 mejores antivirus gratuitos del 2023, Eliminar virus de acceso directo: cómo eliminarlo en memoria USB/PC y Error: Ethernet no tiene una configuración IP válida.

De esta forma, ya conoces de qué se trata del protocolo LDAP, sus funciones, componentes, características más importantes y beneficios para aplicarlo en tu entorno de trabajo como administrador de red y ahorrar un tiempo valioso en los procesos.

Cómo citar: Luz Acedo, (s.f.). "¿Qué es el protocolo LDAP y para qué sirve?". En: Internetizado.com. Disponible en: https://www.internetizado.com/que-es-ldap Consultado: 2023-03-27 11:45:00.
¿Que te ha parecido el articulo?
Si deseas leer más artículos similares a “¿Qué es el protocolo LDAP y para qué sirve?”, te recomendamos que entres en nuestra categoría de Seguridad.
Internetizado