Si es un principiante en el aprendizaje de Active Directory (AD), entonces debe haberse topado con el término LDAP. Es muy posible que se sienta un poco perdido tratando de entender este concepto.
Para empezar, ¡abordemos el tema directamente! ¿Qué es LDAP?
El LDAP es un protocolo de software estándar que permite a los usuarios encontrar información sobre otros usuarios y sus atributos, recursos, aplicaciones y otros detalles del directorio. Es el principal protocolo que hace posible el funcionamiento de AD.
Las funciones que desempeña el LDAP son las siguientes:
-
Ayuda a autenticar y autorizar a los usuarios para que puedan acceder y modificar datos y recursos en la red.
-
Proporciona un lenguaje de comunicación para que los clientes interactúen con los servidores y soliciten la información necesaria al servicio de directorio.
El LDAP utiliza operaciones de enlace (bind) para autorizar a los clientes a acceder al servidor de LDAP una vez que han sido verificados con éxito. La operación de enlace incluye la solicitud de enlace y la respuesta de enlace.
La solicitud de enlace LDAP consta de los tres parámetros siguientes:
1) La versión de LDAP: Especifica la versión de LDAP que el cliente quiere utilizar. La versión 3 de LDAP es la más popular entre los clientes, pero algunos clientes antiguos pueden seguir solicitando la versión 2 de LDAP.
2) El nombre distinguido (DN): Un DN identifica de forma única un objeto en el directorio. Este campo puede tener un valor de 0 en el caso de la autenticación anónima.
3) El método de autenticación: El cliente puede utilizar cualquiera de los siguientes métodos de autenticación: autenticación anónima, autenticación simple o autenticación simple y capa de seguridad (SASL).
Para entenderlo mejor, veamos un ejemplo. Jennifer quiere acceder a un escáner en el quinto piso de su oficina para realizar un trabajo oficial. El LDAP le permite buscar y localizar escáneres en el quinto piso y, además, la autentifica y autoriza a acceder al escáner y conectarse a él de forma segura.
Los siguientes pasos detallan cómo el LDAP realiza este proceso de autenticación y autorización:
-
Jennifer (el usuario, alias el cliente o agente de usuario de directorio (DUA)) se conecta al servidor de LDAP (alias el agente de sistema de directorio (DSA)).
-
A continuación, Jennifer utiliza el LDAP para enviar una solicitud de búsqueda al servidor, solicitando el escáner específico del quinto piso.
-
La base de datos de LDAP autentifica a Jennifer.
-
El LDAP busca en el directorio y devuelve a Jennifer la dirección del escáner solicitado.
-
Jennifer recibe la respuesta solicitada y se desconecta del servidor de LDAP.
En el proceso descrito anteriormente, el servidor de LDAP puede utilizar cualquiera de las tres maneras de autenticar a Jennifer. Éstas son:
-
Autenticación anónima: En este método, el cliente se conecta al servidor enviando una solicitud de enlace donde el valor del nombre de usuario es 0 y el valor de la contraseña tiene una longitud de 0. El alcance de la información disponible para el cliente suele ser mínimo con este método.
-
Autenticación simple: En este método, el cliente introduce su nombre de usuario y contraseña para conectarse al servidor de LDAP. A continuación, el servidor verifica y autentifica las credenciales con los datos maestros almacenados en la base de datos de LDAP.
-
Autenticación SASL: En este método, el servidor de LDAP utiliza un mecanismo de autenticación como Kerberos en AD para llevar a cabo el proceso de autenticación.
El LDAP es compatible con la mayoría de los servicios de directorio, como OpenLDAP, y es uno de los protocolos clave empleados en Microsoft AD.
Ahora supongamos que la organización de Jennifer tiene más de 5.000 empleados. Gestionar y almacenar información sobre todos esos usuarios (junto con sus atributos) y los recursos que utilizan requiere una enorme cantidad de datos. Para extraer la información de esta pila de datos, necesitamos el LDAP.
Así, el LDAP actúa como un lenguaje para que los clientes se comuniquen con AD de forma segura y extraigan la información deseada de la base de datos de AD tras la autenticación y la autorización.
Esperamos que este blog le haya ayudado a entender mejor y más claramente el LDAP y su relación con AD. Para aprender más sobre estos conceptos, ¡siga en sintonía!