Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
AUTENTICACIÓN
CENTRALIZADA CON
TECNOLOGÍA LDAP
ANDRES HOLGUIN CORAL
2002
ADVERTENCIA
LA PONECIA NO REFLEJA LA OPINIÓN
DE LA DIRECCIÓN DE TECNOLOGÍAS
DE INFORMACIÓN DE LA
UNIVESIDAD DE LOS ANDES.
¿Qué es autenticación?
Autenticación se refiere al proceso por el cual un usuario
de una red adquiere el derecho a usar un...
¿Dónde se origina el problema?
1. El usuario usa tantas claves y métodos de
autenticación como servicios presta la
organización.
• El usuario para simpli...
2. La administración de usuarios se hace de
manera descentralizada en cada aplicación.
3. Cada servicio que presta la orga...
¿Qué pasa si se compromete una clave?
• Perdida de confidencialidad de la información,
debido a que al usar claves débiles...
La solución
AUTENTICACIÓN
CENTRALIZADA
¿Qué es autenticación centralizada?
Autenticación centralizada es ubicar los usuarios y sus
claves en un repositorio centr...
¿Cómo se implementa?
PAM para
UNIX
free radius Sincronización
con active
directory
free radius
con eap
Módulo de
Autentica...
¿Cómo funciona?
¿Qué es LDAP?
• Lightweight Directory Access Protocol. 
• Es un protocolo cliente servidor hecho para acceder a un
servici...
Diseño de un directorio
Como el protocolo LDAP es la base del sistema de
autenticación centralizada, el diseño del directo...
PAM (Pluggable Authentication Module)
Es una librería de interfase para la autenticación
de múltiples servicios.
Desliga l...
¿Qué es LAD?
• LDAP Autentication Deamon
• Es un demonio que corre sobre una
maquina con sistema operativo Linux o
Solaris...
Como funciona el módulo LAD
Directorio LDAP
Módulo Autenticacion con
LDAP
Módulo Autenticacion con el
cliente
Módulo de Lo...
¿Qué es Active Directory?
Es la implementación del protocolo LDAP que
Microsoft desarrollo para Windows 2000
Server.
Sincronización con Active Directory
Para la creación de cuentas en el active
directory, se usan scripts hechos en un servi...
Relación entre los nombres de los campos
IPLANET -
OpenLDAP
ACTIVE
DIRECTORY
dn dn
uid samaccountname
email userprincipaln...
¿Cómo se sincronizan las claves?
Se debe hacer una aplicación que cambie las claves tanto
en el Directorio LDAP (OpenLDAP ...
Referencias
• Implementing LDAP in the Solaris™ Operating Environment, Tom Bialaski - Enterprise
Engineering, Sun BluePrin...
Upcoming SlideShare
Loading in …5
×

Ldap

689 views

Published on

  • Be the first to comment

  • Be the first to like this

Ldap

  1. 1. AUTENTICACIÓN CENTRALIZADA CON TECNOLOGÍA LDAP ANDRES HOLGUIN CORAL 2002
  2. 2. ADVERTENCIA LA PONECIA NO REFLEJA LA OPINIÓN DE LA DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN DE LA UNIVESIDAD DE LOS ANDES.
  3. 3. ¿Qué es autenticación? Autenticación se refiere al proceso por el cual un usuario de una red adquiere el derecho a usar una identidad dentro de la misma. Existen diferentes maneras de autenticar a un usuario: • El uso de claves (Lo que se) • Tokens (Lo que tengo) • Biométricos (Lo que soy) • Combinaciones de los Anteriores (factor 1, factor 2 …)
  4. 4. ¿Dónde se origina el problema?
  5. 5. 1. El usuario usa tantas claves y métodos de autenticación como servicios presta la organización. • El usuario para simplificar su trabajo tiende a usar claves muy fáciles. • Con un mínimo conocimiento de la persona puedo saber cual es la clave que usa. • Los costos de administración de usuarios aumentan. El problema de la autenticación(1)
  6. 6. 2. La administración de usuarios se hace de manera descentralizada en cada aplicación. 3. Cada servicio que presta la organización tiene su propio método para el manejo de los usuarios. El problema de la autenticación(2)
  7. 7. ¿Qué pasa si se compromete una clave? • Perdida de confidencialidad de la información, debido a que al usar claves débiles se puede acceder a la información privada de la organización. • Perdida de la integridad de la información y suplantación de usuarios, usando la clave de otra persona se puede alterar la información haciéndose pasar por otra persona. • Perdida de la disponibilidad de la información, al cambiar la información no se tiene acceso a ésta cuando se requiere.
  8. 8. La solución AUTENTICACIÓN CENTRALIZADA
  9. 9. ¿Qué es autenticación centralizada? Autenticación centralizada es ubicar los usuarios y sus claves en un repositorio centralizado, para que los usuarios de los servicios se validen en este lugar. Radius UNIX APLICACIONES LDAP
  10. 10. ¿Cómo se implementa? PAM para UNIX free radius Sincronización con active directory free radius con eap Módulo de Autenticación LAD
  11. 11. ¿Cómo funciona?
  12. 12. ¿Qué es LDAP? • Lightweight Directory Access Protocol.  • Es un protocolo cliente servidor hecho para acceder a un servicio de directorio en el modelo TCP/IP. Esta basado en el protocolo X.500. • Un directorio es similar a una base de datos, pero tiende a contener información más descriptiva. • Directorio refleja a la gente dentro de la estructura de una organización.
  13. 13. Diseño de un directorio Como el protocolo LDAP es la base del sistema de autenticación centralizada, el diseño del directorio es la clave para el buen funcionamiento de la solución. O=dominio.com ou=bogota ou=cali ou=medellin
  14. 14. PAM (Pluggable Authentication Module) Es una librería de interfase para la autenticación de múltiples servicios. Desliga la autenticación del sistema operativo y lo traslada a un tercero, que en este caso es LDAP. Ventajas: Seguridad Flexibilidad
  15. 15. ¿Qué es LAD? • LDAP Autentication Deamon • Es un demonio que corre sobre una maquina con sistema operativo Linux o Solaris. • La función de este demonio es hacer que las aplicaciones web que se autentican usando el protocolo AUTD lo hagan de manera segura y usando LDAP.
  16. 16. Como funciona el módulo LAD Directorio LDAP Módulo Autenticacion con LDAP Módulo Autenticacion con el cliente Módulo de Logs Módulo de Gestion Base de datos relacional Archivo de logs Módulo Central Usuarios Coneccio Segura Conexión SSL
  17. 17. ¿Qué es Active Directory? Es la implementación del protocolo LDAP que Microsoft desarrollo para Windows 2000 Server.
  18. 18. Sincronización con Active Directory Para la creación de cuentas en el active directory, se usan scripts hechos en un servidor UNIX de manera centralizada, estos scripts crean las cuentas tanto en el sistema operativo UNIX como en el LDAP y en el Active Directory. Lo único que hay que tener en cuenta es que los campos en el directorio Iplanet o OpenLDAP y en el Active Directory se llaman diferente.
  19. 19. Relación entre los nombres de los campos IPLANET - OpenLDAP ACTIVE DIRECTORY dn dn uid samaccountname email userprincipalname displayname displayname givenname givenname
  20. 20. ¿Cómo se sincronizan las claves? Se debe hacer una aplicación que cambie las claves tanto en el Directorio LDAP (OpenLDAP o Iplanet) y en el Active Directory. Para lograr que las claves se mantengan sincronizadas se deben manjar las excepciones en esta aplicación, por ejemplo que unos los dos directorios se encuentre fuera de línea. Por último a los usuarios no se les debe permitir cambiar la clave desde su estación de trabajo Windows.
  21. 21. Referencias • Implementing LDAP in the Solaris™ Operating Environment, Tom Bialaski - Enterprise Engineering, Sun BluePrints™ OnLine - October 2000 • Internetworking whit TCP/IP Volume III Douglas E. Comer David L. Estevens, Prentice Hall – 1993 • Notes from the Directory Services Summit at Big Ten Conference Center September 28, 1999, http://www.citi.umich.edu/u/kwc/CIC-RPG/CIC-DirectoryServicesSummitSep1999.htm • Programer’s Guide Nestcape LDAP SDK for C, Noviembre 20 de 2000 • TCP/IP Ilustrated Volume 2, W. Richard Stevens, Addison-Westley – 1994 • RFC 2251 -- Lightweight Directory Access Protocol (v3) • RFC 2254 -- The String Representation of LDAP Search Filters • RFC 2829 -- Authentication Methods for LDAP • http://www.sans.org/infosecFAQ/authentic/layered.htm • Understanding and Deploying LDAP Directory services, Timothy A. Howes, Macmillan – 1999 • http://www.cni.org/projects/authentication/authentication-wp.html • http://www.sans.org/infosecFAQ/win2000/kerberos2.htm • http://www.sans.org/infosecFAQ/dir/LDAP.htm • http://www.sans.org/infosecFAQ/authentic/radius2.htm • Kerveos ftp://ftp.isi.edu/in-notes/pdfrfc/rfc1510.txt.pdf • Radius ftp://ftp.isi.edu/in-notes/pdfrfc/rfc2865.txt.pdf • Rivest, R. and S. Dusse, "The MD5 Message-Digest Algorithm",RFC 1321, April 1992.

×