Ldap
renegodinez1
787 views
21 slides
Aug 07, 2013
Slide 1 of 21
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
About This Presentation
No description available for this slideshow.
Slide Content
AUTENTICACIÓN
CENTRALIZADA CON
TECNOLOGÍA LDAP
ANDRES HOLGUIN CORAL
2002
CENTRALIZADA CON
TECNOLOGÍA LDAP
ANDRES HOLGUIN CORAL
2002
ADVERTENCIA
LA PONECIA NO REFLEJA LA OPINIÓN
DE LA DIRECCIÓN DE TECNOLOGÍAS
DE INFORMACIÓN DE LA
UNIVESIDAD DE LOS ANDES.
LA PONECIA NO REFLEJA LA OPINIÓN
DE LA DIRECCIÓN DE TECNOLOGÍAS
DE INFORMACIÓN DE LA
UNIVESIDAD DE LOS ANDES.
¿Qué es autenticación?
Autenticación se refiere al proceso por el cual un usuario
de una red adquiere el derecho a usar una identidad
dentro de la misma.
Existen diferentes maneras de autenticar a un usuario:
•El uso de claves (Lo que se)
•Tokens (Lo que tengo)
•Biométricos (Lo que soy)
•Combinaciones de los Anteriores (factor 1, factor 2 …)
Autenticación se refiere al proceso por el cual un usuario
de una red adquiere el derecho a usar una identidad
dentro de la misma.
Existen diferentes maneras de autenticar a un usuario:
•El uso de claves (Lo que se)
•Tokens (Lo que tengo)
•Biométricos (Lo que soy)
•Combinaciones de los Anteriores (factor 1, factor 2 …)
¿Dónde se origina el problema?
1.El usuario usa tantas claves y métodos de
autenticación como servicios presta la
organización.
•El usuario para simplificar su trabajo tiende a
usar claves muy fáciles.
•Con un mínimo conocimiento de la persona
puedo saber cual es la clave que usa.
•Los costos de administración de usuarios
aumentan.
El problema de la autenticación(1)
autenticación como servicios presta la
organización.
•El usuario para simplificar su trabajo tiende a
usar claves muy fáciles.
•Con un mínimo conocimiento de la persona
puedo saber cual es la clave que usa.
•Los costos de administración de usuarios
aumentan.
El problema de la autenticación(1)
2.La administración de usuarios se hace de
manera descentralizada en cada aplicación.
3.Cada servicio que presta la organización tiene
su propio método para el manejo de los
usuarios.
El problema de la autenticación(2)
manera descentralizada en cada aplicación.
3.Cada servicio que presta la organización tiene
su propio método para el manejo de los
usuarios.
El problema de la autenticación(2)
¿Qué pasa si se compromete una clave?
•Perdida de confidencialidad de la información,
debido a que al usar claves débiles se puede
acceder a la información privada de la
organización.
•Perdida de la integridad de la información y
suplantación de usuarios, usando la clave de
otra persona se puede alterar la información
haciéndose pasar por otra persona.
•Perdida de la disponibilidad de la información, al
cambiar la información no se tiene acceso a
ésta cuando se requiere.
•Perdida de confidencialidad de la información,
debido a que al usar claves débiles se puede
acceder a la información privada de la
organización.
•Perdida de la integridad de la información y
suplantación de usuarios, usando la clave de
otra persona se puede alterar la información
haciéndose pasar por otra persona.
•Perdida de la disponibilidad de la información, al
cambiar la información no se tiene acceso a
ésta cuando se requiere.
La solución
AUTENTICACIÓN
CENTRALIZADA
AUTENTICACIÓN
CENTRALIZADA
¿Qué es autenticación centralizada?
Autenticación centralizada es ubicar los usuarios y sus
claves en un repositorio centralizado, para que los
usuarios de los servicios se validen en este lugar.
Radius
UNIX APLICACIONES
LDAP
Autenticación centralizada es ubicar los usuarios y sus
claves en un repositorio centralizado, para que los
usuarios de los servicios se validen en este lugar.
Radius
UNIX APLICACIONES
LDAP
¿Cómo se implementa?
PAM para
UNIX
free radius Sincronización
con active
directory
free radius
con eap
Módulo de
Autenticación
LAD
PAM para
UNIX
free radius Sincronización
con active
directory
free radius
con eap
Módulo de
Autenticación
LAD
¿Cómo funciona?
¿Qué es LDAP?
•Lightweight Directory Access Protocol.
•Es un protocolo cliente servidor hecho para acceder a un
servicio de directorio en el modelo TCP/IP. Esta basado
en el protocolo X.500.
•Un directorio es similar a una base de datos, pero tiende
a contener información más descriptiva.
•Directorio refleja a la gente dentro de la estructura de
una organización.
•Lightweight Directory Access Protocol.
•Es un protocolo cliente servidor hecho para acceder a un
servicio de directorio en el modelo TCP/IP. Esta basado
en el protocolo X.500.
•Un directorio es similar a una base de datos, pero tiende
a contener información más descriptiva.
•Directorio refleja a la gente dentro de la estructura de
una organización.
Diseño de un directorio
Como el protocolo LDAP es la base del sistema de
autenticación centralizada, el diseño del directorio es la
clave para el buen funcionamiento de la solución.
O=dominio.com
ou=bogota ou=cali ou=medellin
Como el protocolo LDAP es la base del sistema de
autenticación centralizada, el diseño del directorio es la
clave para el buen funcionamiento de la solución.
O=dominio.com
ou=bogota ou=cali ou=medellin
PAM (Pluggable Authentication Module)
Es una librería de interfase para la autenticación
de múltiples servicios.
Desliga la autenticación del sistema operativo y lo
traslada a un tercero, que en este caso es LDAP.
Ventajas: Seguridad
Flexibilidad
Es una librería de interfase para la autenticación
de múltiples servicios.
Desliga la autenticación del sistema operativo y lo
traslada a un tercero, que en este caso es LDAP.
Ventajas: Seguridad
Flexibilidad
¿Qué es LAD?
•LDAP Autentication Deamon
•Es un demonio que corre sobre una
maquina con sistema operativo Linux o
Solaris.
•La función de este demonio es hacer que
las aplicaciones web que se autentican
usando el protocolo AUTD lo hagan de
manera segura y usando LDAP.
•LDAP Autentication Deamon
•Es un demonio que corre sobre una
maquina con sistema operativo Linux o
Solaris.
•La función de este demonio es hacer que
las aplicaciones web que se autentican
usando el protocolo AUTD lo hagan de
manera segura y usando LDAP.
Como funciona el módulo LAD
Directorio LDAP
Módulo Autenticacion con
LDAP
Módulo Autenticacion con el
cliente
Módulo de Logs Módulo de Gestion
Base de datos
relacional
Archivo de logs
Módulo Central
Usuarios
Coneccio
Segura
Conexión SSL
Directorio LDAP
Módulo Autenticacion con
LDAP
Módulo Autenticacion con el
cliente
Módulo de Logs Módulo de Gestion
Base de datos
relacional
Archivo de logs
Módulo Central
Usuarios
Coneccio
Segura
Conexión SSL
¿Qué es Active Directory?
Es la implementación del protocolo LDAP que
Microsoft desarrollo para Windows 2000
Server.
Es la implementación del protocolo LDAP que
Microsoft desarrollo para Windows 2000
Server.
Sincronización con Active Directory
Para la creación de cuentas en el active
directory, se usan scripts hechos en un servidor
UNIX de manera centralizada, estos scripts
crean las cuentas tanto en el sistema operativo
UNIX como en el LDAP y en el Active Directory.
Lo único que hay que tener en cuenta es que
los campos en el directorio Iplanet o OpenLDAP
y en el Active Directory se llaman diferente.
Para la creación de cuentas en el active
directory, se usan scripts hechos en un servidor
UNIX de manera centralizada, estos scripts
crean las cuentas tanto en el sistema operativo
UNIX como en el LDAP y en el Active Directory.
Lo único que hay que tener en cuenta es que
los campos en el directorio Iplanet o OpenLDAP
y en el Active Directory se llaman diferente.
Relación entre los nombres de los campos
IPLANET -
OpenLDAP
ACTIVE
DIRECTORY
dn dn
uid samaccountname
email userprincipalname
displaynamedisplayname
givenname givenname
IPLANET -
OpenLDAP
ACTIVE
DIRECTORY
dn dn
uid samaccountname
email userprincipalname
displaynamedisplayname
givenname givenname
¿Cómo se sincronizan las claves?
Se debe hacer una aplicación que cambie las claves tanto
en el Directorio LDAP (OpenLDAP o Iplanet) y en el Active
Directory.
Para lograr que las claves se mantengan sincronizadas se
deben manjar las excepciones en esta aplicación, por
ejemplo que unos los dos directorios se encuentre fuera de
línea.
Por último a los usuarios no se les debe permitir cambiar la
clave desde su estación de trabajo Windows.
Se debe hacer una aplicación que cambie las claves tanto
en el Directorio LDAP (OpenLDAP o Iplanet) y en el Active
Directory.
Para lograr que las claves se mantengan sincronizadas se
deben manjar las excepciones en esta aplicación, por
ejemplo que unos los dos directorios se encuentre fuera de
línea.
Por último a los usuarios no se les debe permitir cambiar la
clave desde su estación de trabajo Windows.
Referencias
• Implementing LDAP in the Solaris™ Operating Environment, Tom Bialaski - Enterprise
Engineering, Sun BluePrints™ OnLine - October 2000
• Internetworking whit TCP/IP Volume III Douglas E. Comer David L. Estevens, Prentice Hall –
1993
• Notes from the Directory Services Summit at Big Ten Conference Center September 28,
1999, http://www.citi.umich.edu/u/kwc/CIC-RPG/CIC-DirectoryServicesSummitSep1999.htm
• Programer’s Guide Nestcape LDAP SDK for C, Noviembre 20 de 2000
• TCP/IP Ilustrated Volume 2, W. Richard Stevens, Addison-Westley – 1994
• RFC 2251 -- Lightweight Directory Access Protocol (v3)
• RFC 2254 -- The String Representation of LDAP Search Filters
• RFC 2829 -- Authentication Methods for LDAP
• http://www.sans.org/infosecFAQ/authentic/layered.htm
• Understanding and Deploying LDAP Directory services, Timothy A. Howes, Macmillan – 1999
• http://www.cni.org/projects/authentication/authentication-wp.html
• http://www.sans.org/infosecFAQ/win2000/kerberos2.htm
• http://www.sans.org/infosecFAQ/dir/LDAP.htm
• http://www.sans.org/infosecFAQ/authentic/radius2.htm
• Kerveos ftp://ftp.isi.edu/in-notes/pdfrfc/rfc1510.txt.pdf
• Radius ftp://ftp.isi.edu/in-notes/pdfrfc/rfc2865.txt.pdf
• Rivest, R. and S. Dusse, "The MD5 Message-Digest Algorithm",RFC 1321, April 1992.
• Implementing LDAP in the Solaris™ Operating Environment, Tom Bialaski - Enterprise
Engineering, Sun BluePrints™ OnLine - October 2000
• Internetworking whit TCP/IP Volume III Douglas E. Comer David L. Estevens, Prentice Hall –
1993
• Notes from the Directory Services Summit at Big Ten Conference Center September 28,
1999, http://www.citi.umich.edu/u/kwc/CIC-RPG/CIC-DirectoryServicesSummitSep1999.htm
• Programer’s Guide Nestcape LDAP SDK for C, Noviembre 20 de 2000
• TCP/IP Ilustrated Volume 2, W. Richard Stevens, Addison-Westley – 1994
• RFC 2251 -- Lightweight Directory Access Protocol (v3)
• RFC 2254 -- The String Representation of LDAP Search Filters
• RFC 2829 -- Authentication Methods for LDAP
• http://www.sans.org/infosecFAQ/authentic/layered.htm
• Understanding and Deploying LDAP Directory services, Timothy A. Howes, Macmillan – 1999
• http://www.cni.org/projects/authentication/authentication-wp.html
• http://www.sans.org/infosecFAQ/win2000/kerberos2.htm
• http://www.sans.org/infosecFAQ/dir/LDAP.htm
• http://www.sans.org/infosecFAQ/authentic/radius2.htm
• Kerveos ftp://ftp.isi.edu/in-notes/pdfrfc/rfc1510.txt.pdf
• Radius ftp://ftp.isi.edu/in-notes/pdfrfc/rfc2865.txt.pdf
• Rivest, R. and S. Dusse, "The MD5 Message-Digest Algorithm",RFC 1321, April 1992.
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 787
- Slides 21
- Age 4502 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
33 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
36 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
33 views
14
Fertility awareness methods for women in the society
Isaiah47
30 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
29 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
30 views