Manual de Usuario de LDAP

Introducción

LDAP (Lightweight Directory Access Protocol) es un protocolo estándar utilizado para acceder y gestionar información almacenada en servicios de directorio, como el Active Directory de Microsoft, el OpenLDAP entre otros. Frecuentemente se usa para centralizar información de usuarios, grupos y recursos en una red, como en sistemas de autenticación, directorios de contactos y sistemas de gestión de acceso.

Este manual cubre el uso de LDAP con la herramienta Apache Directory Studio.

Iniciando el uso

Creando una conexión

Por el menú File -> New se abrirá el Wizard, elegir LDAP Browser -> LDAP Connection. O, en la ventana de conexiones, con el botón derecho elegir New Connection.

Rellenar solamente el Nombre de la conexión (Connection name) y el Hostname (o IP) y avanzar a la siguiente pantalla.

Rellenar el campo Bind DN or User y Bind password según lo informado por el equipo que creó el LDAP. Después de configurado es posible hacer clic en Check Authentication para confirmar el acceso e inicio de sesión en el LDAP.

(Opcional) En la siguiente pantalla, Browser Option, marcar Fetch operational attributes while browsing para mejorar la visibilidad de los grupos a los que pertenece cada usuario.

Conectando por la pestaña de Connections

Verifique qué servidor de la lista desea conectar, haga doble clic en el servidor elegido o selecciónelo y haga clic en el ícono de conexión (destacado en rojo en la imagen abajo).

Si la conexión tiene éxito, el ícono del servidor cambiará a amarillo:

Estructura del LDAP

Árbol de directorios

El árbol utilizado se basa esencialmente en Groups y Users, pudiendo adicionalmente contar con Policies para políticas de contraseña.

Siglas

Sigla
Significado

dc

Componentes del dominio (Domain Component)

o

Unidad organizacional a la cual pertenece el usuario (Organizational Unit)

cn

Nombre común (Common Name)

sn

Apellido de la persona (Surname)

uid

ID de usuario (User ID)

mail

correo electrónico (Email Address)

Árbol Users

En este árbol se crean los usuarios y se definen sus contraseñas, puede estar estructurado en subniveles para facilitar la organización de los usuarios mediante el concepto de agrupamiento por localidad, departamento, etc.

Árbol Groups

En este árbol se definen grupos que representarán permisos/roles de acceso a las herramientas, mediante la adición del usuario al grupo de acceso deseado.

Ejemplo de grupos:

  • etr_view - Usuarios añadidos a este grupo tendrán acceso a los permisos definidos en el grupo, que representan opciones de acceso al ETR como visualizador.

  • bcc_verify - Usuarios añadidos a este grupo podrán iniciar sesión en el BCC y realizar búsquedas de verificación (búsquedas 1:1).

Registro de usuario

En la creación de usuario, rellenar los siguientes atributos:

cn - usado como el nombre del inicio de sesión del usuario; sn - usado para registrar el nombre completo del usuario; uid - reservado para uso futuro, debiendo rellenarse con el mismo texto que el cn; password - rellenado con la contraseña de este usuario; mail - usado para registrar el correo electrónico del usuario.

Para registrar un usuario, haga clic con el botón derecho encima de ou=User y elija New -> New Entry:

Se abrirá la pantalla de creación de usuario. En caso de que existan o intermedias, cambie la ruta en el directorio de creación. En caso contrario, si no se realiza ninguna alteración, el usuario será creado en la raíz del directorio Users.

En la pantalla siguiente, elimine organizationalUnit:

Añada inetOrgPerson y la aplicación automáticamente traerá las clases de dependencia organizationalPerson, person y top:

Avance a la siguiente pantalla para elegir el cn. Rellene con el cn de inicio de sesión deseado:

En esta nueva pantalla se muestra un resumen de lo que se hará y se puede cambiar el sn. Rellene, si es posible, con el nombre completo del usuario.

A continuación, haga clic con el botón derecho del ratón en New Attribute:

Elija UID y rellene con el valor del UID.

El valor del UID debe provenir del administrador de usuarios del sistema.

A continuación, el atributo userPassword:

Al finalizar, se abrirá la pantalla para definir la contraseña. Elija CRYPT-SHA-512 y rellene con la contraseña deseada:

Finalmente, elimine el objectClass organizationalPerson (estructural) haciendo clic con el botón derecho y eligiendo Delete Value:

Adición de grupo a un usuario

En Users, abra el registro de un usuario y copie el DN del usuario mostrado en el encabezado de la pantalla:

DN es la sigla para Distinguished Name, que es el Nombre Distinguido del objeto en el LDAP. Es la manera de identificar un objeto de forma única en el directorio. Proporciona la ruta a la entrada específica dentro de la jerarquía del directorio LDAP, que está organizada en una estructura de árbol. Un DN se compone de una secuencia de nombres relativos distintos (RDNs) conectados por comas. Cada RDN es un componente del DN que representa un valor de atributo específico.

Por ejemplo:

  • cn=leandro.pinheiro: Nombre Común (cn) de la entrada. Generalmente se utiliza para nombres de personas u objetos.

  • ou=Users: Unidad Organizacional (o) donde la entrada está ubicada.

  • dc=oldap: Componente de Dominio (dc). Puede representar un subdominio o una parte específica del dominio dentro de la estructura LDAP.

  • dc=igp: Otro Componente de Dominio (dc). Representa otra parte del dominio, posiblemente indicando un departamento o subdivisión dentro de la organización.

  • dc=griaule: Componente de Dominio (dc) de nivel más alto. Representa el dominio principal de la organización.

Por lo tanto, el DN cn=leandro.pinheiro,ou=Users,dc=oldap,dc=igp,dc=griaule identifica a un usuario específico llamado leandro.pinheiro dentro de la unidad organizacional Users, que forma parte del subdominio oldap, del dominio igp, dentro del dominio principal griaule. Este DN proporciona una ruta clara y única para localizar esta entrada específica en el directorio LDAP de la organización.

A continuación, abra la raíz de Groups y elija el grupo deseado. Haga clic con el botón derecho en el grupo y en New Attribute. En Attribute Type, elija member. Haga clic en Finish.

En la pantalla DN Editor, pegue el DN completo del usuario (copiado en el primer paso). Haga clic en OK:

Adición rápida de grupo a un usuario

Cuando el grupo ya posee usuarios/miembros, la adición de un nuevo usuario al grupo es más ágil: basta con hacer clic con el botón derecho en el componente member y elegir New Value. La pantalla DN Editor se abrirá. Entonces, como se muestra en la sección anterior, pegue el DN completo del usuario y haga clic en OK.

Eliminación del usuario de un grupo

Abra el grupo en el que el usuario está:

Haga clic con el botón derecho en el member del usuario que se desea eliminar del grupo y haga clic en Delete Value:

Confirme haciendo clic en OK:

Creación de grupo

Para crear un nuevo grupo, haga clic con el botón derecho encima de ou=Groups y elija New -> New Entry.

Se abrirá la pantalla de creación, similar a la creación de usuarios. Elija la opción organizationalUnit.

Elija o y rellene un nombre, en el ejemplo abajo se eligió LDAP. Finalice la creación del grupo haciendo clic en Finish.

Navegación en el LDAP

Búsqueda de grupos del usuario por "Quick Search"

Para localizar los grupos de un usuario, acceda al buscador del LDAP y seleccione la opción cn o member.

Seleccionando member, será necesario buscar utilizando el DN completo del usuario.

En la parte superior derecha, verifique si el siguiente ícono está seleccionado:

Si no lo está, selecciónelo. Esto permitirá hacer una búsqueda por todo el árbol de groups (opciones search one level only o search whole subtree).

Verifique la respuesta en el Quick Search:

Nunca realizar eliminación de usuario usando el resultado de la búsqueda (en el elemento Quick Search), pues se han buscado los grupos a los que pertenece esta persona. Por lo tanto, borrar una línea del Quick Search significa borrar el grupo y no el usuario.

Lista de grupos del usuario en la descripción del usuario

Otra forma de verificar los grupos a los que pertenece el usuario es a través de la Fetch.

Para ello, haga clic con el botón derecho del ratón en el nombre del usuario y elija Fetch -> Fetch Operational Attributes:

También es posible insertar el Fetch Operacional Attributes haciendo clic con el botón derecho del ratón y eligiendo Properties. A continuación, haga clic en Connection y abra la pestaña Browser Options. Entonces, en la sección Features, marque la opción Fetch operational attributes while browsing:

Así, los grupos a los que pertenece el usuario se mostrarán durante la navegación:

Cambio de contraseña

Localice al usuario mediante Quick Search, como se muestra en este paso a paso.

Después de localizar al usuario, haga doble clic en userPassword y abra la pestaña New Password.

Introduzca la nueva contraseña y confirme.

Después de aplicar la nueva contraseña, aparecerá la pantalla de Modification Logs confirmando su modificación.

Verificación de contraseña

Para verificación de contraseña, primero localice al usuario mediante Quick Search, como se muestra en este paso a paso.

Después de localizar al usuario, haga doble clic en userPassword y abra la pestaña Current Password.

En el campo, Verify Password, introduzca la contraseña actual del usuario y haga clic en Verify.

Si la contraseña es correcta, el mensaje "Password verified successfully" será mostrado.

Organización de usuarios

Usuarios por subgrupos

La organización eficiente de los usuarios en un directorio LDAP puede realizarse mediante subárboles. Esta estructura facilita la administración del directorio, permitiendo una segmentación clara de los usuarios basada en criterios específicos como empresa, departamento o contratos.

Concepto de Subárbol de Usuarios

Para optimizar la gestión de usuarios, se recomienda la implementación de un subárbol jerárquico con uno o dos niveles como máximo de profundidad. Esta práctica garantiza una separación lógica de los usuarios, aportando claridad y eficiencia en la administración del directorio.

Ventajas del Subárbol de Usuarios

  1. Simplificación de la Administración: Reduce la complejidad de la administración del LDAP.

  2. Organización Estructurada: Facilita la localización y gestión de objetos LDAP.

  3. Mejora del Rendimiento: Minimiza el tiempo de respuesta en consultas y operaciones en el LDAP.

Esta estructura ejemplifica:

  • ROOT: Nivel raíz del directorio LDAP.

  • Organización: Unidad organizacional principal.

  • UF: Unidad Federativa, ejemplificando con SP (São Paulo).

  • CONTRATO: Subdivisión de contratos, como Polícia Científica.

  • USER: Usuarios dentro del contrato específico.

  • Permiso: Permisos asociados a los usuarios.

Otro ejemplo, este directamente en el LDAP, consiste en un árbol de subgrupos. Donde se tiene un grupo policiaCivil y dentro de él un subgrupo SC.

Última actualización

¿Te fue útil?