LDAP (Lightweight Directory Access Protocol)

LDAP se desarrolló como protocolo de aplicaciones y acceso para proveedores de servicios de directorio. Con el protocolo LDAP se pueden buscar, cambiar o autenticar datos, información y elementos a gran escala en servicios de directorio distribuidos y gestionar la comunicación con los bancos de datos de los directorios.

LDAP (“Lightweight Directory Access Protocol”) pertenece al grupo de los protocolos de red y se presenta como protocolo de acceso estandarizado para consultas y cambios según el modelo cliente-servidor en servicios de directorio distribuidos y centrales. A menudo se habla también de servidor LDAP cuando los servidores de directorio se comunican a través del protocolo LDAP. “Lightweight” se refiere a la variante ligera X.500 del protocolo de acceso DAP (“Directory Access Protocol”). Debido a que DAP es demasiado complejo para implementaciones efectivas en empresas grandes con datos de usuarios ilimitados, en la práctica se suele utilizar LDAP.

LDAP se basa en una pila de protocolos de TCP/IP y se puede usar de manera flexible para todos los sistemas de directorio. Para la transmisión de datos puedes usar puertos TCP y UDP. LDAP está especialmente extendido en áreas e industrias que necesitan procesar y gestionar grandes cantidades de datos e información, por ejemplo, en el sector de la telecomunicación, aviación, tecnologías de la información y desarrollo de hardware y software. Como puertos estándar para transferencia de datos existen el puerto 389, para la transferencia de datos no cifrados, y el puerto 636, para la transferencia de datos cifrados.

Unas tareas y objetivos de uso importantes y frecuentes de LDAP son:

• Almacenamiento central/autenticación/autorización de datos de usuario y contraseñas
• Inserción de entradas y operaciones en la base de datos del directorio
• Autenticación o enlace de sesiones
• Modificación, búsqueda, comparación, ampliación o eliminación entradas del directorio
• Búsqueda de esquemas
• Presentación de consultas
• Desvinculación de operaciones

Las configuraciones de LDAP utilizan una estructura de árbol de directorio (DIT) estandarizada y jerárquica para los directorios y estructura de datos, que puede distribuirse en varios servidores. La estandarización se realiza sobre los respectivos esquemas de las clases de objetos y sus atributos. A su vez, la jerarquía del árbol se divide o ramifica en diferentes niveles políticos, geográficos u organizativos representativos, tal y como te mostramos a continuación:

• Directorio raíz
• Países
• Organizaciones
• Unidades de organización
• Personas
• Personas individuales (individuos, recursos)

El directorio LDAP puede presentarse en servidores LDAP como una versión completa copiada que sincroniza las modificaciones de la versión original. Las consultas en el servidor pasan por el servidor LDAP, también llamado Directory System Agent (DSA), que puede distribuir las consultas a más servidores DSA y así garantizar a los usuarios una respuesta rápida y eficaz.

LDAP utiliza un enfoque de programación orientado a objetos, que cuenta con objetos, clases, herencia y polimorfismo asociado. Una entrada de directorio LDAP independiente (objeto LDAP) se compone de atributos y de la designación obligatoria del objeto “Distinguished Name” (DN). La estructura de DN es similar a las convenciones de nombre de archivos y evita que haya dos objetos idénticos en un nivel.

Los atributos que componen un objeto tienen pueden identificarse con abreviaturas como cn (common name), st (state) o sn (surname). Además, los atributos pueden ser de uno o varios valores. Mientras que hay objetos contenedores que incluyen objetos, los extremos de una jerarquía de árbol se ramifican en objetos hoja individuales (objetos).

El protocolo usa procedimientos de acceso específicos que indican al servidor LDAP a través de la directiva bind y una denominación distinguida (DN) quién accede al directorio. El BaseDN se utiliza para definir qué niveles del directorio entran en consideración para la búsqueda, por ejemplo, mediante especificaciones como base (este objeto), sub (este y todos los objetos por debajo de él) o one (el nivel por debajo del BaseDN).

LDAP es, junto a Kerberos, SMB y DNS, uno de los cuatro protocolos estándar centrales que proporciona una comunicación y transmisión de datos fluidas en Microsoft Active Directory. Active Directory se desarrolló para ser usado como servicio de directorio en los servidores Exchange con soporte LDAP para permitir consultas uniformes a los directorios de Active Directory e integrar los servicios con base de LDAP en el entorno AD.

Active Directory es un servicio de directorio potente y relativamente fácil de escalar para empresas grandes con varios miles de trabajadores. Se concentra en estructuras de Windows. El protocolo LDAP ofrece mayor flexibilidad y extensibilidad para grandes implementaciones con una comunidad de usuarios ramificada gracias al entorno Linux/Unix y a su compatibilidad con código abierto. Por ello, LDAP y los servidores LDAP se utilizan también en sectores industriales como la telefonía móvil o la aviación, donde se procesan varios millones de solicitudes de autenticación de usuarios.

Casos en los que merece la pena usar LDAP:

• Gestión de usuarios y sistemas
• Clasificación de protocolos y RFC
• Información de NIS/Boot
• Gestión de datos de zonas DNS y de los puntos de montaje
• Organización de alias (correo electrónico) y servidores DHCP

LDAP está especialmente extendido en los ámbitos que dependen de las consultas de direcciones completas y de la autenticación de usuarios. Entre ellos se encuentran:

• Libreta de direcciones: soluciones de software administrativo para libretas de direcciones como Mozilla Thunderbird, Microsoft Outlook o el servicio de contacto de Apple
• Gestión de usuarios: servicios de directorio para la gestión de usuarios como Apple Open Directory, Microsoft Active Directory o NetlQ eDirectory
• Autenticación: interfaces de programación para la autenticación de usuarios como PAM
• Gestión de datos de usuarios: organización/gestión de datos de usuarios en servidores POP/IMAP/SMTP o sistemas de bancos de datos y servidores de correo electrónico como qmail, sendmail o exim
• Sistemas de gestión de documentos: legitimación de usuarios solicitantes o creación de libretas de teléfonos como en impresoras multifunción, soluciones antispam VoIP, WebProxy o NetScaler

LDAP ofrece una autenticación y autorización optimizadas y una búsqueda eficaz de datos de direcciones y de usuarios. Debido a sus muchas ventajas para las empresas, LDAP sirve a modo de un estándar de la industria y es compatible con la mayoría de los productos de software. Las ventajas principales son la rapidez de las consultas y conexiones, un lenguaje de consulta sencillo y un protocolo claramente estructurado.

El acceso a los datos, así como su lectura en los servicios de directorio compatibles con LDAP, funciona de manera ininterrumpida gracias al almacenamiento de datos no normalizados. Esto es particularmente notable en áreas con muchas entradas de datos pequeñas y no muy subdivididas.

LDAP ofrece también para consultas regulares en bases de datos grandes o para almacenamiento distribuido de datos un gran ahorro de tiempo y estructuras de datos potentes. Esto se lleva a cabo a través de servicios de directorio distribuidos en todo el servidor, réplicas de directorio acopladas para la comparación de datos y alta disponibilidad fiable, entre otros.

Con la variante de LDAP protegida por SSL/TLS, se garantiza también el cifrado de datos del remitente y del destinatario y, por consiguiente, una autenticación respaldada por certificados. A través del establecimiento de una conexión SSL/TLS, se protege el intercambio de datos además contra la manipulación y el robo de datos.