ZeroShell    Forum
   Feed Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      ¿Qué es esto?
      Imágenes
      Licencia
      Anuncios
      Lista de correo
      Forum
      Documentación
      FAQ
      Hardware
      Download
      Actualización on-line
      Kerberos Tutorial  
      Aviso legal
      Contacto


  Más detalladamente:
      Gráficos
      Net Balancer
      Router UMTS
      Antivirus proxy
      Punto de acceso WiFi
      OpenVPN cliente
      Servidor OpenVPN
      QoS
      OpenDNS
      Kerberos 5
      NIS y LDAP
      Certificados X.509
      RADIUS
      Portal Cautivo
      VPN
      Firewall





LDAP y NIS

La autenticación no es el único mecanismo involucrado en el acceso a los recursos de una red local: después de haber reconocido a un usuario como auténtico, el usuario no puede acceder a todos los servicios de forma indiscriminada. Un mecanismo de autorización para el uso de los recursos es necesario. Por otro lado, si nos fijamos en el contenido del archivo /etc/passwd de un sistema Unix, no sólo contiene las contraseñas encriptadas (en realidad muchas veces no los contiene), sino también el ID de usuario, ID de grupo de los principales grupo, descripción, directorio de inicio y la cáscara de inicio de sesión de usuario. Esta información caracteriza al usuario en el sistema, y, en particular el UID y el GID, si está presente en las ACL (Access Control Lists) de un recurso, autorizar el acceso a ella.
La técnica de los archivos locales, tales como /etc/passwd y /etc/group no es aplicable en grandes redes de área local ya que es necesario para reproducir la entrada correspondiente para cada estación de trabajo y el servidor para un usuario o grupo para el acceso. En caso de que más adelante sea necesario modificar la información de un usuario, por ejemplo, su cáscara grupo o inicio de sesión, el administrador se verá obligado a repetir el cambio para cada máquina que el usuario puede acceder.

La solución a estos problemas se encontró con el desarrollo de el protocolo NIS (Network Information Service), también conocido como Sun Yellow Pages (YP). Permite que la información contenida en el archivo /etc/passwd, /etc/group, /etc/shadow a estar centralizada en un servidor, su distribución a los clientes a través de la red. En este punto, el administrador puede entrar, editar y borrar la información que acaba en el servidor NIS para que esté disponible automáticamente en todos los nodos de Unix.

En el pasado contraseñas encriptadas se encuentran en /etc/passwd o /etc/shadow se distribuyeron por NIS, por lo que es actuar como autenticación, así como de autorización del servidor. Hoy en día, esta técnica no es aplicable porque se trata de mover la contraseña a través de una red abierta e insegura en un sniffer podría capturar y, con el poder de procesamiento disponible, desencriptación en una pocas horas de máquina. Por lo tanto, es preferible a delegar el trabajo a un servidor de autenticación Kerberos, que gracias a los tickets y autenticadores nunca pone secretos de usuario en la red.

NIS funciona con "plano" dominios y por lo tanto no aptos para grandes organizaciones que por su naturaleza pueden ser organizados jerárquicamente. En tales casos, el uso de LDAP (Lightweight Directory Access Protocol) protocolo es cada vez más generalizada, lo que permite el acceso a los datos organizados en directorios X500. En general, un dominio LDAP se hace para corresponder al dominio absoluto de la estructura que debe representar y dividirlo en unidades de Organización (OU), basado en la subdivisión natural de la organización.

A diferencia de NIS, LDAP es extensible, lo que significa que el tipo de datos que puede representar no fijadas de antemano por el protocolo, pero puede ser cambiado por el administrador mediante la adición de esquemas. Hay esquemas de autorización, recopilar información del usuario (teléfono, fax, correo electrónico, dirección, etc), la localización de las impresoras de red, la memorización de las zonas DNS, enrutamiento SMTP para el correo electrónico, base de datos de RADIUS y muchos otros. Naturalmente, los esquemas puede ser personalizado por el administrador del sistema.

Probablemente el más conocido de la guía consultable con LDAP es el Microsoft Active Directory en la actualidad el controlador de dominio de Windows. Gracias a la naturaleza jerárquica de LDAP y la transitividad de las relaciones de confianza del Kerberos 5, Microsoft ha logrado obtener una autenticación, autorización y auditoría, que es increíblemente escalable a las grandes organizaciones, ya que, naturalmente, distribuye la carga de trabajo en los subdominios que componen la estructura más amplia.

Zeroshell utiliza LDAP para memorizar los datos relativos a las zonas del servidor DNS, los atributos para el servidor RADIUS y las autorizaciones de los usuarios y los ejércitos. Responde a los clientes LDAPv2 y LDAPv3 y contiene los esquemas para la gestión centralizada de las libretas de direcciones (compatibles con Netscape, Mozilla y Outlook). Zeroshell también responde a las solicitudes de cliente NIS lo que garantiza el apoyo a las solicitudes de autorización para los mayores ejércitos que no tienen LDAP.




    Copyright (C) 2005-2012 by Fulvio Ricciardi