Single Sign LDAP con Open LDAP

Armando Carvajal Ing Sistemas Unincca Especialista en software para redes Uniandes Gerente Tcnico Unixgroup Octubre 15 de 2004, Bogot, Colombia E-mail: armando.carvajal@unixgroup.com.co website: http://www.unixgroup.com.co

Encontrando el camino hacia el software libre ACIS Octubre de 2004

El problema de la Administracin de Identidades

Encontrando el camino hacia el software libre ACIS Octubre de 2004

El problema de Administracin de Identidades

Cada Usuario tiene mltiples identidades en la empresa  Mltiples administradores para cada usuario  No existe un mtodo seguro para compartir las identidades de usuarios entre ambientes linux, UNIX y Windows  No existe un nico punto de administracin para cada usuario

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Costos en Seguridad y Mesa de Ayuda

 


Fuente: Rainbow eSecurity, 2003 Gartner Research, 2003

Un usuario promedio utiliza 5+ claves 55% de los usuarios escribe la clave en papel al menos una vez 9% de todos los usuarios escriben en papel todas las claves 51% de todos los usuarios requieren ayuda de TI porque olvidaron su clave 25% de todas las consultas a las mesas de ayuda estn relacionadas con claves

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Proceso Tradicional de Manejo de Identidades

Username: brucem Password: hockey1 Username: bmackay Password: hockey1

Solaris

Windows

Username: brucem Pass: hockey1

Username: bmackay Password: hockey1

AIX

Linux

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Proceso tradicional de Manejo de Identidades

Username: bruce Password: hockey1 Username: bmackay Password: hockey1

Solaris

Windows

Problema: Linux UNIX 4 nombres de usuarios diferentes 4 Herramientas de Admin. diferentes 4 lugares diferentes donde se guardan las claves

Username: brucem Pass: hockey1

Username: bmackay Password: hockey1

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Autenticacin Tradicional
/etc/passwd  NIS  PAM/NSS


Encontrando el camino hacia el software libre ACIS Octubre de 2004

Autenticacin /etc/passwd
login: juana Password: ***

getpwnam(juana)

/etc/passwd /etc/shadow

juana:w8f{2rs:1253:1253:Juana la loca:/home/juana:/bin/bash

crypt() strcmp() Falla o llama el shell del usuario

Encontrando el camino hacia el software libre ACIS Octubre de 2004

/etc/passwd Pros/Contras
 

Ventajas:


Muy simple Diseado para autenticacin local Cada mquina debe tener el archivo /etc/passwd El mismo archivo debe replicarse para las cuentas comnes /etc/passwd no es extensible

Desventajas:
 

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Network Information System NIS

login: juana Password: ***

/etc/passwd

getpwnam(juana)
juana:s8f{2rs:1253:1253:Juana:/home/juana:/bin/bash

NIS Server

crypt() strcmp() Falla o llama el shell

Encontrando el camino hacia el software libre ACIS Octubre de 2004

NIS Pros/Contras
Ventajas:


Permite distribuir el archivo maestro /etc/passwd y /etc/shadow entre diferentes servidores Compatible con la mayora de Unix/linux Muchos huecos de seguridad Cambios en herramientas administrativas Incompatible con sistemas diferentes a UNIX No trabaja en modo desconectado

Desventajas:
   

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Name Service Switch (NSS)

login: juana Password: ***

/etc/passwd
/etc/nsswitch.conf

getpwnam()

NIS

jdoe:s8f{2rs:1253:1253:Juana:/home/juana:/bin/bash

LDAP SQL

Encontrando el camino hacia el software libre ACIS Octubre de 2004

NSS Pros/Contras
Ventajas:
Permite que una entrada de /etc/passwd se obtenga de cualquier fuente  100% transparente a las aplicaciones


Desventajas:
No disponible en todos los Unix/Linux  Cuando se busca en multiples fuentes de datos la sincronizacion es un problema

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Pluggable Authentication Modules PAM

login: juana Password: ***
unix

/etc/passwd

pam_authenticate()

/etc/pam.d/login

ldap

LDAP
Exito o fracaso
krb5

Kerberos

Encontrando el camino hacia el software libre ACIS Octubre de 2004

PAM Pros/Contras
Ventajas:


 

Permite autenticar directamente contra cualquier fuente de datos Facilmente configurable segn /etc/pam.d Aplicaciones PAM no necesitan mecanismos especificos de cdigo para autenticarse Las utilidades y servicios para autenticarse deben ser PAM enabled (es decir escritos en PAM API)

Desventajas:


Encontrando el camino hacia el software libre ACIS Octubre de 2004

RFC2307

Propuesta con OpenLDAP y PAM_LDAP

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Propuesta con OpenLDAP

Solaris Windows Mdulos: nss_ldap, pam_ldap AIX
Username: bmackay Password: hockey1 Linux con OpenLDAP

Linux

Problema Solucionado! 1 identidad de usuario 1 herramienta de Admin. 1 almacenamiento de claves

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Ambientes Ideales
Utilizacin de un ambiente mixto UNIX y Windows  Busqueda de un ambiente heterogneo seguro  Cambios o rotacin de personal  Manejo de 50+ usuarios UNIX/Linux


Encontrando el camino hacia el software libre ACIS Octubre de 2004

Mensajes Claves
    

Establece una nica identidad para usuarios UNIX, Linux, y Windows Provee alto nivel de seguridad en la red (SSL y Kerberos) Centraliza la administracin de identidades de usuarios UNIX, Linux, y Windows Brinda soporte para mltiples plataformas Se integra en forma transparente en las estaciones de trabajo de los usuarios

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Casos de Exito
 

 

Guardia di Finanza: 3,000 usuarios UK Ministry Of Defense: 1,600 usuarios que acceden a varias aplicaciones, incluyendo una de estadsticas de tripulacin area Dynatronics - EEUU: Autenticando 40 usuarios que acceden aplicaciones contables en Linux ETB - Bogot Ministerio de Defensa - Bogot
Encontrando el camino hacia el software libre ACIS Octubre de 2004

 LDAP

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Qu es LDAP


1 de 2

 

Es un protocolo liviano de acceso a directorios que permite gestionar informacin jerarquica para mantenerla actualizada y disponible en la red LDAP = Lightweight Directory Access Protocol Es una versin simplifada del pesado X.500 DAP protocol del modelo OSI de 1990

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Qu es LDAP


2 de 2

LDAP ver 1 naci en julio de 1993 con el RFC 1487  La informacin se guarda en una BD de tipo jerarquica  El promedio de lectura en la BD es mayor a la de escritura

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Para que sirve LDAP 1 de 2

 Si usted es un administrador: Se puede administrar
en forma centralizada usuarios, grupos, dispositivos  Usted pueden aislar las aplicaciones de los directorios ej: correo electrnico  Si usted es un IT manager: Le permite renunciar a estar amarrado a un solo proveedor y/o sistema operativo  Disminuye costos. Baja el TCO al reducir el total de distintos directorios que se necesitan administrar

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Para que sirve LDAP 2 de 2

Si usted es un desarrollador: Le permite renunciar a estar amarrado

a un solo proveedor y/o sistema operativo Ahorra tiempo de desarrollo ya que no debe desarrollar otravez su propio sistema de directoros para usuarios, grupos, objetos, etc
Encontrando el camino hacia el software libre ACIS Octubre de 2004

Arquitectura 1 de 2
   

Se basa en la arquitectura cliente servidor de dos niveles Es un protocolo orientado a mensajes Hay dos clases de directorios los estticos y los dinmicos Offline directories: Cambian muy poco, ayudan a la gente a encontrar cosas. Ej. Directorio telefnico, pginas amarillas, gua de televisin, catlogos de compras, libreras, bibliotecas, etc
Encontrando el camino hacia el software libre ACIS Octubre de 2004

Arquitectura 2 de 2
 

 

Online directories: Cambian en forma dinmica, deben ser flexibles, deben ser seguros, y deben personalizarse al gusto del usuario Debe ser actualizado por el usuario dueo de la informacin Ej: Directorio de empleados en una empresa para localizarlos cuando cambien sus datos de tel, fax, etc, directorio de hoteles por los que pasa un funcionario, etc
Encontrando el camino hacia el software libre ACIS Octubre de 2004

Productos Comerciales
        

Netscapes Directory Server Innosoft Distributed Directory Server Lucent Technologies Internet Directory Server Sun Microsystems Directory services IBMs DSSeries LDAP Directory Microsoft Active Directory server Novell Suse Open Exchange - Mail SCOoffice Server - Mail Tarantella Broker de aplicaciones
Encontrando el camino hacia el software libre ACIS Octubre de 2004

Competidores de respeto
iPlanet de Netscape  eDirectory de Novell  Novell directory  Active directory de Microsoft


Encontrando el camino hacia el software libre ACIS Octubre de 2004

Website: www.openldap.org
Software en formato rpm o fuente se puede obtener de www.openldap.org:  Es heredado de la versin 3.3 de la Univ.Michigan  A julio de 2004 la version actual es la OpenLDAP 2.2.14


Encontrando el camino hacia el software libre ACIS Octubre de 2004

API para desarrollar en C

Para compilar en C se debe incluir el API  # include <ldap.h>  Algunos comandos asincronicos: ldap_search(), ldap_compare(), ldap_bind(), ldap_unbind(), ldap_modify(), ldap_add(), ldap_delete(), ldap_rename(), ldap_result().  # man ldap  # man slapd

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Formato de presentacin 1 de 2
   

LDIF: Formato de representacin de datos Cdigo ASCII que se puede pasar como mensajes de e-mail (8 bit clean) Una entrada LDIF est formada por varias lineas Inicia con la palabra DN, seguido del nombre nico que identifica la lnea entrada en la BD

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Formato de presentacion 2 de 2
El registro DN debe ocupar una sola lnea  Luego siguen los atributos de la entrada  Cada atributo debe ir en una lnea diferente  Cada atributo de estar seguido por el signo : y acontinuacin su valor


Encontrando el camino hacia el software libre ACIS Octubre de 2004

Ejemplo
dn:o=Acis,c=CO  o:Acis  objectclass:organization  dn: cn=Juana La Loca, o=Acis, c=CO  cn: Juana La Loca  sn: La Loca  telephoneNumber: 781 784 7547  objectclass:inetOrgPerson

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Explicacin
Dn: significa distinguished (Distinguido)  ObjectClass: (Tipo de objeto)  Cn: significa Common name (Nombre Comun)  Sn: significa surname (Apellido)  Telephonenumber: (Nmero de tel)  Uid: Cuenta del usuario  userPassword: Clave del usuario  Mail: (e-mail del usuario)

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Explicacin
Description: (Descripcin del objeto)  O: Significa organization (Nombre de la empresa)  C: significa country (pais)  Es decir primero se tiene un tipo de atributo y en seguida el valor del atributo  Ms informacin ver archivo slapd.conf


Encontrando el camino hacia el software libre ACIS Octubre de 2004

Explicacin


El significado de cada atributo est definido en los archivos de tipo schema residentes en el directorio: /etc/openldap/schema/core.schema, /etc/openldap/schema/cosine.schema, /etc/openldap/schema/inetorgperson.sch ema

Encontrando el camino hacia el software libre ACIS Octubre de 2004

!!!.CONCURSO MILLONARIO.!!!

Que significan las letras LDAP?

1. Gen en espiral de los seres humanos 2. Protocolo liviano para acceso a directorios 3. Marca de las botas de jojoy 4. Nuevo carnaval en Barranquilla 5. Mondongo Le Dio A Burundanga

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Archivos

de configuracin

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Archivos de configuracin: Proceso servidor slapd

El proceso servidor en binario de ldap

se llama: slapd Escucha por el puerto tcp 389 slapd significa: Stand-alone LDAP Daemon En tiempo de boot se arranca por /etc/init.d/ldap

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Configuracin

El shell de arranque /etc/init.d/ldap

llama al servicio demonio slapd y este a su vez busca el archivo de configuracin /etc/openldap/slapd.conf Ambiente por defecto /etc/openldap/ldap.conf Directorio de datos: /var/lib/openldap

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Archivos de configuracin: slapd.conf

     

# Indica los atributos y objetos que LDAP puede manejar por cada registro Include /etc/openldap/schema/core.schema Include /etc/openldap/schema/cosine.schema Include /etc / openldap / schema / inetorgperson.schema # Permite compatibilidad con la antigua versin 2 Falla en RH 9.x allow bind_v2

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Archivos de configuracin: slapd.conf

  

# Tipo de cifrado en los passwords de los usuarios password-hash {SSHA} # Donde formato puede ser algn algoritmo de cifrado simtrico como: {SSHA}, {SHA}, {SMD5}, {MD5}, {CRYPT}, {CLEARTEXT}

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Slapd.conf
     

# Indica el formato de la base de datos database ldbm # Esta es la base de la llave principal suffix o=Acis, c=CO # Es el directorio donde residen los archivos de la base de datos LDAP directory /var/lib/ldap

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Slapd.conf
   

# Este es la base del registro para el administrador rootdn cn=root, o=Acis, c=CO # Este es el password del administrador rootpw {SSHA}msyaU45hcXmiq8ahe9OkewOCKKA4 A5EY

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Slapd.conf
La clave del usuario administrador se puede cifrar con el comando: # slappasswd h Formato > archivo Donde Formato puede ser algn algoritmo de cifrado simtrico: {SSHA}, {SHA}, {SMD5}, {MD5}, {CRYPT}, {CLEARTEXT}

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Slapd.conf


Nota: Jams utilice {CLEARTEXT} dado que si un intruso ve el archivo plano entonces ya conocer la clave del administrador Se recomienda en cambio el algoritmo ms fuerte {SSHA}

Encontrando el camino hacia el software libre ACIS Octubre de 2004

/etc/openldap/ldap.conf


  

El archivo cliente /etc/openldap/ldap.conf debera estar configurado de la siguiente forma: HOST 127.0.0.1 BASE o=Acis, c=CO PORT 389

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Archivo de de datos: ldif

       

dn: o=Acis,c=CO o: Acis postalAddress: Calle 93 con 13A objectclass: organization dn: cn=Juana La Loca, o=Acis, c=CO cn: Juana La Loca sn: La Loca description: Soporte en Windows


     

uid:

acarvaja

userPassword:{SSHA}msyaU45hcXmiq8ahe9OkewOCKKA4A5EY displayname: Armando Carvajal - sistemas mail: acarvaja@acis.org.co carLicense: 77036182 homePhone: 571 528 3101 objectclass:inetOrgPerson
Encontrando el camino hacia el software libre ACIS Octubre de 2004

Comandos:
     

Consultar si openldap esta instalado: # rpm q openldap Hacer backup de la base de datos en formato LDIF: # slapcat l backup.ldif Subir los datos hechos por un backup en formato LDIF: # slapadd l backup.ldif

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Comandos:


  

Para generar un password cifrado de tipo hash que pueda llevar hacia un archivo, digite: # slappasswd h metodo de cifrado Para cifrar el password del cliente al servidor, digite: # stunnel c d 389 r localhost:636

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Otros comandos:
     

Para ver todos los registros de la BD: #ldapsearch x b o=Acis,c=CO objectclass=* Para ver los usuarios de la BD: #ldapsearch x b o=Acis,c=CO uid=* Para adicionar registros desde el archivo bd.ldif: #ldapadd x D uid=acarvaja,o=Acis,c=CO -W f bd.ldif

Encontrando el camino hacia el software libre ACIS Octubre de 2004

!!! CONCURSO MILLONARIO.!!

Cual es el archivo de configuracin ms importante para el servidor ldap ?

1./etc/openldap/ldap.conf 2. /etc/sysconfig/daemons/ldap 3. /etc/rc.d/rc2.d/K55ldap 4. /etc/openldap/slapd.conf 5. /etc/rc.d/rc5.d/S99ldap

Encontrando el camino hacia el software libre ACIS Octubre de 2004

Bibliografa
Understanding And Deploying LDAP Directory Services, Timothy A. Howes Ph.D, New Riders, 1999, Netscape Communications Corporation, First Edition  Implementing LDAP, Marck Wilcox, Editorial Wrox  www.ldapguru.com  www.openldap.org


Encontrando el camino hacia el software libre ACIS Octubre de 2004

Encontrando el camino hacia el software libre ACIS Octubre de 2004