Introducción.
LDAP (Lightweight Directory Access Protocol) es un protocolo de red que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP puede considerarse una base de datos (aunque su sistema de almacenamiento puede ser diferente) al que pueden realizarse consultas.
Habitualmente, almacena la información de login (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados...).
En conclusión, LDAP es un protocolo de acceso unificado a un conjunto de información sobre una red.
HOBLink RD VPN también soporta el protocolo LDAP para trabajar con usuarios, grupos y objetos. En este capítulo, se muestra la forma en la cual HOBLink Enterprise Access trabaja con dicho protocolo, cómo ligar HOBLink Enterprise Access a un servidor LDAP, como instalar el esquema y las extensiones para dicho protocolo.
Implementaciones
Existen diversas implementaciones y aplicaciones reales del protocolo LDAP, con el cual HOBLINK RD VPN puede trabajar de forma amigable, a continuación se muestran los diversos productos con lo que HOBLink RD VPN interactúa.
Directorio Activo de Microsoft.
Active Directory es el nombre utilizado por Microsoft (desde Windows 2000) como almacén centralizado de información de uno de sus dominios de administración.
Bajo este nombre se encuentra realmente un esquema (definición de los campos que pueden ser consultados) LDAP versión 3, lo que permite integrar otros sistemas que soporten el protocolo. En este LDAP se almacena información de usuarios, recursos de la red, políticas de seguridad, configuración, asignación de permisos, etc...
iPlanet
Basado en la antigua implementación de Netscape, iPlanet se desarrolló cuando AOL adquirió Netscape Communications Corporation y luego conjuntamente con Sun Microsystems comercializaron software para servidores, entre ellos el iPlanet Directory Server, su implementación del LDAP.
Novell Directory Services
También conocido como eDirectory es la implementación de Novell utilizada para manejar el acceso a recursos en diferentes servidores y computadoras de una red. Básicamente está compuesto por una base de datos jerárquica y orientada a objetos, que representa cada servidor, computadora, impresora, servicio, personas, etc. entre los cuales se crean permisos para el control de acceso, por medio de herencia.
OpenLDAP
Se trata de una implementación libre del protocolo que soporta múltiples esquemas por lo que puede utilizarse para conectarse a cualquier otro LDAP.
Tiene su propia licencia, la OpenLDAP Public License. Al ser un protocolo independiente de la plataforma, varias distribuciones Linux y BSD lo incluyen, al igual que AIX, HP-UX, Mac OS X, Solaris, Windows (2000/XP) y z/OS.
OpenLDAP tiene cuatro componentes principales:
-
slapd - demonio LDAP autónomo.
-
slurpd - demonio de replicación de actualizaciones LDAP autónomo.
-
Librerías de soporte del protocolo LDAP.
-
Utilidades, herramientas y clientes.
INTERACCIÓN DE HOB EA CON EL PROTOCOLO LDAP. Directorio Activo de Microsoft.
Para correr la extensión de esquema LDAP y la extensión MMC para el Directorio Activo de Microsoft (una herramienta independiente), que provee información detallada acerca de estos temas.
Requerimientos
Ya sea Windows 2000 Server o / Windows Server 2003 es necesario que estén instalados y configurados correctamente todas las extensiones para los servicios del Directorio Activo. Son pequeñas las diferencias entre Windows 2000 Server y Windows Server 2003 respecto al Directorio Activo de Microsoft y serán manifestadas en el caso de que sean de relevancia para la conjunción con las aplicaciones HOB EA.
De forma alternativa se puede instalar las Herramientas de administración de Windows desde el instalador de Windows 2000 Server / Windows Server 2003 (archivo ADMINPAK.MSI), eso es con el fin de utilizar todas las herramientas necesarias para operar los Servicios del Directorio Activo.
Advertencia: La extensión del esquema siempre se debe correr en el servidor en donde el Directorio Activo se encuentra instalado y no puede ser ejecutada usando una conexión “remota”. También es necesario firmarse como Administrador en el servidor en done el Directorio Activo está instalado con todos los derechos para el acceso a los datos del Directorio Activo.
El usuario administrador, del cual se ha usado la cuenta para firmarse en el servidor, debe ser miembro del grupo Administradores de esquema, si esta operación requiere de una modificación en la cuenta del usuario, será necesario volver a firmarse o reiniciar el sistema.
A continuación se muestran comentarios de Microsoft sobre estas operaciones:
Para modificar el esquema, se debe usar una cuenta de usuario que sea miembro del grupo “Administradores de esquema” y que posea los derechos necesarios. De forma predeterminada, el único miembro en el grupo de seguridad es la cuenta del Administrador en el dominio raíz de la empresa.
Si se desea agregar otras cuentas de usuario, entonces en necesario agregarlas de forma explícita. Los miembros del grupo “Administradores de esquema” deberán tener derechos sumamente restringidos para prevenir accesos no autorizados hacia el esquema ya que si se modifica el esquema de forma inapropiada este podría tener consecuencias devastadoras.
Microsoft Management Console .provee un añadido para la administración del esquema. El Active Directory Schema Console-Plugin en particular solo estará disponible después de haber instalado las herramientas de administración antes mencionadas.
Conectarse con un Servidor Active Directory a través del Administrador EA
A continuación se muestran los pasos para poder autenticarse a través de un servidor LDAP, es decir, las cuentas de usuario, contraseñas y demás configuraciones de los diferentes productos de HOB van a ser almacenadas directamente en el Directorio Activo.
Para conectarse con un servidor LDAP de Active Directory hay que seguir los siguientes pasos:
Abrir HOB EA Administration.
-
En la ventana principal de HOB EA Administration, dar clic en el menú EA ServerConfigurar.
-
En la ventana de Configuración de EA Server y en la pestaña propiedades, hay que seleccionar la opción Base de datos LDAP del grupo Base de datos en uso:
-
Ahora en la pestaña Conexión con LDAP, escribir los valores correspondientes al servidor LDAP de Active Directory.
-
Dirección del servidor LDAP: 192.168.168.2.2
-
Base: DC=testlab,DC=hob,DC=de
-
Dar clic en el botón Configurar Acceso de administrador…, en el DN escribir el DN del administrador LDAP
Consejo: Consejo: Para probar la configuración de la conexión se puede dar clic en el botón […] del campo Comenzar búsqueda, y así prevenir posibles problemas futuros. Si en este paso se marca un error hay que revisar las configuraciones realizadas, y corregirlas si fuera necesario. Pero si se muestra la siguiente figura entonces quiere decir que nuestras configuraciones son correctas.
-
Si se desea que la búsqueda de usuarios comienza desde una OU específica, entonces dar clic en el botón […], en caso de que el campo Comenzar la búsqueda en esté vació, la búsqueda iniciará desde el elemento raíz del LDAP.
-
Dar clic en el botón Aceptar para guardar las configuración del acceso al administrador.
-
Dar clic en el botón Aceptar en el botón de la ventana de configuración para guardar las configuraciones.
-
En este paso (si las configuraciones son correctas y no han mostrado mensajes de error) el Administrador EA preguntará el momento en que los cambios tomarán efecto. Seleccionar más adecuada.
A partir de este momento “todas” las configuraciones serán hechas desde el Directorio Activo por medio del Administrador EA.
|
El mundo real - ¿Unidades Organizativas?.
|
Desafortunadamente, ni hay ninguna regla establecida que se pueda aplicar en la decisión de si una red en expansión se debería dividir en dominios separados u cuándo se necesitan OUs.
La siguiente lista describe situaciones que demandan el uso de OUs:
-
Se necesita administración localizada o muy controlada.
-
La estructura de la organización necesita la organización de los objetos de la red en contenedores separados.
-
La estructura que se desea separar es posible que cambie en algún momento.
Así que, en general, cuando la situación demande una estructura flexible, incluso fluida las OUs son la respuesta.
| Ejecutar la extensión del esquema LDAP.
En este momento ya se puede acceder al Directorio Activo por medio del “HOB EA Administrator”, pero si se requiere hacer una configuración de los productos de HOB entonces el sistema mandará una serie de errores, esto se debe a que es necesario instalar la extensión del esquema antes de hacer otra cosa.
Hay dos opciones para ejecutar la extensión del esquema LDAP:
La primero es seleccionar el menú UtileríasExtensión de esquema LDAPMicrosoft Active Directory. La herramienta HOB EA Utility for MS Active Directory será abierta.
A. O bien copiar los archivos desde el subdirectorio:
\Software\ldap.scheme\MSActiveDir
Desde el CD-ROM de instalación de HOBLink RD VPN a un directorio en el servidor del Directorio Activo de Microsoft y ejecutar el programa HOB_AD_Util.exe
Ya iniciado el programa de configuración dar clic en el botón Extend Schema for HOB EA, y seleccionar la opción HOB EA Extension y dar clic en OK
Ejecutar MMC extension for MS Active Directory (Opcional)
Esta poderosa herramienta se integra en el menú Usuarios y Computadores de Active Directory y sirve para configurar los productos de HOB desde la misma, sin necesidad de abrir el Administrador de HOB EA.
Para correr la extensión MMC también puede ser por dos vías:
-
La primera es seleccionar el menú UtileríasExtensión MMC MS Active Directory, la herramienta HOB EA Utility for MS Active Dierectory será abierta.
-
O bien copiar los archivos desde el subdirectorio:
\Software\ldap.scheme\MSActiveDir
Desde el CD-ROM de instalación de HOBLink RD VPN a un directorio en el servidor del Directorio Activo de Microsoft y ejecutar el programa HOB_AD_Util.exe
Ya iniciado el programa de configuración dar clic en el botón Add HOB EA menu to “Users and Computers”, y seleccionar la opción HOB EA Extension y dar clic en OK
-
Configurar las opciones de Inicio.
Ahora, por último, falta Configurar las opciones de Inicio, para poder acceder a este menú desde la consola de Usuarios y equipos de Active Directory.
-
Para eso dar clic en el menú Utilerías --> Opciones de inicio…
-
En la pestaña Acceso de entrada llenar los siguientes campos:
Nombre de usuario
|
El usuario administrador del Directorio Activo de Microsoft, por lo general es: Administrador
|
Contraseña / Repetir contraseña:
|
La contraseña del Administrador del Directorio Activo de Microsoft.
| -
Desmarcar la opción Contexto predeterminado de usuario y escribir el contexto del usuario, como se muestra en la siguiente figura.
-
Dar clic en el menú Archivo --> Salir y confirmar los cambios para guardar las configuraciones y cerrar la ventana.
-
Reiniciar el Servidor EA por medio de la consola “Servicios”
¡Ahora ya es posible configurar los diferentes productos de HOBLink RD VPN desde la consola Usuarios y Equipos de Active Directory!.
Nombre de Usuario
|
El nombre del usuario Administrador del Directorio Activo.
|
Contraseña:
|
La contraseña del usuario Administrador del Directorio Activo.
|
Contexto:
|
El contexto del usuario del Directorio Activo.
En este ejemplo es: @testlab.hob.de
|
Número de Puerto de Servidor EA
|
El puerto por el cual se van ha hacer las peticiones. Nótese que es el 13271 y no 389 del LDAP.
| Configurando sesiones desde la consola Usuarios y Equipos de Active Directory.
Otro beneficio que otorga HOB RD VPN es la posibilidad de configurar los distintos productos desde la consola Usuarios y Equipos de Active Directory.
Una vez instaladas las extensiones del esquema y la extensión del menú, simplemente hay que abrir la consola Usuarios y Equipos de Active Directory y dar clic en el botón derecho del ratón para abrir el menú contextual y seleccionar HOB EA Configuration.
Después seleccionar el producto que se desea configurar y listo.
Autenticarse a un servidor de Active Directory a través del administrador EA
Cuando se trabaja con el Directorio Activo de Microsoft, cambia el modo de autenticase en el servidor EA, cuando se configura el acceso a través de la base de datos EA, el usuario es “administrator", ahora el Administrador de HOB es el administrador del directorio activo, y se tendrá que agregar el contexto del Directorio Activo (dominio) para poder iniciar la sesión del Administrador EA.
Para autenticarse en el servidor de EA por medio de Active Directory es necesario escribir algo como lo siguiente en el cuadro de diálogo Conectar a HOB Enterprise Access, al iniciar la aplicación Administrador EA.
-
Dar clic en el botón expandir.
-
Escribir en los campos siguientes la información necesaria.
-
Dar clic en el botón acceso de entrada.
Ahora ya es posible configurar los productos de HOBLink RD VPN de forma habitual.
Dostları ilə paylaş: |