Lightweight Directory Access Protocol, o LDAP por sus siglas, es uno de los principales protocolos de autenticación que se desarrolló por los servicios de directorio. LDAP históricamente se ha usado como una base de datos de información, principalmente para almacenar información como:
- Usuarios
- Atributos acerca de esos usuarios
- Privilegios de la membresía de grupos
- … y más
Esta información se utiliza posteriormente para permitir la autenticación a los recursos TI tales como una aplicación o servidor. Estos serían direccionados a la base de datos LDAP, la cual validaría posteriormente si se permite el acceso o no. Esa validación se llevaría a cabo pasando credenciales de usuario.
Como resultado, surge una pregunta: ¿qué es la autenticación LDAP? Continúe leyendo para encontrar la respuesta a esta pregunta y conozca como la Plataforma de Directorio JumpCloud puede llevar a cabo la autenticación LDAP como un servicio de la cloud.
¿Qué es la Autenticación LDAP?
Lightweight Directory Access Protocol, o LDAP por sus siglas, es uno de los principales protocolos de autenticación que se desarrolló por los servicios de directorio. LDAP históricamente se ha usado como una base de datos de información, principalmente para almacenar información como:
- Usuarios
- Atributos acerca de esos usuarios
- Privilegios de la membresía de grupos
- … y más
Esta información se utiliza posteriormente para permitir la autenticación a los recursos TI tales como una aplicación o servidor. Estos serían direccionados a la base de datos LDAP, la cual validaría posteriormente si se permite el acceso o no. Esa validación se llevaría a cabo pasando credenciales de usuario.
Como resultado, surge una pregunta: ¿qué es la autenticación LDAP? Continúe leyendo para encontrar la respuesta a esta pregunta y conozca como la Plataforma de Directorio JumpCloud puede llevar a cabo la autenticación LDAP como un servicio de la cloud.
Orígenes de LDAP
Antes de que definamos lo que es la autenticación LDAP, debemos hablar de la importancia de LDAP en general. De acuerdo con Tim Howes, coinventor del protocolo, LDAP se desarrolló inicialmente en la Universidad de Michigan, en donde Tim fue un estudiante graduado, para reemplazar el DAP (Directory Access Protocol) y proveer acceso al Directorio X.500 –el servicio de directorio al que LDAP eventualmente reemplazaría.
“Estuve en un grupo de jóvenes talentosos que intentaban traer Unix y el Internet al campus. El internet se encontraba emergiendo, y la organización Internacional de Estandarización (ISO, por sus siglas en inglés) estaba creando estándares para todo lo relacionado al Internet, incluyendo el correo electrónico y los servicios de directorio. Así que nos encontrábamos trabajando con X.500 el cual era el estándar ISO para los servicios de directorio. En aquel entonces, también me encontraba trabajando para el departamento de tecnología e información. Se me asignó este proyecto para implementar un directorio X.500 para el campus el cual finalicé pero rápidamente me di cuenta que era mucho para un protocolo y demasiado complicado para las máquinas que se encontraban en la mayoría de las computadoras de escritorio. LDAP surge de mi deseo de hacer algo un poco más ligero en peso con el fin de adaptar las Mac y las PC que estaban en las computadoras de todos.”
LDAP ha resultado ser altamente efectivo desde su lanzamiento en 1993. De hecho, LDAP.v3 se convirtió en el estándar para Internet para los servicios de directorio en 1990. LDAP también sirvió de inspiración para la creación de Open LDAP, la plataforma líder en servicios de directorio de recursos abiertos.
OpenLDAP genero muchas otras soluciones de recursos abiertos basados en LDAP (Directorio 389, Servicio de Directorio Apache, Directorio Abierto y más), y estableció los fundamentos para el Active Directory (AD, por sus siglas en inglés) a finales de la década de los ‘90. LDAP todavía es un aspecto principal de los directorios modernos en la cloud como lo es la Plataforma de Directorio JumpCloud. Así que, resulta prudente asumir que la autenticación LDAP será un elemento primordial en la gestión de identidad en los próximos años sin importar su edad.
Entrevista con Tim Howes, Cocreador de LDAP.
La Autenticación LDAP Básica y Los Retos Comunes
La autenticación LDAP sigue el esquema cliente/servidor. En este escenario, el cliente generalmente se trata de un sistema LDAP listo o una aplicación que está solicitando información de una base de datos asociada a LDAP y el servidor es, por supuesto, el servidor LDAP.
La parte del servidor LDAP es una base de datos que cuenta con un esquema flexible. En otras palabras, LDAP no solamente puede almacenar la información del usuario y contraseña, sino que también puede almacenar una variedad de atributos incluyendo la dirección, número telefónico, afiliaciones de grupo y más. Como resultado, un uso común del LDAP es el de almacenar las identidades principales del usuario.
Al llevarlo a cabo, las tecnologías de la información pueden direccionar a los sistemas habilitados y aplicaciones (por ejemplo) a un directorio de base de datos asociado con LDAP, el cual actúa como la fuente de la verdad para el acceso de autenticación del usuario.
¿Cómo funciona la autenticación entre un cliente y el servidor?
Entonces, ¿cómo funciona la autenticación entre un cliente y el servidor? En pocas palabras, un cliente envía una solicitud para requerir información almacenada dentro de una base de datos LDAP junto con las credenciales del usuario a un servidor LDAP. El servidor LDAP autentifica las credenciales enviadas por los usuarios contra la identidad principal del usuario, la cual se almacena en la base de datos LDAP.
Si las credenciales enviadas por el usuario coinciden con las credenciales asociadas con la identidad principal del usuario que se encuentra almacenada dentro de la base de datos LDAP, se le permite al usuario el acceso y recibe la información requerida (atributos, membresías de grupo y otra información). Si las credenciales enviadas no coinciden, se le niega el acceso a la base de datos LDAP.
¿Qué se requiere para implementar LDAP?
Mientras que la autenticación LDAP ha probado con certeza ser efectiva, la cantidad de tiempo requerido para implementar y personalizar la infraestructura basada en LDAP para satisfacer las necesidades de gestión de identidad de una organización moderna puede ser importante.
Tradicionalmente, LDAP ha sido también una implementación local, que requiere de servidores que deben ser integrados dentro de la infraestructura completa de la identidad de gestión de una organización (la cual ha resultado tradicionalmente ser local).
Esta clase de instalación puede resultar difícil de lograr, especialmente para las organizaciones pequeñas o en la cloud. Después de todo, la mayoría de las organizaciones desearían cambiar su infraestructura completa de gestión de la identidad local hacia la cloud.
Esto se ha convertido incluso en una prioridad mayor a medida que las organizaciones cambian a un trabajo remoto. Sin embargo, mientras que muchas organizaciones reemplazan su infraestructura local tradicional con alternativas en la cloud, la pregunta sería: ¿cómo proporciono una autenticación LDAP sin nada que sea local?
La Autenticación LDAP en la Cloud
Afortunadamente, ha surgido una nueva generación de plataforma de directorio en la cloud que puede otorgar una autenticación LDAP como un servicio en la cloud. Se llama Plataforma de Directorio JumpCloud, y no solo brinda una autenticación LDAP en la cloud, sino que también gestiona y conecta a los usuarios de forma segura a sus sistemas, aplicaciones, archivos, y redes sin requerimientos locales.
Esto se debe a que la plataforma de directorio JumpCloud ha adoptado una plataforma cruzada (ejemplo: Windows, macOS, Linux), un proveedor neutral (ejemplo: Microsoft, Google, AWS), un enfoque basado en los protocolos (ejemplo: LDAP, SAML, RADIUS, SSH, OAuth y más) para gestionar las redes de TI modernas. El resultado final es que las organizaciones TI son libres de emplear los mejores recursos para ellas, sabiendo que pueden administrar efectivamente todo con JumpCloud.
Conozca Más Acerca de la Autenticación LDAP de JumpCloud
Esperamos que esta información le haya resultado útil, pero si todavía se pregunta: “¿Qué es la autenticación LDAP?”, lo invitamos a registrarse para una prueba gratuita de 30 días o programar una demostración para ver la autenticación LDAP de JumpCloud en acción.
Preguntas Frecuentes Acerca de LDAP
¿Cómo funciona LDAP con el Active Directory?
LDAP le otorga medios para gestionar el usuario y la membresía de grupo almacenada en el Active Directory. LDAP es un protocolo para autenticar y autorizar el acceso detallado a los recursos TI, mientras que el Active Directory es una base de datos de usuario e información de grupo.
¿En qué consiste la inyección LDAP?
La inyección LDAP ocurre cuando un agente malo emplea un código LDAP manipulado para modificar o divulgar información confidencial de los usuarios de sus servidores LDAP. Prevenga inyecciones malignas con un filtro de validación LDAP y monitoreando las aplicaciones LDAP del cliente.
¿Dónde empleamos LDAP?
LDAP se emplea como un protocolo de autenticación para los servicios de directorio. Empleamos LDAP para autenticar a los usuarios en aplicaciones locales o en la web, dispositivos NAS y servidores de archivos SAMBA.
¿Resulta LDAP seguro?
Con la finalidad de proteger la comunicación, se deben cifrar las transacciones LDAP empleando una conexión SSL/TLS. Para instalarlo, utilice LDAPS en un puerto 636 o StartTLS en un puerto estándar LDAP 389.
¿Cuál es la diferencia entre Kerberos y LDAP?
Mientras que ambos se tratan de protocolos de red empleados para la autenticación (verificación de la identidad de un usuario), LDAP difiere en que puede también autorizar (determinar permisos de acceso) a clientes, y almacenar la información del usuario y grupo.