TEMA 3.

10: PROTOCOLO LDAP

1. Conceptos previos..................................................................................................................... 2
1.1. Los grupos de trabajo ........................................................................................................ 2
1.2. La estructura Cliente-Servidor ........................................................................................... 2
2. El protocolo LDAP ..................................................................................................................... 4
2.1. Conceptos básicos............................................................................................................. 4
2.2. Origen e influencias ........................................................................................................... 5
2.3. Visión general del protocolo............................................................................................... 5
2.4. Estructura de directorio...................................................................................................... 6
2.5. Consulta de datos .............................................................................................................. 8
2.6. Formato de intercambio de datos de LDIF ........................................................................ 8
2.7. URLs de LDAP................................................................................................................... 9
2.7. Estructura de nombres..................................................................................................... 10
2.8. Implementaciones ............................................................................................................ 10
2.9. Dominios .......................................................................................................................... 11

Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla) 1

1. CONCEPTOS PREVIOS

1.1. Los grupos de trabajo

Los grupos de trabajo son conceptualmente hablando contrarios a los servicios de

directorio.
Los servicios de directorio se administran de forma centralizada y los grupos de trabajo
son dirigidos por los usuarios cuando reúnen los recursos de sus ordenadores.
Con una conexión de red, los usuarios comparten los recursos de sus ordenadores con
otros usuarios (así, éstos pueden utilizar los archivos, las impresoras, compartir un modem o un
CD-ROM de todos y cada uno de los ordenadores del grupo de trabajo).
Los usuarios individuales administran los recursos de sus ordenadores, indicando qué
recursos pueden ser compartidos y cuáles van a tener un uso restringido.
Este tipo de redes puede presentar dos problemas en grandes organizaciones:

• Algunos recursos compartidos son difíciles de localizar para los usuarios.

• Los recursos se comparten con un número limitado de colaboradores.

Microsoft introdujo el concepto de trabajo en grupo con Windows 3.11 para Trabajo en
Grupo y permitía establecer grupos que podían fácilmente ver y compartir recursos (la única
seguridad de la que estaba provisto era el uso de contraseñas para restringir el uso de
determinados recursos a usuarios específicos). Para localizar un recurso en la red se utilizaban
servicios de exploración.
Posteriormente se suministraron tres utilidades (Entorno de Red, Mis Sitios de Red y
Red), que permitían explorar la red e identificar recursos a los que conectarse.

1.2. La estructura Cliente-Servidor

Al principio de la utilización de redes, se conectaban los ordenadores entre sí para

compartir los recursos de todos los ordenadores que estaban conectados.
Con el paso del tiempo, los usuarios fueron necesitando acceder a mayor cantidad de
información y de forma más rápida, por lo que fue surgiendo la necesidad de un nuevo tipo de
ordenador: el servidor.
Un servidor es un ordenador que permite compartir sus recursos con otros
ordenadores que están conectados a él. Los servidores pueden ser de varios tipos y entre ellos
se encuentran los siguientes:

• Servidor de archivos: mantiene los archivos en subdirectorios privados y

compartidos para los usuarios de la red.
• Servidor de impresión: tiene conectadas una o más impresoras que comparte
con los demás usuarios.
• Servidor de comunicaciones: permite enlazar diferentes redes locales o una
red local con grandes ordenadores o miniordenadores.

2 Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla)

 • Servidor de correo electrónico: proporciona servicios de correo electrónico
para la red.
• Servidor Web: proporciona un lugar para guardar y administrar los documentos
HTML que pueden ser accesibles por los usuarios de la red a través de los
navegadores.
• Servidor FTP: se utiliza para guardar los archivos que pueden ser descargados
por los usuarios de la red.
• Servidor proxy: se utiliza para monitorizar y controlar el acceso entre las redes.
Cambia la dirección IP de los paquetes de los usuarios para ocultar los datos de
la red interna a Internet y cuando recibe contestación externa, la devuelve al
usuario que la ha solicitado. Su uso reduce la amenaza de piratas que visualicen
el tráfico de la red para conseguir información sobre los ordenadores de la red
interna.

Según el sistema operativo de red que se utilice y las necesidades de la empresa,

puede ocurrir que los distintos tipos de servidores residan en el mismo ordenador o se
encuentren distribuidos entre aquellos que forman parte de la red.
Así mismo, los servidores de archivos pueden establecerse como dedicados o no
dedicados, según se dediquen sólo a la gestión de la red o, además, se puedan utilizar como
estaciones de trabajo. La conveniencia de utilizar uno u otro va a estar indicada por la cantidad
de estaciones de trabajo que se vaya a disponer: cuanto mayor sea el número de ellas, más
conveniente será disponer de un servidor dedicado.
No es recomendable utilizar un servidor no dedicado como estación de trabajo, ya que,
en caso de que ese ordenador tenga algún problema, la totalidad del sistema puede dejar de
funcionar, con los consiguientes inconvenientes y pérdidas irreparables que se pueden
producir.
El resto de los ordenadores de la red se denominan estaciones de trabajo o clientes, y
desde ellos se facilita a los usuarios el acceso a los servidores y periféricos de la red.
Cada estación de trabajo es, por lo general, un ordenador que funciona con su propio
sistema operativo. A diferencia de un ordenador aislado, la estación de trabajo tiene una tarjeta
de red y está físicamente conectada al servidor (por medio de cables o por conexión
inalámbrica).
La versión actual es LDAPv3, la cual es especificada en una serie de Internet
Engineering Task Force (IETF) Standard Track Request for Comments (RFCs) como se detalla
1
en el documento RFC 4510 .

1
Ver http://tools.ietf.org/html/rfc4510

Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla) 3

2. EL PROTOCOLO LDAP

2.1. Conceptos básicos.

LDAP (Lightweight Directory Access Protocol, o Protocolo Compacto de Acceso

a Directorios) es un protocolo a nivel de aplicación que permite acceder a un servicio de
directorio ordenado y distribuido para buscar diversa información en un entorno de red.
También es considerado una base de datos (aunque su sistema de almacenamiento puede ser
diferente) en la que pueden realizarse consultas.
Se trata, por tanto, de un protocolo que permite administrar directorios; esto es,
acceder a bases de información de usuarios de una red mediante protocolos TCP/IP.
Un directorio es un conjunto de objetos con atributos organizados en una manera
lógica y jerárquica. El ejemplo más común es el directorio telefónico, que consiste en una serie
de nombres (personas u organizaciones) que están ordenados alfabéticamente, con cada
nombre teniendo una dirección y un número de teléfono adjuntos.
Un árbol de directorio LDAP a veces refleja varios límites políticos, geográficos u
organizacionales, dependiendo del modelo elegido. Los despliegues actuales de LDAP tienden
a usar nombres de Sistema de Nombres de Dominio (DNS por sus siglas en inglés) para
estructurar los niveles más altos de la jerarquía. Conforme se desciende en el directorio
pueden aparecer entradas que representan personas, unidades organizacionales, impresoras,
documentos, grupos de personas o cualquier cosa que representa una entrada dada en el árbol
(o múltiples entradas).
Habitualmente, almacena la información de autenticación (usuario y contraseña) y es
utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto
del usuario, ubicación de diversos recursos de la red, permisos, certificados, etc). A manera de
síntesis, LDAP es un protocolo de acceso unificado a un conjunto de información sobre una
red.
El objetivo del protocolo LDAP, desarrollado en 1993 en la Universidad de Michigan,
fue reemplazar al protocolo DAP (utilizado para acceder a los servicios de directorio X.500 por
OSI) integrándolo al TCP/IP. Desde 1995, DAP se convirtió en LDAP independiente, con lo cual
se dejó de utilizar sólo para acceder a los directorios tipo X500. LDAP es una versión más
simple del protocolo DAP, de allí deriva su nombre Protocolo Ligero de Acceso a Directorios.
LDAP le brinda al usuario métodos que le permiten:

Conectarse

Desconectarse

Buscar información

Comparar información

Insertar entradas

Cambiar entradas

Eliminar entradas

4 Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla)

 Asimismo, el protocolo LDAP (en su versión 3) ofrece mecanismos de cifrado (SSL,
etc.) y autenticación para permitir el acceso seguro a la información almacenada en la base.

2.2. Origen e influencias

Las compañías de telecomunicaciones introdujeron el concepto de servicios de

directorio a Tecnologías de Información y Redes de Computadoras, así su comprensión de los
requerimientos de directorios era bien desarrollado después de 70 años de producir y manejar
directorios de teléfonos. La culminación de este esfuerzo fue la especificación X.500, un
conjunto de protocolos producido por la Unión Internacional de Telecomunicaciones (ITU por
sus siglas en inglés) en la década de 1980.
Los servicios de directorio X.500 fueron accedidos tradicionalmente vía DAP (Directory
Access Protocol), que requería la pila de protocolos OSI (Open Systems Interconnection).
LDAP fue originalmente dirigido a ser un protocolo alternativo y ligero para acceder a servicios
de directorio X.500 a través de la pila de protocolos más simple (y ahora más difundido)
TCP/IP. Este modelo de acceso a directorio fue imitado de los protocolos DIXIE Directory
Assistance Service.
Servidores de directorio LDAP independientes pronto fueron implementados, así como
los servidores de directorio que soportaban DAP y LDAP. El último se hizo popular en
empresas debido a que eliminaba cualquier necesidad de desplegar una red OSI. Ahora, los
protocolos de directorio X.500 incluyendo DAP pueden ser usados directamente sobre TCP/IP.
El protocolo fue creado originalmente por Tim Howes (University of Michigan), Steve
Kille (Isode Limited), y Wengyik Yeong (Performance Systems International) hacia 1993. Un
desarrollo más completo ha sido hecho por la Internet Engineering Task Force.
En las primeras etapas de ingeniería de LDAP, éste era conocido como Lightweight
Directory Browsing Protocol, o LDBP. Posteriormente fue renombrado dado que el ámbito del
protocolo había sido expandido para incluir no sólo navegación en el directorio y funciones de
búsqueda, sino también funciones de actualización de directorio.
LDAP ha influenciado protocolos posteriores de Internet, incluyendo versiones
posteriores de X.500, XML Enabled Directory (XED), Directory Service Markup Language
(DSML), Service Provisioning Markup Language (SPML), y Service Location Protocol (SLP).

2.3. Visión general del protocolo

Un cliente inicia una sesión de LDAP conectándose a un servidor LDAP, por defecto en
el puerto TCP 389. El cliente luego envía una petición de operación al servidor, y el servidor
envía respuestas. Con algunas excepciones, el cliente no necesita esperar una respuesta
antes de enviar la siguiente petición, y el servidor puede responder en cualquier orden.
El cliente puede requerir las siguientes operaciones:

Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla) 5


Start TLS: usar la extensión Transport Layer Security (TLS) LDAPv3 para una conexión
segura.

Bind: autenticarse y especificar una versión del protocolo LDAP.

Search: buscar y obtener entradas de directorio.

Compare: probar si una entrada nombrada contiene un valor de atributo dado.

Add: Añadir una nueva entrada.

Delete: Borrar una entrada.

Modify: Modificar una entrada.

Modify Distinguished Name (DN): Modificar o renombrar una entrada.

Abandon: abortar una petición previa.

Extended Operation: operación genérica usada para definir otras operaciones.

Unbind: cerrar la conexión (no es el inverso de Bind).

Además, el servidor puede enviar "notificaciones no solicitadas" que no son respuestas

a ninguna petición, por ejemplo antes de que se termine el tiempo de conexión.
Un método alternativo común para asegurar las comunicaciones LDAP es usar un túnel
SSL. Esto es denotado en las URLs de LDAP usando el esquema de URLs "ldaps". El puerto
por defecto para LDAP sobre SSL es 636. El uso de LDAP sobre SSL fue común en LDAP
Version 2 (LDAPv2) pero nunca fue estandarizado en una especificación formal. Su uso es
considerado obsoleto al igual que LDAPv2, que ha sido retirado oficialmente en 2003.
2
LDAP es definido en términos de ASN.1 , y los protocolos del mensaje están
3
codificados en el formato binario BER . Sin embargo, utiliza representaciones textuales para un
número de campos y tipos ASN.1.

2.4. Estructura de directorio

El protocolo accede a directorios LDAP, que siguen la edición de 1993 del modelo
X.500:

Un directorio es un árbol de entradas de directorio.

Cada entrada en el directorio LDAP corresponde a un objeto abstracto o real (por ejemplo,
una persona, un objeto material, parámetros, etc.).

Una entrada consta de un conjunto de pares clave/valor denominados atributos.

Un atributo tiene un nombre (un tipo de atributo o descripción de atributo, que es lo que
llamamos clave) y uno o más valores. Los atributos son definidos en un esquema. Existen
dos tipos de atributos:

2
Abstract Syntax Notation One (notación sintáctica abstracta 1, ASN.1) es una norma para representar datos
independientemente de la máquina que se esté usando y sus formas de representación internas. Es un protocolo de
nivel de presentación en el modelo OSI.
3
Las Reglas de codificación básicas, o BER (Basic Encoding Rules), es uno de los formatos de codificación
definidos como parte del estándar ASN.1 para codificar información abstracta en un flujo de bits único, esto es, que
pueda ser interpretado en cualquier máquina de la misma manera. Las reglas, denominadas sintaxis de transferencia
en el contexto de ASN.1, especifican las secuencias de octetos exactas para codificar un elemento de datos dado.

6 Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla)

 - Atributos normales: éstos son los atributos comunes (apellido, nombre, etc.) que
distinguen al objeto.
- Atributos operativos: éstos son atributos a los que sólo el servidor puede acceder
para manipular los datos del directorio (fechas de modificación, etc.).

Cada entrada tiene un identificador único que permite su indexación: su Nombre

distinguido (Distinguished Name, DN). Éste se constituye tomando el nombre del
elemento denominado Nombre distintivo relativo (RDN, es decir, la ruta de la entrada en
relación con sus entradas superiores) y agregándole el nombre entero de la entrada
principal.. A continuación encontrarás una serie de claves generalmente utilizadas:
- uid (id de usuario): ésta es una identificación única obligatoria;
- cn (nombre común): éste es el nombre de la persona;
- givenname: éste es el nombre de pila de la persona;
- sn (apellido): éste es el apellido de la persona.
- o (organización): ésta es la compañía de la persona.
- u (unidad organizacional): éste es el departamento de la compañía para la que trabaja
la persona.
- mail: ésta es la dirección de correo electrónico de la persona (por supuesto).
- ...

El conjunto de definiciones de objetos y atributos que un servidor LDAP puede administrar

se denomina, como ya hemos dicho, esquema. Esto permite, por ejemplo, definir si un
atributo puede poseer uno o varios valores. Además, un atributo llamado objectclass
permite definir si los atributos son obligatorios u opcionales.

Se debe tener cuidado con el hecho de que un nombre distinguido puede cambiar en el
tiempo de vida de una entrada, por ejemplo, cuando las entradas son movidas en el árbol. Para
hacer más confiables e identificar de manera no ambigua las entradas un UUID podría ser
proporcionado en el conjunto de los atributos operacionales de la entrada.
Una entrada, cuando es representada en el formato LDAP Data Interchange Format
(LDIF) (LDAP por sí mismo es un protocolo binario), podría ser la siguiente:

dn: cn=John Doe,dc=example,dc=com

cn: John Doe
givenName: John
sn: Doe
telephoneNumber: +1 888 555 6789
telephoneNumber: +1 888 555 1232
mail: john@example.com
manager: cn=Barbara Doe,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top

donde dn es el nombre de la entrada; no es un atributo ni tampoco parte de la entrada.

cn=John Doe es el nombre distinguido relativo, y dc=example,dc=com es el nombre distinguido

Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla) 7

de la entrada del padre, donde dc indica domain component (componente de dominio). Las
otras líneas presentan los atributos en la entrada.
Como hemos visto, los nombres de atributos son generalmente cadenas
mnemotécnicas, como cn para common name (nombre común), dc para domain component
(componente de dominio), mail para dirección de e-mail y sn para surname (apellido).
Un servidor aloja un subárbol comenzando por una entrada específica, por ejemplo
dc=example,dc=com y sus hijos. Los servidores también pueden almacenar referencias a otros
servidores, con los cual un intento de acceso a ou=department,dc=example,dc=com puede
retornar una referencia o continuación de referencia a un servidor que aloja esa parte del árbol
de directorio. El cliente luego puede contactar al otro servidor. Algunos servidores también
soportan encadenamiento (chaining), que implica que el servidor contacta al otro servidor y
devuelve el resultado al cliente.
LDAP raramente define un ordenamiento: El servidor puede devolver los valores de un
atributo, los atributos en una entrada y las entradas encontradas por una operación de
búsqueda en cualquier orden. Esto sigue la definición formal: una entrada es definida como un
conjunto de atributos, y un atributo es un conjunto de valores, y los conjuntos no necesitan
estar ordenados.

2.5. Consulta de datos

LDAP brinda un conjunto de funciones (procedimientos) para llevar a cabo solicitudes

en los datos para buscar, cambiar y eliminar entradas en los directorios.
A continuación encontrarás una lista de las principales operaciones que puede realizar
LDPA:

Abandon (Abandonar): Cancela la operación previa enviada al servidor

Add (Agregar): Agrega una entrada en el directorio

Bind (Enlazar): Inicia una nueva sesión en el servidor LDAP

Compare (Comparar): Compara las entradas en un directorio según los criterios

Delete (Eliminar): Elimina una entrada de un directorio

Extended (Extendido): Realiza operaciones extendidas

Rename (Cambiar nombre): Cambia el nombre de una entrada

Search (Buscar): Busca entradas en un directorio

Unbind (Desenlazar): Finaliza una sesión en el servidor LDAP

2.6. Formato de intercambio de datos de LDIF

LDAP brinda un formato de intercambio de datos (LDIF, Formato de intercambio de

datos de LDAP) que permite importar y exportar datos desde un directorio mediante un archivo
de texto simple. La mayoría de los servidores LDAP admiten este formato, lo cual permite una
gran interoperabilidad entre ellos.

8 Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla)

 A continuación se encuentra la sintaxis para este formato:

[<id>] dn: <distinguished name> <attribute> : <value> <attribute> : <value> ...

En este archivo, id es opcional. Es un número entero positivo que permite la

identificación de la entrada en la base de datos. También hay que tener en cuenta lo siguiente:

Cada entrada nueva debe separarse de la definición de la entrada anterior mediante una
línea en blanco.

Es posible definir un atributo a través de diversas líneas al comenzar las líneas siguientes
con un espacio o un espacio de tabulación.

Es posible definir diversos valores para un atributo al repetir la cadena name:value en las
líneas separadas.

Cuando el valor contiene un carácter especial (no imprimible, un espacio o :), el atributo
debe estar seguido de :: y después del valor codificado en base64.

2.7. URLs de LDAP

Un formato URL de LDAP existe para descubrir qué clientes soportan en variedad de
grados, y qué servidores retornan como referentes y referencias de continuación (ver RFC
4516):

ldap://host:port/DN?attributes?scope?filter?extensions

La mayoría de los componentes, que son descritos debajo, son opcionales.

4

host es el FQDN o dirección IP del servidor LDAP donde se realiza la consulta.

port es el puerto de red del servidor LDAP.

DN es el nombre distinguido a usar como base de búsqueda.

attributes es una lista separada con comas de atributos a devolver.

scope especifica el ámbito de búsqueda y puede ser "base" (por defecto), "one" o "sub".

filter es un filtro de búsqueda. Por ejemplo (objectClass=*) como es definido en RFC 4515.

extensions son extensiones al formato URL de LDAP.

Por ejemplo, ldap://ldap.example.com/cn=John%20Doe,dc=example,dc=com

refiere a todos los usuarios en la entrada de John Doe en ldap.example.com, mientras
ldap:///dc=example,dc=com??sub?(givenName=John) busca por la entrada en el servidor
por defecto (notar el triple slash, omitiendo el host, y la marca de doble pregunta, omitiendo los
atributos). Así como en otros URLs, los caracteres especiales deben ser codificados con signos
de porcentaje.

4
Un FQDN (Fully Qualified Domain Name) es un nombre que incluye el nombre del equipo y el nombre de dominio
asociado a ese equipo. Por ejemplo, dada la computadora llamada «serv1» y el nombre de dominio «bar.com», el
FQDN será «serv1.bar.com», a su vez un FQDN asociado a serv1 podría ser «post.serv1.bar.com».

Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla) 9

2.7. Estructura de nombres

Desde que un servidor LDAP puede devolver referencias a otros servidores para
efectuar nuevas peticiones que el servidor mismo no puede devolver, una estructura de
nombres para las entradas LDAP es requerida para que sea posible encontrar un servidor
alojando un nombre distinguido dado. Desde que una estructura ya existe en el DNS, los
nombres de alto nivel de los servidores a veces ofrecen nombres de DNS simulados, así como
se hacía en X.500.
Si una organización tiene el nombre de dominio example.org, su entrada de más alto
nivel en LDAP tendrá generalmente como nombre distinguido dc=example,dc=org (donde dc
significa componente de dominio). Si el servidor LDAP es también denominado
ldap.example.org, el nivel más alto de la organización de la URL del LDAP URL se convierte en
ldap://ldap.example.org/dc=example,dc=org.
Bajo el alto nivel, los nombres de entradas generalmente reflejan la estructura
organizacional interna o las necesidades, en lugar de nombres de DNS.

2.8. Implementaciones

Existen diversas implementaciones y aplicaciones reales del protocolo LDAP.

Active Directory: Active Directory es el nombre utilizado por Microsoft (desde Windows
2000) como almacén centralizado de información de uno de sus dominios de
administración.
Un Servicio de Directorio es un depósito estructurado de la información de los diversos
objetos que contiene el Active Directory, en este caso podrían ser impresoras, usuarios,
equipos...
Bajo este nombre se encuentra realmente un esquema (definición de los campos que
pueden ser consultados) LDAP versión 3, lo cual permite integrar otros sistemas que
soporten el protocolo. En este LDAP se almacena información de usuarios, recursos de la
red, políticas de seguridad, configuración, asignación de permisos, etc.

Novell Directory Services: También conocido como eDirectory es la implementación de
Novell utilizada para manejar el acceso a recursos en diferentes servidores y
computadoras de una red. Básicamente está compuesto por una base de datos jerárquica
y orientada a objetos, que representa cada servidor, computadora, impresora, servicio,
personas, etc. entre los cuales se crean permisos para el control de acceso, por medio de
herencia. La ventaja de esta implementación es que corre en diversas plataformas, por lo
que puede adaptarse fácilmente a entornos que utilicen más de un sistema operativo.

iPlanet - Sun ONE Directory Server: Basado en la antigua implementación de Netscape,
iPlanet se desarrolló cuando AOL adquirió Netscape Communications Corporation y luego
conjuntamente con Sun Microsystems comercializaron software para servidores, entre
ellos el iPlanet Directory Server, su implementación de LDAP... Actualmente se denomina
Sun ONE Directory Server.

10 Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla)


OpenLDAP: Se trata de una implementación libre del protocolo que soporta múltiples
esquemas por lo que puede utilizarse para conectarse a cualquier otro LDAP. Tiene su
propia licencia, la OpenLDAP Public License. Al ser un protocolo independiente de la
plataforma, varias distribuciones GNU/Linux y BSD lo incluyen, al igual que AIX, HP-UX,
Mac OS X, Solaris, Windows (2000/XP) y z/OS.
OpenLDAP tiene cuatro componentes principales:

- slapd - demonio LDAP autónomo.

- slurpd - demonio de replicación de actualizaciones LDAP autónomo.
- Rutinas de biblioteca de soporte del protocolo LDAP.
- Utilidades, herramientas y clientes.

Red Hat Directory Server: Directory Server es un servidor basado en LDAP que centraliza
configuración de aplicaciones, perfiles de usuarios, información de grupos, políticas así
como información de control de acceso dentro de un sistema operativo independiente de
la plataforma.
Forma un repositorio central para la infraestructura de manejo de identidad, Red Hat
Directory Server simplifica el manejo de usuarios, eliminando la redundancia de datos y
automatizando su mantenimiento.

Apache Directory Server (ApacheDS): es un servidor de directorio escrito completamente
en Java por Alex Karasulu y disponible bajo la licencia de Apache Software, es compatible
con LDAPv3 certificado por el Open Group, soporta otros protocolos de red tal como
Kerberos y NTP, además provee Procedimientos Almacenados, triggers y vistas;
características que están presente en las Base de Datos Relacionales pero que no
estaban presentes en el mundo LDAP.

Open DS: Basado en los estándares LDAPv3 y DSMLv2, OpenDS surgió como un
proyecto interno de SUN, aunque posteriormente se puso a disposición de la comunidad.
Está desarrollado en JAVA y precisa de un entorno de ejecución (Java Runtime
Environment) para funcionar. Es multiplataforma.

2.9. Dominios

El dominio fue introducido por Microsoft para Windows NT y toma prestados conceptos
de los grupos de trabajo y de los servicios de directorio.
Los dominios son un sistema que permite dividir redes extensas en redes parciales
reducidas que simplifican el trabajo de la administración. Comprenden un grupo de
ordenadores, usuarios y recursos de la red que cuentan con una base de datos de seguridad
común.
De la misma manera que los grupos de trabajo, los dominios pueden ser administrados
usando una mezcla de controladores locales y centrales. Los dominios pueden ser
desarrollados fácilmente y con menos planificación que un servicio de directorio.

Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla) 11

 Igual que los servicios de directorio, coloca los recursos de varios servidores en una
única estructura organizativa. Así, a los usuarios se les conceden privilegios de conectarse a
un dominio en lugar de conectarse a servidores independientes.
Los servidores que forman parte de un dominio muestran sus servicios a los usuarios y
éstos pueden conectarse a aquellos a los que se les ha concedido permiso.
Se pueden ver los recursos de un dominio mucho mejor que como se verían en un
grupo de trabajo y con un nivel de seguridad mayor.
Cuando sea necesario configurar varios dominios, los administradores pueden
establecer relaciones de confianza entre los dominios. Dichas relaciones de confianza
simplifican la administración de la red ya que un usuario necesitará tener únicamente una
cuenta (los otros dominios confían en que el dominio al que pertenece el usuario autentifique
su conexión).
El acceso de un usuario a los recursos de un dominio es supervisado por un
controlador de dominio (en el que dispone de una cuenta y una contraseña que es usada para
un control de acceso a los recursos).

12 Francisco Manuel Maestre Alamo - IES Antonio Machado (Sevilla)