AUTENTICACIN CENTRALIZADA CON TECNOLOGA LDAP

ANDRES HOLGUIN CORAL 2002

ADVERTENCIA

LA PONECIA NO REFLEJA LA OPININ DE LA DIRECCIN DE TECNOLOGAS DE INFORMACIN DE LA UNIVESIDAD DE LOS ANDES.

Qu es autenticacin?
Autenticacin se refiere al proceso por el cual un usuario de una red adquiere el derecho a usar una identidad dentro de la misma. Existen diferentes maneras de autenticar a un usuario: El uso de claves (Lo que se) Tokens (Lo que tengo) Biomtricos (Lo que soy) Combinaciones de los Anteriores (factor 1, factor 2 )

Dnde se origina el problema?

El problema de la autenticacin(1)
1. El usuario usa tantas claves y mtodos de autenticacin como servicios presta la organizacin. El usuario para simplificar su trabajo tiende a usar claves muy fciles. Con un mnimo conocimiento de la persona puedo saber cual es la clave que usa. Los costos de administracin de usuarios aumentan.

El problema de la autenticacin(2)
2. La administracin de usuarios se hace de manera descentralizada en cada aplicacin. 3. Cada servicio que presta la organizacin tiene su propio mtodo para el manejo de los usuarios.

Qu pasa si se compromete una clave?

Perdida de confidencialidad de la informacin, debido a que al usar claves dbiles se puede acceder a la informacin privada de la organizacin. Perdida de la integridad de la informacin y suplantacin de usuarios, usando la clave de otra persona se puede alterar la informacin hacindose pasar por otra persona. Perdida de la disponibilidad de la informacin, al cambiar la informacin no se tiene acceso a sta cuando se requiere.

La solucin

AUTENTICACIN CENTRALIZADA

Qu es autenticacin centralizada?
Autenticacin centralizada es ubicar los usuarios y sus claves en un repositorio centralizado, para que los usuarios de los servicios se validen en este lugar.
Radius

UNIX

APLICACIONES

LDAP

Cmo se implementa?

free radius

PAM para Mdulo de Sincronizacin UNIX Autenticacin active con LAD directory

free radius con eap

Cmo funciona?
Servidores LDAP
Servidor LDAP Principal Servidor LDAP Respaldo

Modulo LAD

Controlador de Dominio Active Directory

Servidores Sun

Aplicaciones web

Servicios IMAP POP

Servicios Groupware

Estaciones Clientes

Qu es LDAP?
Lightweight Directory Access Protocol. Es un protocolo cliente servidor hecho para acceder a un servicio de directorio en el modelo TCP/IP. Esta basado en el protocolo X.500. Un directorio es similar a una base de datos, pero tiende a contener informacin ms descriptiva. Directorio refleja a la gente dentro de la estructura de una organizacin.

Diseo de un directorio
Como el protocolo LDAP es la base del sistema de autenticacin centralizada, el diseo del directorio es la clave para el buen funcionamiento de la solucin.
O=dominio.com

ou=bogota

ou=cali

ou=medellin

PAM (Pluggable Authentication Module)

Es una librera de interfase para la autenticacin de mltiples servicios. Desliga la autenticacin del sistema operativo y lo traslada a un tercero, que en este caso es LDAP. Ventajas: Seguridad Flexibilidad

Qu es LAD?
LDAP Autentication Deamon Es un demonio que corre sobre una maquina con sistema operativo Linux o Solaris. La funcin de este demonio es hacer que las aplicaciones web que se autentican usando el protocolo AUTD lo hagan de manera segura y usando LDAP.

Como funciona el mdulo LAD

Qu es Active Directory?

Es la implementacin del protocolo LDAP que Microsoft desarrollo para Windows 2000 Server.

Sincronizacin con Active Directory

Para la creacin de cuentas en el active directory, se usan scripts hechos en un servidor UNIX de manera centralizada, estos scripts crean las cuentas tanto en el sistema operativo UNIX como en el LDAP y en el Active Directory. Lo nico que hay que tener en cuenta es que los campos en el directorio Iplanet o OpenLDAP y en el Active Directory se llaman diferente.

Relacin entre los nombres de los campos

IPLANET OpenLDAP dn uid email displayname givenname ACTIVE DIRECTORY dn samaccountname userprincipalname displayname givenname

Cmo se sincronizan las claves?

Se debe hacer una aplicacin que cambie las claves tanto en el Directorio LDAP (OpenLDAP o Iplanet) y en el Active Directory. Para lograr que las claves se mantengan sincronizadas se deben manjar las excepciones en esta aplicacin, por ejemplo que unos los dos directorios se encuentre fuera de lnea.

Por ltimo a los usuarios no se les debe permitir cambiar la clave desde su estacin de trabajo Windows.

Referencias
Implementing LDAP in the Solaris Operating Environment, Tom Bialaski - Enterprise Engineering, Sun BluePrints OnLine - October 2000 Internetworking whit TCP/IP Volume III Douglas E. Comer David L. Estevens, Prentice Hall 1993 Notes from the Directory Services Summit at Big Ten Conference Center September 28, 1999, http://www.citi.umich.edu/u/kwc/CIC-RPG/CIC-DirectoryServicesSummitSep1999.htm Programers Guide Nestcape LDAP SDK for C, Noviembre 20 de 2000 TCP/IP Ilustrated Volume 2, W. Richard Stevens, Addison-Westley 1994 RFC 2251 -- Lightweight Directory Access Protocol (v3) RFC 2254 -- The String Representation of LDAP Search Filters RFC 2829 -- Authentication Methods for LDAP http://www.sans.org/infosecFAQ/authentic/layered.htm Understanding and Deploying LDAP Directory services, Timothy A. Howes, Macmillan 1999 http://www.cni.org/projects/authentication/authentication-wp.html http://www.sans.org/infosecFAQ/win2000/kerberos2.htm http://www.sans.org/infosecFAQ/dir/LDAP.htm http://www.sans.org/infosecFAQ/authentic/radius2.htm Kerveos ftp://ftp.isi.edu/in-notes/pdfrfc/rfc1510.txt.pdf Radius ftp://ftp.isi.edu/in-notes/pdfrfc/rfc2865.txt.pdf Rivest, R. and S. Dusse, "The MD5 Message-Digest Algorithm",RFC 1321, April 1992.