Hay un elemento que utilizas en tu empresa cada día decenas e incluso cientos de veces y del que estamos seguros de que no has oído hablar nunca. Se llama LDAP (son las siglas de Lightweight Directory Access Protocol o protocolo ligero de acceso a directorios).
Este protocolo es el encargado de almacenar, administrar y asegurar la información sobre tu empresa, sus usuarios y activos, como nombres de usuarios y contraseñas. Lo cierto es que sin LDAP, no podrías hacer uso de los sistemas informáticos de tu empresa.
Dada su importancia, hemos considerado que se merece un post en nuestro blog, este que ahora tienes ante ti. Sigue leyendo para descubrir qué es LDAP, para qué sirve y cómo funciona este protocolo.
¿Qué es LDAP y para qué sirve?
LDAP es un protocolo de red que permite acceder y gestionar los datos almacenados en un servidor de directorio de manera sencilla y ordenada.
Recordemos que los servicios de directorio son bases de datos donde se guarda información, como usuarios, cuentas, contraseñas o recursos. Estos datos se almacenan siguiendo una estructura jerárquica llamada árbol de información directorios (DIT) para facilitar a los administradores el acceso y la exploración.
La función de LDAP es proporcionar el lenguaje que utilizan las diferentes aplicaciones para entenderse con otros servidores de servicios de directorio y acceder a la información. En otras palabras, LDAP es el protocolo que conecta las aplicaciones con la información almacenada en el directorio.
Por tanto, el protocolo ligero de acceso a directorios cumple con dos objetivos principales:
- Almacena datos en el directorio.
- Facilita la autenticación a los usuarios para acceder al directorio.
Además, como hemos visto, LDAP brinda el lenguaje de comunicación que requieren las aplicaciones (por ejemplo, servicios de correo electrónico) para enviar y recibir información de los servicios de directorio.
El protocolo LDAP se emplea habitualmente en entornos empresariales para proporcionar una ubicación central desde donde entrar, gestionar y asegurar la información corporativa almacenada en servicios de directorio.
Por este motivo, resulta fundamental para los negocios a medida que crecen y adquieren más datos y activos de los usuarios, ya que ayuda a las personas a comunicarse con los servidores de directorio para extraer o interactuar con los datos guardados.
En resumen, el protocolo ligero LDAP permite a los usuarios de directorios centralizados autenticarse (acreditar o verificar su identidad), acceder a los servicios de directorio y administrar la información que allí se almacena.
¿Cómo funciona el protocolo LDAP?
Ahora ya sabemos que LDAP es un protocolo, es decir, un conjunto de reglas que permite la comunicación entre varias entidades de un sistema informático, que se utiliza para almacenar y recuperar datos de los servicios de directorio.
Pero, ¿cómo funciona LDAP exactamente? Lo vemos.
El protocolo ligero de acceso a directorios se fundamenta en un paradigma de interacción cliente-servidor y es un proceso relativamente sencillo. Por un lado, los clientes envían solicitudes de búsqueda al servidor LDAP a través de una conexión TCP/IP 389, generalmente.
A partir de ahí, el servidor procesa las solicitudes, compara las credenciales del usuario con el directorio y comienza el intercambio de información devolviendo los resultados correspondientes que el cliente desea encontrar.
Este proceso se puede desglosar en cuatro pasos:
- El cliente inicia una sesión con el servidor LDAP conocida como enlace.
- El cliente lanza una solicitud de operación al servidor con un conjunto concreto de datos como, por ejemplo, una búsqueda que incluye un filtro especificando los criterios de búsqueda.
- El servidor LDAP procesa la consulta o comando que solicita información al servicio de directorio, es decir, la pregunta que el cliente quiere hacer al servidor. Para ello, primero verifica las credenciales enviadas por el usuario contrastándolas con las almacenadas en el servidor para autorizar el acceso al sistema en caso de que coincidan —de no ser así, deniega el acceso—. Posteriormente, busca en el directorio todas las entradas que coinciden con el filtro introducido por el cliente y le devuelve una respuesta de acuerdo con la petición de información.
- Una vez que el cliente recibe la respuesta en forma de datos, se desvincula del servidor LDAP y la conexión finaliza.
¿Qué tipos de operaciones se pueden realizar a través de LDAP?
A través de LDAP, los usuarios pueden llevar a cabo diferentes tipos de operaciones en función de las necesidades que tenga.
Es importante señalar que LDAP utiliza un modelo de permisos de accesos basado en roles donde cada usuario puede tener diferente nivel de acceso a las distintas entradas del directorio. Cada rol permite llevar a cabo determinadas operaciones LDAP sobre el servidor.
Estas son algunas de las operaciones más comunes que permite LDAP, además de autentificarse o cerrar la conexión:
- Añadir nuevas entradas a la base de directorios como, por ejemplo, añadir una nueva cuenta de usuario de un trabajador.
- Modificar o suprimir las entradas existentes. Por ejemplo, eliminar una cuenta de un empleado tras su cese en la empresa o editar el rol de un trabajador que ha asumido nuevas funcionalidades y requiere permisos más amplios.
- Buscar un archivo dentro de la base de datos. Sería la operación necesaria para confirmar si un usuario ya ha sido eliminado, por ejemplo.
- Comparar entre diferentes elementos dentro del directorio para encontrar similitudes o diferencias.
¿Por qué LDAP es fundamental para las empresas?
LDAP opera en diferentes tipos de redes informáticas como Intranets, que conectan a varios usuarios dentro de una red privada (sería el caso de una VPN), redes públicas, así como múltiples servicios de directorio.
Esta condición lo convierte en el protocolo más conveniente para autenticar, acceder y modificar información en cualquier directorio.
Debido a la enorme cantidad de datos que requieren las tareas administrativas hoy en día, LDAP es clave para las empresas.
Gracias a este protocolo, los miembros de una empresa pueden acceder con regularidad a nombres de usuario, contraseñas, direcciones de e-mail, impresoras u otros dispositivos y terminales para realizar sus labores diarias.
Debes saber que toda la comunicación, tanto solicitudes como respuestas, que se ejecuta a través de LDAP se efectúa en texto plano sin formato. Esto permite que este protocolo se integre fácilmente con otras aplicaciones, plataformas y servicios, como Apache Directory Server, OpenLDAP o Active Directory (desarrollado por Microsoft y que es una parte integral de la arquitectura de Windows Server).
Sin embargo, a su vez, esta ventaja también supone un riesgo, puesto que cualquiera puede acceder a toda la información privada almacenada en el directorio, dejando la puerta abierta a ataques maliciosos de personas interesadas en secuestrar cuentas, violar datos o cambiar roles de usuario.
Esto puede poner en jaque la ciberseguridad de la empresa. Sin embargo, hay métodos y acciones de hardening que permiten fortalecer los sistemas informáticos para evitar este tipo de ciberataques que pretenden obtener datos confidenciales en un directorio LDAP.
Una de las formas de impedir que el protocolo sea vulnerado es utilizar versiones más seguras como LDAP un puerto 636 mediante SSL / TLS (Secure Socket Layer / Transport Layer Security) para encriptar las comunicaciones.
También se pueden agregar capas adicionales de protección, por ejemplo, solicitando que el usuario acepte una notificación automática en su smartphone tras introducir una contraseña correcta.
Ahora ya tienes claro qué es LDAP y por qué resulta clave para los negocios actuales. Recuerda que desde Sale Systems te ayudamos a implementar la infraestructura tecnológica necesaria que requiere LDAP dentro de tu empresa y activamos métodos de ciberseguridad para proteger la información confidencial de tu negocio.
Resumen del artículo en Vídeo principales Tips
Contacta con nosotros y te explicaremos en detalle cómo podemos trabajar juntos.
