OpenLDAP

OpenLDAP es una implementación libre y de código abierto del protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP.

Está liberada bajo su propia licencia OpenLDAP Public License. LDAP es un protocolo de comunicación independiente de la plataforma.

Muchas distribuciones GNU/Linux incluyen el software OpenLDAP para el soporte LDAP. Este software también corre en plataformas BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (NT y derivados, incluyendo 2000, XP, Vista), y z/OS.

 Componentes

Básicamente, OpenLDAP posee tres componentes principales:

  •  slapd - Dominio de servidor y herramientas
  •  Bibliotecas que implementan el protocolo LDAP
  •  Programas cliente: ldapsearch, ldapadd, ldapdelete, entre otros

Adicionalmente, el proyecto OpenLDAP es anfitrión de los subproyectos:

  •  JLDAP - biblioteca de clases LDAP para Java
  •  JDBC-LDAP - controlador Java JDBC - LDAP
  •  ldapc++ - biblioteca de clases LDAP para C++

Backends
Concepto general

Históricamente la arquitectura del servidor OpenLDAP (slapd, Standalone LDAP Daemon) fue dividida entre una sección frontal que maneja las conexiones de redes y el procesamiento del protocolo, y un base de datos dorsal o de segundo plano (backend) que trata únicamente con el almacenamiento de datos. La arquitectura es modular y una variedad de backends está disponible para interactuar con otras tecnologías, no sólo bases de datos tradicionales.

Nota: En versiones antiguas (1.x), los términos "backend" y "database (base de datos)" podían intercambiarse. Para ser precisos, un "backend" es una clase de interfaz de almacenamiento, y una base de datos es una instancia de un backend. El servidor slapd puede utilizar arbitrariamente varios backends en una sola vez, y puede tener arbitrariamente muchas instancias de cada backend (por ejemplo varias bases de datos) activas por vez.
Backends disponibles

Actualmente 16 diferentes backends son proporcionados en la distribución de OpenLDAP, y varios proporcionados por terceros son conocidos para mantener otros backends de manera independiente. Los backends estándar están organizados de manera imprecisa en tres categorías:

    * Backends de almacenamiento de datos (Data Storage backends) - estos realmente almacenan información
          o back-bdb: el primer backend transaccional para OpenLDAP, construido en base a BerkeleyDB
          o back-hdb: una variante de back-bdb que es totalmente jerárquica y soporta renombrado de sub-árboles
          o back-ldif: construido en archivos LDIF de texto plano
          o back-ndb: un backend transaccional construido en base al motor de cluster NDB de MySQL
    * Proxy backends - actúan como puertas de enlace a otros sistemas de almacenamiento de datos
          o back-ldap: proxy simple a otros servidores LDAP
          o back-meta: proxy con características de meta-directorio
          o back-passwd: usa un sistema basado en Unix de datos passwd y group
          o back-relay: internamente redirige a otros backends de servidores slapd
          o back-sql: establece conexiones a bases de datos SQL
    * Backends dinámicos - estos generan datos sobre la marcha
          o back-config: configuración del servidor slapd vía LDAP
          o back-dnssrv: localiza servidores LDAP vía DNS
          o back-monitor: estadísticas de slapd vía LDAP
          o back-null: un backend nulo, análogo a /dev/null en Unix
          o back-perl: invoca arbitrariamente módulos de perl en respuesta a peticiones LDAP
          o back-shell: invoca scripts de shell para peticiones LDAP
          o back-sock: redirige peticiones LDAP sobre IPC a demonios de manera arbitraria

Algunos backends disponibles en lanzamientos antiguos de OpenLDAP han sido retirados, los más notorios fueron el back-ldbm que fue heredado del código original de UMich, y back-tcl que era similar a back-perl y back-shell.

En la práctica, los backends como -perl, -shell, and -sock permiten interconexión con cualquier lenguaje de programación, por lo cual proveen limitadas capacidades para personalización y expansión. En efecto el servidor slapd se convierte en un motor RPC con una interfaz de programación de aplicaciones (API) compacta, bien definida y ubícua.
Overlays
Concepto general

Generalmente una petición LDAP es recibida por el frontend, decodificada y luego transferida a un backend para procesamiento. Cuando el backend completa la petición, devuelve un resultado al frontend, quien luego envía el resultado al cliente LDAP. Un overlay es una pieza de código que puede ser insertada entre el frontend y el backend. Es entonces capaz de interceptar peticiones y lanzar otras acciones en ellas antes de que el backend las reciba, y puede también actuar sobre los resultados del backend antes de que éstos alcancen el frontend. Overlays tiene acceso completo a las interfaces de programación (APIs) internas del servidor slapd, y por tanto pueden invocar cualquier llamada que podrían realizar el frontend u otros backends. Múltiples overlays pueden ser usados a la vez, formando una pila de módulos entre el frontend y el backend.

Los overlays proveen un medio simple para incrementar las funcionalidades de una base de datos sin requerir que un completo backend nuevo puede ser escrito, y permite añadir nuevas funcionalidades de manera compacta, fácilmente depurable y módulos mantenibles. Desde la introducción de la característica de overlay en OpenLDAP 2.2 muchos nuevos overlays han sido contribuidos por la comunidad OpenLDAP.
Overlays disponibles

Actualmente existen 20 overlays en el núcleo de la distribución OpenLDAP, con otros 10 overlays en la sección de contribuciones de los usuarios, y más aún esperan aprobación para ser añadidos.

    * Entre los overlays incluidos en el núcleo se incluyen:
          o accesslog: servidor de registro de actividades en otra base de datos LDAP, para registro de actividades accesible por LDAP
          o auditlog: servidor de registro de actividades en un archivo de texto plano
          o chain: intercepta referencias y las encadena; el código es parte de back-ldap
          o collect: implementa atributos de estilo X.500 (también conocido Netscape Class Of Service)
          o constraint: restringe los valores aceptables para atributos particulares
          o dds: dynamic data service - entradas de corto tiempo de vida, auto expirables
          o deref: devuelve información acerca de entradas referenciadas en resultados de búsqueda dados
          o dyngroup: soporte simple de grupos dinámicos
          o dynlist: soporte de grupos dinámicos más sofisticado y otras características
          o memberof: soporte de memberOf y atributos similares
          o pcache: almacenamiento en cache de resultados de búsqueda, principalmente para mejorar desempeño para servidor que actúan como proxyes.
          o ppolicy: política de claves LDAP - calidad de claves, expiración, etc.
          o refint: integridad referencial
          o retcode: establece códigos de retorno predefinidos para varios operadores, usado para depuración de clientes
          o rwm: módulo de reescritura para varias alteraciones de datos LDAP
          o seqmod: serializa escritura para entradas individuales
          o syncprov: Proveedor para un consumidor syncrepl, implementa el lado maestro en un esquema de replicación
          o translucent: paso semi-transparente, para aumentar datos lógicamente en un servidor utilizado como proxy
          o unique: para forzar unicidad de valores de atributos en un árbol
          o valsort: mantiene varios ordenamientos para valores de un atributo

    * Los overlays contribuidos incluyen:
          o addpartial: reciben peticiones de adición (Add) y los convierte en modificaciones (Modifies) si la entrada objetivo ya existe.
          o allop: devuelve todos los atributos operacionales, para clientes que no conocen cómo efectuar las peticiones
          o autogroup: grupos estáticos manejados dinámicamente
          o denyop: rechaza de manera arbitraria peticiones configuradas
          o lastmod: mantiene la marca de tiempo del último cambio en un árbol
          o nops: filtra modificaciones redundantes
          o nssov: responde peticiones NSS directamente en slapd, reemplaza a nss-ldap
          o proxyOld: soporta una codificación obsoleta de ProxyAuthz usada por Sun y otros
          o smbk5pwd: mantiene claves en Samba y Kerberos
          o trace: lleva un registro de peticiones y respuestas LDAP

OpenLDAP también soporta SLAPI, la arquitectura de extensión usada por Sun y Netscape/Fedora/RedHat. En versiones actuales, el framework SLAPI es implementada dentro del overlay de slapd. Mientras varias extensiones escritos por Sun/Netscape/Fedora/RedHat son compatibles con OpenLDAP, muy pocos miembros de la comunidad OpenLDAP usan SLAPI.
Productos que facilitan el uso de OpenLDAP

Algunos desarrollos son creados específicamente para facilitar la gestión de sistemas de directorio como OpenLDAP para usuarios que buscan una interfaz intuitiva, además de añadir otras herramientas y características.

 

Resumen: 
OpenLDAP es una implementación libre y de código abierto del protocolo Lightweight Directory Access Protocol (LDAP)