Mod_Auth_ldap

Autores: Miguel ngel Maya Aranda Jose Manuel Luque Tarn

Mod_Auth_ldap
ndice 2 - Introduccin 7 - Fase de autenticacin 10- Fase de autorizacin 14 -Ejemplos

Introduccin
Permite la autenticacin bsica HTTP por comparacin con un directorio LDAP. Esta comparacin se realiza a travs del mdulo mod_authnz_ldap

Introduccin
Este mdulo se activa de la siguiente manera: sudo a2enmod mod_auth_ldap Al reiniciar el servicio apache, el mdulo se activa.

Introduccin
Para que este mdulo funcione el servidor apache necesita un servidor LDAP , este servidor puede estar en la misma mquina o en otra diferente, de esta manera los usuarios autorizados podrn autenticarse en el sistema.

Introduccin
Distingimos entre dos fases durante el acceso de un usuario: En primer lugar est la fase de la autenticacin Y la segunda es la fase de autorizacin.

La fase de autenticacin
Durante esta fase encontramos los siguientes pasos: Se genera un filtro combinado por el atributo y el filtro que proviene de la directiva AuthDAPURL con el nombre proporcionado en el cliente HTTP . Busca el directorio usando el filtro generado, en caso de que no devuelva nada, rechaza el acceso.

La fase de autenticacin
En la tercera partese obtiene el DN de la entrada resultante y se intenta enlazar con el servidor LDAP mediante el DN y la password. Si no se puede enlazar con el servidor se rechaza el acceso.

La fase de autenticacin
Las directivas que interviene en esta fase son: AuthLDAPURL: especifca el servidor LDAP y el/los atributo que se utilizar en la bsqued. AuthLDAPBindDN: DN opcional para enlazar con la fase de bsqueda. AuthLDAPBindPassword: contrasea opcional para enlazar con la fase de bsqueda.

La fase de autorizacin
Durante la fase de autorizacin, mod_auth_ldap intenta determinar si el usuario est autorizado a acceder al recurso. Para sto, mod_auth_ldap acepta las siguientes directivas Require: Require valid-user Require user Require dn Require group Require ldap-attribute

La fase de autorizacin
Require valid-user: es necesario que sea un usuario autenticado en la fase anterior. Require user: especifica un usario concreto de LDAP.

La fase de autorizacin
Require dn: especifica un dn concreto de LDAP. Require group: especifica un grupo concreto de LDAP. Require ldap-attribute: permite especificar atributos concretos de LDAP

Ejemplos
Permitir el acceso a cualquier usuario que existe en el directorio LDAP, usando su UID para las bsquedas. AuthLDAPURL "ldap://ldap1.airius.com:389/ou=People, o=Airius? uid?sub?(objectClass=*)" Require valid-user

Ejemplos
Permitir el acceso a cualquier usuario en el grupo Administradores. Los usuarios deben autenticarse usando su UID. AuthLDAPURL ldap://ldap.airius.com/o=Airius?uid Require group cn=Administrators, o=Airius