Skip to main content

Tipo de proveedor de la autenticación LDAP

El protocolo ligero de acceso a directorios (LDAP) es un estándar de Internet que proporciona acceso a la información desde distintas aplicaciones y sistemas informáticos. LDAP usa un conjunto de protocolos para acceder a los directorios y recuperar la información. Un directorio es similar a una base de datos con la diferencia de que contiene información más descriptiva y basada en atributos. Por lo general, la información de un directorio se lee con más frecuencia de lo que se escribe o modifica. LDAP permite que una aplicación que se ejecuta en la plataforma informática de una institución académica obtenga información, como nombres de usuario y contraseñas.

La centralización de este tipo de información simplifica su trabajo, ya que proporciona un único punto de administración. Como la información de usuario está disponible en una sola ubicación, se reduce el almacenamiento de datos duplicados y, a la vez, las necesidades de mantenimiento. La autenticación LDAP también permite que los usuarios dispongan de un único nombre de inicio de sesión y una sola contraseña para acceder a una serie de aplicaciones diferentes.

Sugerencia

Más información sobre la creación de proveedores de autenticación

Acerca de LDAPS y LDAP con StartTLS

Nota

Las versiones anteriores de Blackboard permitían agregar LDAP simple sin cifrado ("NoSSL"). A partir de 3900.84, no se pueden crear nuevos proveedores "NoSSL" y, aunque los existentes seguirán funcionando, si se actualizan para usar LDAPS / StartTLS, no será posible volver a cambiarlos a NoSSL. Anthology recomienda que los clientes que aún usan Sin SSL migren lo antes posible a una configuración segura.

La versión original de LDAP se remonta a la década de 1980 y no admitía ninguna seguridad de conexión. LDAPS fue el primer intento de atornillar lo que entonces se conocía como "SSL" (hoy: TLS). LDAPS utiliza un puerto especial de solo seguridad. El establecimiento de conexión requiere el uso del puerto correcto en función de si es seguro o no. Esto se volvió menos relevante con el tiempo a medida que disminuía el uso de conectividad insegura.

LDAPS nunca se estandarizó de manera formal. El IETF estandarizó "LDAP con cifrado" a través de un enfoque completamente diferente en RFC 2830 con el uso de StartTLS. En esta configuración, el servidor LDAP solo se conecta a un puerto. El cliente LDAP se conecta sin seguridad, luego envía el comando "STARTLS" y el servidor de LDAP y el cliente negocian la TLS.

Cada institución debe elegir LDAPS o StartTLS en función de sus necesidades y de lo que admita su servidor de directorios y demás consideraciones de arquitectura. Si se puede elegir cualquiera de las dos opciones, por lo general se prefiere StartTLS porque IETF lo estandarizó y es más nuevo. Algunos expertos en seguridad consideran que LDAPS está desactualizado y que ha quedado obsoleto de forma implícita por la difusión de RFC 2830, pero no existe un criterio uniforme.

Requisitos previos de seguridad

Para que la conexión no falle, necesita un certificado firmado comercialmente con una cadena de confianza completa para una autoridad de certificación en la que confíe el almacén de claves "CACerts" predeterminado de Java 11. No se pueden instalar certificados adicionales en los almacenes de claves. No se admiten los certificados autofirmados.

Por lo general, su autoridad de certificación (CA) firmará su certificado no con su certificado raíz de alta confianza, sino con un certificado intermedio firmado por esta raíz. Este certificado intermedio debe enviarse junto con el certificado del servidor porque se requiere su presencia para completar la cadena de verificación a una raíz de confianza. Normalmente, esto se hace anexando los certificados intermediarios al certificado de servidor. Para obtener más información, consulte la documentación del servidor de directorios de LDAP y la del emisor del certificado.

  • El servidor de directorios LDAP y todos los middleboxes deben ser compatibles con los conjuntos de cifrado aceptados por Java 11 y versiones posteriores. Por ejemplo: TLS 1.0 ya no tiene Soporte.

  • El servidor de directorio LDAP y todos los middleboxes deben aceptar conexiones entrantes desde las IP de salida de SaaS de su región. Comuníquese con el soporte de Blackboard para obtener esta información.

Configurar un proveedor LDAP

  1. Proporcione la URL de su servidor LDAP, por ejemplo, ldaps://directory.example.edu:636 para LDAPS o ldap://directory.example.edu:389 para LDAP con StartTLS.

  2. Establezca la versión de SSL en StartTLS o LDAPS.

  3. Proporcione el DN de búsqueda base el punto de partida en la estructura de directorios LDAP para buscar un usuario de Blackboard. A partir de aquí se realiza una búsqueda de subárbol, por ejemplo, dc=people, dc=example, dc=edu. puede crear y configurar dos proveedores LDAP totalmente independientes con DN de búsqueda básica distintos que apunten al mismo servidor LDAP físico. Puede hacer esto si desea reducir la carga en el servidor LDAP mediante la "marca" en education.blackboard.com, luego configurando el proveedor LDAP para buscar solo dc=people,dc=education, dc=example,dc=edu en lugar de todo el árbol.

    Sugerencia

    puede agregar varios proveedores LDAP con el mismo DN de búsqueda básica que apunten a servidores físicos distintos. Si uno de los servidores LDAP no responde, el marco de trabajo consulta el siguiente. Más información sobre el orden de los proveedores

  4. Proporcione el Atributo de búsqueda el atributo LDAP que contiene el valor que se asigna al conjunto Nombre de usuario o UID de lote de Blackboard en el paso Crear proveedor. Esta propiedad es específica del dominio. Para Active Directory (AD), la propiedad utilizada suele ser sAMAccountName y para Novell, normalmente uid. Para Active Directory, la mayoría de los clientes que integran usan sAMAccountName como atributo de búsqueda. Este formato calca el de los nombres de inicio de sesión antiguos (anteriores a Windows 2000), que tenían un máximo de 20 caracteres. El administrador del dominio de AD puede confirmar si este es el atributo correcto o si puede o debe usar userPrincipalName.

    Nota

    algunos servidores LDAP, como Active Directory, requieren un usuario con privilegios para conectarse al directorio. El proveedor LDAP requiere el nombre distintivo (DN) y la contraseña del usuario. Las dos opciones más habituales para conectarse con un usuario privilegiado son:

    • Crear un usuario nuevo en el directorio. Asignar este usuario al derecho de acceso de solo lectura. Usar esta cuenta de usuario como usuario privilegiado.

    • Usar un usuario existente en el directorio como usuario privilegiado.

    Esta cuenta necesita poder acceder al servidor LDAP cada vez que un usuario intente iniciar sesión en Blackboard. Como práctica recomendada, seleccione las opciones El usuario no puede cambiar la contraseña y La contraseña no caduca.

    Esto es lo que se conoce como una cuenta de servicio; el administrador de LDAP puede tener una ubicación especial en el directorio para este tipo de cuentas.

    Sugerencia

    al configurar la cuenta por primera vez, use una contraseña básica y cámbiela por otra más segura solo cuando haya confirmado que la configuración funciona. Tenga en cuenta que los caracteres especiales como # y @ pueden causar problemas.

  5. O bien, configure lo siguiente:

    • Búsqueda usando usuario con privilegios en . El valor predeterminado es No. Al buscar el FDN del usuario que se va a autenticar, el proveedor LDAP se enlaza al servidor LDAP como un usuario privilegiado (especificado).

    • Indique el DN de usuario con privilegios. Si la opción Búsqueda usando usuario con privilegios está establecida en , la contraseña debe estar indicada. Por ejemplo: cn=BlackboardLDAP,ou=Usuarios especiales, dc= example,dc=edu o BlackboardLDAP@example.edu

    • Indique la Contraseña del usuario con privilegios. Si la opción Búsqueda usando usuario con privilegios está establecida en , la contraseña debe estar indicada. El valor debe ser la contraseña correspondiente al usuario indicado en DN de usuario con privilegios.

  6. De manera opcional, puede establecer la Configuración avanzada.

    • El Tiempo de espera de conexión necesita un mínimo de 15 000 milisegundos. Este valor indica el tiempo en milisegundos que se debe esperar antes de cancelar una solicitud LDAP.

    • Diferenciar alias establecido en Siempre, Buscando o Buscando. El valor predeterminado es Nunca. Esta propiedad define cómo se elimina la referencia de los alias durante las operaciones de búsqueda.

      • Nunca: Nunca desreferencia alias.

      • Siempre: siempre quite la referencia a los alias.

      • Hallazgo: desreferencia de alias solo durante la resolución de nombres, es decir, mientras se localiza la entrada de destino.

      • Búsqueda: Elimine la referencia de los alias una vez que se completa la resolución de nombres, es decir, después de localizar la entrada de destino.

    • Referencias establecido como Seguir o Tirar. El valor predeterminado es Ignorar. Esta propiedad especifica cómo debe gestionar las referencias el proveedor.

      • Ignorar: Ignora las referencias si aparecen en los resultados.

      • Seguir: Siga automáticamente cualquier referencia.

      • Throw: Lanza una Java ReferralException para cada referencia. Esto provoca un error.

    • Límite de referencia está establecido en 5 de manera predeterminada. Esta propiedad especifica la cantidad máxima de referencias que se van seguir. Cero no es un valor válido. Esta propiedad solo se puede establecer si la propiedad Referencias está establecida en Seguir o Tirar.

  7. Haga clic en Enviar para guardar la configuración.

    Sugerencia

    antes de activar el nuevo proveedor de la autenticación, seleccione Probar los ajustes de la conexión en el menú contextual para confirmar que la configuración funcione según lo previsto.