eGuide es una aplicación cliente LDAP. Puede dirigirse a datos de eDirectory y otros orígenes de datos compatibles con LDAP. El proceso de configuración de eGuide implica la identificación del origen de datos LDAP y la especificación del método que utilizará eGuide para acceder al origen de datos. Antes de configurar eGuide, debe conocer ciertos aspectos acerca del servidor LDAP.
Una función de los servidores LDAP es la capacidad para acceder a datos mediante una asociación anónima. Un anónimo puede considerarse como una cuenta guest. Con una asociación anónima, los usuarios pueden acceder a los datos LDAP sin identificarse. Normalmente, los servidores LDAP proporcionan acceso limitado a los datos cuando se utilizan anónimos. Esto puede significar un acceso sólo para algunos de los objetos y un acceso sólo para algunos de los atributos de dichos objetos.
Con eDirectory, los usuarios anónimos tienen derechos asignados al seudo objeto denominado [Public] o derechos de un objeto Usuario alterno (proxy) de LDAP.
Por defecto, los anónimos tienen los mismos derechos sobre objetos del directorio como [Public]. Cuando se crea un árbol, se otorgan derechos de Examinación a [Public] sobre la raíz del árbol. Estos derechos por defecto permiten a las conexiones LDAP anónimas desplazarse por el árbol y ver la lista de objetos y sus nombres. Sin embargo, las conexiones LDAP anónimas no pueden ver ninguno de los atributos de dichos objetos.
Principalmente, eGuide utiliza LDAP para operaciones de búsqueda. Las operaciones de búsqueda requieren derechos de Lectura sobre el atributo que se busca. Por ejemplo, para buscar todos los usuarios con el apellido Jones, la conexión LDAP debe tener derechos de Lectura para el atributo de apellido. Los derechos de Examinación proporcionados por el objeto por defecto [Public] son insuficientes para realizar operaciones de búsqueda de LDAP.
Puede utilizar iManager para especificar [Public] como Trustee para las secciones del árbol con derechos específicos para objetos y atributos de dichos objetos.
También puede especificar un usuario alterno (proxy) de LDAP. Si se especifica un usuario alterno (proxy) de LDAP, los anónimos utilizarán los derechos del objeto Alterno (proxy) en lugar de los derechos otorgados a [Public]. Utilice iManager para crear un usuario alterno (proxy) de LDAP y convertir el objeto eb un Trustee para una parte del árbol con derechos específicos para objetos y atributos de los mismos. Edite el objeto Grupo LDAP para especificar el DN (nombre completo) del objeto Alterno (proxy) de LDAP. El objeto Alterno (proxy) de LDAP debe tener una contraseña nula.
En resumen, si utiliza eDirectory como origen de datos LDAP y selecciona Utilice anónimo al configurar eGuide, permitirá que eGuide busque en el árbol empleando los derechos asignados a [Public] o al usuario alterno (proxy) de LDAP.
Otra opción consiste en crear un usuario alterno (proxy) de eGuide y convertirlo en Trustee para una parte del árbol con derechos específicos para objetos y atributos de los mismos. El usuario alterno (proxy) de eGuide realiza la misma función que el usuario alterno (proxy) de LDAP. La única diferencia es que un usuario alterno (proxy) de LDAP se aplica a todas las asociaciones anónimas de LDAP, mientras que el usuario alterno (proxy) de eGuide es exclusivo de la aplicación eGuide.
Al configurar eGuide, el sistema solicita que especifique si se debe asociar al directorio LDAP como anónimo o a través de un usuario alterno (proxy) de eGuide.
En cualquier caso, si no puede realizar búsquedas mediante eGuide, es posible que la cuenta utilizada para otorgar derechos para eGuide no tenga suficientes derechos para realizar la búsqueda.
Otra información necesaria acerca del sistema LDAP de destino es el modo en que trata las conexiones seguras. La conexión que nos interesa es la que existe entre la aplicación eGuide y el servicio LDAP. Si el servicio LDAP está configurado para utilizar una conexión segura, debe habilitar eGuide para que utilice una conexión segura. Para ello, marque la opción Habilitar SSL en el Asistente de configuración rápida de eGuide.
eDirectory 8.7 utiliza Transport Layer Security o TLS para proporcionar una conexión LDAP segura. TLS es una aplicación de código abierto de Secure Socket Layer (SSL). El servicio LDAP para eDirectory tiene dos opciones en relación con TLS.
Por defecto, eDirectory 8.7 requiere TLS para asociaciones simples con contraseña. Puede cambiar este ajuste editando el objeto Grupo LDAP para el servicio LDAP. Novell recomienda la definición de este ajuste de modo que se cifren las contraseñas utilizadas para asociar con el servicio LDAP.
Puede ver o modificar esta opción con iManager editando el objeto Servidor LDAP para el servicio LDAP. Cuando está activada, todas las operaciones de solicitud y respuesta de LDAP se cifran. Por defecto, esta opción está desactivada.
Si la opción nº 1 o nº 2 de TLS está activada y la aplicación cliente (eGuide en este caso) se asocia con el servicio LDAP, debe hacerlo mediante TLS. Si la aplicación cliente intenta asociarse sin TLS, recibe un error: Credenciales del servidor alterno (proxy) de autenticación no válidas. No es posible autenticarse en el servidor.
Al configurar eGuide con el Asistente de configuración rápida, aparece la casilla de verificación Habilitar SSL. Si el servicio LDAP tiene alguna de las opciones de TLS activadas, también debe marcar la casilla de verificación Habilitar SSL en el Asistente de configuración rápida de eGuide.
Si utiliza anónimos, no se utiliza ninguna contraseña para la asociación simple de LDAP y no es necesario marcar la casilla de verificación Habilitar SSL en el Asistente de configuración rápida.
TLS supone un impacto significativo sobre el rendimiento. Si eGuide y eDirectory se ejecutan en servidores del mismo dominio seguro, es posible que deba considerar la inhabilitación de TLS para obtener un mejor rendimiento.