El protocolo ligero de acceso a directorios (LDAP) es un estándar de Internet que proporciona acceso a la información desde distintas aplicaciones y sistemas informáticos. LDAP usa un conjunto de protocolos para acceder a los directorios y recuperar la información. Un directorio es similar a una base de datos con la diferencia de que contiene información más descriptiva y basada en atributos. Por lo general, la información de un directorio se lee con más frecuencia de lo que se escribe o modifica. LDAP permite que una aplicación que se ejecuta en la plataforma informática de una institución académica obtenga información, como nombres de usuario y contraseñas.
La centralización de este tipo de información simplifica su trabajo, ya que proporciona un único punto de administración. Como la información de usuario está disponible en una sola ubicación, se reduce el almacenamiento de datos duplicados y, a la vez, las necesidades de mantenimiento. La autenticación LDAP también permite que los usuarios dispongan de un único nombre de inicio de sesión y una sola contraseña para acceder a una serie de aplicaciones diferentes.
Más información sobre la creación de los proveedores de la autenticación
Acerca de LDAPS y LDAP con StartTLS
Las versiones anteriores de Learn permitían agregar LDAP sin cifrado ("Sin SSL"). A partir de la versión 3900.84, no se pueden crear nuevos proveedores "Sin SSL" y, aunque los existentes seguirán funcionando, si se actualizan para usar LDAPS o StartTLS, no será posible volver a cambiarlos a Sin SSL. Anthology recomienda que los clientes que aún usan Sin SSL migren lo antes posible a una configuración segura.
La versión original de LDAP se remonta a la década de 1980 y no admitía ninguna seguridad de conexión. LDAPS fue el primer intento de incorporar lo que entonces se conocía como "SSL" (hoy: TLS). LDAPS utiliza un puerto especial de solo seguridad. El establecimiento de conexión requiere el uso del puerto correcto en función de si es seguro o no. Esto se volvió menos relevante con el tiempo a medida que disminuía el uso de conectividad insegura.
LDAPS nunca se estandarizó de manera formal. El IETF estandarizó "LDAP con cifrado" a través de un enfoque completamente diferente en RFC 2830 con el uso de StartTLS. En esta configuración, el servidor LDAP solo se conecta a un puerto. El cliente LDAP se conecta sin seguridad, luego envía el comando "STARTLS" y el servidor de LDAP y el cliente negocian la TLS.
Cada institución debe elegir LDAPS o StartTLS en función de sus necesidades y de lo que admita su servidor de directorios y demás consideraciones de arquitectura. Si se puede elegir cualquiera de las dos opciones, por lo general se prefiere StartTLS porque IETF lo estandarizó y es más nuevo. Algunos expertos en seguridad consideran que LDAPS está desactualizado y que ha quedado obsoleto de forma implícita por la difusión de RFC 2830, pero no existe un criterio uniforme.
Requisitos previos de seguridad
Para que la conexión no falle, necesita un certificado firmado comercialmente con una cadena de confianza completa para una autoridad de certificación en la que confíe el almacén de claves "CACerts" predeterminado de Java 11. No se pueden instalar certificados adicionales en los almacenes de claves. No se admiten los certificados autofirmados.
Por lo general, su autoridad de certificación (CA) firmará su certificado no con su certificado raíz de alta confianza, sino con un certificado intermedio firmado por esta raíz. Este certificado intermedio debe enviarse junto con el certificado del servidor porque se requiere su presencia para completar la cadena de verificación a una raíz de confianza. Normalmente, esto se hace anexando los certificados intermediarios al certificado de servidor. Para obtener más información, consulte la documentación del servidor de directorios de LDAP y la del emisor del certificado.
- El servidor de directorios LDAP y todos los middleboxes deben ser compatibles con los conjuntos de cifrado aceptados por Java 11 y versiones posteriores. Por ejemplo: TLS 1.0 ya no es compatible.
- El servidor de directorio LDAP y todos los middleboxes deben aceptar conexiones entrantes desde las IP de salida de SaaS de su región. Comuníquese con el soporte de Blackboard para obtener esta información.
Configurar un proveedor LDAP
- Proporcione su URL de servidor LDAP; por ejemplo: ldaps://directory.example.edu:636 para LDAPS o ldap://directory.example.edu:389 para LDAP con StartTLS.
- Establezca la versión de SSL en StartTLS o LDAPS.
Indique el valor de Búsqueda básica DN (el punto de inicio para buscar un usuario de Learn en la estructura del directorio LDAP). A partir de aquí se realiza una búsqueda de subárbol, por ejemplo, dc=people, dc=example, dc=edu. puede crear y configurar dos proveedores LDAP totalmente independientes con DN de búsqueda básica distintos que apunten al mismo servidor LDAP físico. Esto sirve para reducir la carga del servidor LDAP al personalizar las marcas en education.blackboard.com y configurar el proveedor LDAP para que busque solo en dc=people, dc=education, dc=example y dc=edu en lugar de en todo el árbol.
puede agregar varios proveedores LDAP con el mismo DN de búsqueda básica que apunten a servidores físicos distintos. Si uno de los servidores LDAP no responde, el marco de trabajo consulta el siguiente. Más información sobre el orden de los proveedores
Indique el Atributo de la búsqueda (el atributo de LDAP que contiene el valor que se asigna al nombre de usuario o la UID del lote de Learn establecido en el paso Crear proveedor). Esta propiedad es específica del dominio. Así, para Active Directory (AD), normalmente se usa la propiedad sAMAccountName y para Novell, uid. En el caso de Active Directory, la mayoría de los clientes de integración usan sAMAccountName como Atributo de búsqueda. Este formato calca el de los nombres de inicio de sesión antiguos (anteriores a Windows 2000), que tenían un máximo de 20 caracteres. El administrador del dominio de AD puede confirmar si este es el atributo correcto, o si se puede o se debe usar userPrincipalName.
algunos servidores LDAP, como Active Directory, requieren un usuario con privilegios para conectarse al directorio. El proveedor LDAP requiere el nombre distintivo (DN) y la contraseña del usuario. Las dos opciones más habituales para conectarse con un usuario privilegiado son:
- Crear un usuario nuevo en el directorio. Asignar este usuario al derecho de acceso de solo lectura. Usar esta cuenta de usuario como usuario privilegiado.
- Usar un usuario existente en el directorio como usuario privilegiado.
Esta cuenta necesita poder acceder al servidor LDAP cada vez que un usuario intente iniciar sesión en Blackboard. Como práctica recomendada, seleccione las opciones El usuario no puede cambiar la contraseña y La contraseña no caduca.
Esto es lo que se conoce como una cuenta de servicio; el administrador de LDAP puede tener una ubicación especial en el directorio para este tipo de cuentas.
al configurar la cuenta por primera vez, use una contraseña básica y cámbiela por otra más segura solo cuando haya confirmado que la configuración funciona. Tenga en cuenta que los caracteres especiales como # y @ pueden causar problemas.
- O bien, configure lo siguiente:
- Búsqueda usando usuario con privilegios en Sí. El valor predeterminado es No. Al buscar el FDN del usuario para autenticarlo, el proveedor LDAP se vincula al servidor LDAP como un usuario privilegiado (especificado).
- Indique el DN de usuario con privilegios. Si la opción Búsqueda usando usuario con privilegios está establecida en Sí, la contraseña debe estar indicada. Por ejemplo: cn=BlackboardLDAP,ou=Special Users, dc= example,dc=edu or BlackboardLDAP@example.edu
- Indique la Contraseña del usuario con privilegios. Si la opción Búsqueda usando usuario con privilegios está establecida en Sí, la contraseña debe estar indicada. El valor debe ser la contraseña correspondiente al usuario indicado en DN de usuario con privilegios.
- De manera opcional, puede establecer la Configuración avanzada.
- El Tiempo de espera de conexión necesita un mínimo de 15 000 milisegundos. Este valor indica el tiempo en milisegundos que se debe esperar antes de cancelar una solicitud LDAP.
- Diferenciar alias establecido en Siempre, Buscando o Buscando. El valor predeterminado es Nunca. Esta propiedad define cómo se elimina la referencia de los alias durante las operaciones de búsqueda.
- Nunca: la referencia de los alias no se elimina nunca.
- Siempre: la referencia de los alias se elimina siempre.
- Buscando: la referencia de los alias se elimina solo durante la resolución del nombre (es decir, durante la localización de la entrada de destino).
- Búsqueda: la referencia de los alias se elimina una vez completada la resolución del nombre (es decir, después de la localización de la entrada de destino).
- Referencias establecido como Seguir o Tirar. El valor predeterminado es Ignorar. Esta propiedad especifica cómo debe gestionar las referencias el proveedor.
- Ignorar: ignora las referencias si aparecen en los resultados.
- Seguir: sigue automáticamente cualquier referencia.
- Tirar: emite la cadena Java ReferralException para cada referencia. Esto provoca un error.
- Límite de referencia está establecido en 5 de manera predeterminada. Esta propiedad especifica la cantidad máxima de referencias que se van seguir. Cero no es un valor válido. Esta propiedad solo se puede establecer si la propiedad Referencias está establecida en Seguir o Tirar.
Haga clic en Enviar para guardar la configuración.
antes de activar el nuevo proveedor de la autenticación, seleccione Probar los ajustes de la conexión en el menú contextual para confirmar que la configuración funcione según lo previsto.