Saltar al contenido principal
pdf?stylesheet=default
Blackboard Help

Tipo de proveedor de autenticación LDAP

El protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) es un estándar de Internet que proporciona acceso a información desde distintas aplicaciones y sistemas informáticos. LDAP usa un conjunto de protocolos para acceder a directorios y recuperar información. Un directorio es como una base de datos con la diferencia de que contiene información más descriptiva y basada en atributos. En general, la información de un directorio se lee más a menudo de lo que se escribe o se modifica. LDAP permite que una aplicación que se ejecuta en la plataforma informática de una institución académica obtenga información como nombres de usuario y contraseñas.

La centralización de este tipo de información simplifica el trabajo, ya que proporciona un único punto de administración. Como la información de usuario está disponible en una sola ubicación, se reduce el almacenamiento de datos duplicados y, a la vez, las necesidades de mantenimiento. La autenticación LDAP también permite a los usuarios disponer de un único nombre de inicio de sesión y una sola contraseña para acceder a distintas aplicaciones.

Para obtener más información sobre la creación de proveedores de autenticación, consulte Creación de proveedores de autenticación.

LDAPS (LDAP seguro)

¿Por qué usar LDAPS?

Este método proporciona una seguridad mejorada con respecto al protocolo LDAP no codificado regular y puede que lo requieran algunos administradores de red o algunas tecnologías de servidor LDAP, o bien puede ser necesario si el servidor LDAP está en un sitio remoto sin conexión privada.

Nota:  en general, se recomienda usar LDAPS, o bien asegurarse de que la aplicación Learn tenga una conexión privada no enrutada al servidor LDAP. De esta manera, las opciones de que alguien intercepte el tráfico LDAP no codificado entre servidores son muy bajas y la codificación no es necesaria.

Requisitos previos de LDAPS

Si el servidor LDAP usa SSL (LDAPS), necesita un certificado firmado comercialmente para que la autenticación no falle. Si el servidor LDAP usa certificados autofirmados, importe el certificado al almacén de claves de confianza del JDK del servidor de aplicaciones de Blackboard Learn.

Esto permite al cliente LDAP (la aplicación Learn) determinar la validez del certificado presentado por el servidor LDAP al intentar conectarse mediante LDAPS. En caso contrario, el protocolo de enlace SSL falla, el vínculo LDAP no se establece y se produce un error en la autenticación.

Ejemplo

bb-config.properties tiene el parámetro bbconfig.java.home establecido en /usr/local/jdk/jdk1.6.0_30, por lo que la ubicación del almacén de confianza de JVM es /usr/local/jdk/jdk1.6.0_30/jre/lib/security/cacerts.

Para importar el certificado de CA al almacén de confianza, use la Java keytool según se indica a continuación:

$JAVA_HOME/jre/bin/keytool -import -v -trustcacerts -alias ldaps -file path-to-the-ca.crt -keystore $JAVA_HOME/jre/lib/security/cacerts

Para obtener más información, consulte Documentación de Java keytool.

Sugerencia:  cuando se le solicite, use la contraseña predeterminada del almacén de claves (changeit).

Cómo configurar un proveedor LDAP

  1. Indique la URL del servidor LDAP; por ejemplo, ldaps://directory.example.edu:636.

    Nota:  Si el servidor LDAP usa SSL (LDAPS), necesita un certificado firmado comercialmente para que la autenticación no falle. Si el servidor LDAP usa certificados autofirmados, importe el certificado al almacén de claves de confianza del JDK del servidor de aplicaciones de Blackboard Learn.

  2. De manera opcional, establezca Usar SSL en No. El valor predeterminado es .

    Nota:  en general, se recomienda usar LDAPS, o bien asegurarse de que la aplicación Learn tenga una conexión privada no enrutada al servidor LDAP. De esta manera, las opciones de que alguien intercepte el tráfico LDAP no codificado entre servidores son muy bajas y la codificación no es necesaria.

  3. Indique el valor de Búsqueda básica DN (el punto de inicio para buscar un usuario de Learn en la estructura del directorio LDAP). A partir de aquí se realiza una búsqueda de subárbol, por ejemplo, dc=people, dc=example, dc=edu.

    Nota:  puede crear y configurar dos proveedores LDAP totalmente independientes con DN de búsqueda básica distintos que apunten al mismo servidor LDAP físico. Esto sirve para reducir la carga del servidor LDAP ‘personalizando las marcas’ en education.blackboard.com y configurando el proveedor LDAP para que busque solo en dc=people, dc=education, dc=example y dc=edu en lugar de en todo el árbol.

    Sugerencia:  puede agregar varios proveedores LDAP con el mismo DN de búsqueda básica que apunten a servidores físicos distintos. Si uno de los servidores LDAP no responde, el marco de trabajo consulta el siguiente. Para obtener más información, consulte Orden de proveedores.

  4. Indique el Atributo de búsqueda (el atributo de LDAP que contiene el valor que se asigna al Nombre de usuario o UID de lote de Learn establecido en el paso Crear proveedor). Esta propiedad es específica del dominio. Así, para Active Directory (AD), normalmente se usa la propiedad sAMAccountName y para Novell, uid.

    Sugerencia:  en el caso de Active Directory, la mayoría de los clientes de integración usan sAMAccountName como valor de Atributo de búsqueda. Este formato calca el de los nombres de inicio de sesión antiguos (anteriores a Windows 2000), que tenían un máximo de 20 caracteres. El administrador del dominio de AD puede confirmar si este es el atributo correcto O si se puede o se debe usar userPrincipalName.

    Nota:  algunos servidores LDAP como Active Directory requieren un usuario privilegiado para conectarse al directorio. El proveedor LDAP requiere el nombre distintivo (DN) y la contraseña del usuario. Las dos opciones más habituales para conectarse con un usuario privilegiado son:

    • Crear un usuario nuevo en el directorio. Asignar este usuario al derecho de acceso de solo lectura. Usar esta cuenta de usuario como usuario privilegiado.
    • Usar un usuario existente en el directorio como usuario privilegiado.

    Esta cuenta necesita poder acceder al servidor LDAP cada vez que un usuario intente iniciar sesión en Blackboard. Como práctica recomendada, seleccione las opciones El usuario no puede cambiar la contraseña y La contraseña no caduca.

    Esto es lo que se conoce como una cuenta de servicio; el administrador de LDAP puede tener una ubicación especial en el directorio para este tipo de cuentas.

    Sugerencia:  al configurar la cuenta por primera vez, use una contraseña básica y cámbiela por otra más segura solo cuando haya confirmado que la configuración funciona. Tenga en cuenta que los caracteres especiales como # y @ pueden causar problemas.

  5. De manera opcional, establezca la:
    1. Búsqueda usando usuario con privilegios en . El valor predeterminado es No. Al buscar el FDN del usuario para autenticarlo, el proveedor LDAP se vincula al servidor LDAP como un usuario privilegiado (especificado).
    2. Indique el DN de usuario con privilegios. Si la opción Búsqueda usando usuario con privilegios está establecida en , la contraseña debe estar indicada. Por ejemplo: cn=BlackboardLDAP, ou=Special Users, dc= example, dc=edu o BlackboardLDAP@example.edu.
    3. Indique la Contraseña del usuario con privilegios. Si la opción Búsqueda usando usuario con privilegios está establecida en , la contraseña debe estar indicada. El valor debe ser la contraseña correspondiente al usuario indicado en DN de usuario con privilegios.
  6. Opcionalmente, puede establecer la Configuración avanzada.
    1. Tiempo de espera de conexión está establecido en 60000 de manera predeterminada. Este valor indica el tiempo en milisegundos que se espera antes de cancelar una solicitud LDAP.
    2. Diferenciar alias establecido en Siempre, Buscando o Buscando. El valor predeterminado es Nunca. Esta propiedad define cómo se elimina la referencia de los alias durante las operaciones de búsqueda.
      • Nunca: la referencia de los alias no se elimina nunca.
      • Siempre: la referencia de los alias se elimina siempre.
      • Buscando: la referencia de los alias se elimina solo durante la resolución del nombre (es decir, durante la localización de la entrada de destino).
      • Buscando: la referencia de los alias se elimina una vez completada la resolución del nombre (es decir, después de la localización de la entrada de destino).
    3. Referencias establecido como Seguir o Tirar. El valor predeterminado es Ignorar. Esta propiedad especifica cómo debe gestionar las referencias el proveedor.
      • Ignorar: ignora las referencias si aparecen en los resultados.
      • Seguir: sigue automáticamente cualquier referencia.
      • Tirar: emite la cadena Java ReferralException para cada referencia. Esto provoca un error.
    4. Límite de referencia está establecido en 5 de manera predeterminada. Esta propiedad especifica la cantidad máxima de referencias que se van seguir. Cero no es un valor válido. Esta propiedad solo se puede establecer si la propiedad Referencias está establecida en Seguir o Tirar.
  7. Haga clic en Enviar para guardar la configuración.

    Sugerencia:  antes de activar el nuevo proveedor de autenticación, seleccione Configuración de conexión de evaluación en el menú contextual para confirmar que la configuración funcione según lo previsto.