LDAP: Como Valor Agregado en la gestión de usuarios

Es indudable que la industria de la seguridad electrónica continúa cambiando sin parar. Antes solo se hablaba de cámaras, mientras que la parte de software era muy insípida; ahora hablamos de soluciones integrales que incluyen desde cámaras IP de diferente tipo y para distintos mercados verticales, hasta VMS y monitores. También vale destacar las plataformas cliente servidor que permiten gestionar, administrar y visualizar los videos. Estas plataformas cuentan además con módulos especiales que pueden adicionarse en base a la necesidad del cliente.

 

 Dentro de las múltiples características que tienen estos VMS, nos enfocaremos en una muy importante que permite la gestión eficiente de los usuarios a través de la integración con el Protocolo Ligero de Acceso a Directorios (LDAP, por sus siglas en inglés,). Al respecto platica José Vidal, Ingeniero Senior de Ventas y Aplicaciones para Perú y Bolivia de Hanwha Techwin.

¿Qué es LDAP?

El LDAP (significa Lightweight Directory Access Protocol) es un conjunto de protocolos abiertos usados para acceder a información guardada centralmente a través de la red. Las bases de información generalmente están relacionadas con los usuarios, pero, en algunas veces, se utilizan con otros propósitos, como el de administrar el hardware de una compañía.

Ventajas de usar LDAP

Una de las principales ventajas de LDAP es que podemos tener la información de la compañía consolidada y centralizada, esto en lugar de administrar listas de usuarios por cada grupo dentro de la compañía; se puede trabajar con LDAP como directorio central con acceso desde cualquier punto de la red. Así mismo, con LDAP se trabaja en conexión segura (SSL) y con seguridad en la capa de transporte (TLS).

Cuando hablamos de LDAP hablamos de un número de bases de datos back-end en la que se guardan directorios permitiendo que los administradores tengan flexibilidad para desplegar la base de datos más indicada para el tipo de información que el servidor tiene que determinar.

VMS y LDAP

Las empresas usualmente usan su propia política de autoridad de usuarios y configurarlos nuevamente para las plataformas de gestión de Video (VMS) podrían tomar mucho tiempo. Afortunadamente, las plataformas de gestión de video (VMS, por sus siglas en inglés) más reconocidas de la industria admiten LDAP y pueden utilizar el sistema de autoridad de usuario predefinido de la compañía, como MS Active Directory Así, pueden transferir información de usuarios existentes del servidor LDAP al VMS

¿Cómo funciona la integración de LDAP con un VMS?

Si el VMS admite la integración con LDAP, la configuración es sencilla y generará un mayor grado de protección de la información de los usuarios. Algunas de las características de esta integración son:
• El VMS se integra con un sistema de gestión de usuarios como Microsoft Active Directory a través de LDAP.
• El acceso a los recursos del sistema se controla individualmente por grupo de usuarios.
• Los dispositivos se muestran según el grado de acceso de los usuarios: los dispositivos solo se muestran a quien tiene privilegios de acceso.
• Permiso de grupo de usuarios para la protección del video, del borrado, de la exportación y de la impresión.
• Prioridad de grupo de usuarios para el control PTZ y acceso a la cámara.
• Permiso de grupo de usuarios para el acceso directo, reproducción de audio, visualización de metadatos y control de cada cámara.
• Es posible Importar información de usuarios de LDAP.
• Se realiza una sincronización periódica entre LDAP y el SM (SYSTEM MANAGER) del VMS
• Toda la información del usuario se sobrescribe con los usuarios de LDAP, excepto el usuario por default admin y grupo de administrador.
• El VMS no almacena la contraseña
• Sin LDAP, no se permite la conexión.
• Los grupos de usuarios del VMS que no existen en LDAP se mantienen igual.

 

Ahora en Wisenet contamos con un VMS, el SSM (Smart Security manager), que cuenta con esta característica y que usaremos en la información dada abajo a modo de ejemplo.

Ejemplo de registro de un servidor LDAP

Registre un servidor LDAP y grupo de usuarios en el VMS

1. Haga clic en [Agregar LDAP]
2. Ingrese la información del servidor LDAP
3. Haga clic en [Registrar]

La parte para resaltar en este proceso de registro del servidor LDAP es el LDAP Query string; mediante el uso del comando dsquery user se buscan los usuarios en el directorio que coincidan con los criterios de búsqueda que se especifica (en este caso users – usuarios). Como resultado muestra los usuarios existentes en Active Directory y donde se encuentran ubicados.

En el caso del dsquery ou: de la misma forma que en el comando anterior, pero muestra en este caso los OU (organizational unit o grupos organizacionales)

Permisos de usuario

Establecer el permiso del VMS para usuarios LDAP registrados como grupos de usuarios.

1. Seleccione Grupo de usuarios.

2. Establecer permiso

3. Haga clic en [Aplicar]

Recomendaciones finales

A fin de garantizar una correcta configuración de LDAP con VMS, tenga en cuenta los siguientes aspectos:

• Los usuarios deben estar dentro de un grupo organizacional (OU).
• Es posible adicionar más de un grupo organizacional (OU) al VMS
• Una característica importante de esta integración es que no es necesario que el SSM-SM (system manager), SSM-MG (media gateway) y SSM-CONSOLA (consola) estén dentro del dominio de LDAP.
• Las políticas de usuario de LDAP no afectan a los usuarios del VMS creados en LDAP.
• El password de los usuarios del VMS creados en LDAP puede ser cambiado solo desde el panel de usuarios de Active Directory.
• El VMS debe ser sincronizado al actualizar un nuevo password de usuario del VMS creado en LDAP.
Lee más
ePDU Eaton
Mejora la distribución de energía con el ePDU de Eaton