TECNOSeguro

El Portal Especializado en Seguridad Electrónica

Martes, 27 Febrero 2018

LDAP como valor agregado en la gestión de usuarios

Escrito por  José Vidal, Ingeniero Senior de Ventas y Aplicaciones para Perú y Bolivia de Hanwha Techwin.

Es indudable que la industria de la seguridad electrónica continúa cambiando sin parar. Antes solo se hablaba de cámaras, mientras que la parte de software era muy insípida. Ahora hablamos de soluciones integrales que incluyen desde cámaras IP de diferente tipo y para distintos mercados verticales, hasta VMS y monitores. También vale destacar las plataformas cliente-servidor que permiten gestionar, administrar y visualizar los videos. Estas plataformas cuentan además con módulos especiales que pueden adicionarse en base a la necesidad del cliente.

LDAP como valor agregado en la gestión de usuarios

Dentro de las múltiples características que tienen estos VMS, nos enfocaremos en una muy importante que permite la gestión eficiente de los usuarios a través de la integración con el Protocolo Ligero de Acceso a Directorios (LDAP, por sus siglas en inglés,).

¿Qué es LDAP?

El LDAP (Lightweight Directory Access Protocol) es un conjunto de protocolos abiertos usados para acceder a información guardada centralmente a través de la red. Las bases de información generalmente están relacionadas con los usuarios, pero, algunas veces, se utilizan con otros propósitos, como el de administrar el hardware de una compañía.

 Hanwha 1 LDAP lightweight directory

Así se ven los diferentes usuarios creados durante Lightweight Directory.

Ventajas de usar LDAP

Una de las principales ventajas de LDAP es que podemos tener la información de la compañía consolidada y centralizada, en lugar de administrar listas de usuarios por cada grupo dentro de la compañía. Se puede trabajar con LDAP como directorio central con acceso desde cualquier punto de la red. Así mismo, con LDAP se trabaja en conexión segura (SSL) y con seguridad en la capa de transporte (TLS).

Cuando hablamos de LDAP hablamos de un número de bases de datos back-end en las que se guardan directorios permitiendo que los administradores tengan flexibilidad para desplegar la base de datos más indicada para el tipo de información que el servidor tiene que determinar.

VMS y LDAP

Las empresas usualmente usan su propia política de autoridad de usuarios y configurarlos nuevamente para las plataformas de gestión de video podría tomar mucho tiempo. Afortunadamente, las plataformas de gestión de video (VMS, por sus siglas en inglés) más reconocidas de la industria admiten LDAP y pueden utilizar el sistema de autoridad de usuario predefinido de la compañía, como MS Active Directory. Así, pueden transferir información de usuarios existentes del servidor LDAP al VMS.

Hanwha 2 LDAP VMS

Cuando un usuario trata de ingresar al VMS, quien hace la autentificación de las credenciales de acceso de dicho usuarios es el servidor LDAP de la compañía.

 Hanwha 3 LDAP

Los diferentes grupos de usuarios de la compañía que se encuentran en el servidor LDAP pueden ser transferidos al VMS mediante esta integración.

¿Cómo funciona la integración de LDAP con un VMS?  

Si el VMS admite la integración con LDAP, la configuración es sencilla y generará un mayor grado de protección de la información de los usuarios. Algunas de las características de esta integración son:

  • El VMS se integra con un sistema de gestión de usuarios como Microsoft Active Directory a través de LDAP.
  • El acceso a los recursos del sistema se controla individualmente por grupo de usuarios.
  • Los dispositivos se muestran según el grado de acceso de los usuarios: los dispositivos solo se muestran a quien tiene privilegios de acceso.
  • Permiso de grupo de usuarios para la protección del video, del borrado, de la exportación y de la impresión.
  • Prioridad de grupo de usuarios para el control PTZ y acceso a la cámara.
  • Permiso de grupo de usuarios para el acceso directo, reproducción de audio, visualización de metadatos y control de cada cámara.
  • Es posible importar información de usuarios de LDAP.
  • Se realiza una sincronización periódica entre LDAP y el SM (system manager) del VMS.
  • Toda la información del usuario se sobrescribe con los usuarios de LDAP, excepto el usuario por default admin y grupo de administrador.
  • El VMS no almacena la contraseña.
  • Sin LDAP, no se permite la conexión.
  • Los grupos de usuarios del VMS que no existen en LDAP se mantienen igual.

Wisenet cuenta con un VMS, el SSM (Smart Security manager), que incluye esta característica y se utilizará en la información dada a continuación a modo de ejemplo.

Ejemplo de registro de un servidor LDAP

Registre un servidor LDAP y grupo de usuarios en el VMS 

  1. Haga clic en [Agregar LDAP].
  2. Ingrese la información del servidor LDAP.
  3. Haga clic en [Registrar].

Hanwha 4 LDAP

Hanwha 5 LDAP

La parte para resaltar en este proceso de registro del servidor LDAP es el LDAP Query string;  mediante el uso del comando dsquery user se buscan los usuarios en el directorio que coincidan con los criterios de búsqueda que se especifica (en este caso users – usuarios). Como resultado muestra los usuarios existentes en el Active Directory y donde se encuentran ubicados.

En el caso del dsquery ou: de la misma forma que en el comando anterior pero muestra en este caso los OU (organizational unit o grupos organizacionales)

 Hanwha 6 LDAP Administrador

 Los grupos organizacionales (OU) se desarrollan de la siguiente manera en la pantalla de comandos del sistema. 

 Permisos de usuario

Establecer el permiso del VMS para usuarios LDAP registrados como grupos de usuarios.

  1. Seleccione Grupo de usuarios.
  2. Establecer permiso.
  3. Haga clic en [Aplicar].

 Hanwha 7 LDAP

Hanwha 8 LDAP

Hanwha 9 LDAP SSM

Recomendaciones finales

A fin de garantizar una correcta configuración de LDAP con VMS, tenga en cuenta los siguientes aspectos:

  • Los usuarios deben estar dentro de un grupo organizacional (OU).
  • Es posible adicionar más de un grupo organizacional (OU) al VMS.
  • Una característica importante de esta integración es que no es necesario que el SSM-SM (system manager), SSM-MG (media gateway) y SSM-CONSOLA (consola) estén dentro del dominio de LDAP.
  • Las políticas de usuario de LDAP no afectan a los usuarios del VMS creados en LDAP.
  • El password de los usuarios del VMS creados en LDAP puede ser cambiado solo desde el panel de usuarios de Active Directory.
  • El VMS debe ser sincronizado al actualizar un nuevo password de usuario del VMS creado en LDAP.  


Puede dejar sus dudas y/o apreciaciones abajo en la sección de comentarios de este artículo.

Jose Vidal ingeniero HANWHAJosé Vidal, Ingeniero Senior de Ventas y Aplicaciones para Perú y Bolivia de Hanwha Techwin.

También le podría interesar


Sesión