integrantes:danilo huberto felipe dantas jorge brasil josé leonardo thiago rodrigo
TRANSCRIPT
Integrantes: Danilo HubertoFelipe DantasJorge BrasilJosé LeonardoThiago Rodrigo
O LDAP foi originalmente desenvolvido como um cliente para o X.500, que define o Protocolo de Acesso a Diretório (DAP) para os clientes usarem quando estiverem em contato com servidores de Diretório. O serviço de diretório pode ser visto como um banco de dados especializado que tem como característica marcante o suporte à grande quantidade de pesquisas. O DAP é um protocolo que roda sobre uma camada OSI completa, e precisa de uma quantidade significativa de recursos computacionais para ser executado. O LDAP roda diretamente sobre o TCP e fornece a maioria das funcionalidades do DAP, a um custo muito menor.
O uso do LDAP, torna fácil o acesso ao Diretório X.500, mas ainda exige um serviço X.500 completo, para tornar os dados disponíveis aos vários clientes LDAP que estão sendo desenvolvidos.
LDAP – Sua Origem
LDAP (Lightweight Directory Access Protocol), ou seja Protocolo Leve de Acesso a Diretórios, é um protocolo que trabalha na camada de aplicação da pilha de protocolos TCP/IP, como por exemplo o SMTP, HTTP, FTP, TELNET e tantos outros, utilizado para acessar um serviço de Diretório.
Atualmente vem se tornando um padrão, diversos programas já têm suporte ao LDAP. Livros de endereços, autenticação, armazenamento de certificados digitais e de chaves públicas, são alguns dos exemplos onde o LDAP já é amplamente utilizado.
LDAP – Sua Definição:
• Definido pela RFC 2251 (LDAPv3 – 1997)• Por ser descritivo é ideal para ser usado por:• Aplicações diversas
Ex: Sistema de cadastro de funcionários• Sistema operacional
Ex: Autenticação do usuário• Serviços de rede
Ex: Servidor de email
Arquitetura Cliente/Servidor
LDAP – Por que usá-lo?
• Integração entre sistemas Operacionais• Interligação ( Windows , Linux, Unix , MacOS);
• Integração entre Serviços • Serviços de e-mail, FTP , Web etc;
• Desempenho nas consultas: Desenvolvido com ênfase na leitura, ou seja, os dados serão lidos rapidamente por um número maior de consultas simultâneas;
• Difundido no mercado;
• Não requer hardware pesado para operações.
Características do OpenLDAP
• Funcionamento sobre IPV4 e IPV6;• Leve e robusto;• Suporte a vários backends(BDB,SQL,PASSWD);• Suporte a múltiplas instâncias de dados;• “Backup” feito através de réplicas;• Suporte a SASL(Autenticação) e a TLS/SSL; • Desenvolvido sob licença OpenLDAP Public
License• Altamente configurável, inclusive com ACL's• Suporta conexões seguras através dos protocolos
SASL, TLS ou SSL• Suporta replicação (replicas), porém é single-
master• Permite a separação do DIT entre vários
servidores (referrals)• Suporta vários backends: BerkeleyDB, GDBM,
LDAP (proxy), passwd, SQL, entre outros.• Vasta API disponível: C/C++, Java, PHP, Perl, etc
A Segurança no LDAP
• Protegendo informações de acessos indevidos usamos:
– Autenticação nas diversas versões• LDAP: só autenticação simples (texto aberto);• LDAPv2: autenticação simples e pode utilizar Kerberos v4 e v5;• LDAPv3,: utiliza framework, múltiplos mecanismos de
autenticação.
– Transmissão de dados seguro (criptografia): Proporcionando: Autenticidade, Integridade e Criptografia de dados.
– Modelos de controle de acesso: Definindo direitos de acesso as informações do diretório para cada usuário ou grupo.
Otimizações do LDAP
• Tipos de otimizações:
Replicação do serviço de diretórios Visa o conceito de prover mecanismos de tolerância a falhas afim de manter o acesso as
informações dos usuário sempre integra.
Diretórios distribuídos Visa o conceito de reduzir os pontos de falhas, além de prover menor consumo de banda e tempo quando
uma consulta é realizada. O principal benefício é a possibilidade de redução de custos com hardware.
Funcionamento do LDAP
O serviço de Diretório LDAP é baseado em um modelo cliente-servidor. Um ou mais servidores contêm os dados criando a árvore de Diretório. Um cliente LDAP conecta-se a um servidor e faz uma requisição. O servidor responde com a requisição, ou exibe um ponteiro para onde o cliente pode conseguir a informação (tipicamente, outro servidor LDAP). Podemos fazer uma comparação com o DNS, a diferença é que o servidor LDAP não faz buscas recursivas, ou seja, em nome do cliente. O cliente é encarregado de procurar pelo servidor até encontrar a informação desejada.
Implementações de servidores LDAP:
• Netscape LDAP Server;
• Fedora Directory Server;
• Sun ONE Directory Server;
• Microsoft Active Directory;
• Novell eDirectory;
• OpenLDAP.
Exemplos de aplicações
• Servidores diversos;• Domínio;• Sendmail;• Qmail;• SAMBA;• POP 3 / IMAP;• Clientes de Email;• Evolution;• Sistemas de autenticação (Linux, Windows, etc);• Aplicações diversas.
Schemas
• Conjunto de “regras” integradas ao diretório;
• Regras que determinam qual o tipo de dados e como esses dados serão armazenados na base; Essas “regras” são compostas de Atributos e ObjectClasses;
• Cada aplicação integrada ao OpenLDAP pode ter o próprio schema com seus próprios requisitos
(Ex: SAMBA - samba.schema);
DN – Distinguished Name
● São nomes distintos que identificam cada entrada na base;
● A utilização de dn é importante para referenciar itens da base, adicionando, alterando ou removendo itens da
base, como atributos e até mesmo entradas;
● São utilizados nos arquivos LDIF e na autenticação de usuários.
Ex: dn:cn=danilo,ou=palestrantes,dc=servidoldap,dc=com
15
Conclusões
• Protocolo leve Não necessita de muitos recursos computacionais;
• Padrão aberto É possível a construção de produtos para várias plataformas (OpenLDAP);
• Expansível Podem ser adicionadas novas funcionalidades para atender às necessidades dos serviços de diretório e de segurança (framework SASL);
• Integração Com diversos Serviços
pam_ldap(autenticação local)
Proftpd
Exemplo de Integrações:
Agora vamos mostrar o passo a passo para configurar um servidor Openldap, com o objetivo de centralizar autenticações a um domínio, autenticado no banco de dados do Openldap.