Gerência de Redes - 9.Gerenciamento LDAP

1,768 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,768
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
55
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Características de um Serviços de Diretório: - Facilita a gestão de infra-estrutura de recursos nas organizações, armazenando informações das mesmas, como usuários, impressoras, servidores, aplicações, etc. - Tem funcionamento otimizado para leitura - Acesso através de protocolo padronizado O serviço de nomes DNS é um exemplo de serviço de diretório. Alguns exemplos de Serviço de Diretório: Microsoft Active Directory (AD) - http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx Novell NDS (eDirectory) - http://www.novell.com/products/edirectory/ Netscape Directory Server - http://www.sun.com/software/products/directory_srvr_ee/ Sun Java System Directory Server - http://www.sun.com/software/products/directory_srvr/home_directory.xml OpenLDAP (Software Livre) - http://www.openldap.org/
  • O padrão LDAP (Lightweight Directory Access Protocol) é uma especificação da IETFpara prover acesso a serviços X.500, mas hoje existem serviços exclusivamente LDAP. Baseado nas melhores idéias do X.500, mas sem suas complexidades. Inovações trazidas pelo LDAP: - Eliminação de operações raramente utilizadas - Simplificação na representação de dados - Implementação mais simples (roda sobre TCP/IP)
  • Distinguished Name (DN): identifica unicamente uma entrada no diretório através de um atributo e sua base. Relative Distinguished Name (RDN): identifica unicamente uma entrada abaixo de uma entrada superior Atributo : Armazena informação sobre uma característica da entrada, podem ser mono ou multivalorados. Classe : define um conjunto de atributos de uma entrada. Objeto : é cada entrada do diretório e pode pertencer a mais de uma classe. cn: CommonName l: LocalityName st: State o: Nome da Organização ou: Unidade da Organização c: Contry street: Rua uid: UserID
  • Um schema LDAP é uma declaração em ASN.1, normalmente em arquivo texto, que define os atributos e classes que podem compor um objeto. Pode ser criados novos schemas de acordo com a necessidade. Neste site estão esclarecimentos sobre a sintaxe usada nos schemas LDAP: http://ldap.akbkhome.com/index.php
  • Algumas informações para serem guardadas no diretório: - Login - Nome - Senhas - Endereço - Fotos - Email Algumas classes LDAP disponíveis por padrão: - user - organization - printer - user - application
  • LDIF - LDAP Interchange Format (RFC 2849) é um formato de arquivo texto padrão para descrever entradas de um diretório. É muito usado para importação/exportação de entradas num serviço de diretório LDAP.
  • Operações sobre o Serviço de Diretório: - Autenticação (anônima, simples ou criptografada) - Consultas - Atualizações As consultas e atualizações requerem: - Autenticação - Autorização (controle de acesso)
  • Controle de Acesso: o LDAP não padroniza como deve ser feito o controle de acesso. É possível usar ACLs ( Access Control Lists ). As ACLs dizem quem pode acessar quais entradas com quais privilégios. O servidor checa as ACLs antes de liberar o acesso.
  • Um serviço LDAP pode ser dividido entre vários servidores, cada um responsável por uma partição (parte da árvore). Além disso, um servidor pode ter uma ou mais réplicas, para oferecer redundância e balanceamente de carga naquela partição.
  • OpenLDAP - www.openldap.org - Implementação software livre para um serviço de diretório LDAP Daemon do servidor: slapd Arquivo de configuração do servidor: slapd.conf O daemon responsável pela replicação de dados entre réplicas é o slurpd. Na próxima versão do OpenLDAP ele será descontinuado em favor de outro mecanismo de sincronismo. Suporta diferentes backends: BerkeleyDB, LDBM, MySQL Utilliza ACLs para realizar o controle de acesso Pode usar transporte seguro com TLS
  • Administração do OpenLDAP - inclusão, remoção e alteração de entradas do diretório pode ser feita via interface gráfica ou linha de comando. Alguns comandos comuns: ldapsearch - pesquisa entradas ldapadd - acrescenta entradas ldapmodify - edita entradas ldapdelete - exclui entrada ldappasswd - mudar a senha de uma entrada ldapmodrdn – renomeia uma entrada Alguns exemplos de ferramentas livres para uso do OpenLDAP: SIGATI -http://www.softwarepublico.gov.br/spb/ver-comunidade?community_id=93658 - desenvolvida na Univ Católica de Brasília – administração completa (com particionamento e replicação) de um diretório LDAP phpLdapAdmin – phpldapadmin.sourceforge.net/ GQ-GNOME - http://gq-project.org/ kDirAdm - http://www.carillonis.com/kdiradm/ kldap - http://www.mountpoint.ch/oliver/kldap/ Yala - yala.sourceforge.net/
  • Gerência de Redes - 9.Gerenciamento LDAP

    1. 1. Sumário <ul><li>Protocolo LDAP
    2. 2. Gerenciamento com LDAP </li></ul>
    3. 3. Serviço de Diretório <ul><li>Repositório de Dados </li><ul><li>Acesso Padronizado
    4. 4. Otimizado para Consultas </li></ul></ul>
    5. 5. Acesso padronizado aos dados - LDAP Utilizando Serviço de Diretório Sem Serviço de Diretório
    6. 6. Modelo de Nomes Hierárquico
    7. 7. Schemas LDAP <ul><li>Exemplo de definição de Atributo </li></ul>#AttributeType telephoneNumber attributetype ( 2.5.4.20 NAME 'telephoneNumber' DESC 'RFC2256: Telephone Number' EQUALITY telephoneNumberMatch SUBSTR telephoneNumberSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} )
    8. 8. Schemas LDAP <ul><li>Exemplo de definição de Classe </li></ul>#Objectclass person objectclass ( 2.5.6.6 NAME 'person' DESC 'RFC2256: a person' SUP top STRUCTURAL MUST ( sn $ cn ) MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )
    9. 9. LDIF #BR dn: dc=BR objectclass: dcObject objectclass: organization dc: BR organization: SERPRO ... #Maria Medeiros dn: uid=maria,ou=users,ou=DF,dc=BR objectclass: person objectclass: posixAccount uid: maria cn: Maria sn: Medeiros telephoneNumber: +55 61 356-9685 ...
    10. 10. Operações sobre o Serviço de Diretório <ul><li>Consultas </li><ul><li>DN base + escopo (BASE, ONE, SUB) </li></ul></ul>
    11. 11. Operações sobre o Serviço de Diretório <ul><li>Consultas </li><ul><li>É possível usar filtros </li></ul></ul><ul><ul><li>É possível determinar os atributos que farão parte do resultado da pesquisa </li></ul></ul>
    12. 12. Controle de Acesso <ul><li>Exemplos de ACLs </li></ul>access to dn.subtree=&quot;ou=applications,ou=SP,dc=br&quot; by dn.base=&quot;uid=jose,ou=users,ou=DF,dc=br&quot; write by * read access to dc=br by dn.regex=&quot;uid=(.*),ou=users,ou=DF,dc=br&quot; none by dn.base=&quot;uid=maria,ou=users,ou=DF,dc=br&quot; write by * read access to * by * read
    13. 13. Serviço de Diretório Distribuído
    14. 14. OpenLDAP <ul><li>Implementação LDAP em software livre
    15. 15. Permite o uso de vários bancos de dados
    16. 16. Particionamento e replicação </li></ul>
    17. 17. Administração do OpenLDAP <ul><li>Toda a configuração do OpenLDAP é feita por arquivos de texto
    18. 18. Existe várias interfaces de uso do diretório
    19. 19. Para administrar o diretório OpenLDAP: SIGATI </li></ul>

    ×