Aten��o: esse artigo tem um v�deo complementar. Clique e assista!

Do que se trata este artigo:

Este artigo tem como objetivo demonstrar uma introdu��o ao uso do LDAP, apresentando sua origem, desenvolvimento e principais caracter�sticas do protocolo. Ser� abordado como funciona a utiliza��o dos servi�os de diret�rios como base central de autentica��o a v�rias aplica��es de rede, tais como servidor de e-mail, FTP, Proxy, SAMBA, dentre outras. Nos exemplos ser� utilizado o projeto OpenLDAP para demonstrar alguns exemplos de uso do protocolo.

Em que situa��o o tema � �til:

Este servi�o � usado para armazenar todos os dados de usu�rios em uma rede, como senhas, IDs, nomes, endere�os, dentre outros. Dessa forma, as pesquisas e consultas ser�o centralizadas. Essa centraliza��o � a chave para abrir um caminho que leva � praticidade na administra��o de uma rede, independente de seu tamanho e complexidade.

Resumo DevMan:

A utiliza��o dos servi�os de diret�rios � necess�ria quando se deseja centralizar a autentica��o de servi�os utilizados em uma rede de computadores, evitando assim a necessidade de v�rias bases de usu�rios. O LDAP oferece a integra��o com protocolos de comunica��o como o IPv4 e IPv6, transfer�ncia de arquivos como o FTP, al�m da integra��o com banco de dados, chaves criptogr�ficas, dentre outras ferramentas que fazem com que o LDAP possa ser implementado de forma segura e funcional, possuindo a capacidade de armazenamento de dados de usu�rios.

Autores: Fl�vio Alexandre dos Reis, Eduardo Pagani Julio, Jaime Ribeiro J�nior e Mario C�sar de Castro

Quando � abordado um servi�o de diret�rios, a primeira ideia que surge � uma base de dados em que podem ser armazenadas informa��es de usu�rios. De certa forma, isso � verdade. Em um servidor de diret�rios, podem ser armazenados dados de usu�rios que poder�o ser recuperados a qualquer momento, assim como em um SGBD (Sistema de Gerenciamento de Banco de Dados) convencional, como Oracle e PostgreSQL.

O protocolo LDAP (Lightweight Directory Access Protocol) ou Protocolo Leve de Acesso a Diret�rio trata-se, como o nome j� diz, de um protocolo que rege a forma de acesso a servi�os de diret�rios e seus respectivos clientes. Em outras palavras, fornece a comunica��o entre usu�rios e servi�os de diret�rios, centralizando deste modo toda uma base de dados de autentica��o.

Dentre as funcionalidades do LDAP, o que pode ser considerado como um destaque principal � a capacidade de oferecer a autentica��o de usu�rios usando sua base de dados. Com ela, podem-se acessar as refer�ncias de todas as informa��es dos usu�rios da rede em um �nico lugar, permitindo tamb�m que todos os protocolos e servi�os de diret�rios vinculados a ele possam utilizar seus dados para a autentica��o de seus clientes. Isso gera o que se denomina de centraliza��o, pois a autentica��o de todos os servi�os de rede ser� concentrada em uma �nica �rvore de informa��es e, como consequ�ncia, facilita o trabalho do gerente de redes.

Para esclarecer melhor o que � um diret�rio, pode-se comparar com uma lista telef�nica, onde se procura, por exemplo, o telefone de uma pizzaria. Nesse caso, atrav�s do telefone voc� ir� conseguir o caminho at� o destino da pizzaria. Portanto, pode-se definir um diret�rio como um servi�o de armazenamento hier�rquico de informa��es com o objetivo principal de facilitar a pesquisa e a recupera��o dessas informa��es.

De forma semelhante, um diret�rio pode ser uma lista de informa��es sobre objetos organizados ou catalogados em uma ordem, e que fornece o acesso aos dados dos objetos. O diret�rio permite que usu�rios ou aplica��es possam encontrar recursos no ambiente com caracter�sticas necess�rias para um tipo de tarefa particular.

H� algumas compara��es equivocadas sobre o servi�o de diret�rios, sendo descritas algumas delas abaixo:

� Banco de dados: um banco de dados � criado para otimizar a leitura e escrita de dados com o mesmo grau de efici�ncia. Um diret�rio, ao contr�rio, � otimizado apenas para leitura, podendo ocasionalmente inserir novos dados. Seu sistema de transa��es � muito simples quando comparado a um sistema de banco de dados;

� Sistema de arquivos: O sistema de arquivos possui otimiza��es para manipula��o de arquivos. Um arquivo grande n�o precisa ser completamente carregado na mem�ria, sendo poss�vel apontar para apenas uma regi�o naquele instante. O diret�rio n�o possui esse tipo de otimiza��o;

� FTP e servidores web: seguem a filosofia de ler muito e gravar pouco. Mas ao ser analisada a quest�o do tamanho do arquivo, observa-se o mesmo problema do item anterior, o tamanho do arquivo a ser carregado. Servidores web s�o extens�veis, podem ser usados como base de desenvolvimento de aplica��es mais complexas. Um diret�rio, por sua vez, n�o possui essa natureza de extens�o.

Nos itens seguintes ser�o abordados alguns conceitos importantes para um bom conhecimento dos servi�os de diret�rios.

O Servi�o de Diret�rios

Entre um servi�o de diret�rios e um SGBD existem diferen�as importantes que devem ser observadas:

� Otimiza��o de leitura: um gerenciador de base de dados deve levar em considera��o uma s�rie de opera��es de escrita e travamento de registros, ao passo que os diret�rios devem disponibilizar prontamente os dados solicitados;

� Hierarquia: uma base de dados possui tabelas com campos e registros, ao passo que no diret�rio cria-se uma estrutura em formato de �rvore, de modo que cada registro ser� armazenado dentro de um ramo espec�fico da �rvore;

� Modelo distribu�do para armazenamento de informa��es: com base na raiz da �rvore, podem-se criar estruturas independentes para cada unidade (ramo);

� Forte padroniza��o: os dados armazenados em um diret�rio seguem uma padroniza��o, normalmente estabelecida em uma RFC;

� Capacidade avan�ada de pesquisa: efetuar pesquisas pelo seu conte�do de forma exata ou aproximada, levando em considera��o at� mesmo varia��es fon�ticas.

Em alguns casos, uma an�lise dever� ser feita antes de escolher entre o uso de um Diret�rio ou de um SGBD. Assim, pode-se saber quem ter� melhor desempenho, afinal o SGBD tem estrutura muito similar a servidores de Diret�rios, compartilhando muitas caracter�sticas como pesquisas r�pidas e base de f�cil personaliza��o.

Neste contexto, os seguintes aspectos devem ser observados:

� Volume de dados: Servidores de diret�rios normalmente n�o t�m suporte a m�todos avan�ados para controle de transa��es ou esquemas de rollback, sendo a baixa performance em escrita seu ponto fraco;

� Hierarquia: A estrutura em forma de �rvore permite mobilidade aos dados que podem ser agrupados por departamentos ou mesmo por unidades geograficamente diferentes;

� Administra��o descentralizada: Possibilita delegar a administra��o de parte do Diret�rio a outros usu�rios (ramos, unidades), podendo assim estar localizados em outros servidores.

X.500

O X.500 � um padr�o de protocolos de servi�os de diret�rios utilizado em redes de computadores, tendo sido elaborado para trabalhar em cima do modelo OSI (veja a Nota DevMan 1) e incorporado ao pacote de protocolos do mesmo. Designado para dar suporte ao padr�o X.400, que define a troca de mensagens eletr�nicas entre os usu�rios da rede local, sua fun��o � prover servi�os de diret�rios para a rede centralizando a base de dados dos usu�rios em um servidor.

O protocolo de acesso a diret�rios � DAP (Directory Access Protocol) faz parte das especifica��es do padr�o X.500, tendo sido desenvolvido para trabalhar junto a todas as camadas do modelo OSI, e tinha por objetivo definir o acesso de usu�rios aos servi�os de diret�rios que seu padr�o provia.

Assim como o OSI e o X.500, o DAP foi desenvolvido antes do advento da Internet e originalmente n�o foi preparado para trabalhar com o TCP/IP, visto que a aplica��o do mesmo, al�m de ser de dif�cil implementa��o, gerava aplica��es complexas e lentas. Al�m do mais, o estilo da organiza��o da �rvore de diret�rios do X.500 n�o foi preparado para a utiliza��o de diret�rios distribu�dos.

Quando se trata de redes de computadores, tudo gira em torno dos protocolos, a Internet, e-mail, intranets, transfer�ncia de arquivos, acessos a diret�rios e outras aplica��es providas pela pilha TCP/IP. A grande vantagem da utiliza��o de protocolos se resume na compatibilidade que eles oferecem, tanto entre hardware quanto entre software de diversos fabricantes, o que os torna compat�veis. Um exemplo pr�tico disso � a possibilidade de se estabelecer a comunica��o entre Sistemas Operacionais diferentes, ou partindo para o n�vel de hardware, que �, por exemplo, fazer com que placas de rede de fabricantes distintos possam se comunicar.

J� � aceito que a implementa��o do Modelo OSI utiliza uma gama maior de recursos de rede, onde se trafega uma grande quantidade de dados desnecess�rios, e a pilha TCP/IP, por sua vez, trabalha de forma mais leve, exigindo menos dos recursos da rede, tanto que, com a dissemina��o da Internet, o TCP/IP passou a ser usado como um padr�o internacional. O sucesso foi tanto que os protocolos do padr�o X.500 foram adaptados para que as redes TCP/IP pudessem trabalhar com os servidores X.500. No entanto, posteriormente percebeu-se a necessidade da cria��o de protocolos que se encaixassem melhor em suas caracter�sticas.

O LDAP foi criado como uma alternativa ao DAP, para prover acesso aos servi�os de diret�rios do X.500 pelos protocolos da pilha TCP/IP. O LDAP � mais f�cil de ser implementado do que o DAP, al�m de exigir menos dos recursos da rede e mem�ria. Ele foi desenvolvido, e n�o adaptado (como o DAP), para aplica��es TCP/IP. Deste modo, o LDAP obteve um maior desempenho. Por esses motivos, recebeu o nome Lightweight Directory Access Protocol (protocolo leve de acesso a diret�rios), que � o nome de seu antecessor acrescentado de Lightweight (leve).

Posteriormente foram criados servidores de diret�rios voltados para o TCP/IP e o LDAP. O servidor Slapd (Stand-alone LDAP daemon) foi escolhido como a melhor op��o. Com sua utiliza��o, passa a se colocar em pr�tica um software provedor de servi�os de diret�rios espec�ficos para o TCP/IP e o LDAP, deixando de lado o X.500, que � uma mera adapta��o de um padr�o desenvolvido para o modelo OSI. Com isso, h� um ganho em desempenho, funcionalidades e melhor integra��o com o LDAP.

Deste modo, o LDAP passou a ser a melhor forma de se obter o acesso a servi�os de diret�rios, e foi padronizado em julho de 1993 na RFC 1487.

Nota DevMan 1. Modelo OSI

Foi uma das primeiras organiza��es a definir formalmente uma forma comum de conectar computadores. Sua arquitetura � chamada OSI (Open Systems Interconnection), Camadas OSI ou Interconex�o de Sistemas Abertos.

LDAP

O servi�o de Diret�rios � executado em um servidor especializado, onde todas as informa��es contidas s�o consultadas obedecendo a uma s�rie de conven��es definidas inicialmente pelo protocolo X.500. Este protocolo determinou uma s�rie de informa��es e controles devido ao seu desenvolvimento ter sido baseado no modelo OSI, por�m n�o ser�o abordados neste artigo.

O protocolo LDAP est� em sua vers�o 3 (LDAPv3), publicada no final da d�cada de 1990, e acrescenta melhorias em rela��o a sua vers�o anterior, algumas delas listadas a seguir:

� Autentica��o e servi�os de seguran�a de dados via SASL (veja a Nota DevMan 2);

� Autentica��o via certificados digitais e servi�o de seguran�a de dados via TLS (SSL) � veja a Nota DevMan 2;

� Internacionaliza��o usando a tabela UNICODE;

� Resolu��o de schemas;

� Extensibilidade;

� Dentre outras melhorias.

Nota DevMan 2. SASL e TSL

Simple Authentication and Security Layer (SASL) � um quadro para a presta��o de servi�os de seguran�a e autentica��o de dados em protocolos orientados a conex�o.

Transport Layer Security ou TLS (Seguran�a da Camada de Transporte) � um protocolo criptogr�fico que confere seguran�a de comunica��o na Internet para servi�os como e-mail (SMTP), navega��o por p�ginas (HTTP) e outros tipos de transfer�ncia de dados.

Imagine o cen�rio de uma empresa com 100 funcion�rios, onde toda base de e-mail (contatos do outlook) � compartilhada com todos eles. Assim, sempre que um novo contato � adicionado, o administrador dever� informar a todos os usu�rios, repassando a informa��o de altera��o via e-mail. Esse processo pode ser centralizado em um servidor de Diret�rios. Dessa forma todos os usu�rios ser�o atualizados ao mesmo tempo.

H� algumas caracter�sticas a serem consideradas para ado��o dos servi�os de diret�rios. Dentre elas, pode-se citar:

� Base de autentica��o para servi�os de rede;

o Login de rede (autentica��o em um servidor de Dom�nio);

o E-mail (pop, smtp, imap);

o Proxy (autentica��o para uso da Internet);

o Intranet (uso de aplica��es e compartilhamentos internos);

� Permiss�o para administrar parte do Diret�rio (direitos administrativos centralizados; dessa forma as permiss�es de acesso s�o referenciadas no LDAP).

Estrutura do servidor de Diret�rios

No LDAP, as entradas do Diret�rio s�o organizadas em uma estrutura semelhante a uma �rvore, lembrando a estrutura de um DNS ou do sistema de diret�rios do GNU/Linux. Tal estrutura foi desenvolvida para representar limites geogr�ficos ou organizacionais.

Quando se pensa em uma estrutura f�sica, como exemplo, entradas representando pa�ses, esses devem obrigatoriamente aparecer no topo da estrutura, conforme apresentado na Figura 1.

Imagem LDAP 1

Figura 1. Exemplo de estrutura de Diret�rios, dois n�veis representando pa�ses.

Abaixo dessas estruturas dever�o existir entradas representando os Estados, como pode ser observado na Figura 2.

Imagem LDAP 2

Figura 2. Exemplo de estrutura de Diret�rios, com subn�veis.

Em seguida, o administrador poder� criar as unidades organizacionais que ser�o armazenadas no Diret�rio. Toda estrutura hier�rquica criada pode representar unidades da empresa como matrizes, filiais e at� mesmo divis�es internas como usu�rios, grupos, impressoras, documentos, ou quaisquer outras entradas necess�rias. Observa-se um exemplo de modelo de diret�rio na Tabela 1.

Entrada	Descri��o
C	Country = pais
St	stateOrProvinceName = estado
L	localityName = cidade
Street	streetAddress = endere�o
O	organizationName = organiza��o
Ou	organizationalUnit = unidade organizacional
cn	Common name = Nome

Tabela 1. Modelo de Diret�rio.

Na Figura 3 tem-se um exemplo da representa��o de uma �rvore de diret�rios constru�da pela forma tradicional de nomes, considerando uma estrutura geogr�fica e organizacional.

Imagem LDAP 3

Figura 3. Modelo de Diret�rios baseado na forma tradicional de nomes.

A forma de armazenamento dos dados em um servidor de Diret�rios segue a hierarquia dos objetos a que pertence a entrada. Na Listagem 1, pode ser observado que o objeto �Flavio Reis� pertence a �NTI�, que por sua vez pertence a �Empresa�, at� que chegue ao objeto de maior valor na hierarquia.

Listagem 1. Exemplo de resultado em uma estrutura hier�rquica.


  cn=Flavio Reis, ou=NTI, o=Empresa, st=Rio de Janeiro, c=br

Esse tipo de identifica��o � chamado de DN (Distinguished Name) ou nome �nico. O DN dever� indicar todos os ramos da �rvore LDAP, desde a base (c=br) at� a parte final, ou seja, a identifica��o do usu�rio. Outro ponto importante � que o DN deve sempre ser �nico em todo o Diret�rio.

Outra forma de construir uma �rvore de Diret�rios � utilizando componentes de dom�nio Internet (DC). Essa abordagem tem se tornado cada vez mais popular, pois permite que servi�os de Diret�rios sejam localizados utilizando um DNS. Um exemplo pode ser observado na Figura 4, onde s�o alterados os componentes inicias para constru��o da �rvore, alterando os atributos (c=country) e (o=organization) para objetos (dc=domainComponent), replicando o formato DNS. Outra modifica��o � feita no usu�rio, inserindo a forma de identifica��o UID.

Imagem LDAP 4

Figura 4. Modelo de Diret�rios baseado em DNS.

A forma de armazenamento dos dados em um servidor de Diret�rios seguindo o formato DNS fica um pouco diferente, conforme pode ser observado no exemplo da Listagem 2.

Listagem 2. Identificando o usu�rio dentro da estrutura DNS.


  uid=freis, ou=usuarios, dc=empresa, dc=com, dc=br

Al�m da possibilidade de estrutura��o de uma rede de computadores como mostrado anteriormente, o LDAP ainda permite controlar quais atributos s�o necess�rios, ou quais s�o permitidos, para a entrada de dados por meio de um atributo especial chamado �objectClass�. Dependendo do conte�do desse atributo, um registro dever� obedecer �s regras definidas em seu schema.

OpenLDAP

O OpenLDAP � uma aplica��o multiplataforma, ou seja, independente de sistema operacional. Deste modo, v�rias distribui��es GNU/Linux j� incluem o pacote do aplicativo, que inicialmente foi desenvolvido pela Universidade de Michigan. O OpenLDAP trouxe as seguintes caracter�sticas como principais:

� Suporte a IPv4 e IPv6;

� Autentica��o (Cyrus Sasl-Kerberos V, GSSAPI, Digest-MD5);

� Seguran�a no transporte � SSL e TLS;

� Controle de acessos;

� Escolha entre bancos de dados (DBD ou HDB);

� Capacidade de atender a m�ltiplos bancos de dados simultaneamente;

� Alta performance em m�ltiplas chamadas;

� Replica��o de base, oferecendo redund�ncia.

O projeto OpenLDAP � composto pelos seguintes elementos:

� SLAPD (Stand Alone LDAP Daemon), servidor que controla as requisi��es dos clientes;

� SLURPD (Stand Alone LDAP Update Replication Daemon), servidor utilizado para replica��o da base de dados;

� Bibliotecas diversas de implementa��o do protocolo LDAP;

� Ferramentas, utilit�rios diversos e clientes de exemplo.

A aplica��o possui basicamente dois arquivos de configura��o, que s�o, respectivamente:

� slapd.conf - configura��o do daemon;

� ldap.conf - configura��o para acesso dos clientes � base.

O OpenLDAP possui alguns arquivos chamados de schemas. Um esquema � um conjunto de regras que define atributos, classes de objetos, e controles, indicando onde cada dado pode ser armazenado. Alguns autores abordam um schema como sendo uma estrutura de objetos que especifica a lista total de atributos permitidos e necess�rios para uma entrada de dados no servi�o de diret�rio.

Os schemas permitem manter a consist�ncia entre os dados. Uma importante caracter�stica desses arquivos � serem extens�veis e, assim, podem-se adicionar mais atributos ou classes em fun��o de novas necessidades. Para usar um schema � necess�rio inclu�-lo no arquivo de configura��o slapd.conf.

Os schemas podem definir:

� Quais as classes de objetos (object classes) podem ser inseridas num diret�rio;

� Quais os atributos de uma determinada classe de objetos;

� Os valores poss�veis para os atributos.

Se um objeto (entrada) n�o obedecer �s regras do schema, esse n�o pode ser inserido no diret�rio. Portanto, cada entrada estar� condicionada a uma hierarquia de armazenamento dos dados na base LDAP. Isto � especificado atrav�s do Distinguished Name (DN).

Instala��o do Servidor OpenLDAP

Antes de instalar o sistema, deve-se efetuar um estudo aprofundado e projetar o servidor LDAP, observando quantos usu�rios far�o uso do sistema, ou quantas filiais, por exemplo. Neste t�pico ser�o apresentados tr�s tipos de casos diferentes.

No primeiro caso, talvez o mais tradicional, assume-se como base que a implementa��o do servidor LDAP ser� feita em uma empresa simples, sem filiais, ou apenas em um servidor, sem acesso das filiais externas ao parque computacional.

Pode-se observar um exemplo na Figura 5, onde os clientes ir�o efetuar as pesquisas diretamente no servidor. O cliente solicita uma pesquisa e o servidor responde. � um tipo de estrutura simples, como mencionado.

Imagem LDAP 5

Figura 5. Estrutura de conex�o LDAP � Primeiro Caso.

No segundo caso, toda a organiza��o usa o LDAP. Assim, quando os usu�rios da matriz precisam de alguma informa��o da filial, o servidor LDAP da matriz faz uma pesquisa no servidor da filial (pesquisa feita por refer�ncia) e retorna o valor para o cliente.

Para o exemplo, pode-se imaginar uma empresa que tem Matriz no Rio de Janeiro e Filial em Minas Gerais. Todos os servidores est�o concentrados na matriz, e qualquer informa��o requerida pelos usu�rios das filiais dever� enviar uma solicita��o ao servidor LDAP localizado na matriz. Deste modo ele ir� responder � filial.

Ao analisar a situa��o, verifica-se que a filial sempre procura a mesma informa��o, que na maioria das vezes, est� relacionada com a pr�pria filial. Para resolver esse problema, pode-se criar um servidor LDAP em que uma parte da �rvore fica na matriz (Rio de Janeiro) e outra parte da �rvore fica na filial (Minas Gerais). Com essa estrutura, todas as informa��es importantes para a filial ser�o processadas no servidor local. Dessa forma, as pesquisas feitas pelos clientes da filial ser�o efetuadas localmente, obtendo ganho nas respostas. Caso a pesquisa solicitada n�o tenha resposta no servidor local, o pr�prio servidor se encarrega de efetuar uma busca no servidor da matriz e, em seguida, responder ao cliente. Observa-se esse tipo de conex�o na Figura 6.

Imagem LDAP 6

Figura 6. Estrutura de conex�o LDAP � Segundo Caso.

No terceiro caso, utilizam-se servidores com redund�ncia. Isto �, para todos os dados cadastrados no servidor, ser�o feitas r�plicas em outro servidor LDAP. Deste modo, em caso de problemas do servidor principal, � poss�vel iniciar o servidor secund�rio, mantendo as informa��es dispon�veis aos usu�rios. Vale ressaltar que os casos 2 e 3 que foram apresentados podem ser unificados, mantendo redund�ncia de dados. Seguem algumas vantagens de se trabalhar com servidores com redund�ncia:

� Fazer c�pia parcial ou total do diret�rio;

� Melhorar o desempenho e a confiabilidade;

� Aproximar os dados dos clientes em caso de filiais;

� Distribuir melhor a carga de processamento dos servidores;

� Garantir redund�ncia do servi�o, minimizando os efeitos de falhas no servidor.

Na Figura 7 pode-se observar um exemplo desse caso.

Imagem LDAP 7

Figura 7. Estrutura de conex�o LDAP � Terceiro Caso.

Ap�s essas an�lises, pode-se iniciar o processo de instala��o do OpenLDAP. Para os exemplos demonstrados neste artigo ser� utilizado o Sistema Operacional GNU/Linux Debian Squeeze. Os pacotes necess�rios para sua instala��o s�o:

� libldap: biblioteca ldap;

� slapd: daemon do servidor ldap;

� ldap-utils: utilit�rios para o OpenLDAP (comandos de busca, inser��o, atualiza��o);

� migrationtools: conjunto de scripts em Perl utilizados para migrar a base de usu�rios e grupos existentes no sistema GNU/Linux para a base LDAP;

� phpldapadmin, apache2 e php5: utilizados para ger�ncia via Web.

Na Listagem 3 pode-se verificar como efetuar a instala��o do OpenLDAP nos sistemas GNU/Linux Debian ou derivados.

Listagem 3. Instalando os pacotes necess�rios.


  #aptitude install libldap-2.4-2 slapd ldap-utils 
  #aptitude install migrationtools phpldapadmin apache2 php5

BerkeleyDB

Todas as informa��es do diret�rio devem ser armazenadas em algum tipo de base. E para isso, o LDAP possui dois bancos de dados nativos, LDBM e BerkeleyDB. Alguns autores apontam o segundo como melhor quando analisado o desempenho. Em distribui��es baseadas em GNU/Linux Debian, a instala��o do BerkeleyDB pode ser feita conforme apresentado na Listagem 4.

Listagem 4. Instalando com BerkeleyDB.


  #aptitude install libdb4.8++-dev

OpenSSL e Cyrus

Na maioria das vezes, o LDAP � utilizado para armazenar dados de usu�rios, inclusive a senha de autentica��o. Com isso, tem-se a necessidade de um n�vel de seguran�a extra. E para aumentar a seguran�a no transporte dos dados, � poss�vel criptograf�-los de forma que, mesmo sendo interceptados por terceiros, n�o seja poss�vel ver o que est� sendo transmitido.

Para implementar esse n�vel de seguran�a, ser� configurado o OpenSSL, sendo sua instala��o tamb�m simples, pois a maioria das distribui��es trazem o pacote em seu reposit�rio oficial. Para aumentar ainda mais a seguran�a dos dados pode-se instalar o cyrus (libsasl), que � uma op��o de autentica��o e criptografia para o OpenSSL. Feito a instala��o, pode iniciar a migra��o dos dados. A Listagem 5 apresenta como instalar o OpenSSL no GNU/Linux Debian.

Listagem 5. Instalando o OpenSSL no Debian.


  #aptitude install openssl libsasl2-2

No entanto, antes de iniciar a migra��o dos dados de usu�rios e grupos do sistema, deve-se ajustar algumas configura��es no OpenLDAP. O primeiro passo � gerar a senha de administrador da base LDAP. Assim, digite o comando ldappasswd e copie o valor retornado, pois ele ser� usado posteriormente. A Listagem 6 apresenta como fica o shell quando executado o comando para gerar a senha.

Listagem 6. Gerando a senha de admin do OpenLDAP.


  #ldappasswd
  #ldappasswd:
  {SSHA}lt/pthgyeFA4NhGdzJ+qlqMuAGi267dq

Nas vers�es anteriores, o LDAP criava um arquivo chamado slapd.conf em /etc/init.d/ldap, mas nas vers�es mais atuais ele � localizado em /usr/share/slapd. Com isso, fa�a uma c�pia do arquivo para /etc/ldap, alterando o arquivo de acordo com a necessidade. Esse � um arquivo gen�rico, usado como exemplo de configura��o. A senha gerada anteriormente dever� ser inserida na linha rootpw. Na Listagem 7 observa-se um exemplo do arquivo slapd.conf j� com o valor do rootpw alterado.

Listagem 7. Exemplo do arquivo slapd.conf.


  include      /etc/ldap/schema/core.schema
  include      /etc/ldap/schema/cosine.schema
  include      /etc/ldap/schema/nis.schema
  include      /etc/ldap/schema/inetorgperson.schema
  allow         bind_v2
  pidfile     /var/run/slapd/slapd.pid
  argsfile    /var/run/slapd/slapd.args
  loglevel    none
  modulepath  /usr/lib/ldap
  moduleload  back_bdb
  sizelimit 500
  tool-threads 1
  backend      bdb
  database   bdb
  suffix      "dc=reisfa,dc=eti,dc=br"
  rootdn      "cn=admin,dc=reisfa,dc=eti,dc=br"
  rootpw      {SSHA}lt/pthgyeFA4NhGdzJ+qlqMuAGi267dq
  directory   "/var/lib/ldap"
  dbconfig set_cachesize 0 2097152 0
  dbconfig set_lk_max_objects 1500
  dbconfig set_lk_max_locks 1500
  dbconfig set_lk_max_lockers 1500
  index      objectClass eq
  lastmod      on
  checkpoint   512 30
  access   to   attrs=userPassword,shadowLastChange
      by dn="cn=admin,dc=reisfa,dc=eti,dc=br" write
      by anonymous auth
      by self write
      by * none
  access to dn.base="" by * read
  access to *
     by dn="cn=admin,dc=reisfa,dc=eti,dc=br" write
     by * read

Para gerar uma nova estrutura de configura��o do OpenLDAP, devem ser seguidos os passos apresentados na Listagem 8.

Listagem 8. Gerando uma nova estrutura para o OpenLDAP.


  # /etc/init.d/slapd stop
  # cd /etc/ldap
  # mv slapd.d slapd.d.backup
  # mkdir slapd.d
  # slaptest -f slapd.conf -F slapd.d
  # chown -R openldap:openldap slapd.d
  # /etc/init.d/slapd start

Para que o migrationtools possa efetuar as altera��es de forma correta, o arquivo migrate_common.ph dever� ser modificado. Dessa forma, edite o arquivo atrav�s de um editor de textos, como exemplo o vim, e localize as linhas $DEFAULT_MAIL_DOMAIN e $DEFAULT_BASE, que devem ter seus respectivos valores modificados conforme o slapd.conf. Observe um exemplo na Listagem 9.

Listagem 9. Exemplo de configura��o do arquivo migrate_common.ph.


  # vim /usr/share/migrationtools/migrate_common.ph
  $DEFAULT_MAIL_DOMAIN = "reisfa.eti.br";
  $DEFAULT_BASE = "dc=reisfa,dc=eti,dc=br";

LDIF

Alguns administradores de sistemas LDAP preferem usar arquivos de texto puro para informar dados de configura��o dos servidores em vez de alguns bits de armazenamento na base de dados. O formato de troca de dados LDAP � conhecido como LDIF (LDAP Data Interchange Format), definida pela RFC 2849, sendo um formato padr�o de arquivos de texto para armazenar informa��es de configura��o do LDAP e conte�do dos diret�rios. Em sua forma b�sica, um LDIF �:

� Um conjunto de entradas separadas umas das outras por linhas em branco;

� Um mapeamento de nomes de atributos e valores;

� Um conjunto de diretivas que instruem o analisador sobre como processar a informa��o.

As duas primeiras caracter�sticas fornecem exatamente o que � preciso para descrever o conte�do de um diret�rio DAP. Arquivos LDIF s�o frequentemente utilizados para importar novos dados para seu diret�rio ou fazer mudan�as de dados existentes, facilitando assim a manuten��o dos mesmos. Os dados no arquivo de LDIF dever�o obedecer �s regras de schemas de seu diret�rio LDAP. Cada item que � adicionado ou alterado no diret�rio � verificado segundo o esquema para corre��o. Uma viola��o do esquema ocorre quando os dados n�o correspondem �s regras existentes. Observa-se o exemplo de uma parte de um arquivo LDIF na Listagem 10.

Listagem 10. Parte de um arquivo LDIF.


  dn: uid=reisfa,ou=People,dc=reisfa,dc=eti,dc=br
  uid: reisfa
  cn: Flavio Reis
  objectClass: account
  objectClass: posixAccount
  objectClass: top
  objectClass: shadowAccount
  userPassword: {crypt}$6$fBWxv7O9$LWFyYlfCk79LiCdi9cVU48YOEULTnDwpuKmqVTrmGa3i/4hcOnWyIiStCb/JZkbVmvdL0ZwR8BHr28TWYRQt51
  shadowLastChange: 15167
  shadowMax: 99999
  shadowWarning: 7
  loginShell: /bin/bash
  uidNumber: 1000
  gidNumber: 1000
  homeDirectory: /home/reisfa
  gecos: Flavio Reis,,,

Ap�s uma breve descri��o sobre LDIF, podem-se gerar os arquivos que ser�o usados para importar os dados para a base de usu�rios do sistema. Para isso, ser�o adotados os scripts do migrationtools. Os passos descritos na Listagem 11 criam as LDIFs de usu�rios, grupos e a base utilizada pelo OpenLDAP.

Listagem 11. Criando as LDIFs.


  # cd /usr/share/migrationtools/
  # ./migrate_passwd.pl /etc/passwd /etc/ldap/users.ldif
  # ./migrate_group.pl /etc/group /etc/ldap/groups.ldif
  # ./migrate_base.pl > /etc/ldap/base.ldif

A Listagem 12 apresenta um exemplo de como dever� ficar o arquivo base.ldif.

Listagem 12. Exemplo do arquivo base.ldif.


  dn: dc=reisfa,dc=eti,dc=br
  dc: reisfa
  objectClass: top
  objectClass: domain
   
  dn: ou=Hosts,dc=reisfa,dc=eti,dc=br
  ou: Hosts
  objectClass: top
  objectClass: organizationalUnit
   
  dn: ou=Rpc,dc=reisfa,dc=eti,dc=br
  ou: Rpc
  objectClass: top
  objectClass: organizationalUnit
   
  dn: ou=Services,dc=reisfa,dc=eti,dc=br
  ou: Services
  objectClass: top
  objectClass: organizationalUnit
   
  dn: nisMapName=netgroup.byuser,dc=reisfa,dc=eti,dc=br
  nismapname: netgroup.byuser
  objectClass: top
  objectClass: nisMap
   
  dn: ou=Mounts,dc=reisfa,dc=eti,dc=br
  ou: Mounts
  objectClass: top
  objectClass: organizationalUnit
   
  dn: ou=Networks,dc=reisfa,dc=eti,dc=br
  ou: Networks
  objectClass: top
  objectClass: organizationalUnit
   
  dn: ou=People,dc=reisfa,dc=eti,dc=br
  ou: People
  objectClass: top
  objectClass: organizationalUnit
   
  dn: ou=Group,dc=reisfa,dc=eti,dc=br
  ou: Group
  objectClass: top
  objectClass: organizationalUnit
   
  dn: ou=Netgroup,dc=reisfa,dc=eti,dc=br
  ou: Netgroup
  objectClass: top
  objectClass: organizationalUnit
   
  dn: ou=Protocols,dc=reisfa,dc=eti,dc=br
  ou: Protocols
  objectClass: top
  objectClass: organizationalUnit
   
  dn: ou=Aliases,dc=reisfa,dc=eti,dc=br
  ou: Aliases
  objectClass: top
  objectClass: organizationalUnit
   
  dn: nisMapName=netgroup.byhost,dc=reisfa,dc=eti,dc=br
  nismapname: netgroup.byhost
  objectClass: top
  objectClass: nisMap

Ap�s ter criado as LDIFs de usu�rios, grupos e base, deve-se inseri-las na base OpenLDAP. Lembre-se que j� haver� os usu�rios e grupos antes criados no GNU/Linux, pois toda a base foi importada de l�. A Listagem 13 apresenta a sequ�ncia de comandos utilizados para essa opera��o.

Listagem 13. Inserindo os dados na base OpenLDAP.


  # ldapadd -x -D cn=admin,dc=reisfa,dc=eti,dc=br -f /etc/ldap/base.ldif -W
  # ldapadd -x -D cn=admin,dc= reisfa,dc= eti,dc=br -f /etc/ldap/groups.ldif -W
  # ldapadd -x -D cn=admin,dc= reisfa,dc= eti,dc=br -f /etc/ldap/users.ldif -W

Onde:

� ldapadd � � o comando para inserir novos dados;

� x � � utilizado para autentica��o simples;

� D � especifica o dom�nio;

� f � especifica o arquivo que ser� inclu�do;

� W � chama um prompt para digitar a senha.

Ap�s executar os comandos, pode ser feita uma pesquisa para confirmar se os dados foram inseridos com sucesso. Observa-se na Listagem 14 a utiliza��o do comando ldapsearch.

Listagem 14. Exemplo de uso do comando ldapsearch.


  # ldapsearch -x -b dc=reisfa,dc=eti,dc=br uidNumber=1000
   
  dn: uid=reisfa,ou=People,dc=reisfa,dc=eti,dc=br
  uid: reisfa
  cn: Flavio Reis
  objectClass: account
  objectClass: posixAccount
  objectClass: top
  objectClass: shadowAccount
  shadowMax: 99999
  shadowWarning: 7
  loginShell: /bin/bash
  uidNumber: 1000
  gidNumber: 1000
  homeDirectory: /home/reisfa
  gecos: Flavio Reis,,,

Autenticando servi�os

Os t�picos apresentados a seguir mostram a configura��o para se autenticar em uma base OpenLDAP, n�o sendo abordada a instala��o e configura��o de cada servi�o. Ser� apresentado o que deve ser alterado para que uma aplica��o possa utilizar a autentica��o em conjunto com a base de Diret�rios.

Samba

O Samba � uma aplica��o para GNU/Linux (e outros sistemas baseados em Unix) que permite o gerenciamento e compartilhamento de recursos em redes formadas por computadores com o Windows. Assim, � poss�vel usar o Linux como servidor de arquivos, servidor de impress�o, entre outros, como se a rede utilizasse servidores Windows (NT, 2000, XP, Server 2003).

Com o servidor Samba, � poss�vel compartilhar arquivos, compartilhar impressoras e controlar o acesso a determinados recursos de rede com igual ou maior efici�ncia que servidores baseados em sistemas operacionais da Microsoft.

Todo trabalho feito pelo Samba � provido de grande seguran�a, uma vez que h� grande rigor nos controles dos recursos oferecidos. Tanto � que existem empresas que usam o Samba como solu��o para conflitos existentes entre diferentes vers�es do Windows.

Pode-se usar o Samba como um controlador prim�rio de dom�nio (PDC), onde ele passa a funcionar como um servidor de autentica��o para os clientes Windows e, opcionalmente, armazenar os perfis dos usu�rios, permitindo que eles tenham acesso a seus arquivos e configura��es a partir de qualquer m�quina onde fa�am logon.

Ao cadastrar um novo usu�rio no servidor Samba, ele automaticamente pode fazer logon em qualquer uma das esta��es configuradas. Ao remover ou bloquear uma conta de acesso, o usu�rio � automaticamente bloqueado em todas as esta��es. Isso elimina o problema de sincronismo entre as senhas no servidor e nas esta��es, al�m de centralizar a administra��o de usu�rios e permiss�es de acesso no servidor, simplificando bastante seu trabalho de administra��o.

Neste contexto, para que o Samba utilize a base de dados do OpenLDAP, algumas configura��es devem ser efetuadas, alterando a diretiva passdb backend = tdbsam guest para o que est� na Listagem 15.

Listagem 15. Configura��o do smb.conf a ser inserido para autentica��o via OpenLDAP.


  passdb backend = ldapsam:ldap://127.0.0.1
  ldap suffix = dc=reisfa,dc=eti,dc=br
  ldap machine suffix = ou=machines
  ldap user suffix = ou=users
  ldap group suffix = ou=groups
  ldap admin dn = cn=admin,dc=reisfa,dc=eti,dc=br
  ldap delete dn = no
  domain logons = yes
  enable privileges = yes

Ap�s essas altera��es, deve-se reiniciar o Samba, atrav�s do comando service samba restart, e os usu�rios cadastrados no OpenLDAP estar�o aptos a utilizar os compartilhamentos dispon�veis pelo Samba.

Squid

Com a Internet cada vez mais acess�vel a pequenas e m�dias empresas, um n�mero imenso de usu�rios est� se interligando a Internet. Al�m de todos os benef�cios fornecidos, como informa��o em tempo real, comunica��o mundial a baixo custo, contato com poss�veis clientes e fornecedores por todo o mundo, a mesma trouxe alguns problemas.

Os usu�rios tendem a passar cada vez mais tempo navegando por sites n�o relativos ao seu trabalho prim�rio, acessam sites que n�o condizem com a pol�tica da empresa, utilizam a banda de Internet destinada a servi�os como WEB ou VPN e podem, em muitos casos, acabar infectando toda a rede da empresa com v�rus e worms que s�o adquiridos em sites impr�prios. Isso sem contar com a amea�a sempre presente da propaga��o de downloads de softwares piratas e m�sicas, fatores que podem complicar a vida de uma empresa durante fiscaliza��es.

O Squid concede a possibilidade de autentica��o de usu�rios. Dessa forma, sempre que o usu�rio acessar um navegador ser�o solicitadas suas credenciais. A Listagem 16 mostra a configura��o que deve ser inserida no squid.conf.

Listagem 16. Configura��o a ser inserida no proxy para autentica��o via OpenLDAP.


  auth_param basic program /usr/lib/squid/ldap_auth -v 3 -b "dc=reisfa,dc=eti,dc=br" -f "uid=%s" -h serverldap.reisfa.eti.br
  auth_param basic children 8
  auth_param basic realm Acesso Restrito - Informe usu�rio e senha para acesso a Internet.
  auth_param basic credentialsttl 20 minutes
  acl usuarios proxy_auth REQUIRED

Dessa forma, o administrador da rede poder� identificar os acessos de cada usu�rio visualizando os logs atrav�s do sarg, utilit�rio para an�lise de log de acesso do squid.

Conclus�o

A concentra��o da base de dados de autentica��o de usu�rios visa facilitar a administra��o de um parque computacional, independente do tamanho e complexidade. Com o uso do OpenLDAP, pode-se centralizar toda essa administra��o.

Com tudo o que foi relatado neste artigo, pode-se concluir que a centraliza��o da informa��o, bem como o processo de autentica��o seguro e centralizado, s�o ferramentas essenciais para uma organiza��o competitiva. O acesso � informa��o deve, sempre que poss�vel, ser monitorado e logado para a realiza��o de auditorias futuras.

A utiliza��o de um processo centralizado e criptografado de autentica��o proporciona seguran�a ao ambiente organizacional, focando na precis�o do controle da informa��o, garantindo que essas sejam acessadas somente pelos usu�rios que realmente t�m direito. Sistemas com autentica��o robusta elevam a confiabilidade de sua aplica��o, por�m vale ressaltar que uma aplica��o � t�o segura quanto seu ponto mais vulner�vel, logo � necess�rio aplicar seguran�a em todas as partes.

Para concluir, vale destacar que � considerada uma boa pr�tica a utiliza��o de criptografia dos dados n�o s� durante o processo de autentica��o, mas tamb�m nas trocas de informa��o por meio de ambientes p�blicos como a Internet. � importante tamb�m fazer uma pr�via an�lise de amea�as no sistema, para que sejam mapeadas e classificadas as poss�veis vulnerabilidades de cada funcionalidade, evitando assim que falhas venham a comprometer toda a base de usu�rios.

Links

Viva o Linux
www.vivaolinux.com.br

Squid
www.squid-cache.org

Samba
www.samba.org

Under Linux
http://under-linux.org

OpenLDAP
http://www.openldap.org/

OpenLDAP Brasil
http://softwarelivre.org/openldap

Tecnologias:

Confira outros conte�dos:

Programa��o x Concurso P�blico

Osvaldo aprendeu programa��o

DevMedia x Netflix: Onde investir meu...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Devmedia Em 2012

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso