Artigo Invista em voc�! Saiba como a DevMedia pode ajudar sua carreira.

Gerenciamento de usu�rios com OpenLDAP - Revista Infra Magazine 10

Neste artigo ser� demonstrado como instalar e configurar o OpenLDAP, protocolo utilizado no gerenciamento de identidades na integra��o de servi�os em redes heterog�neas e como solu��o para centralizar a autentica��o de usu�rios no proxy Squid.

Artigo do tipo Tutorial
Recursos especiais neste artigo:
Conte�do sobre boas pr�ticas.
Autores: Ivani Nascimento e Pathiene Gerstenberger

Do que se trata o artigo
Neste artigo ser� demonstrado como instalar e configurar o OpenLDAP, protocolo utilizado no gerenciamento de identidades na integra��o de servi�os em redes heterog�neas e como solu��o para centralizar a autentica��o de usu�rios no proxy Squid.

Em que situa��o o tema � �til
Manter um cadastro centralizado de usu�rios � um desafio para os administradores de sistema, visto que alguns fatores como rotatividade de colaboradores e mobilidade na hierarquia dificultam a manuten��o de informa��es sobre um determinado recurso de uma organiza��o. No entanto, o OpenLDAP � um protocolo que possibilita a integra��o de redes heterog�neas por meio de um servi�o de diret�rios que realiza a centraliza��o da autentica��o. Em um projeto de implementa��o de um servi�o de rede como o Squid, que ir� atuar em um ambiente com diversos sistemas operacionais, faz-se necess�rio o controle de acesso dos usu�rios aos recursos da rede, tarefa na qual o OpenLDAP tem uma importante atua��o.

Gerenciamento de usu�rios com OpenLDAP
Em um ambiente corporativo, um dos principais requisitos verificados em um sistema ou servi�o de rede � a seguran�a. Tanto o sistema quanto o servi�o devem garantir que as informa��es neles contidas sejam �ntegras e que os acessos sejam feitos somente por usu�rios leg�timos, al�m de fornecer mecanismos para prote��o contra acessos n�o autorizados. Rotatividade de colaboradores, frequente mobilidade de hierarquia e divis�o em setores s�o fatores que dificultam a manuten��o de um cadastro de usu�rios com informa��es coerentes. Da mesma maneira, a utiliza��o de diversas senhas para o acesso a sistemas ou servi�os de rede coloca em risco a seguran�a da organiza��o. Este artigo aborda a configura��o de um servidor OpenLDAP para manter um diret�rio com as informa��es dos usu�rios centralizadas e integr�-lo com um proxy Squid.

Mudan�as ocorrem constantemente em um ambiente corporativo, seja por motivo de rotatividade de colaboradores, mobilidade na hierarquia, mudan�as de fun��es e setores, inclus�o/retirada de dispositivos, seja por outros motivos. Deste modo, a administra��o de sistemas torna-se uma tarefa complexa, pois cada um dos fatores mencionados necessita de configura��o para que possam operar de acordo com a necessidade do ambiente. Em redes de pequeno porte, muitas vezes � poss�vel utilizar procedimentos manuais para configura��o de servi�os de rede e administra��o de usu�rios. Por�m, � medida que a rede cresce, se torna mais complexa e heterog�nea, e o gerenciamento de identidades se torna um desafio, trazendo riscos � seguran�a em fun��o da escolha de senhas fr�geis e do vazamento de informa��es.

Dessa forma, entende-se que todo ambiente de rede necessita armazenar informa��es de modo a possibilitar o seu gerenciamento. Como exemplo, temos autentica��es, grupos de usu�rios, permiss�es, cotas de armazenamento, acessos a compartilhamentos, entre outros. Muitas organiza��es possuem ambientes mistos com v�rias plataformas (Linux, Windows, Unix) conectadas fisicamente e distribu�das geograficamente, que trocam informa��es entre si. O problema desse tipo de rede � que para cada plataforma ou rede local existente no ambiente de rede (rede f�sica) ser� necess�rio alimentar uma base de dados com as mesmas informa��es, o que torna a administra��o complexa, uma vez que ser� necess�rio garantir a sincronia e a replica��o das informa��es. Se a solu��o para a ger�ncia dos dados n�o for eficaz, torna-se dif�cil a organiza��o e a distribui��o das informa��es, causando duplicidades, maior custo no suporte e falta de seguran�a.

Diante disso, o gerenciamento de identidades se torna um fator importante, seja qual for o tamanho da corpora��o ou da rotatividade de usu�rios, pois dessa forma h� uma grande contribui��o na vincula��o destes em sistemas de Recursos Humanos (RH) ou cadastros b�sicos (por exemplo, cadastro de visitantes), permitindo a cria��o, o bloqueio e a exclus�o autom�tica de usu�rios.

Dentro do contexto de seguran�a, a pr�tica do gerenciamento de identidades compreende tr�s elementos: diretivas, processos e tecnologias, sendo que as diretivas se referem aos limites e padr�es a serem seguidos para cumprir a pol�tica da organiza��o e tamb�m pr�ticas recomendadas; os processos descrevem as sequ�ncias de etapas que levam � conclus�o de tarefas; e as tecnologias s�o as ferramentas automatizadas que auxiliam a organiza��o a atingir os objetivos comerciais de forma eficiente e precisa, respeitando os limites especificados nas diretivas.

Com base nisso, este artigo aborda o aspecto tecnol�gico do gerenciamento de identidades a partir da instala��o e da configura��o de um servidor de diret�rios utilizando o OpenLDAP integrado com o proxy Squid, de modo a permitir a centraliza��o e o controle dos acessos na rede.

Servi�o de Diret�rios

Um diret�rio � um reposit�rio de informa��es sobre objetos, organizados segundo um crit�rio que facilite a sua consulta. De acordo com o OpenLDAP Software 2.4 Administrator�s Guide (ver Links), a defini��o simples para diret�rio �: �um banco de dados espec�fico, otimizado para busca, leitura e navega��o�.

Servi�os de diret�rio e bancos de dados compartilham caracter�sticas comuns, tais como buscas r�pidas e fun��es de atualiza��o. Enquanto um servi�o de diret�rio � utilizado mais para leitura do que escrita, em um banco de dados, assume-se que as opera��es de leitura e de escrita ocorrem mais ou menos com a mesma frequ�ncia. Diret�rios podem conter informa��es descritivas baseadas em atributos que podem ser filtrados, ao passo que as transa��es realizadas devem ser finalizadas totalmente, n�o podendo ser conclu�das de forma parcial, caracter�sticas essas encontradas em bancos de dados que s�o desenhados para manusear grandes volumes de atualiza��es e que suportam transa��es que permitem desist�ncia de opera��es (rollback). Exemplos de diret�rios utilizados no cotidiano s�o as listas telef�nicas e os dicion�rios, pois ambos armazenam informa��es ordenadas para consulta para facilitar a busca por entradas. No caso da lista telef�nica, as entradas s�o organizadas em ordem alfab�tica pelo nome da pessoa, no caso do dicion�rio, por verbete. Na computa��o, os servi�os de diret�rios podem buscar informa��es localmente (por exemplo, ao executar o comando finger em um servidor Linux/Unix) ou, ainda, em servidores que mant�m a informa��o distribu�da (por exemplo, uma pesquisa no servi�o de resolu��o de nomes deve retornar o mesmo resultado, independentemente do computador no qual foi realizada a busca).

Dentro do contexto de redes de computadores, seja de pequeno, m�dio ou grande porte, � justificada a utiliza��o de um servi�o de diret�rio, pois permite a mobilidade dos dados que podem ser agrupados por departamentos ou por unidades, centraliza as informa��es que ficar�o dispon�veis a todos os servi�os da rede e possibilita delegar a administra��o de parte do diret�rio (que pode estar localizado fisicamente em outro servidor) a outros usu�rios.

LDAP

LDAP, que significa Lightweight Directory Access Protocol, tem como fun��o definir o modo como um servi�o de diret�rios trabalhar�, especificando crit�rios, mecanismos e m�todos para armazenar e fornecer informa��es. Como o nome sugere, � um protocolo leve (lightweight) para acessar servi�os de diret�rio, especificamente servi�os de diret�rio baseados em X.500.

O X.500 � um protocolo baseado no conceito OSI, que especifica um modelo para a conex�o de servi�os de diret�rios locais a fim de formar um diret�rio global distribu�do, com suporte a fun��es de gerenciamento, tais como adi��o, altera��o e remo��o de entradas. O protocolo de acesso a diret�rios DAP (Directory Access Protocol) faz parte das especifica��es do padr�o X.500 e foi desenvolvido para trabalhar junto a todas as camadas do modelo Open Systems Interconnection (OSI), com o objetivo de definir o acesso de usu�rios aos servi�os de diret�rios que seu padr�o provia. Por�m, isso tornou sua implementa��o dif�cil, gerando aplica��es complexas e lentas.

O LDAP foi criado como uma alternativa ao DAP para prover acesso aos servi�os de diret�rios do X.500, utilizando o modelo da pilha TCP/IP. Por esse motivo, � mais f�cil de ser implementado, al�m de exigir menos recursos da rede e de mem�ria, provendo melhor desempenho.

Posteriormente, foram criados servidores de diret�rios para colocar em pr�tica um software provedor de servi�os de diret�rios espec�fico para o TCP/IP e o LDAP, deixando de lado o X.500. O LDAP foi padronizado pelo Internet Engineering Task Force (IETF) em julho de 1993 por meio da Request For Comments (RFC) 1487 e atualmente est� na vers�o 3, conforme especificado na RFC 4510.

OpenLDAP

O projeto OpenLDAP � o resultado de um esfor�o colaborativo para desenvolver um software multiplataforma com ferramentas para implanta��o de um servi�o de diret�rio LDAP em um ambiente de rede (software servidor, cliente, utilit�rios). � uma solu��o utilizada como alternativa �s implementa��es de mercado como Microsoft Active Directory, Novell eDirectory, Sun iPlanet Directory Server e outros.

A configura��o do OpenLDAP � feita atrav�s do slapd (Stand-Alone LDAP Daemon), que tem como fun��o atender as requisi��es dos clientes, seja em forma de autentica��o ou ainda, resposta a uma consulta no diret�rio. O slurpd (Stand-Alone LDAP Update Replication Daemon) � utilizado para a replica��o do diret�rio, isto �, propaga as altera��es de uma base slapd para outra. Como op��es para a seguran�a, o OpenLDAP fornece suporte � criptografia TLS, SSL e SASL, al�m de permitir um controle granular por meio de listas de controle de acesso (ACLs).

Dentre as aplica��es para uso do OpenLDAP, podemos citar:

� Base de autentica��o de usu�rios da rede para servi�os como:

o Login de rede (utilizado para acessar esta��es Linux ou esta��es Windows atrav�s do software Samba, que � utilizado para integrar ambientes heterog�neos);

o E-mail (utilizado para autenticar o usu�rio no envio e recebimento de mensagens, atrav�s dos protocolos POP3, SMTP, IMAP);

o Acesso � Internet (Proxy);

� Cat�logo de e-mails e cadastro de clientes.

Estrutura de servi�o de diret�rio

Antes de realizar a instala��o de um servi�o de diret�rio, � importante compreender como as informa��es s�o organizadas.

No LDAP, as entradas do diret�rio s�o estruturadas de forma hier�rquica, como uma �rvore, para representar limites geogr�ficos ou organizacionais. Por exemplo, pensando em uma estrutura de �rvore, no topo est�o as entradas que representam os pa�ses, seguidas das entradas de estados e organiza��es nacionais, e mais abaixo, entradas que representam unidades organizacionais, pessoas, hosts e outras informa��es que se deseja catalogar.

Uma entrada em um servi�o de diret�rio � uma colet�nea de atributos agrupados em um identificador �nico chamado DN (Distinguished Name). Um atributo consiste no par atributo/valor, sendo que um atributo pode ter mais de um valor, como na representa��o de membros de um grupo; por exemplo, o grupo marketing cont�m os seguintes membros: Maria, Jos�, Jo�o.

A Tabela 1 apresenta as entradas do modelo da estrutura de diret�rio.

abrir imagem em nova janela

Tabela 1. Entradas da estrutura de diret�rios.

A Figura 1 ilustra uma �rvore de diret�rio considerando uma estrutura geogr�fica e organizacional. Nesse tipo de estrutura, o topo da �rvore cont�m entradas que representam pa�ses e estados. Nesse ponto, a estrutura hier�rquica � criada a partir de entradas das organiza��es nacionais, seguidas das unidades organizacionais que podem representar, por exemplo, unidades de uma empresa, como matriz e filiais, ou ainda divis�es internas, como departamentos, grupos, usu�rios e outros.

abrir imagem em nova janela

Figura 1. Exemplo de estrutura de diret�rio.

Outra maneira para construir um servi�o de diret�rio � utilizar componentes dc (dom�nio Internet), que refletem a estrutura do DNS. Atualmente, h� prefer�ncia por esse modelo, pois ele facilita a localiza��o de servi�os de diret�rios a partir do desmembramento do endere�o de Internet, permitindo divis�es de hierarquia ou regi�es e possibilitando a replica��o parcial da base e buscas mais r�pidas. A Figura 2 apresenta um exemplo de diret�rio baseado na estrutura dc, no qual os primeiros n�veis (topo da �rvore) representam o nome de dom�nio da empresa, na mesma ordem de leitura de um dom�nio DNS.

abrir imagem em nova janela

Figura 2. Exemplo de Diret�rio baseado em estrutura dc.

Instala��o

Nesta etapa do artigo, ser� apresentada a instala��o dos pacotes utilizados para a configura��o do servidor, que ser� baseado no Sistema Operacional Debian Squeeze, com OpenLDAP vers�o 2.4.3. Lembrando que, para executar os comandos que ser�o apresentados, � necess�rio realizar o login com o usu�rio root (administrador do sistema).

Para a instala��o dos pacotes, ser� necess�rio configurar o arquivo /etc/apt/sources.list com os reposit�rios externos. A Listagem 1 apresenta um modelo do arquivo.

Listagem 1. Modelo do arquivo /etc/apt/sources.list.


deb http://ftp.br.debian.org/debian/ squeeze main
  deb-src http://ftp.br.debian.org/debian/ squeeze main
  deb http://security.debian.org/ squeeze/updates main
  deb-src http://security.debian.org/ squeeze/updates main
  # squeeze-updates, previously known as 'volatile'
  deb http://ftp.br.debian.org/debian/ squeeze-updates main
  deb-src http://ftp.br.debian.org/debian/ squeeze-updates main
  <p align="left">deb http://backports.debian.org/debian-backports 
    squeeze-backports main

Os pacotes que ser�o instalados s�o o slapd e o ldap-utils. Os comandos apresentados na Listagem 2 realizam a pesquisa dos pacotes nos mirrors configurados no /etc/apt/sources.list, e em seguida � feita a instala��o.

Listagem 2. Pesquisa e instala��o dos pacotes.



  # aptitude search slapd
  # aptitude search ldap-utils
  # aptitude install slapd ldap-utils

Durante a instala��o, � solicitada a defini��o da senha do administrador, conforme demonstrado na Figura 3. Na tela seguinte a essa etapa, basta confirmar a senha escolhida.

abrir imagem em nova janela

Figura 3. Solicita��o da senha do administrador do LDAP.

Dadas essas informa��es, os pacotes ser�o instalados. � uma boa pr�tica verificar se estes foram instalados corretamente, assim como a vers�o do protocolo OpenLDAP, se o usu�rio e grupo utilizados pelo LDAP foram criados e se o servi�o foi iniciado. A Listagem 3 apresenta os comandos utilizados para realizar essa opera��o.

Listagem 3. Verifica��o dos pacotes, usu�rio e grupo e processo do servi�o LDAP.


Pacotes instalados
  # dpkg -l | egrep 'slapd|ldap-utils'
  ii  ldap-utils       2.4.23-7.2      OpenLDAP utilities
  ii  slapd            2.4.23-7.2      OpenLDAP server (slapd)
  Vers�o do protocolo OpenLDAP
  # slapd -V
  @(#) $OpenLDAP: slapd 2.4.23 (Jun 16 2011 02:53:39) $
          buildd@murphy:/build/buildd-openldap_2.4.23-7.2-i386-Y1mwvF/
          openldap-2.4.23/debian/build/servers/slapd
   
  Usu�rio e grupo utilizados pelo Ldap
  <p align="left"># cat /etc/passwd | grep ldap
  <p align="left">openldap:x:104:106:OpenLDAP Server   
   Account,,,:/var/lib/ldap:/bin/false
   
  # cat /etc/group | grep ldap
  openldap:x:106:
   
  Verifica��o do processo do servi�o Ldap:
  # ps -ef | grep ldap
  openldap  1712     1  0 Nov10 ?        00:00:00 /usr/sbin/slapd -h ldap:///
  ldapi:/// -g openldap -u openldap -F /etc/ldap/slapd.d
  root      1770  1126  0 00:17 pts/0    00:00:00 grep ldap

Configura��o

Neste t�pico ser� apresentada a configura��o do servi�o OpenLDAP, de uma forma tradicional, isto �, por meio do arquivo slapd.conf. Em vers�es mais recentes, o OpenLDAP n�o traz o arquivo slapd.conf dentro do diret�rio /etc/ldap/, mas o diret�rio /etc/ldap/slapd.d/, que cont�m uma base chamada cn=config. � nesta base onde s�o armazenadas as informa��es do servi�o de diret�rio, bem como as informa��es dos schemas utilizados (identificados pelos arquivos com extens�o .schema).

Ao utilizar o arquivo cn=config, a configura��o passa a ser online, de modo que, caso seja necess�rio criar um novo �ndice ou uma ACL, n�o ser� preciso parar o servi�o e reinici�-lo, etapa necess�ria quando se utiliza o arquivo slapd.conf. Entretanto, deve-se observar que a inclus�o de uma ACL incorreta, por exemplo, poder� causar indisponibilidade no servi�o, pois apesar de ser imediatamente aplicada, a funcionalidade de remo��o de entradas ainda n�o � contemplada na vers�o 2.4, sendo necess�rio reiniciar o servi�o. Assim, nesse artigo, a configura��o do OpenLDAP ser� realizada por meio do arquivo slapd.conf, ficando o cn=config como tema para um pr�ximo artigo.

Antes de prosseguir com a configura��o, ser� necess�rio reconfigurar o pacote slapd utilizando a ferramenta dpkg-reconfigure, de modo a ativar o LDAP com informa��es, tais como o dom�nio que ser� utilizado, tipo de banco que ir� armazenar os dados, entre outras.

A Listagem 4 apresenta os comandos necess�rios para realizar esse procedimento.

Listagem 4. Reconfigurando o pacote slapd.



  Parando o servi�o:
  # /etc/init.d/slapd stop
  Removendo os arquivos de base criados durante a instala��o:
  # rm -f /var/lib/ldap/*
   
  Reconfigurando o pacote slapd:
  # dpkg-reconfigure slapd

Ao executar o comando dpkg-reconfigure, ser�o solicitadas informa��es para a nova configura��o do slapd. A primeira pergunta � se o administrador deseja omitir a configura��o do servidor OpenLDAP. Caso seja escolhido Yes/Sim, nenhuma configura��o inicial ou base de dados ser� criada. Como os arquivos de base foram removidos, nessa tela, a escolha deve ser No/N�o, conforme apresentado na Figura 4.

abrir imagem em nova janela

Figura 4. Reconfigura��o do pacote OpenLDAP.

A pr�xima pergunta se refere ao dom�nio que ser� a base DN (Distinguished Name) do diret�rio do LDAP. Ao preencher os dados dessa tela, � importante observar que deve ser informado o nome de um dom�nio, conforme ilustrado na Figura 5, e n�o uma entrada do LDAP como �dc=meudominio,dc=com�. Ao inserir o dom�nio, o configurador automaticamente criar� a entrada LDAP, desmembrando o que foi digitado em componentes de dom�nio (dc).

abrir imagem em nova janela

Figura 5. Defini��o do dom�nio OpenLDAP.

As pr�ximas telas se referem � defini��o do nome da organiza��o que ser� utilizada no servi�o de diret�rio, e � senha de root. Para a primeira pergunta, basta informar o nome, como �LDAP Article�, por exemplo. Quanto � senha de root, esta se refere ao administrador do servi�o de diret�rio e n�o do sistema operacional. Assim, � boa pr�tica que a senha seja diferente da senha do SO e que contenha caracteres especiais, letras e n�meros.

Ap�s confirmar a senha escolhida, ser� solicitada a defini��o do tipo de banco de dados que ser� utilizado. Tanto o BDB quanto o HDB s�o backends para armazenamento de dados, com as mesmas op��es de configura��o. A diferen�a entre eles est� no fato de que o BDB utiliza indexa��o e cache para acelerar o acesso aos dados enquanto HDB utiliza um banco de dados hier�rquico e permite renomear objetos na base de dados. Como o configurador recomenda utilizar o HDB, basta selecionar essa op��o conforme ilustra a Figura 6.

abrir imagem em nova janela

Figura 6. Configura��o do banco que ser� utilizado pelo LDAP.

A pr�xima pergunta est� relacionada � desinstala��o do pacote slapd. O administrador pode optar por remover completamente o pacote junto com a base de dados, ou remover somente o pacote, mantendo as informa��es da base. Isso quer dizer que ao utilizar o comando aptitude purge slapd, tanto o pacote como todo o conte�do do banco de dados ser�o removidos, enquanto utilizar somente aptitude remove slapd desinstala somente o pacote, mantendo o conte�do do banco. Nesse caso, selecione a op��o No/N�o.

Por fim, ser� solicitada a confirma��o para deixar habilitado o protocolo LDAPv2, conforme apresentado na Figura 7. Selecione a op��o Yes/Sim, para manter a compatibilidade com clientes que ainda n�o utilizam o LDAPv3.

abrir imagem em nova janela

Figura 7. Escolha da vers�o do protocolo utilizado.

Ao finalizar a reconfigura��o do pacote, a base de dados � recriada e o servi�o � iniciado, por�m ainda � necess�rio indicar que o OpenLDAP utilizar� as defini��es do arquivo slapd.conf e n�o do cn=config. Esse procedimento � feito a partir da atualiza��o da vari�vel SLAPD_CONF e da c�pia do arquivo para o diret�rio /etc/ldap. A Listagem 5 apresenta os comandos para realizar o procedimento.

Listagem 5. Indicando o arquivo de configura��o que ser� utilizado pelo OpenLDAP.



  Atualiza��o da vari�vel SLAPD_CONF que indica o path do arquivo:
  # vim /etc/default/slapd
  SLAPD_CONF="/etc/ldap/slapd.conf"
   
  Copiando o arquivo de configura��o
  # cp /usr/share/sladp/slapd.conf /etc/ldap
   
  Verificando se a c�pia foi realizada:
  # ls -l /etc/ldap/slapd.conf
  -rw-r--r-- 1 root root 4637 Nov 11 05:57 /etc/ldap/slapd.conf

Diretivas do arquivo de configura��o

Conforme dito anteriormente, as configura��es para a cria��o de um servi�o de diret�rios utilizando o OpenLDAP ser� feita a partir do arquivo sladp.conf. Assim como a maior parte dos arquivos de configura��o no Linux, este arquivo possui coment�rios que descrevem cada diretiva ou sua sintaxe. Para facilitar o entendimento das diretivas apresentadas, ser� feito um backup do arquivo original e criado um arquivo limpo, sem coment�rios. O comando utilizado para esse procedimento � o egrep, que remover� linhas que s�o iniciadas por um coment�rio (^#), linhas em branco (^$), e em seguida redirecionar a sa�da para o arquivo que ser� utilizado para configurar o OpenLDAP, conforme demonstrado na Listagem 6.

Listagem 6. Retirada dos coment�rios do arquivo de configura��o.


C�pia do arquivo original
  # cp /etc/ldap/slapd.conf /etc/ldap/slapd.conf.original 
  Remo��o dos coment�rios e linhas em branco
  <p align="left"># egrep -v �^#|^$� /etc/ldap/slapd.conf.original 
  > /etc/ldap/slapd.conf

Com o arquivo limpo, podemos verificar as diretivas e aplicar as configura��es para disponibilizar um servi�o de diret�rios na rede. O editor de textos utilizado ser� o vim, por�m o usu�rio poder� editar o arquivo a partir de outros editores de texto. A Listagem 7 demonstra o arquivo limpo que ser� utilizado.

Listagem 7. Conte�do do arquivo slapd.conf.

# vim slapd.conf
  allow bind_v2
  include         /etc/ldap/schema/core.schema
  include         /etc/ldap/schema/cosine.schema
  include         /etc/ldap/schema/nis.schema
  include         /etc/ldap/schema/inetorgperson.schema
  pidfile         /var/run/slapd/slapd.pid
  argsfile        /var/run/slapd/slapd.args
  loglevel        192
  modulepath      /usr/lib/ldap
  moduleload      back_hdb
  sizelimit 500
  tool-threads 1
  backend         hdb
  access to attrs=userPassword,shadowLastChange
          by dn="cn=admin,dc=meudominio,dc=com" write
          by anonymous auth
          by self write
          by * none
  access to dn.base="" by * read
  access to *
          by dn="cn=admin,dc=meudominio,dc=com" write
          by * read
  database        hdb
  suffix          "dc=meudominio,dc=com"
  directory       "/var/lib/ldap"
  rootdn          "cn=admin,dc=meudominio,dc=com"
  rootpw          "senhadificil"
  dbconfig set_cachesize 0 2097152 0
  dbconfig set_lk_max_objects 1500
  dbconfig set_lk_max_locks 1500
  dbconfig set_lk_max_lockers 1500
  index           objectClass eq
  lastmod         on
  checkpoint      512 30

A seguir, s�o apresentadas as principais diretivas configuradas no arquivo slapd.conf:

� allow bind_v2: Refere-se ao uso da vers�o 2 do protocolo LDAP e n�o faz exig�ncia de uso de certificados digitais. � �til manter essa op��o para manter compatibilidade com clientes e servi�os que utilizam somente essa vers�o. Caso essa linha n�o exista no arquivo, basta acrescent�-la;

� include: As linhas com essa diretiva est�o relacionadas com os arquivos de schema, que s�o um conjunto de regras que define atributos, classes de objetos e controles, indicando onde cada dado pode ser armazenado. Em uma instala��o padr�o, os arquivos de schema s�o armazenados no diret�rio /etc/ldap/schema e devem ser definidos linha a linha especificando o seu caminho completo, conforme demonstrado na Listagem 8.

Um diret�rio pode conter mais de um schema e alguns atributos s�o de preenchimento obrigat�rio. Por exemplo, ao utilizar o schema inetOrgPerson, os atributos cn (common name) e sn (surname) obrigatoriamente precisam conter algum valor, enquanto uid e userpassword (id de usu�rio e senha, respectivamente) s�o opcionais, n�o necessitando ser adicionados. A Tabela 2 apresenta as especifica��es fornecidas com os schemas do arquivo slapd.conf;

Listagem 8. Schemas inclusos no arquivo slapd.conf.


  include         /etc/ldap/schema/core.schema
  include         /etc/ldap/schema/cosine.schema
  include         /etc/ldap/schema/nis.schema
  include         /etc/ldap/schema/inetorgperson.schema

abrir imagem em nova janela

Tabela 2. Especifica��es dos schemas utilizados no arquivo slapd.conf.

� pidfile: No Linux, todos os processos s�o identificados por um n�mero denominado PID (Process IDentification). Essa diretiva indica o arquivo que cont�m o PID do processo em execu��o do OpenLDAP;

� argsfile: Arquivo que cont�m os argumentos passados ao servidor no momento de sua execu��o;

� loglevel: Define o n�vel de verbosidade do registro de atividades (log) no OpenLDAP. O n�vel 0 (none) determina que n�o ser� gerado log, por�m, em caso de problema para iniciar o servi�o, � interessante ativar um n�vel para que sejam gerados registros que podem ser consultados a fim de determinar o problema.

� poss�vel utilizar depura��o m�xima (-1) ou combinar valores, isto �, somar os valores dos n�veis a fim de obter as informa��es desejadas. Por exemplo, caso deseje habilitar o log para o processamento das configura��es (n�vel 64) e tamb�m o processamento de listas ACL (128), basta somar os n�veis: 128 + 64 = 192 e alterar a diretiva com esse valor:

loglevel 192

A Tabela 3 apresenta alguns n�veis de depura��o que podem ser utilizados e combinados na diretiva loglevel;

abrir imagem em nova janela

Tabela 3. N�veis de depura��o da diretiva loglevel.

� modulepath: Define o diret�rio dos m�dulos para os backends (bdb, hdb) utilizados para armazenar os dados do LDAP;

� moduleload: Ativa o m�dulo do backend que ser� utilizado;

� sizelimit: Define a quantidade m�xima de entradas retornadas em uma consulta feita na base OpenLDAP. Por padr�o, as pesquisas est�o limitadas a 500 entradas. Para mais resultados, ser� necess�rio aumentar este valor, e ao definir -1, a consulta trar� retornos ilimitados;

� tool-threads: Define o n�mero de CPUs que ser�o utilizadas para a indexa��o da base de dados. Se o servidor tiver mais de um processador, aumente este n�mero;

� backend: Permite configurar as op��es espec�ficas de cada backend, que nesse artigo � o HDB;

� access to: Listas de controle de acesso (ACLs) que definem o que os usu�rios podem ou n�o fazer dentro da estrutura do LDAP atrav�s de diferentes n�veis de acesso. A Tabela 4 apresenta os privil�gios que podem ser concedidos para o usu�rio.

abrir imagem em nova janela

Tabela 4. N�veis de acesso para constru��o de ACLs no LDAP.

As ACLs oferecem um controle granular no gerenciamento de identidades no que diz respeito � integra��o entre os servi�os, por�m deve-se observar que a configura��o deve ser bem calculada para evitar que, ao negar um acesso, esta a��o n�o seja sobrescrita pela pr�xima regra. A Listagem 9 contempla as ACLs configuradas no slapd.conf e, para efeito de distin��o entre uma regra e outra, est�o descritas como ACL1, ACL2 e ACL3.

Listagem 9. ACLs configuradas no arquivo slapd.conf.


  # ACL1
  access to attrs=userPassword,shadowLastChange
  by dn="cn=admin,dc=meudominio,dc=com" write
  by anonymous auth
  by self write
  by * none
   
  # ACL2
  access to dn.base="" by * read
   
  # ACL3
  access to *
  by dn="cn=admin,dc=meudominio,dc=com" write
  by * read

A ACL1 se refere �s permiss�es referentes � autentica��o (userPassword) e altera��o de senha (shadowLastChange), o que garante os seguintes direitos de acesso a esses atributos:

� Escrita e leitura ao usu�rio admin:

by dn="cn=admin,dc=meudominio,dc=com" write

� Autentica��o aos usu�rios an�nimos:

by anonymous auth

� Escrita e leitura aos usu�rios autenticados (apenas nos dados retornados em suas pr�prias entradas), permitindo que estes alterem a pr�pria senha:

by self write

� Para os demais usu�rios, o acesso � negado:

by * none

A ACL2 d� direito de leitura � raiz do diret�rio configurado (dc=meudominio,dc=com):

access to dn.base="" by * read

No exemplo apresentado, a ACL1 � mais restritiva e impede que a ACL2 d� privil�gio de leitura de senhas aos usu�rios comuns; caso a ordem estivesse invertida, a primeira ACL n�o teria efeito. E, por fim, a ACL3 garante direito de acesso a todo o diret�rio para escrita e leitura ao usu�rio admin e apenas leitura aos demais usu�rios.

Dando continuidade na descri��o das diretivas do slapd.conf, ainda temos:

� database: Ativa a base de dados escolhida (HDB);

� suffix: Campo da estrutura da base LDAP (no exemplo, dc=meudominio,dc=com), que define sob qual hierarquia os dados do servi�o de diret�rio ser�o armazenados;

� directory: Local (path) onde os dados do servi�o de diret�rio ser�o armazenados;

� rootdn: Define o usu�rio que ser� administrador da base LDAP. Pode ser definido um usu�rio com o nome Manager ou Admin, uma vez que o usu�rio root do sistema operacional n�o � o administrador da base;

� rootpw: Define a senha de acesso ao servidor LDAP. Na configura��o padr�o, a senha � colocada em texto puro no arquivo, por�m, por medida de seguran�a, utiliza-se a ferramenta slappasswd (demonstrada mais a frente) para gerar a senha criptografada que ser� colocada no arquivo;

� dbconfig: Especifica par�metros para configura��o do backend utilizado, tais como limite do cache da base em mem�ria, n�mero de objetos que podem ser travados simultaneamente, n�mero de travas (locks) solicitadas e ativadas, n�mero de travamentos (lockers) ativos, etc. Na configura��o do limite do armazenamento dos dados em mem�ria (set_cachesize), o padr�o � 2M, podendo ser alterado caso o servidor tenha mem�ria RAM dispon�vel;

� index: Define para quais atributos o slapd deve manter �ndices de forma a melhorar a busca. A indexa��o da base deve ser configurada de acordo com o tipo de pesquisa que ser� feita e as possibilidades de filtros a serem aplicados. A Tabela 5 apresenta os tipos de indexa��o ou o tipo de pesquisa a ser realizada;

abrir imagem em nova janela

Tabela 5. Tipos de indexa��o da base LDAP.

� lastmod: Grava informa��es de tempo (timestamp) em cada modifica��o e cria��o de entradas no diret�rio, permitindo que o cliente verifique quando a informa��o foi atualizada;

� checkpoint: Define quando os buffers da base de dados HDB devem ser gravados no disco, para evitar poss�veis perdas. � fornecido um limite em kbytes e outro em minutos, sendo que o primeiro a vencer dispara o checkpoint e grava uma entrada no arquivo de log para registrar o evento.

Inicializando o servidor de diret�rio OpenLDAP

Ap�s realizar as configura��es, o pr�ximo passo � modificar a permiss�o do arquivo slapd.conf, alterar a propriedade do diret�rio /etc/ldap e verificar a sintaxe do arquivo de configura��o.

A altera��o da permiss�o do arquivo de configura��o visa proteger a senha que foi definida para o administrador da base. Uma vez que durante a instala��o os comandos s�o executados com o usu�rio root, os arquivos de configura��o herdam as permiss�es desse usu�rio e se faz necess�rio utilizar o comando chown para alterar para o usu�rio e grupo openldap, utilizados pelo LDAP para iniciar o servi�o. A op��o �R no comando faz com que sejam alterados todos os arquivos e diret�rios abaixo do /etc/ldap, conforme apresentado na Listagem 10.

Listagem 10. Altera��o do usu�rio e grupo do diret�rio /etc/ldap.


Altera��o da permiss�o do arquivo slapd.conf
  # chmod 600 slapd.conf 
  Altera��o do usu�rio e grupo para openldap
  # chown -R openlap:openldap /etc/ldap 
  Lista dos arquivos ap�s a modifica��o: 
  # ls -l
  total 28
  -rw-r--r-- 1 openldap openldap  245 Jun 16  2011 ldap.conf
  drwxr-xr-x 2 openldap openldap 4096 Jun 16  2011 sasl2
  drwxr-xr-x 2 openldap openldap 4096 Nov 11 05:48 schema
  -rw------- 1 openldap openldap 1078 Nov 16 05:13 slapd.conf
  -rw-r--r�1 openldap openldap 4637 Nov 11 06:37 slapd.conf.original

Por fim, � hora de checar a sintaxe e iniciar o servi�o. O OpenLDAP disponibiliza diversas ferramentas para a administra��o do servi�o, e para checar a sintaxe do arquivo slapd.conf, ser� utilizado o comando slaptest, que verifica poss�veis erros dentro do arquivo de configura��o. Sua utiliza��o � demonstrada a seguir:

# slaptest -f /etc/ldap/slapd.conf -F /etc/ldap

As op��es do comando slaptest s�o:

� -f � utilizado para indicar o arquivo de configura��o (configfile);

� -F � utilizado para indicar o diret�rio em que essas configura��es ser�o reescritas sempre que forem alteradas (configdir).

Caso n�o haja nenhum erro de sintaxe, o comando exibe a mensagem config file testing succeeded, caso contr�rio, uma mensagem de erro � exibida e deve-se verificar no arquivo a sintaxe ou sequ�ncia para a corre��o. Em caso de sucesso, basta reiniciar o servi�o conforme comando a seguir:

# /etc/init.d/slapd restart

Incluindo registros na base de dados

Diferentemente de um banco de dados, o LDAP n�o possui um gerenciador que pode ser acionado para a��es de manipula��o de dados, tais como adi��o, modifica��o ou exclus�o. Os gerenciadores LDAP existentes n�o trabalham de forma online, isto �, a modifica��o de dados � feita por meio de um arquivo texto que cont�m as informa��es a serem modificadas. Este arquivo possui um formato espec�fico chamado LDIF (LDAP Data Interchange Format), que define os dados necess�rios para o cadastro de cada tipo de registro.

A seguir, ser�o apresentados os arquivos LDIF e os comandos necess�rios para criar um servi�o de diret�rio. Para adi��o de uma entrada para um dom�nio, usu�rio ou grupo, deve-se informar os dados referentes a cada um deles e tamb�m quais dados far�o parte da entrada, utilizando o objectClass, ou classe de objeto, que � um registro que identifica um conjunto de atributos agrupado por tipo, isto �, determina as caracter�sticas opcionais e obrigat�rias que um objeto em particular pode ou deve possuir. Por exemplo, durante a cria��o de um usu�rio que ir� se autenticar no Linux ou Windows, o objectClass ir� determinar quais itens s�o obrigat�rios ou opcionais para cria��o da conta.

As defini��es de cada classe de objeto e cada atributo est�o nos arquivos .schema localizados em /etc/ldap/schema e s�o respons�veis pela padroniza��o e manuten��o da estrutura do Diret�rio. Por exemplo, para cadastrar a organiza��o, utiliza-se o atributo organization; unidade organizacional, utiliza-se o atributo organizationalUnit; e para usu�rios de um modo geral, utiliza-se inetOrgPerson.

A Listagem 11 demonstra a cria��o do arquivo meudominio.ldif, que ir� conter os dados b�sicos, isto �, a estrutura para o topo da �rvore do diret�rio (organization) para o dom�nio meudominio.com.

Listagem 11. Cria��o do arquivo meudominio.ldif.


# vim /etc/ldap/meudominio.ldif
  dn: dc=meudominio,dc=com
  objectClass: dcObject
  objectClass: organization
  o: LDAP Article
  dc: meudominio

Ap�s criar o arquivo, � necess�rio informar ao servidor LDAP onde est�o os dados que devem ser inseridos na base. O comando utilizado para essa a��o � o ldapadd, o qual abre uma conex�o com o servidor e autentica o usu�rio administrador ou outro que tenha permiss�o de escrita (edi��o) na base. Na mesma linha, indica-se como argumento o arquivo LDIF criado, que ser� utilizado para que as entradas sejam adicionadas no diret�rio, conforme demonstrado na Listagem 12.

Listagem 12. Adicionando o primeiro registro na base.


ldapadd -h localhost -W -x -D 
  "cn=admin,dc=meudominio,dc=com" -f /etc/ldap/meudominio.ldif
  Enter LDAP Password:
  adding new entry "dc=meudominio,dc=com"

A Tabela 6 apresenta os par�metros utilizados no comando ldapadd com uma breve descri��o.

abrir imagem em nova janela

Tabela 6. Par�metros utilizados no comando ldapadd.

Uma vez que a estrutura do topo da �rvore do diret�rio foi criada, � poss�vel inserir dados na base. No entanto, como visto no in�cio deste artigo, um servi�o de diret�rio possibilita organiza��o e hierarquia. Dessa forma, ser� necess�rio criar as entradas das unidades organizacionais (ou), que ir�o agrupar os dados cadastrados de forma ordenada e coerente. Para o modelo de Diret�rio utilizado neste artigo, ser�o criadas duas ou, sendo que a ou denominada Pessoa ir� conter a identifica��o dos usu�rios e a ou Grupos ir� conter grupos. Essa estrutura � representada na Figura 8.

abrir imagem em nova janela

Figura 8. Estrutura do modelo de Diret�rio a ser implementado.

Com o modelo de Diret�rio que ser� utilizado, a pr�xima etapa � criar o arquivo unidades_ou.ldif que ir� conter os dados das unidades organizacionais Pessoa e Grupos, conforme o conte�do da Listagem 13.

Listagem 13. Cria��o do arquivo unidades_ou.ldif.


dn: ou=Pessoa,dc=meudominio,dc=com
  ou: Pessoa
  objectClass: top
  objectClass: organizationalUnit
   
  dn: ou=Grupos,dc=meudominio,dc=com
  ou: Grupos
  objectClass: top
  objectClass: organizationalUnit

Ap�s criar esse arquivo, � necess�rio incluir as unidades organizacionais no Diret�rio utilizando o comando ldapadd. A Listagem 14 demonstra a sintaxe para executar essa a��o, sendo que o padr�o � o mesmo que foi utilizado para criar o topo da �rvore, apenas modificando o nome do arquivo que ser� fornecido como argumento para leitura dos dados que ser�o cadastrados.

Listagem 14. Adicionando unidades organizacionais no Diret�rio.


<p align="left"># ldapadd -x -h localhost -D 
  �cn=admin,dc=meudominio,dc=com� �W -f /etc/ldap/unidades_ou.ldif
  Enter LDAP Password:
  adding new entry "ou=Pessoa,dc=meudominio,dc=com"
   
  adding new entry "ou=Grupos,dc=meudominio,dc=com"

At� este ponto foram criadas tr�s entradas no Diret�rio: uma referente ao topo da �rvore, representada pelo dom�nio dc=meudominio,dc=com; a segunda referente � unidade organizacional ou=Pessoa; e a terceira referente � unidade organizacional ou=Grupos. Seguindo o modelo da estrutura de Diret�rio apresentada na Figura 8, o pr�ximo passo � criar uma entrada de usu�rio utilizando uma classe de objeto que contemple os atributos que se deseja disponibilizar.

Para esse exemplo, ser�o utilizados os atributos da classe de objetos inetOrgPerson, localizada no diret�rio /etc/ldap/schema. Essa classe � estrutural e n�o necessita de classes adicionais para que a entrada seja criada, al�m de definir atributos essenciais para que um registro de usu�rios associados � organiza��o possa ser criado. A Listagem 15 apresenta o arquivo da entrada de dados para registro do usu�rio e o comando para incluir este no Diret�rio.

Listagem 15. Arquivo LDIF que cont�m a entrada de dados do usu�rio.


# vim /etc/ldap/pessoa.ldif
  dn: cn=Pathiene Gerstenberger,ou=Pessoa,dc=meudominio,dc=com
  objectClass: inetOrgPerson
  cn: Pathiene Gerstenberger
  givenName: Pathiene
  sn: Gerstenberger
  uid: pgerstenberger
  userPassword: peth1234
  mail: pathigerst@gmail.com
  description: OpenLDAP

Sintaxe do comando ldapadd para incluir usu�rio no Diret�rio

# ldapadd -h localhost -W -x -D �cn=admin,dc=meudominio,dc=com� -f /etc/ldap/pessoa.ldif

Enter LDAP Password:

adding new entry "cn=Pathiene Gerstenberger,ou=Pessoa,dc=meudominio,dc=com"

Com isso, temos uma estrutura inicial da base LDAP. Agora veremos como realizar as pesquisas para verificar os registros cadastrados.

Consultas

Uma vez que os dados foram cadastrados no Diret�rio, � necess�rio realizar a pesquisa para verificar as informa��es. O comando ldapsearch � utilizado para realizar as buscas dentro das bases LDAP e pode ser utilizado de diversas formas, sendo que a mais comum � a pesquisa an�nima, isto �, a pesquisa que n�o exige a identifica��o do solicitante dos dados. A Listagem 16 apresenta o resultado de uma busca an�nima.

Listagem 16. Realizando uma busca an�nima.


# ldapsearch �x
  # extended LDIF
  #
  # LDAPv3
  # base <> (default) with scope subtree
  # filter: (objectclass=*)
  # requesting: ALL
  # 
  # search result
  search: 2
  result: 32 No such object 
  # numResponses: 1

A Tabela 7 apresenta os principais par�metros que o comando ldapsearch aceita.

abrir imagem em nova janela

Tabela 7. Par�metros aceitos pelo ldapsearch.

A Listagem 17 apresenta um exemplo de como buscar os dados do usu�rio pgerstenberger cadastrado no exemplo de cria��o de usu�rio no LDAP.

Listagem 17. Exemplo de pesquisa por usu�rio (uid).


# ldapsearch -h localhost -x -b ou=Pessoa,dc=meudominio,dc=com  uid=pgerstenberger
  # extended LDIF
  #
  # LDAPv3
  # base <ou=Pessoa,dc=meudominio,dc=com> with scope subtree
  # filter: uid=pgerstenberger
  # requesting: ALL
  # 
  # Pathiene Gerstenberger, Pessoa, meudominio.com
  dn: cn=Pathiene Gerstenberger,ou=Pessoa,dc=meudominio,dc=com
  objectClass: inetOrgPerson
  cn: Pathiene Gerstenberger
  givenName: Pathiene
  sn: Gerstenberger
  uid: pgerstenberger
  mail: pathigerst@gmail.com
  description: OpenLDAP
   
  # search result
  search: 2
  result: 0 Success
   
  # numResponses: 2
  # numEntries: 1

Autentica��o do Squid no OpenLDAP

Na Edi��o 8 da Infra Magazine, foi apresentado como instalar o servidor Proxy com Squid e retirar relat�rios dos acessos � Internet utilizando a ferramenta Sarg. Com o objetivo de aperfei�oar a instala��o do OpenLDAP, este ser� integrado com o Squid para que os usu�rios utilizem seus cadastros para fazer login no Squid, permitindo a integra��o e o controle dos acessos na rede.

Para configurar o Squid com autentica��o no LDAP, � necess�rio indicar no arquivo squid.conf que o par�metro squid_auth_param ser� utilizado para que os usu�rios sejam autenticados na rede. Por�m, antes de antes de iniciar a configura��o, deve ser feito um teste em linha de comando para verificar se o Squid j� tem conex�o com a base LDAP. O comando usado para isso �:

# /usr/lib/squid3/squid_ldap_auth -b �dc=meudominio,dc=com� -f �uid=%s� -h 127.0.0.1

Onde:

� -b: Define o contexto da busca. Em alguns lugares � chamado de �ramo de �rvore� porque � onde se define a localiza��o que os usu�rios ser�o procurados para se autenticar. No exemplo, foi definido todo o dom�nio; assim, ser� feita uma busca completa na �rvore LDAP e em toda a sua estrutura;

� -f: Define o que ser� considerado na autentica��o. No exemplo, ser� o uid do usu�rio;

� - h: Indica a localiza��o do servidor OpenLDAP.

Ao executar o comando e teclar <ENTER>, o prompt continuar� aberto aguardando a autentica��o. Conforme ilustrado na Figura 9, deve-se inserir o nome do usu�rio seguido da senha. Se a conex�o for bem sucedida, haver� um retorno OK, caso contr�rio, haver� o retorno ERR, que pode vir seguido de uma mensagem de erro.

abrir imagem em nova janela

Figura 9. Resultado do teste de conex�o do Squid com o servidor LDAP.

Como o resultado do teste de conex�o e autentica��o foi bem sucedido, o pr�ximo passo � incluir as linhas apresentadas na Listagem 18 no arquivo /etc/squid/squid.conf para indicar que a partir desse momento a autentica��o no Squid ser� realizada pelo LDAP.

Listagem 18. Linhas a serem adicionadas no arquivo squid.conf.


auth_param basic program /usr/lib/squid3/squid_ldap_auth -b 
  �dc=meudominio,dc=com� -f �uid=%s� -h localhost 
  auth_param basic children 5
  auth_param basic realm - SQUID AUTENTICANDO NO LDAP
  auth_param basic credentialsttl 1 hour

As linhas adicionadas no arquivo s�o:

� auth_param basic program /usr/lib/squid3/squid_ldap_auth -b �dc=meudominio,dc=com� -f �uid=%s� -h localhost: Linha que define a conex�o do Squid com o LDAP. O par�metro auth_param basic program � utilizado para indicar a lib que ser� usada para a autentica��o dos servi�os, que no caso est� em /usr/lib/squid3/squid_ldap_auth, sendo obrigat�rio adicionar o path completo do arquivo. O par�metro uid=%s foi utilizado no arquivo squid.conf para substituir o nome do usu�rio (pathigerst) que foi inserido no momento da autentica��o;

� auth_param basic children 5: Especifica a quantidade de processos filhos que ser�o iniciados durante a autentica��o;

� auth_param basic realm � SQUID AUTENTICANDO NO LDAP: Determina a mensagem que ser� apresentada ao usu�rio quando a autentica��o for solicitada;

� auth_param basic credentialsttl 1 hour: Informa o tempo de dura��o que o login ser� mantido ativo.

Tamb�m no arquivo squid.conf deve ser configurada a ACL para que as regras, isto �, as linhas que foram adicionadas anteriormente referentes � autentica��o, sejam aplicadas, conforme demonstrado na Listagem 19.

Listagem 19. ACL para aplicar a autentica��o no Squid via LDAP.


acl ldap-auth proxy_auth
  http_access allow ldap-auth

Onde:

� acl ldap-auth proxy_auth: Define que a autentica��o via proxy por meio do LDAP � obrigat�ria;

� http_access allow ldap-auth: Libera os clientes (browsers) a acessarem o servi�o HTTP por meio da autentica��o via LDAP.

� importante observar que as linhas mencionadas devem estar antes da linha http_access deny all, que bloqueia todas as requisi��es. Caso a autentica��o via LDAP seja inserida ap�s essa linha dentro do squid.conf, ela ser� ignorada.

Com as configura��es definidas, � necess�rio salvar e sair do arquivo de configura��o squid.conf e carregar as altera��es, conforme apresentado na Listagem 20.

Listagem 20. Carregando as altera��es no squid.conf.


# squid -k parse
  # squid -k reconfigure
  # /etc/init.d/squid restart

A primeira linha analisa se as configura��es do Squid est�o corretas. Em seguida, o comando squid �k reconfigure faz com que as altera��es no arquivo sejam consideradas. Por fim, o servi�o � reiniciado.

Configura��o do navegador

Ap�s a configura��o do servidor, a pr�xima etapa � configurar os navegadores das esta��es clientes para autenticar no LDAP e navegar utilizando o proxy Squid. O exemplo apresentado a seguir � baseado no Firefox e os passos para esse procedimento consistem em acessar o menu Edit > Preferences e, em seguida, clicar nas op��es Advanced > Network > Connection > Settings, conforme apresentado na Figura 10.

abrir imagem em nova janela

Figura 10. Configurando o Firefox para autenticar no Squid (Etapa 1).

Feito isso, ser� aberta uma tela para indicar o servidor proxy que ser� utilizado. Conforme apresentado na Figura 11, clique em Manual proxy configuration, informe o IP do servidor Squid e a porta de acesso. Em seguida, marque a op��o Use this proxy server for all protocols e, para finalizar, clique em OK em todas as telas.

Figura 11. Configurando o Firefox para autenticar no Squid (Etapa 2).

Ao tentar navegar, uma tela de autentica��o aparecer�, onde usu�rio dever� informar seu login e senha, conforme ilustrado na Figura 12.

abrir imagem em nova janela

Figura 12. Tela de autentica��o para navega��o.

No servidor onde est�o configurados o OpenLDAP e o Squid, � poss�vel ver essa autentica��o no log, onde entre as informa��es de acesso tamb�m � mostrado o uid do usu�rio que est� navegando. O administrador pode acompanhar o log de acesso utilizando o comando tail. A Figura 13 ilustra o trecho do log em tempo real.

# tail -f /var/log/squid/access.log

abrir imagem em nova janela

Figura 13. Log de acesso do Squid.

Dica de Seguran�a

Durante a configura��o do servidor OpenLDAP, foi definida uma senha simples e deixada em texto claro dentro do arquivo slapd.conf, o que pode causar um incidente de seguran�a, uma vez que se outro usu�rio que n�o o administrador tiver acesso ao arquivo, ter� acesso total � base. Pensando nisso, a su�te OpenLDAP oferece o comando slappasswd, utilizado para gerar senhas criptografadas que podem ser colocadas em arquivos como slapd.conf ou os arquivos com extens�o .ldif, impossibilitando a leitura da senha dos usu�rios.

A Tabela 8 apresenta os principais par�metros utilizados para o comando slappasswd.

abrir imagem em nova janela

Tabela 8. Par�metros do comando slappasswd.

Conclus�o

O protocolo LDAP tem sido cada vez mais utilizado por administradores em raz�o da facilidade de integra��o de ambientes heterog�neos, assim como pela sua estrutura leve. A utiliza��o de programas de c�digo aberto (OpenLDAP + Squid) apresenta uma solu��o de baixo custo com farta documenta��o encontrada na Internet e em publica��es comerciais. Dentro deste contexto, o OpenLDAP pode ser utilizado para gerenciar identidades e integrar informa��es para que usu�rios de rede e aplica��es tenham acesso aos recursos de maneira padronizada.

No ambiente corporativo, � comum encontrar �reas, departamentos ou at� ger�ncias respons�veis por cuidar das informa��es sobre os funcion�rios, por�m muitas vezes n�o existe uma integra��o dessa �rea com aquela respons�vel pela administra��o do controle de acesso aos recursos computacionais da empresa.

Nesse contexto, se faz necess�ria uma solu��o que integre as bases de autentica��o com os servi�os de rede, garantindo que, al�m da valida��o do usu�rio, apenas as aplica��es e recursos relacionados com a sua �rea de atua��o estejam dispon�veis.

Assim, com o OpenLDAP, � poss�vel configurar um servi�o de diret�rio em uma organiza��o sem custo de licen�as, al�m de ficar a crit�rio do usu�rio a possibilidade de configur�-lo ou desenvolv�-lo da forma que melhor se adaptar �s suas necessidades, seja para autenticar os usu�rios nos servi�os de rede como o proxy demonstrado neste artigo, seja para qualquer outra finalidade na qual seja necess�rio armazenar e consultar informa��es de modo centralizado.

Livros

SUNGALIA, M. Autentica��o Centralizada com OpenLDAP � Integrando servi�os de forma simples e r�pida. Novatec Editora. S�o Paulo. 2008.

Links

The OpenLDAP Project � Site Oficial.
http://www.openldap.org/

Squid � Site Oficial.
http://www.squid-cache.org/

RFC 1487 � X.500 Lightweight Directory Access Protocol.
http://www.ietf.org/rfc/rfc1487.txt

OpenLDAP Release Roadmap.
http://www.openldap.org/software/roadmap.html

RFC 4510 � Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map.
http://tools.ietf.org/html/rfc4510

OpenLDAP Software 2.4 Administrator's Guide.
http://www.openldap.org/doc/admin24/

Tecnologias:

Confira outros conte�dos:

Programa��o x Concurso P�blico

Osvaldo aprendeu programa��o

DevMedia x Netflix: Onde investir meu...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Devmedia Em 2013

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso