Integrantes:

Jorge Brasil - 026129Danilo Huberto - 026145José Leonardo - asdfasdFelipe Dantas - dfasdfasd

Thiago Nseioq - 24242424

Conceito; O que é o LDAP?

Funcionamento do LDAP

Serviço de Diretório

Características do OpenLDAP

Exemplos de aplicações

Implementações de servidores LDAP

Exemplos de Configuração Hierarquias e suas Nomenclaturas

O que é o LDAP?

LDAP (Lightweight Directory Access Protocol) é um protocolo (executado sobre o TCP/IP) cliente-servidor, utilizado para acessar um serviço de Diretório. Ele foi inicialmente usado como uma interface para o X.500, mas também pode ser usado com autonomia e com outros tipos de servidores de Diretório. Atualmente vem se tornando um padrão, diversos programas já têm suporte a LDAP. Livros de endereços, autenticação, armazenamento de certificados digitais (S/MIME) e de chaves públicas (PGP), são alguns dos exemplos onde o LDAP já é amplamente utilizado.

O que é o LDAP?

➔Arquitetura Cliente/Servidor

➔Definido pela RFC 2251 (LDAPv3 – 1997)

Por ser descritivo é ideal para ser usado por:

➔ Aplicações diversasEx: Sistema de cadastro de funcionários➔Sistema operacionalEx: Autenticação do usuário➔Serviços de redeEx: Servidor de email

➔ LDAP = Evolução do DAP = Directory Access Protocol;? ➔ Conjunto de 4 modelos que servem de guia no uso do

diretório(Informação,Nomes,Funcional,Segurança)

Característica do OpenLDAP:

➔ Funcionamento sobre IPV4 e IPV6; ➔ Leve e robusto; ➔ Suporte a vários backends(BDB,SQL,PASSWD); ➔ Suporte a múltiplas instâncias de dados;“➔ Backup” feito através de réplicas; ➔ Suporte a SASL(Autenticação) e a TLS/SSL; ➔ Desenvolvido sob licença OpenLDAP Public

License➔Altamente configurável, inclusive com ACL's➔Suporta conexões seguras através dos protocolos SASL, TLS ou SSL➔Multi-threading➔Suporta replicação (replicas), porém é single-master➔Permite a separação do DIT entre vários servidores (referrals)➔Suporta vários backends: BerkeleyDB, GDBM, LDAP (proxy), passwd, SQL, entre outros.➔Vasta API disponível: C/C++, Java, PHP, Perl, etc

O LDAP foi originalmente desenvolvido como um cliente para o X.500, o serviço de Diretório OSI. O X.500 define o Protocolo de Acesso a Diretório (DAP) para os clientes usarem quando estiverem em contato com servidores de Diretório. O DAP é um protocolo que roda sobre uma camada OSI completa, e precisa de uma quantidade significativa de recursos computacionais para ser executado. O LDAP roda diretamente sobre o TCP e fornece a maioria das funcionalidades do DAP, a um custo muito menor.

Este uso do LDAP torna fácil acessar o Diretório X.500, mas ainda exige um serviço X.500 completo, para tornar os dados disponíveis aos vários clientes LDAP que estão sendo desenvolvidos. Assim como clientes X.500 DAP completos, um servidor X.500 completo não é um pequeno pedaço de programa para ser executado.

Se você já está executando um serviço X.500 e quer continuar a fazer isto, você provavelmente pode parar de ler este capítulo, ele é todo sobre como executar o LDAP via slapd, sem utilizar o X.500. Se você não está usando o X.500, ou quer parar de usar o X.500, ou não tem planos imediatos para executar o X.500, continue lendo.

É possível replicar dados de um servidor de Diretório slapd para um DAP X.500; isto permite que sua organização torne seus dados disponíveis como parte de um serviço de Diretório X.500 global em uma base somente para leitura.

Um outro caminho para tornar os dados em um servidor slapd disponíveis para a comunidade X.500, seria usando um DAP X.500 para porta de entrada do LDAP.

Definindo serviços de diretórios

É um banco de dados otimizado para leitura, procura e navegaçãoGeralmente armazena informações em atributosTais informações são descritivas de um dado itemCada item é únicoEstruturado em forma de árvores

Funcionamento do LDAP

O serviço de Diretório LDAP é baseado em um modelo cliente-servidor. Um ou mais servidores LDAP contêm os dados criando a árvore de Diretório LDAP. Um cliente LDAP conecta-se a um servidor e faz uma requisição. O servidor responde com a requisição, ou exibe um ponteiro para onde o cliente pode conseguir a informação (tipicamente, outro servidor LDAP). Podemos fazer novamente uma comparação com o DNS, a diferença é que o servidor LDAP não faz buscas recursivas, ou seja, em nome do cliente. O cliente é encarregado de procurar pelo servidor até encontrar a informação desejada.

Implementações de servidores LDAP:

➔Netscape LDAP Server➔Fedora Directory Server➔Sun ONE Directory Server➔Microsoft Active Directory➔Novell eDirectory ➔OpenLDAP

Exemplos de aplicações

➔Servidores diversos: ➔ Dominio

➔ Sendmail ➔ Qmail ➔ SAMBA ➔ POP 3 / IMAP

➔ Clientes de Email: ➔ Thunderbird

➔ Evolution

➔ Sistemas de autenticação (Linux, Windows, etc)

➔ Aplicações diversas

Hierarquia da estrutura de Dados do Ldap

ObjectClasses

● ObjectClasses são compostas por um conjunto de atributos;

● A inclusão de uma ObjectClass em uma entrada determina quais os atributos deverão ser utilizados e quais poderão serUtilizados; Ex: A objectclass person exige os atributos cn e sn, mas pode ser utilizado o atributo telephoneNumberPossuem derivações, uma ObjectClass pode herdar atributosrequeridos de outra;

Dicionario de Configuração

NomenclaturasTipo de Atributo Valor

cn: Primeiro Nome

sn: Segundo Nome

mail: email

telephoneNumber: telefone

street: Endereço

dc: domainComponent

ou: OrganizationalUnit

Schemas

● Conjunto de “regras” integradas ao diretório;

● Regras que determinam qual o tipo de dados e comoesses dados serão armazenados na base; Essas “regras” são compostas de Atributos e ObjectClasses;

● Cada aplicação integrada ao OpenLDAP pode ter o próprio schema com seus próprios requisitos(Ex: SAMBA - samba.schema);

DN – Distinguished Name

● São nomes distintos que identificam cada entrada nabase;

● A utilização de dn é importante para referenciar itens da base, adicionando, alterando ou removendo itens da base, como atributos e até mesmo entradas;

● São utilizados nos arquivos LDIF e na autenticação de usuários;

Ex:dn:cn=danilo,ou=palestrantes,dc=servidoldap,dc=com

Arquivos LDIF

● Arquivos texto utilizados para adicionar, alterar e remover informações de uma base;

● Devem conter sempre DNs referenciando entradas e informações;

Daemons

● Daemon OpenLDAP: slapd

● Daemon para réplica OpenLDAP: slurpd

Confs

● Configuração servidor OpenLDAP: slapd.conf

● Configuração cliente OpenLDAP: ldap.conf

SLAPD.CONF

Diretivas principais

● Referencia a schemas

● include /etc/ldap/schema/meuschema.schema Database database bdb

● Sufixo suffix “dc=servidorldap,dc=org”

● DN para autenticação do administrador da base rootdn “cn=manager,dc=servidorldap,dc=org”

● Senha para autenticação do administrador da base rootpw {SSHA}I8QMpde4dJue4pP21+OToT+9WJ9ADtfl

● Diretório da base directory /var/lib/ldap

LDAP.CONF

● Possibilita o acesso a base LDAP através de clientes;

● Referência ao servidor OpenLDAP HOST 127.0.0.1

● Referência a base LDAP BASE dc=servidorldap,dc=org

pam_ldap(autenticação local)

Proftpd

Integrações

Obrigado A Todos!

Vamos mostrar o passo a passo para Configurar um Servidor Openldap em 10 Minutos com o objetivo de centralizar autenticação a um domínio autenticado no banco de dados do Openldap.