integrantes: jorge brasil - 026129 danilo huberto - 026145 josé leonardo - asdfasd felipe dantas -...
TRANSCRIPT
Integrantes:
Jorge Brasil - 026129Danilo Huberto - 026145José Leonardo - asdfasdFelipe Dantas - dfasdfasd
Thiago Nseioq - 24242424
Conceito; O que é o LDAP?
Funcionamento do LDAP
Serviço de Diretório
Características do OpenLDAP
Exemplos de aplicações
Implementações de servidores LDAP
Exemplos de Configuração Hierarquias e suas Nomenclaturas
O que é o LDAP?
LDAP (Lightweight Directory Access Protocol) é um protocolo (executado sobre o TCP/IP) cliente-servidor, utilizado para acessar um serviço de Diretório. Ele foi inicialmente usado como uma interface para o X.500, mas também pode ser usado com autonomia e com outros tipos de servidores de Diretório. Atualmente vem se tornando um padrão, diversos programas já têm suporte a LDAP. Livros de endereços, autenticação, armazenamento de certificados digitais (S/MIME) e de chaves públicas (PGP), são alguns dos exemplos onde o LDAP já é amplamente utilizado.
O que é o LDAP?
➔Arquitetura Cliente/Servidor
➔Definido pela RFC 2251 (LDAPv3 – 1997)
Por ser descritivo é ideal para ser usado por:
➔ Aplicações diversasEx: Sistema de cadastro de funcionários➔Sistema operacionalEx: Autenticação do usuário➔Serviços de redeEx: Servidor de email
➔ LDAP = Evolução do DAP = Directory Access Protocol;? ➔ Conjunto de 4 modelos que servem de guia no uso do
diretório(Informação,Nomes,Funcional,Segurança)
Característica do OpenLDAP:
➔ Funcionamento sobre IPV4 e IPV6; ➔ Leve e robusto; ➔ Suporte a vários backends(BDB,SQL,PASSWD); ➔ Suporte a múltiplas instâncias de dados;“➔ Backup” feito através de réplicas; ➔ Suporte a SASL(Autenticação) e a TLS/SSL; ➔ Desenvolvido sob licença OpenLDAP Public
License➔Altamente configurável, inclusive com ACL's➔Suporta conexões seguras através dos protocolos SASL, TLS ou SSL➔Multi-threading➔Suporta replicação (replicas), porém é single-master➔Permite a separação do DIT entre vários servidores (referrals)➔Suporta vários backends: BerkeleyDB, GDBM, LDAP (proxy), passwd, SQL, entre outros.➔Vasta API disponível: C/C++, Java, PHP, Perl, etc
O LDAP foi originalmente desenvolvido como um cliente para o X.500, o serviço de Diretório OSI. O X.500 define o Protocolo de Acesso a Diretório (DAP) para os clientes usarem quando estiverem em contato com servidores de Diretório. O DAP é um protocolo que roda sobre uma camada OSI completa, e precisa de uma quantidade significativa de recursos computacionais para ser executado. O LDAP roda diretamente sobre o TCP e fornece a maioria das funcionalidades do DAP, a um custo muito menor.
Este uso do LDAP torna fácil acessar o Diretório X.500, mas ainda exige um serviço X.500 completo, para tornar os dados disponíveis aos vários clientes LDAP que estão sendo desenvolvidos. Assim como clientes X.500 DAP completos, um servidor X.500 completo não é um pequeno pedaço de programa para ser executado.
Se você já está executando um serviço X.500 e quer continuar a fazer isto, você provavelmente pode parar de ler este capítulo, ele é todo sobre como executar o LDAP via slapd, sem utilizar o X.500. Se você não está usando o X.500, ou quer parar de usar o X.500, ou não tem planos imediatos para executar o X.500, continue lendo.
É possível replicar dados de um servidor de Diretório slapd para um DAP X.500; isto permite que sua organização torne seus dados disponíveis como parte de um serviço de Diretório X.500 global em uma base somente para leitura.
Um outro caminho para tornar os dados em um servidor slapd disponíveis para a comunidade X.500, seria usando um DAP X.500 para porta de entrada do LDAP.
Definindo serviços de diretórios
É um banco de dados otimizado para leitura, procura e navegaçãoGeralmente armazena informações em atributosTais informações são descritivas de um dado itemCada item é únicoEstruturado em forma de árvores
Funcionamento do LDAP
O serviço de Diretório LDAP é baseado em um modelo cliente-servidor. Um ou mais servidores LDAP contêm os dados criando a árvore de Diretório LDAP. Um cliente LDAP conecta-se a um servidor e faz uma requisição. O servidor responde com a requisição, ou exibe um ponteiro para onde o cliente pode conseguir a informação (tipicamente, outro servidor LDAP). Podemos fazer novamente uma comparação com o DNS, a diferença é que o servidor LDAP não faz buscas recursivas, ou seja, em nome do cliente. O cliente é encarregado de procurar pelo servidor até encontrar a informação desejada.
Implementações de servidores LDAP:
➔Netscape LDAP Server➔Fedora Directory Server➔Sun ONE Directory Server➔Microsoft Active Directory➔Novell eDirectory ➔OpenLDAP
Exemplos de aplicações
➔Servidores diversos: ➔ Dominio
➔ Sendmail ➔ Qmail ➔ SAMBA ➔ POP 3 / IMAP
➔ Clientes de Email: ➔ Thunderbird
➔ Evolution
➔ Sistemas de autenticação (Linux, Windows, etc)
➔ Aplicações diversas
Hierarquia da estrutura de Dados do Ldap
ObjectClasses
● ObjectClasses são compostas por um conjunto de atributos;
● A inclusão de uma ObjectClass em uma entrada determina quais os atributos deverão ser utilizados e quais poderão serUtilizados; Ex: A objectclass person exige os atributos cn e sn, mas pode ser utilizado o atributo telephoneNumberPossuem derivações, uma ObjectClass pode herdar atributosrequeridos de outra;
Dicionario de Configuração
NomenclaturasTipo de Atributo Valor
cn: Primeiro Nome
sn: Segundo Nome
mail: email
telephoneNumber: telefone
street: Endereço
dc: domainComponent
ou: OrganizationalUnit
Schemas
● Conjunto de “regras” integradas ao diretório;
● Regras que determinam qual o tipo de dados e comoesses dados serão armazenados na base; Essas “regras” são compostas de Atributos e ObjectClasses;
● Cada aplicação integrada ao OpenLDAP pode ter o próprio schema com seus próprios requisitos(Ex: SAMBA - samba.schema);
DN – Distinguished Name
● São nomes distintos que identificam cada entrada nabase;
● A utilização de dn é importante para referenciar itens da base, adicionando, alterando ou removendo itens da base, como atributos e até mesmo entradas;
● São utilizados nos arquivos LDIF e na autenticação de usuários;
Ex:dn:cn=danilo,ou=palestrantes,dc=servidoldap,dc=com
Arquivos LDIF
● Arquivos texto utilizados para adicionar, alterar e remover informações de uma base;
● Devem conter sempre DNs referenciando entradas e informações;
Daemons
● Daemon OpenLDAP: slapd
● Daemon para réplica OpenLDAP: slurpd
Confs
● Configuração servidor OpenLDAP: slapd.conf
● Configuração cliente OpenLDAP: ldap.conf
SLAPD.CONF
Diretivas principais
● Referencia a schemas
● include /etc/ldap/schema/meuschema.schema Database database bdb
● Sufixo suffix “dc=servidorldap,dc=org”
● DN para autenticação do administrador da base rootdn “cn=manager,dc=servidorldap,dc=org”
● Senha para autenticação do administrador da base rootpw {SSHA}I8QMpde4dJue4pP21+OToT+9WJ9ADtfl
● Diretório da base directory /var/lib/ldap
LDAP.CONF
● Possibilita o acesso a base LDAP através de clientes;
● Referência ao servidor OpenLDAP HOST 127.0.0.1
● Referência a base LDAP BASE dc=servidorldap,dc=org
pam_ldap(autenticação local)
Proftpd
Integrações
Obrigado A Todos!
Vamos mostrar o passo a passo para Configurar um Servidor Openldap em 10 Minutos com o objetivo de centralizar autenticação a um domínio autenticado no banco de dados do Openldap.