Integrantes: Danilo HubertoFelipe DantasJorge BrasilJosé LeonardoThiago Rodrigo

O LDAP foi originalmente desenvolvido como um cliente para o X.500, que define o Protocolo de Acesso a Diretório (DAP) para os clientes usarem quando estiverem em contato com servidores de Diretório. O serviço de diretório pode ser visto como um banco de dados especializado que tem como característica marcante o suporte à grande quantidade de pesquisas. O DAP é um protocolo que roda sobre uma camada OSI completa, e precisa de uma quantidade significativa de recursos computacionais para ser executado. O LDAP roda diretamente sobre o TCP e fornece a maioria das funcionalidades do DAP, a um custo muito menor.

O uso do LDAP, torna fácil o acesso ao Diretório X.500, mas ainda exige um serviço X.500 completo, para tornar os dados disponíveis aos vários clientes LDAP que estão sendo desenvolvidos.

LDAP – Sua Origem

LDAP (Lightweight Directory Access Protocol), ou seja Protocolo Leve de Acesso a Diretórios, é um protocolo que trabalha na camada de aplicação da pilha de protocolos TCP/IP, como por exemplo o SMTP, HTTP, FTP, TELNET e tantos outros, utilizado para acessar um serviço de Diretório.

Atualmente vem se tornando um padrão, diversos programas já têm suporte ao LDAP. Livros de endereços, autenticação, armazenamento de certificados digitais e de chaves públicas, são alguns dos exemplos onde o LDAP já é amplamente utilizado.

LDAP – Sua Definição:

• Definido pela RFC 2251 (LDAPv3 – 1997)• Por ser descritivo é ideal para ser usado por:• Aplicações diversas

Ex: Sistema de cadastro de funcionários• Sistema operacional

Ex: Autenticação do usuário• Serviços de rede

Ex: Servidor de email

Arquitetura Cliente/Servidor

LDAP – Por que usá-lo?

• Integração entre sistemas Operacionais• Interligação ( Windows , Linux, Unix , MacOS);

• Integração entre Serviços • Serviços de e-mail, FTP , Web etc;

• Desempenho nas consultas: Desenvolvido com ênfase na leitura, ou seja, os dados serão lidos rapidamente por um número maior de consultas simultâneas;

• Difundido no mercado;

• Não requer hardware pesado para operações.

Características do OpenLDAP

• Funcionamento sobre IPV4 e IPV6;• Leve e robusto;• Suporte a vários backends(BDB,SQL,PASSWD);• Suporte a múltiplas instâncias de dados;• “Backup” feito através de réplicas;• Suporte a SASL(Autenticação) e a TLS/SSL; • Desenvolvido sob licença OpenLDAP Public

License• Altamente configurável, inclusive com ACL's• Suporta conexões seguras através dos protocolos

SASL, TLS ou SSL• Suporta replicação (replicas), porém é single-

master• Permite a separação do DIT entre vários

servidores (referrals)• Suporta vários backends: BerkeleyDB, GDBM,

LDAP (proxy), passwd, SQL, entre outros.• Vasta API disponível: C/C++, Java, PHP, Perl, etc

A Segurança no LDAP

• Protegendo informações de acessos indevidos usamos:

– Autenticação nas diversas versões• LDAP: só autenticação simples (texto aberto);• LDAPv2: autenticação simples e pode utilizar Kerberos v4 e v5;• LDAPv3,: utiliza framework, múltiplos mecanismos de

autenticação.

– Transmissão de dados seguro (criptografia): Proporcionando: Autenticidade, Integridade e Criptografia de dados.

– Modelos de controle de acesso: Definindo direitos de acesso as informações do diretório para cada usuário ou grupo.

Otimizações do LDAP

• Tipos de otimizações:

Replicação do serviço de diretórios Visa o conceito de prover mecanismos de tolerância a falhas afim de manter o acesso as

informações dos usuário sempre integra.

Diretórios distribuídos Visa o conceito de reduzir os pontos de falhas, além de prover menor consumo de banda e tempo quando

uma consulta é realizada. O principal benefício é a possibilidade de redução de custos com hardware.

Funcionamento do LDAP

O serviço de Diretório LDAP é baseado em um modelo cliente-servidor. Um ou mais servidores contêm os dados criando a árvore de Diretório. Um cliente LDAP conecta-se a um servidor e faz uma requisição. O servidor responde com a requisição, ou exibe um ponteiro para onde o cliente pode conseguir a informação (tipicamente, outro servidor LDAP). Podemos fazer uma comparação com o DNS, a diferença é que o servidor LDAP não faz buscas recursivas, ou seja, em nome do cliente. O cliente é encarregado de procurar pelo servidor até encontrar a informação desejada.

Implementações de servidores LDAP:

• Netscape LDAP Server;

• Fedora Directory Server;

• Sun ONE Directory Server;

• Microsoft Active Directory;

• Novell eDirectory;

• OpenLDAP.

Exemplos de aplicações

• Servidores diversos;• Domínio;• Sendmail;• Qmail;• SAMBA;• POP 3 / IMAP;• Clientes de Email;• Evolution;• Sistemas de autenticação (Linux, Windows, etc);• Aplicações diversas.

Schemas

• Conjunto de “regras” integradas ao diretório;

• Regras que determinam qual o tipo de dados e como esses dados serão armazenados na base; Essas “regras” são compostas de Atributos e ObjectClasses;

• Cada aplicação integrada ao OpenLDAP pode ter o próprio schema com seus próprios requisitos

(Ex: SAMBA - samba.schema);

DN – Distinguished Name

● São nomes distintos que identificam cada entrada na base;

● A utilização de dn é importante para referenciar itens da base, adicionando, alterando ou removendo itens da

base, como atributos e até mesmo entradas;

● São utilizados nos arquivos LDIF e na autenticação de usuários.

Ex: dn:cn=danilo,ou=palestrantes,dc=servidoldap,dc=com

15

Conclusões

• Protocolo leve Não necessita de muitos recursos computacionais;

• Padrão aberto É possível a construção de produtos para várias plataformas (OpenLDAP);

• Expansível Podem ser adicionadas novas funcionalidades para atender às necessidades dos serviços de diretório e de segurança (framework SASL);

• Integração Com diversos Serviços

pam_ldap(autenticação local)

Proftpd

Exemplo de Integrações:

Agora vamos mostrar o passo a passo para configurar um servidor Openldap, com o objetivo de centralizar autenticações a um domínio, autenticado no banco de dados do Openldap.