Boas práticas de programação com Object Calisthenics
OpenLDAP: Porque utilizá-lo
1. OpenLDAP:
Porque utilizá-lo.
Paulo Renato
Security | GNU/Linux | Virtualization Specialist
LPIC – 1 | LPIC – 2 | NCLA | DCTS| VCP-4 | VSP-4 | VSTP-4
w w
w .3w .com.br
ay
2. OpenLDAP: Porque utilizá-lo – Slide 1- 2 www.3way.com.br
Apresentação
Paulo Renato Lopes Seixas
- Especialista em projetos de redes corporativas e ambientes
para consolidação da virtualização;
- Graduado em Sistemas de Informação pela Universidade
Estadual de Goiás;
- Implementação de soluções para reduções de custos em TI,
projetos de Redes e Treinamentos especializados utilizando
Software Livre, tais como GNU/Linux para Segurança de Redes
como Firewall, Pen Test e Segurança de redes baseado na
norma ISO 27002 (antiga ISO/IEC 17799);
- Gerente de Outsourcing ;
- Certificado LPIC-2 ;
- Certificado VCP-4 | VSP-4 | VTSP-4 | NCLA | DCTS
w w
w .3w .com.br
ay
3. OpenLDAP: Porque utilizá-lo – Slide 1- 3 www.3way.com.br
A origem do LDAP
- Foi desenvolvido a partir do modelo X.500 DAP (Directory
Access Protocol)
- O X.500 foi elaborado tendo como modelo de referência OSI;
- X.500 Bastante lento devido a camada 5 (sessão), construído
para servidores de grande porte.
w w
w .3w .com.br
ay
4. OpenLDAP: Porque utilizá-lo – Slide 1- 4 www.3way.com.br
Modelo Gateway LDAP/DAP
- LDAP é um protocolo de acesso a diretórios do tipo X.500;
- Inicialmente, os clientes LDAP acessavam gateways para o
serviço de diretório X.500;
- Esse gateway (também chamado de proxy ou front-end)
rodava LDAP entre o cliente e o gateway
w w
w .3w .com.br
ay
5. OpenLDAP: Porque utilizá-lo – Slide 1- 5 www.3way.com.br
Modelo Gateway LDAP/DAP
- O X.500 é um protocolo pesado, que opera sobre a pilha
completa de protocolos OSI;
- Mas porque pesado? Simples. Devido a inúmeras operações
efetuadas na camada OSI, retardando o acesso e tornado
“pesado” o seu uso.
- Então, quem poderia nos salvar?
w w
w .3w .com.br
ay
6. OpenLDAP: Porque utilizá-lo – Slide 1- 6 www.3way.com.br
LDAP
Lightweight Directory Access Protocol
- LDAP é projetado para operar sobre TCP/IP e fornece a maioria
das funcionalidades do X.500 com um custo muito menor;
- Mais rápido, e com inúmeras features otimizadas para atuar
como um serviço de diretório.
- Então, porque o LDAP é considerado Leve?
- Simples, devido o LDAP não precisa rodar na pilha de sete
camadas OSI, como o protocolo da camada de aplicação X.500.
w w
w .3w .com.br
ay
7. OpenLDAP: Porque utilizá-lo – Slide 1- 7 www.3way.com.br
X.500 sobre OSI vs. LDAP sobre TCP/IP
- Os pacotes X.500 carregam mais bagagem, pois precisam de
cabeçalhos para cada uma das camadas da pilha de protocolos
OS
- A suite de protocolos TCP/IP, na qual o LDAP roda, também
necessita de cabeçalhos nos pacotes, mas tem um overhead
menor
w w
w .3w .com.br
ay
8. OpenLDAP: Porque utilizá-lo – Slide 1- 8 www.3way.com.br
Modelo Cliente x Servidor
- O acesso é feito diretamente ao servidor LDAP.
w w
w .3w .com.br
ay
9. OpenLDAP: Porque utilizá-lo – Slide 1- 9 www.3way.com.br
Conceitos LDAP
- LDAP é apenas um protocolo de acesso (porta 389);
- LDAP define um conjunto de mensagens para acessar certos
tipos de dados;
- O protocolo em si não diz nada a respeito de onde ou como os
dados são armazenados.
Então como é possível utilizar LDAP ?
w w
w .3w .com.br
ay
10. OpenLDAP: Porque utilizá-lo – Slide 1- 10 www.3way.com.br
OpenLDAP
- OpenLDAP: Software responsável por implementar o lado
servidor conforme as especificações do protocolo LDAP.
OpenLDAP
Database:
- LDBM
- BDB -BerkeleyDB
- SQL
- PASSWD
w w
w .3w .com.br
ay
11. OpenLDAP: Porque utilizá-lo – Slide 1- 11 www.3way.com.br
O que é OpenLDAP?
- OpenLDAP é uma suíte de aplicativos LDAP open-source.
- Serviço que facilita a integração de objetos, sejam eles contas
de usuário como email, login, senha, etc, resumindo é um
serviço de diretório.
-Já imaginou, ter 10 sistemas de redes incluindo email, proxy,
conta de usuário (samba), transferência de arquivo (FTP) com
vários usuários e senhas diferentes?
Esqueça isso, agora você tem o OpenLDAP.
w w
w .3w .com.br
ay
12. OpenLDAP: Porque utilizá-lo – Slide 1- 12 www.3way.com.br
OpenLDAP: Por que utilizá-lo ?
- Centralização das informações;
“LDAP allows us to centralize the information about users, passwords, home
directories, etc, in a single place on a network. If we were using /etc/passwd
files, for example, we would have to make sure that all passwd files were kept
in sync across the network, which would be an absolute nightmare on a large
network with users changing passwords regularly”
• symantec.com
w w
w .3w .com.br
ay
13. OpenLDAP: Porque utilizá-lo – Slide 1- 13 www.3way.com.br
OpenLDAP: Por que utilizá-lo ?
- Canal criptografado para transferência dos dados (TLS/SSL);
“LDAP offers encrypted transactions. Most LDAP servers offer encrypted connections using SSL
(either using Start TLS on port 389 or LDAPS on port 636), which is more secure than some
mechanisms by which plain text passwords are sent over the network. An LDAP directory is also
useful for other purposes. For example, it can quickly and easily be used as a company's staff e-mail
and contacts directory. ”
• symantec.com
w w
w .3w .com.br
ay
14. OpenLDAP: Porque utilizá-lo – Slide 1- 14 www.3way.com.br
OpenLDAP: Por que utilizá-lo ?
- Comunicação de clientes LDAP segura com SASL;
“ SASL é um acrônimo para Simple Authentication and Security Layer, como o nome diz é uma
camada de segurança para autenticação simples, provendo uma camada de criptografia para os
protocolos orientados à conexão.”
Sem o uso do SASL Com o uso do SASL
w w
w .3w .com.br
ay
15. OpenLDAP: Porque utilizá-lo – Slide 1- 15 www.3way.com.br
OpenLDAP: Por que utilizá-lo ?
- Referências (Refferal)
“Referências (usado para encontrar objetos no LDAP), ou seja, o cliente LDAP consulta no servidor
openLDAP, se o servidor não tiver o atributo consultado, ele retorna para o cliente e o cliente utiliza
a referência para tentar encontrar o atributo em outro servidor ldap (ex. ldap-filial).”
Referência no cliente Referência o servidor
w w
w .3w .com.br
ay
16. OpenLDAP: Porque utilizá-lo – Slide 1- 16 www.3way.com.br
OpenLDAP: Por que utilizá-lo ?
- ACL (Access Control List)
“Controle de acesso a base LDAP. Permite especificar quem poderá acessar os objetos/atributos.”
w w
w .3w .com.br
ay
17. OpenLDAP: Porque utilizá-lo – Slide 1- 17 www.3way.com.br
OpenLDAP: Por que utilizá-lo ?
- Replicação
“Permite que tenha mais de um servidor LDAP em funcionamento. Tipos de replicação mais
utilizadas:
Syncrepl: Pode-se utilizar replicação master – slave; esse recurso é bem interessante porque o slave
fica disponível para consulta mas trás o problema no failback.
N-Way Multimaster: Esse recurso usa o rsync para fazer replicação master – master. Esse recurso
é muito importante porque mantém o slave ligado para consulta e resolver o problema do failback.”
w w
w .3w .com.br
ay
18. OpenLDAP: Porque utilizá-lo – Slide 1- 18 www.3way.com.br
OpenLDAP: Por que utilizá-lo ?
- Alta Disponibilidade
“Depois de configurado a replica master-master, é interessante termos configurado a alta
disponibilidade. O software que faz este recurso é o heartbeat junto com o mon (especifico para
gerar o alerta da queda do servidor e disparar o heartbeat).
Fonte: http://nisled.org
w w
w .3w .com.br
ay
19. OpenLDAP: Porque utilizá-lo – Slide 1- 19 www.3way.com.br
OpenLDAP: Por que utilizá-lo ?
- Integração de vários serviços em local único para gerenciar as
contas;
w w
w .3w .com.br
ay
20. OpenLDAP: Porque utilizá-lo – Slide 1- 20 www.3way.com.br
Porque utilizar openLDAP?
- Autenticação centralizada;
- Recurso de segurança na autenticação – SASL;
- Recurso de segurança na camada de transferência de Dados - TLS/SSL;
- Procura de objetos em outros servidores ldap (Referral);
- Replicação de bases LDAP (master-master, master-slave);
- Alta Disponibilidade (heartbeat);
- Optimizado para consultas;
- Integração com vários serviços.
✗ Se deseja segurança e autenticação centralizada, utilize openLDAP.
w w
w .3w .com.br
ay
21. OpenLDAP: Porque utilizá-lo – Slide 1- 21 www.3way.com.br
OpenLDAP :
Porque utilizá-lo.
Dúvidas ???
w w
w .3w .com.br
ay
22. OpenLDAP: Porque utilizá-lo – Slide 1- 22 www.3way.com.br
OpenLDAP :
Porque utilizá-lo.
A maneira fácil e segura de ter autenticação
centralizada.
•
•
•
• OpenLDAP: Sua solução de serviço de diretório
w w
w .3w .com.br
ay
23. OpenLDAP: Porque utilizá-lo – Slide 1- 23 www.3way.com.br
OpenLDAP :
Porque utilizá-lo.
Contato Profissional:
www.3way.com.br
paulorenato@3way.com.br
• Obrigado !!!
• Contato Pessoal
• blog.netsolution.eti.br
• paulorenato@netsolution.eti.br
•
w w
w .3w .com.br
ay