SlideShare uma empresa Scribd logo

Redes -aula_9_-_servicos_de_diretorio

C
cleitonfcsantos

O documento discute autenticação, serviços de diretório e protocolos relacionados como RADIUS, LDAP e Kerberos. Ele explica como esses sistemas funcionam para autenticar usuários e recursos em uma rede de computadores.

Tecnologia
1 de 62
Baixar para ler offline
Redes  ‐ Aula 9 AUTENTICAÇÃO SERVIÇOS DE DIRETÓRIO Prof. Rodrigo Coutinho
Si stemas de autenti cação • Quem está do outro lado é mesmo quem diz ser? • Componentes – Entidade autenticada – Autenticador – Protocolo de autenticação – Entidades de suporte ao protocolo • Baseia‐se no conceito de que determinada entidade é a  única capaz de enviar determinada informação – Senha (saber) – Smartcard (possuir) – Biometria (ser) – Single Sign‐On
Servi dor de autenti cação • Permite autenticar utilizadores para serviços/recursos da  rede ou aplicações • Servidores de autenticação mais comuns – RADIUS (padrão de fato) – TACACS+ • Autenticação, Autorização e Accounting – AAA • Gerenciamento central do AAA – Informação em uma base central e segura • Simplifica administração
Servi dor de autenti cação • Autenticação  – Garantir a identidade do utilizador/recurso • Autorização  – Controla o acesso a determinados recursos – Contribui para segurança da rede • Accounting (Contabilidade)  – Registro de acontecimentos envolvendo acessos – “Quem fez o quê e quando” – Pode ser usado para auditoria ou Billing – Ex. recursos utilizados durante sessão: pacotes, bytes, etc
Segredo comp arti lhado • PPP Authentication Protocol – PAP – Unidirecional – autenticador não é autenticado pela entidade a  autenticar (usuário) • Challenge Responde Authentication Protocol – CHAP – Desafio enviado pelo autenticador – Usuário devolve challenge com a senha em MD5 – Versão mais nova MSCHAP2 autentica também o servidor
TACACS+ • Protocolo desenvolvido para comunicação entre servidor  AAA e NAS • Usa TCP • Provê validação centralizada de usuários para acesso a uma  determinada rede
Radi us • Remote Authentication Dial‐in User Service • Serviço de AAA • Objetivo inicial: servir ISPs – Acesso discado à internet com vários Network Access Servers (NAS) – A lista de usuários/senhas fica centralizada em um servidor • Usado atualmente também em redes privadas que  requerem autenticação • Suporte a múltiplos protocolos de autenticação e bases de  dados • Mensagens entre NAS e Radius usam criptografia simétrica
Radi us • Modelo: Cliente/Servidor – Cliente repassa informação do usuário para o servidor e age  conforme resposta recebida • Utiliza UDP – 1812 para autenticação e autorização – 1813 para accounting
Radi us ‐ funci onamento • Mensagem “access request” é enviada ao servidor – Se não houver resposta, a solicitação é reenviada – Podem haver servidores secundários • Failover ou Round Robin • Servidor recebe a solicitação e valida o cliente – Se o cliente não possuir o segredo compartilhado, a conexão é  descartada – Se o cliente for válido, Radius consulta a base de dados de usuários  para encontrar o usuário • Condições não satisfeitas – access reject • Condições satisfeitas – Envio do challenge (senha) 
Kerberos • Uma rede possui vários – Usuários – Serviços – Dispositivos • Se cada serviço tiver o seu sistema de autenticação – Custo de administração – Maior complexidade – Maior vulnerabilidade • Solução é a centralização de autenticação
Kerberos • Serviço de single sign‐on baseado em criptografia simétrica – Single sign‐on: cliente autentica uma vez; as demais autenticações  serão transparentes • Orientado inicialmente aos sistemas Unix – Controle de acesso Windows 2000/XP/2003 é baseado no Kerberos  v5. • Autenticação – Uso de senha – A senha não é transmitida pela rede – Usuário conhece a senha e o servidor kerberos possui uma cópia  encriptada em sua base
Kerberos ‐ Domíni os • Cada domínio é composto por: – Servidor Kerberos (Kerberos Distribution Center – KDC) • 2 servidores: Authentication Server e Ticket Granting Server – Vários serviços – Cada par cliente/serviço partilha uma chave com o KDC – As chaves dos usuários é gerada a partir de senha – É possível ligar múltiplos domínios (realms) • Objetos de segurança – Ticket: Token admitido pelo sistema para uso em um serviço – Authenticator: Token enviado pelo cliente para provar quem é – Session Key: Chave que o cliente vai utilizar para falar com o  servidor
Kerberos ‐ Chaves • Cliente deve possuir um ticket e uma chave para cada  servidor que for usar – Tickets possuem validade limitada – Serão utilizados até expirados
Kerberos ‐ Fases • Fase 1 – “Single sign‐on” – Cliente deve contatar o Authentication Server, para receber um  Ticket TGT – O ticket TGT servirá para comunicação com o servidor TGS e acesso  aos demais serviços – Utilizador tem que se autenticar apenas uma vez • Fase 2 – Obtenção de ticket – Cliente usa o ticket TGS para solicitar acesso a determinado serviço • Fase 3 – Acesso ao serviço – Servidor autentica‐se
Servi ços de di retóri o • Serviços para localização de entidades lógicas na rede – Dispositivos – micros, impressoras – Serviços (servidores de rede) – Pessoas – Domínios – Etc • Associam nomes lógicos a um aspecto físico
X.500 • Padrão ISO e ITU para serviço distribuído de diretórios • Utiliza base de dados distribuída e replicada • Usuários acessam o serviço através de aplicação cliente com  uso de protocolo comum (DAP) • Originalmente desenvolvido sobre os conceitos do modelo  OSI – Adoção restrita • Alguns produtos permitem comunicação X.500 sobre TCP/IP
X.500 • Os nomes são indicados da seguinte forma: • /C=FR/O=Louvre/OU=Art Acquisition • Denominações da linguagem • DIT : Directory Information Tree • C: Country • O : Organization • OU : Organization Unit • CN : Common Name • L : Local
X.500 ‐ DIT
X.500 – Comp onentes.1 • GDS – Global Directory Service – Serviço de diretório distribuído global • DUA – Directory User Agent – Cliente do serviço de diretório distribuído • DSA – Directory System Agent – Servidor do serviço de diretório distribuído • DAP – Directory Access Protocol – Protocolo utilizado pelo cliente DUA para dialogar com o servidor  DSA (origem do LDAP!) • DSP – Directory System Protocol – Protocolo usado para diálogo entre os DSAs
X.500 – Comp onentes.2 • DIB _ Directory Information Database – Base de dados de nomes distribuída e replicada • DIT – Directory Information Tree – Árvore de diretório • XDS – X.500 Directory Service – API utilizada pelas aplicações para manipular dados • XOM – X.500 Object Management – API utilizada pelas áplicações para definição e gerenciamento das  classes de objetos de informação nos diretórios
X.500
LDAP • Lightweight Directory Access Protocol • Padrão IETF, projetado para operar em Internet – Alternativa ao protocolo DAP, do X.500 – Excluiu as funcionalidades redundantes e de pouco uso do DAP • LDAP atual é versão 3 (RFCs 2251 a 2256) – É considerado um gateway para os servidores de diretório X.500 • Baseado em TCP/IP – DAP usa modelo OSI – Forte Adoção 
LDAP ‐ Característi cas • É possível gerenciar uma grande variedade de objetos – Usuários, grupos, dispositivos, contatos, etc • Diminui necessidade de gerenciar aplicações de diretório  específicas – Ex. Correio eletrônico • Padrão independente de plataforma – Alta aderência a vários fabricantes • Reduz custo de gerenciamento – Menos diretórios para administrar • Economiza tempo de desenvolvimento – Aplicações usam informações do serviço de diretório
LDAP ‐ Modelos • Modelo de informação – Define os tipos de dados armazenados no diretório – Objetos, classes, atributos e schemas • Modelo de nomes – Define como os dados serão organizados e referenciados – DIT; DN e RDN • Modelo funcional – Define como acessar e atualizar as informações no diretório – Leitura, pesquisa, alteração e autenticação • Modelo de segurança – Regras e controle de acesso das informações armazenadas
LDAP – Modelo de Nomes • Objetivos – Organizar e referenciar informações no diretório – Facilitar a manutenção dos dados – Flexibilizar a política de controle de acesso – Permitir a partição e replicação – Permitir uma navegação mais simples • Entradas são dispostas hierarquicamente – Hierarquia é representada por uma Directory Information Tree – DIT – Cada entrada é identificada unicamente por um Distinguished Name  ‐ DN
LDAP – Modelo de Nomes
LDAP – DN e RDN • Distinguished Name (DN) especifica um identificador único  para uma entrada no DIT • Contém a informação do nível que a entrada está dentro da  árvore • Exemplo – CN = Rodrigo Coutinho, OU = EAD, DC=Cathedra • Relative Distinguished Name (RDN) é um nome que é único  em um determinado nível de hierarquia • Exemplo – CN = Rodrigo Coutinho é identificador único na OU = EAD
LDAP – Modelo de Informação • Especifica os tipos de informação que poderão ser  armazenados • É composta pelos atributos • Uma entrada é uma coleção de informações sobre  determinado objeto – Cada entrada possui um único DN – Implementam uma ou mais classes de objetos – Possuem apenas atributos definidos nas classes de objeto  implementadas
LDAP – Objeto • dn: cn=Rodrigo Coutinho, ou=EAD, ou=Professores, DC=cathedra,  DC=gov, DC=BR • homePhone: +55 000 00000 • givenName: Rodrigo Coutinho • objectClass: top • objectClass: person • objectClass: organizationalPerson • userPassword:: e2NyaXB0fVJuVlZ2V2w2WWpXcTI= • uid: rodrigo • cn: Rodrigo Coutinho • street: Venâncio 2000 • l: Belo Horizonte • sn: Coutinho
LDAP – Classes de Objeto • Definem atributos obrigatórios e opcionais das entradas • Podem ser abstratas, estruturais ou auxiliares • Possuem nome único • São definidas no Schema • Há herança de atributos de Classes “mãe” para “filha”
LDAP – Classes de Objeto • Sintaxe: • objectclass ( <OID da classe de objeto> • [ "NAME" <nome da classe de objetos> ] • [ "DESC" <descrição da classe de objeto> ] • [ "OBSOLETE" ] • [ "SUP" <OID da classe de objeto ancestral> ] • [ ( "ABSTRACT" / "STRUCTURAL" / "AUXILIARY" ) ] • [ "MUST" <OID dos atributos obrigatórios> ] • [ "MAY" <OID dos atributos não obrigatórios> ] • )
LDAP – Atri butos • Possuem nomes • Definem os tipos de dados que podem armazenar – Podem possuir um ou mais valores – Podem estar presentes em um ou mais objetos • Regras de comparação – Métodos de comparação de atributos, definidos nas propriedades  IGUALITY, SUBSTR e ORDERING – Usado para indexação
LDAP – Classes de objeto • Ex. A classe de objeto “Person” pode conter vários atributos: – CN (Common Name) – Surname (SN) – Password
LDAP – Object Identi fi er • O OID é o identificador único de um atributo ou classe de  objeto • Utilizam estrutura hierárquica • Órgão central Internet Assigned Numbers Authority – IANA  coordena distribuição de OIDs para empresas • Schemas armazenam as definições de objetos, atributos e  classes
LDAP – Modelo Funci onal • Determina o que pode ser feito com a informação, seu  acesso e modificação • Pesquisa – Read – retorna os atributos de um DN – Search – Seleciona entradas de acordo com um filtro • Filtros: &, |, ! , ~=, <=, >= , * – Compare –Indica se o valor corresponde ao valor contido ou não.  Usado para senhas • Alteração – Modifica entradas existentes – Adiciona, exclui e altera atb. • Outros – Modify, add, delete e modify RDN
LDAP – Modelo de Segurança • Proteção da informação a acessos não autorizados • Autenticação de usuários • Controle de acesso e Autorização • Integridade dos dados • Privacidade dos dados
LDAP e X.500 – Concei tos comuns • Modelo de dados que usa o DIT é uma única estrutura do  ponto de vista lógico • Cada entrada do diretório é definida por uma classe de  objeto (Object Class) • A classe de objeto possui diversos atributos • Cada atributo é formado por um par – Attribute Type – Attribute Value
Acti ve Di rectory • Serviço de diretórios da Microsoft (Windows 2000/3) • Utiliza padrões de mercado e é compatível com LDAP • Autenticação utiliza Kerberos • Estrutura hierárquica – Benefícios na organização dos dados • Base de dados pode ser distribuída entre vários servidores – Performance – Tolerância a falhas
Acti ve Di rectory • O Active Directory está localizado nas máquinas  controladoras de domínio • O repositório AD armazena diversos objetos e recursos – Contas de usuários – Grupos – Computadores – Impressoras • Cada objeto tem um conjunto de propriedades que também  é armazenado no AD
Acti ve Di rectory ‐ Domíni o • Um domínio provê área de atuação e limites administrativos  e de segurança • Permite que os recursos sejam agrupados logicamente – De acordo com os critérios de cada local • Árvore – Conjunto de um ou mais domínios • Floresta – Conjunto de uma ou mais árvores
Acti ve Di rectory ‐ Árvore • Qualquer estrutura de AD, mesmo as que contém apenas 1  domínio, podem ser chamadas de árvore – Hierarquia de domínios formando uma nomenclatura contínua • Todos os domínios de determinada árvore possuem: – Namespace contíguo – Schema comum – Global Catalog • Relações de confiança transitivas são estabelecidas entre os  domínios dentro da árvore – Permissão para uso de objetos de outro domínio – Relações são criadas automaticamente
Acti ve Di rectory ‐ Floresta • Conjunto de árvores • Todos os domínios de determinada floresta possuem: – Schema comum – Global Catalog • Namespace pode ser ou não contíguo • Relações de confiança não são transitivas e precisam ser estabelecidas entre os domínios dentro da árvore – Permissão para uso de objetos de outro domínio – Relações NÃO são criadas automaticamente
Acti ve Di rectory ‐ Objetos • Registros no AD são chamados de “Objetos” • Objetos – Usuários, Grupos, Computadores e Impressoras • Objetos possuem atributos – Nome, localização, telefone, etc... • Objetos e atributos são definidos no Schema • Schema é extensível – Podem ser criados outros atributos
Acti ve Di rectory ‐ Objetos
Acti ve Di rectory ‐ Objetos
Acti ve Di rectory ‐ Contai ners • Os objetos no AD são agrupados em containers lógicos – Domínios – Organizational Units (OU) – Grupos • Leaves – Usuários – Impressoras – Computadores
Acti ve Di rectory – Group  Poli cy • Políticas de grupo podem ser aplicadas aos objetos – Objetivo de atribuir configurações comuns para grupos de objetos – Pode ser aplicada a usuários, computadores ou Ous – Políticas podem sofrer herança – Pode haver sobreposição de configurações (GPOs diferentes  alterando a mesma configuração
Acti ve Di rectory – Si tes • Site é um conjunto de sub‐redes que possuem boa  interconexão entre si • Funções do Site – Localização de serviços (ex. Login) – Replicação – Aplicação das diretivas de grupo • Sites estão conectados a partir de site links – Conectam 2 ou mais sites
Acti ve Di rectory – Global Catalog • O Catálogo Global possui uma réplica de todos os objetos de  uma floresta • É possível configurar subconjuntos a partir de atributos dos  objetos • Agiliza a procura de objetos na floresta
Acti ve Di rectory – Global Catalog
Acti ve Di rectory – DNS • No Windows 2000 ou superior, o DNS pode funcionar  integrado ao AD, possibilitando – Única topologia de replicação – Atualização de mestre múltiplos – Atualizações dinâmicas – Transferência de zona incremental
Acti ve Di rectory – Rep li cação • Informações são replicadas entre os diversos AD • Contextos de nomeação que são replicados – Schema – Configuração – Domínio • Intra‐site (entre Ads do mesmo site) – Não há compressão – assume boa conectividade – Notificação de 5 em 5 minutos • Inter‐site (Sites diferentes) – Usa RPC over IP ou SMTP – Compressão – 10 – 20% do tamanho original – Pode ser agendada
Acti ve Di rectory – Rep li cação • Links de sites conectam dois ou mais sites – Custo e agendamento de replicação podem ser definidos – Transitivo (pode ser desativado) • Pontes de links de sites – Interligam dois ou mais links de sites
Acti ve Di rectory – Nami ng Contexts • Schema (esquema) – Definição dos atributos – Replicação para todos os DCs da floresta • Configuração – Estrutura AD • Domínios • Sites • Localização dos DCs • Domínios – Objetos específicos • Usuários, Grupos, Computadores, OUs. – Replicação em todos os DCs do domínio
Acti ve Di rectory – Mestres de  Op eração • Schema (esquema) – Executa atualizações do esquema  – Envia atualização para os demais DCs – Um por floresta – Padrão = primeiro DC instalado • Domínios – Mestre é o único DC que pode adicionar ou remover um domínio do  diretório; – Pode também adicionar ou remover referências cruzadas a  domínios em diretórios externos – Um por floresta – Padrão = primeiro DC instalado
Exercíci os – Aula 9 • (Susep/06 – Esaf) no Kerberos, versões 4 e 5, os algoritmos de  criptografia DES (Data Encryption Standard) e o RSA (Rivest‐ Shamir‐ Adleman) são exclusivamente utilizados • (CGU/06 – Esaf) na versão 5 do Kerberos, cada ticket inclui uma chave  de sessão que é usada pelo cliente para encriptar o autenticador  enviado ao serviço associado àquele ticket, sendo possível a negociação,  entre cliente e servidor, de chaves de subsessão a serem usadas na  conexão.
Exercíci os – Aula 9 • (MPE‐RR/08 – Cespe) O protocolo LDAP, assim como o protocolo DAP  (Directory Access Protocol), tem o objetivo de padronizar a  comunicação e prover acesso a serviços de diretórios distribuídos. Os  clientes são os DUA (Directory User Agent) e os DSA (Directory System  Agents). • (Serpro/08 – Cespe) O Active Directory, incluso no sistema operacional  Microsoft Windows Server 2003, tem suporte ao LDAP (lightweight  directory access protocol). • (CBM/DF/08 – Cespe) O é um protocolo útil quando se trata de  gerenciamento de autenticação em sistemas Linux, pois permite a  centralização, em um único local da rede, de informações acerca de  usuários, senhas e diretórios, entre outras. Além disso, o acesso a esses  dados pode ser feito de forma segura, pois a maioria dos servidores  LDAP oferece conexões criptografadas usando SSL
Exercíci os – Aula 9 • (Senado/08 – FGV) O Windows Server 2003 utiliza um serviço de  diretório,denominado Active Directory, que emprega um banco de • dados onde ficam armazenados todos os recursos de uma rede e ele os  torna acessíveis a todos os usuários e aplicativos dessa rede. Dentre  seus componentes, um representa um depósito de informações que  armazena um subconjunto dos atributos de todos os objetos existentes  no Active Directory, tendo a função de agilizar a realização de queries.  Nele existe a informação necessária para que se saiba a localização de  qualquer objeto existente no Active Directory. Esse componente é  denominado: • (A) Main Library. (B) Data Schema. • (C) Global Catalog. (D) Domain Controler. • (E) Organizational Unit.
Exercíci os – Aula 9 • (Petrobras/07 – Cespe) O suporte ao  no Windows 2003 é  substancialmente diferente do suporte no Windows 2000. • (Idem) O Windows 2003 permite que servidores normais sejam  convertidos em controladores de domínio, mas não o contrário. • (Idem) No Windows 2003, a conversão de servidores normais em  controladores de domínio pode ser realizada com o active directory  installation wizard. • (Pref. Vitória/07 – Cespe) No Windows Server 2003, podem ser  definidas, no active directory, contas, que podem ser usadas para os  usuários acessarem recursos no domínio. • O active directory possibilita organizar os usuários em grupos. Se um  mesmo nome for usado para identificar diferentes grupos de usuários,  mesmo que os grupos estejam em diferentes domínios do active  directory, ocorrerá um erro.
Exercíci os – Aula 9 • (TJPE/07 – FCC) Analise os componentes do Active Directory. • I. Um objeto é qualquer usuário, grupo, computador, impressora,  recurso ou serviço dentro do Active Directory. • II. Um contêiner é um tipo de objeto especial utilizado para organizar o  Active Directory. • III. O conjunto de atributos disponível para qualquer tipo de objeto  particular é chamado esquema. O esquema torna as classes de objeto  diferentes umas das outras. • É correto o que se afirma em: • (A) I, II e III. (B) I e II, apenas. (C) I, apenas. (D) II, apenas. • (E) III, apenas.
Exercíci os – Aula 9 • (MPE‐PE/06 – FCC) Objetos especiais utilizados pelo Active Directory do  Windows 2000 Server para armazenar outros objetos são • (A) sites. • (B) classes. • (C)) containers. • (D) domínios. • (E) catálogos globais.
Exercíci os – Aula 9 • (AGE‐ES/04 – Cespe) Os controladores de domínios, que fazem parte do  active directory, podem ser usados para ajustar as opções de segurança,  simplificando a administração nos sistemas de arquivos FAT e NTFS.

Recomendados

Redes -aula_1o
Redes -aula_1oRedes -aula_1o
Redes -aula_1ocleitonfcsantos
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Redes -aula_3_-_parte2
Redes -aula_3_-_parte2Redes -aula_3_-_parte2
Redes -aula_3_-_parte2cleitonfcsantos
 
Clavis Redes -aula_2
Clavis Redes -aula_2Clavis Redes -aula_2
Clavis Redes -aula_2cleitonfcsantos
 
фотоальбом Тиждень рідної мови
фотоальбом Тиждень рідної мови фотоальбом Тиждень рідної мови
фотоальбом Тиждень рідної мови Методичний кабінет
 
Cyrberbullying
CyrberbullyingCyrberbullying
CyrberbullyingAlfredo nobel
 
BLW Presentacion de Negocio Oficial
BLW Presentacion de Negocio OficialBLW Presentacion de Negocio Oficial
BLW Presentacion de Negocio OficialMYBLW BestLife
 
El derecho de las niñas y los niños
El derecho de las niñas y los niñosEl derecho de las niñas y los niños
El derecho de las niñas y los niñosAlfredo nobel
 

Recomendados

Redes -aula_1o
Redes -aula_1oRedes -aula_1o
Redes -aula_1ocleitonfcsantos
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Redes -aula_3_-_parte2
Redes -aula_3_-_parte2Redes -aula_3_-_parte2
Redes -aula_3_-_parte2cleitonfcsantos
 
Clavis Redes -aula_2
Clavis Redes -aula_2Clavis Redes -aula_2
Clavis Redes -aula_2cleitonfcsantos
 
фотоальбом Тиждень рідної мови
фотоальбом Тиждень рідної мови фотоальбом Тиждень рідної мови
фотоальбом Тиждень рідної мови Методичний кабінет
 
Cyrberbullying
CyrberbullyingCyrberbullying
CyrberbullyingAlfredo nobel
 
BLW Presentacion de Negocio Oficial
BLW Presentacion de Negocio OficialBLW Presentacion de Negocio Oficial
BLW Presentacion de Negocio OficialMYBLW BestLife
 
El derecho de las niñas y los niños
El derecho de las niñas y los niñosEl derecho de las niñas y los niños
El derecho de las niñas y los niñosAlfredo nobel
 
Redes -aula_6
Redes -aula_6Redes -aula_6
Redes -aula_6cleitonfcsantos
 
Redes -aula_4
Redes -aula_4Redes -aula_4
Redes -aula_4cleitonfcsantos
 
Redes -aula_7_-_seguranca
Redes -aula_7_-_segurancaRedes -aula_7_-_seguranca
Redes -aula_7_-_segurancacleitonfcsantos
 
Mankato Community Groups Benefit from Otto Bremer Trust Investments
Mankato Community Groups Benefit from Otto Bremer Trust InvestmentsMankato Community Groups Benefit from Otto Bremer Trust Investments
Mankato Community Groups Benefit from Otto Bremer Trust InvestmentsCharlotte Johnson (Otto Bremer)
 
Les conversions à l'islam en France
Les conversions à l'islam en FranceLes conversions à l'islam en France
Les conversions à l'islam en FranceLP Loïc
 
Redes -aula_3_-_parte_1
Redes -aula_3_-_parte_1Redes -aula_3_-_parte_1
Redes -aula_3_-_parte_1cleitonfcsantos
 
Redes -aula_5
Redes -aula_5Redes -aula_5
Redes -aula_5cleitonfcsantos
 
A Questão dos Livros Apócrifos
A Questão dos Livros ApócrifosA Questão dos Livros Apócrifos
A Questão dos Livros ApócrifosRobson Santana
 
Unit 8 Careers Booklet 3
Unit 8 Careers Booklet 3Unit 8 Careers Booklet 3
Unit 8 Careers Booklet 3Chelsie Brandrick
 
Market Studies and Competition - Caroline Teyssié - Rapporteure at the Autori...
Market Studies and Competition - Caroline Teyssié - Rapporteure at the Autori...Market Studies and Competition - Caroline Teyssié - Rapporteure at the Autori...
Market Studies and Competition - Caroline Teyssié - Rapporteure at the Autori...OECD Directorate for Financial and Enterprise Affairs
 
Redes -aula_10_-_admin_win2k3
Redes -aula_10_-_admin_win2k3Redes -aula_10_-_admin_win2k3
Redes -aula_10_-_admin_win2k3cleitonfcsantos
 
O Cânone Das Escrituras
O Cânone Das EscriturasO Cânone Das Escrituras
O Cânone Das EscriturasDimensaoCatolica
 
O Livro Oculto de Melquesedeque
O Livro Oculto de MelquesedequeO Livro Oculto de Melquesedeque
O Livro Oculto de MelquesedequeCarlos Torres
 
Apresentação mecânica do solo
Apresentação mecânica do solo Apresentação mecânica do solo
Apresentação mecânica do solo gelcine Angela
 
O código de salomão
O código de salomão O código de salomão
O código de salomão Roney Zurc
 
KRC Egitim Sunum Dosyası 2017
KRC Egitim Sunum Dosyası 2017KRC Egitim Sunum Dosyası 2017
KRC Egitim Sunum Dosyası 2017KRC Yönetim
 
Market Studies and Competition - Thibaud Vergé - Professor at ENSAE, Research...
Market Studies and Competition - Thibaud Vergé - Professor at ENSAE, Research...Market Studies and Competition - Thibaud Vergé - Professor at ENSAE, Research...
Market Studies and Competition - Thibaud Vergé - Professor at ENSAE, Research...OECD Directorate for Financial and Enterprise Affairs
 
La Poesia Trobadoresca
La Poesia TrobadorescaLa Poesia Trobadoresca
La Poesia TrobadorescaSílvia Montals
 
Apres tec. 1ª estrela 40 pág
Apres tec. 1ª estrela 40 págApres tec. 1ª estrela 40 pág
Apres tec. 1ª estrela 40 págOi S.A
 
Cliente Servidor
Cliente ServidorCliente Servidor
Cliente ServidorLuisFernandodosSanto16
 
Aula03 - protocolo ldap
Aula03 - protocolo ldapAula03 - protocolo ldap
Aula03 - protocolo ldapCarlos Veiga
 
Integrado Linux y Active Directory
Integrado Linux y Active DirectoryIntegrado Linux y Active Directory
Integrado Linux y Active Directoryjdavalos
 

Mais conteúdo relacionado

Destaque

Redes -aula_7_-_seguranca
Redes -aula_7_-_segurancaRedes -aula_7_-_seguranca
Redes -aula_7_-_segurancacleitonfcsantos
 
Mankato Community Groups Benefit from Otto Bremer Trust Investments
Mankato Community Groups Benefit from Otto Bremer Trust InvestmentsMankato Community Groups Benefit from Otto Bremer Trust Investments
Mankato Community Groups Benefit from Otto Bremer Trust InvestmentsCharlotte Johnson (Otto Bremer)
 
Les conversions à l'islam en France
Les conversions à l'islam en FranceLes conversions à l'islam en France
Les conversions à l'islam en FranceLP Loïc
 
A Questão dos Livros Apócrifos
A Questão dos Livros ApócrifosA Questão dos Livros Apócrifos
A Questão dos Livros ApócrifosRobson Santana
 
Redes -aula_10_-_admin_win2k3
Redes -aula_10_-_admin_win2k3Redes -aula_10_-_admin_win2k3
Redes -aula_10_-_admin_win2k3cleitonfcsantos
 
O Livro Oculto de Melquesedeque
O Livro Oculto de MelquesedequeO Livro Oculto de Melquesedeque
O Livro Oculto de MelquesedequeCarlos Torres
 
Apresentação mecânica do solo
Apresentação mecânica do solo Apresentação mecânica do solo
Apresentação mecânica do solo gelcine Angela
 
O código de salomão
O código de salomão O código de salomão
O código de salomão Roney Zurc
 
KRC Egitim Sunum Dosyası 2017
KRC Egitim Sunum Dosyası 2017KRC Egitim Sunum Dosyası 2017
KRC Egitim Sunum Dosyası 2017KRC Yönetim
 

Destaque (18)

Redes -aula_6
Redes -aula_6Redes -aula_6
Redes -aula_6
 
Redes -aula_4
Redes -aula_4Redes -aula_4
Redes -aula_4
 
Redes -aula_7_-_seguranca
Redes -aula_7_-_segurancaRedes -aula_7_-_seguranca
Redes -aula_7_-_seguranca
 
Mankato Community Groups Benefit from Otto Bremer Trust Investments
Mankato Community Groups Benefit from Otto Bremer Trust InvestmentsMankato Community Groups Benefit from Otto Bremer Trust Investments
Mankato Community Groups Benefit from Otto Bremer Trust Investments
 
Les conversions à l'islam en France
Les conversions à l'islam en FranceLes conversions à l'islam en France
Les conversions à l'islam en France
 
Redes -aula_3_-_parte_1
Redes -aula_3_-_parte_1Redes -aula_3_-_parte_1
Redes -aula_3_-_parte_1
 
Redes -aula_5
Redes -aula_5Redes -aula_5
Redes -aula_5
 
A Questão dos Livros Apócrifos
A Questão dos Livros ApócrifosA Questão dos Livros Apócrifos
A Questão dos Livros Apócrifos
 
Unit 8 Careers Booklet 3
Unit 8 Careers Booklet 3Unit 8 Careers Booklet 3
Unit 8 Careers Booklet 3
 
Market Studies and Competition - Caroline Teyssié - Rapporteure at the Autori...
Market Studies and Competition - Caroline Teyssié - Rapporteure at the Autori...Market Studies and Competition - Caroline Teyssié - Rapporteure at the Autori...
Market Studies and Competition - Caroline Teyssié - Rapporteure at the Autori...
 
Redes -aula_10_-_admin_win2k3
Redes -aula_10_-_admin_win2k3Redes -aula_10_-_admin_win2k3
Redes -aula_10_-_admin_win2k3
 
O Cânone Das Escrituras
O Cânone Das EscriturasO Cânone Das Escrituras
O Cânone Das Escrituras
 
O Livro Oculto de Melquesedeque
O Livro Oculto de MelquesedequeO Livro Oculto de Melquesedeque
O Livro Oculto de Melquesedeque
 
Apresentação mecânica do solo
Apresentação mecânica do solo Apresentação mecânica do solo
Apresentação mecânica do solo
 
O código de salomão
O código de salomão O código de salomão
O código de salomão
 
KRC Egitim Sunum Dosyası 2017
KRC Egitim Sunum Dosyası 2017KRC Egitim Sunum Dosyası 2017
KRC Egitim Sunum Dosyası 2017
 
Market Studies and Competition - Thibaud Vergé - Professor at ENSAE, Research...
Market Studies and Competition - Thibaud Vergé - Professor at ENSAE, Research...Market Studies and Competition - Thibaud Vergé - Professor at ENSAE, Research...
Market Studies and Competition - Thibaud Vergé - Professor at ENSAE, Research...
 
La Poesia Trobadoresca
La Poesia TrobadorescaLa Poesia Trobadoresca
La Poesia Trobadoresca
 

Semelhante a Redes -aula_9_-_servicos_de_diretorio

Apres tec. 1ª estrela 40 pág
Apres tec. 1ª estrela 40 págApres tec. 1ª estrela 40 pág
Apres tec. 1ª estrela 40 págOi S.A
 
Aula03 - protocolo ldap
Aula03 - protocolo ldapAula03 - protocolo ldap
Aula03 - protocolo ldapCarlos Veiga
 
Integrado Linux y Active Directory
Integrado Linux y Active DirectoryIntegrado Linux y Active Directory
Integrado Linux y Active Directoryjdavalos
 
Preservação digital em repositórios confiáveis (PART II)
Preservação digital em repositórios confiáveis (PART II)Preservação digital em repositórios confiáveis (PART II)
Preservação digital em repositórios confiáveis (PART II)Miguel Angel Mardero Arellano
 
Apresentação cariniana jbb-2014
Apresentação cariniana jbb-2014Apresentação cariniana jbb-2014
Apresentação cariniana jbb-2014Cariniana Rede
 
Mule pe salesforce mule security
Mule pe salesforce mule securityMule pe salesforce mule security
Mule pe salesforce mule securityJeison Barros
 
Aula 1 active directory
Aula 1 active directoryAula 1 active directory
Aula 1 active directoryOi S.A
 
Alexandria: um Sistema de Sistemas para Publicação de Conteúdo Digital utiliz...
Alexandria: um Sistema de Sistemas para Publicação de Conteúdo Digital utiliz...Alexandria: um Sistema de Sistemas para Publicação de Conteúdo Digital utiliz...
Alexandria: um Sistema de Sistemas para Publicação de Conteúdo Digital utiliz...Luis Cipriani
 
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014Tiago Marchetti Dolphine
 
IDM - Gereciamento de Identidades Corporativa
IDM - Gereciamento de Identidades CorporativaIDM - Gereciamento de Identidades Corporativa
IDM - Gereciamento de Identidades CorporativaDaniel Checchia
 
Resenha descritiva
Resenha descritivaResenha descritiva
Resenha descritivafventurini22
 
Governança de Ambientes Heterogêneos - Single Sign-On para Servidores
Governança de Ambientes Heterogêneos - Single Sign-On para ServidoresGovernança de Ambientes Heterogêneos - Single Sign-On para Servidores
Governança de Ambientes Heterogêneos - Single Sign-On para ServidoresVirtù Tecnológica
 

Semelhante a Redes -aula_9_-_servicos_de_diretorio (20)

Apres tec. 1ª estrela 40 pág
Apres tec. 1ª estrela 40 págApres tec. 1ª estrela 40 pág
Apres tec. 1ª estrela 40 pág
 
Cliente Servidor
Cliente ServidorCliente Servidor
Cliente Servidor
 
Aula03 - protocolo ldap
Aula03 - protocolo ldapAula03 - protocolo ldap
Aula03 - protocolo ldap
 
Integrado Linux y Active Directory
Integrado Linux y Active DirectoryIntegrado Linux y Active Directory
Integrado Linux y Active Directory
 
Preservação digital em repositórios confiáveis (PART II)
Preservação digital em repositórios confiáveis (PART II)Preservação digital em repositórios confiáveis (PART II)
Preservação digital em repositórios confiáveis (PART II)
 
PHP SSO no Zentyal
PHP SSO no ZentyalPHP SSO no Zentyal
PHP SSO no Zentyal
 
Apresentação cariniana jbb-2014
Apresentação cariniana jbb-2014Apresentação cariniana jbb-2014
Apresentação cariniana jbb-2014
 
Sistemas abertos aplicados à gestão da informação científica: o desenvolvimen...
Sistemas abertos aplicados à gestão da informação científica: o desenvolvimen...Sistemas abertos aplicados à gestão da informação científica: o desenvolvimen...
Sistemas abertos aplicados à gestão da informação científica: o desenvolvimen...
 
Centrify for servers pt br
Centrify for servers pt brCentrify for servers pt br
Centrify for servers pt br
 
Como funciona a Internet - Aplicações
Como funciona a Internet - AplicaçõesComo funciona a Internet - Aplicações
Como funciona a Internet - Aplicações
 
Como funciona a Internet
Como funciona a InternetComo funciona a Internet
Como funciona a Internet
 
Windows Aazure
Windows AazureWindows Aazure
Windows Aazure
 
Mule pe salesforce mule security
Mule pe salesforce mule securityMule pe salesforce mule security
Mule pe salesforce mule security
 
Aula 1 active directory
Aula 1 active directoryAula 1 active directory
Aula 1 active directory
 
Alexandria: um Sistema de Sistemas para Publicação de Conteúdo Digital utiliz...
Alexandria: um Sistema de Sistemas para Publicação de Conteúdo Digital utiliz...Alexandria: um Sistema de Sistemas para Publicação de Conteúdo Digital utiliz...
Alexandria: um Sistema de Sistemas para Publicação de Conteúdo Digital utiliz...
 
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
 
IDM - Gereciamento de Identidades Corporativa
IDM - Gereciamento de Identidades CorporativaIDM - Gereciamento de Identidades Corporativa
IDM - Gereciamento de Identidades Corporativa
 
Resenha descritiva
Resenha descritivaResenha descritiva
Resenha descritiva
 
Governança de Ambientes Heterogêneos - Single Sign-On para Servidores
Governança de Ambientes Heterogêneos - Single Sign-On para ServidoresGovernança de Ambientes Heterogêneos - Single Sign-On para Servidores
Governança de Ambientes Heterogêneos - Single Sign-On para Servidores
 
Entity Framework 4 Code-First
Entity Framework 4 Code-FirstEntity Framework 4 Code-First
Entity Framework 4 Code-First
 

Redes -aula_9_-_servicos_de_diretorio

  • 2. Si stemas de autenti cação • Quem está do outro lado é mesmo quem diz ser? • Componentes – Entidade autenticada – Autenticador – Protocolo de autenticação – Entidades de suporte ao protocolo • Baseia‐se no conceito de que determinada entidade é a  única capaz de enviar determinada informação – Senha (saber) – Smartcard (possuir) – Biometria (ser) – Single Sign‐On
  • 3. Servi dor de autenti cação • Permite autenticar utilizadores para serviços/recursos da  rede ou aplicações • Servidores de autenticação mais comuns – RADIUS (padrão de fato) – TACACS+ • Autenticação, Autorização e Accounting – AAA • Gerenciamento central do AAA – Informação em uma base central e segura • Simplifica administração
  • 4. Servi dor de autenti cação • Autenticação  – Garantir a identidade do utilizador/recurso • Autorização  – Controla o acesso a determinados recursos – Contribui para segurança da rede • Accounting (Contabilidade)  – Registro de acontecimentos envolvendo acessos – “Quem fez o quê e quando” – Pode ser usado para auditoria ou Billing – Ex. recursos utilizados durante sessão: pacotes, bytes, etc
  • 5. Segredo comp arti lhado • PPP Authentication Protocol – PAP – Unidirecional – autenticador não é autenticado pela entidade a  autenticar (usuário) • Challenge Responde Authentication Protocol – CHAP – Desafio enviado pelo autenticador – Usuário devolve challenge com a senha em MD5 – Versão mais nova MSCHAP2 autentica também o servidor
  • 6. TACACS+ • Protocolo desenvolvido para comunicação entre servidor  AAA e NAS • Usa TCP • Provê validação centralizada de usuários para acesso a uma  determinada rede
  • 7. Radi us • Remote Authentication Dial‐in User Service • Serviço de AAA • Objetivo inicial: servir ISPs – Acesso discado à internet com vários Network Access Servers (NAS) – A lista de usuários/senhas fica centralizada em um servidor • Usado atualmente também em redes privadas que  requerem autenticação • Suporte a múltiplos protocolos de autenticação e bases de  dados • Mensagens entre NAS e Radius usam criptografia simétrica
  • 8. Radi us • Modelo: Cliente/Servidor – Cliente repassa informação do usuário para o servidor e age  conforme resposta recebida • Utiliza UDP – 1812 para autenticação e autorização – 1813 para accounting
  • 9. Radi us ‐ funci onamento • Mensagem “access request” é enviada ao servidor – Se não houver resposta, a solicitação é reenviada – Podem haver servidores secundários • Failover ou Round Robin • Servidor recebe a solicitação e valida o cliente – Se o cliente não possuir o segredo compartilhado, a conexão é  descartada – Se o cliente for válido, Radius consulta a base de dados de usuários  para encontrar o usuário • Condições não satisfeitas – access reject • Condições satisfeitas – Envio do challenge (senha) 
  • 10. Kerberos • Uma rede possui vários – Usuários – Serviços – Dispositivos • Se cada serviço tiver o seu sistema de autenticação – Custo de administração – Maior complexidade – Maior vulnerabilidade • Solução é a centralização de autenticação
  • 11. Kerberos • Serviço de single sign‐on baseado em criptografia simétrica – Single sign‐on: cliente autentica uma vez; as demais autenticações  serão transparentes • Orientado inicialmente aos sistemas Unix – Controle de acesso Windows 2000/XP/2003 é baseado no Kerberos  v5. • Autenticação – Uso de senha – A senha não é transmitida pela rede – Usuário conhece a senha e o servidor kerberos possui uma cópia  encriptada em sua base
  • 12. Kerberos ‐ Domíni os • Cada domínio é composto por: – Servidor Kerberos (Kerberos Distribution Center – KDC) • 2 servidores: Authentication Server e Ticket Granting Server – Vários serviços – Cada par cliente/serviço partilha uma chave com o KDC – As chaves dos usuários é gerada a partir de senha – É possível ligar múltiplos domínios (realms) • Objetos de segurança – Ticket: Token admitido pelo sistema para uso em um serviço – Authenticator: Token enviado pelo cliente para provar quem é – Session Key: Chave que o cliente vai utilizar para falar com o  servidor
  • 13. Kerberos ‐ Chaves • Cliente deve possuir um ticket e uma chave para cada  servidor que for usar – Tickets possuem validade limitada – Serão utilizados até expirados
  • 14. Kerberos ‐ Fases • Fase 1 – “Single sign‐on” – Cliente deve contatar o Authentication Server, para receber um  Ticket TGT – O ticket TGT servirá para comunicação com o servidor TGS e acesso  aos demais serviços – Utilizador tem que se autenticar apenas uma vez • Fase 2 – Obtenção de ticket – Cliente usa o ticket TGS para solicitar acesso a determinado serviço • Fase 3 – Acesso ao serviço – Servidor autentica‐se
  • 15. Servi ços de di retóri o • Serviços para localização de entidades lógicas na rede – Dispositivos – micros, impressoras – Serviços (servidores de rede) – Pessoas – Domínios – Etc • Associam nomes lógicos a um aspecto físico
  • 16. X.500 • Padrão ISO e ITU para serviço distribuído de diretórios • Utiliza base de dados distribuída e replicada • Usuários acessam o serviço através de aplicação cliente com  uso de protocolo comum (DAP) • Originalmente desenvolvido sobre os conceitos do modelo  OSI – Adoção restrita • Alguns produtos permitem comunicação X.500 sobre TCP/IP
  • 17. X.500 • Os nomes são indicados da seguinte forma: • /C=FR/O=Louvre/OU=Art Acquisition • Denominações da linguagem • DIT : Directory Information Tree • C: Country • O : Organization • OU : Organization Unit • CN : Common Name • L : Local
  • 19. X.500 – Comp onentes.1 • GDS – Global Directory Service – Serviço de diretório distribuído global • DUA – Directory User Agent – Cliente do serviço de diretório distribuído • DSA – Directory System Agent – Servidor do serviço de diretório distribuído • DAP – Directory Access Protocol – Protocolo utilizado pelo cliente DUA para dialogar com o servidor  DSA (origem do LDAP!) • DSP – Directory System Protocol – Protocolo usado para diálogo entre os DSAs
  • 20. X.500 – Comp onentes.2 • DIB _ Directory Information Database – Base de dados de nomes distribuída e replicada • DIT – Directory Information Tree – Árvore de diretório • XDS – X.500 Directory Service – API utilizada pelas aplicações para manipular dados • XOM – X.500 Object Management – API utilizada pelas áplicações para definição e gerenciamento das  classes de objetos de informação nos diretórios
  • 21. X.500
  • 22. LDAP • Lightweight Directory Access Protocol • Padrão IETF, projetado para operar em Internet – Alternativa ao protocolo DAP, do X.500 – Excluiu as funcionalidades redundantes e de pouco uso do DAP • LDAP atual é versão 3 (RFCs 2251 a 2256) – É considerado um gateway para os servidores de diretório X.500 • Baseado em TCP/IP – DAP usa modelo OSI – Forte Adoção 
  • 23. LDAP ‐ Característi cas • É possível gerenciar uma grande variedade de objetos – Usuários, grupos, dispositivos, contatos, etc • Diminui necessidade de gerenciar aplicações de diretório  específicas – Ex. Correio eletrônico • Padrão independente de plataforma – Alta aderência a vários fabricantes • Reduz custo de gerenciamento – Menos diretórios para administrar • Economiza tempo de desenvolvimento – Aplicações usam informações do serviço de diretório
  • 24. LDAP ‐ Modelos • Modelo de informação – Define os tipos de dados armazenados no diretório – Objetos, classes, atributos e schemas • Modelo de nomes – Define como os dados serão organizados e referenciados – DIT; DN e RDN • Modelo funcional – Define como acessar e atualizar as informações no diretório – Leitura, pesquisa, alteração e autenticação • Modelo de segurança – Regras e controle de acesso das informações armazenadas
  • 25. LDAP – Modelo de Nomes • Objetivos – Organizar e referenciar informações no diretório – Facilitar a manutenção dos dados – Flexibilizar a política de controle de acesso – Permitir a partição e replicação – Permitir uma navegação mais simples • Entradas são dispostas hierarquicamente – Hierarquia é representada por uma Directory Information Tree – DIT – Cada entrada é identificada unicamente por um Distinguished Name  ‐ DN
  • 27. LDAP – DN e RDN • Distinguished Name (DN) especifica um identificador único  para uma entrada no DIT • Contém a informação do nível que a entrada está dentro da  árvore • Exemplo – CN = Rodrigo Coutinho, OU = EAD, DC=Cathedra • Relative Distinguished Name (RDN) é um nome que é único  em um determinado nível de hierarquia • Exemplo – CN = Rodrigo Coutinho é identificador único na OU = EAD
  • 28. LDAP – Modelo de Informação • Especifica os tipos de informação que poderão ser  armazenados • É composta pelos atributos • Uma entrada é uma coleção de informações sobre  determinado objeto – Cada entrada possui um único DN – Implementam uma ou mais classes de objetos – Possuem apenas atributos definidos nas classes de objeto  implementadas
  • 29. LDAP – Objeto • dn: cn=Rodrigo Coutinho, ou=EAD, ou=Professores, DC=cathedra,  DC=gov, DC=BR • homePhone: +55 000 00000 • givenName: Rodrigo Coutinho • objectClass: top • objectClass: person • objectClass: organizationalPerson • userPassword:: e2NyaXB0fVJuVlZ2V2w2WWpXcTI= • uid: rodrigo • cn: Rodrigo Coutinho • street: Venâncio 2000 • l: Belo Horizonte • sn: Coutinho
  • 30. LDAP – Classes de Objeto • Definem atributos obrigatórios e opcionais das entradas • Podem ser abstratas, estruturais ou auxiliares • Possuem nome único • São definidas no Schema • Há herança de atributos de Classes “mãe” para “filha”
  • 31. LDAP – Classes de Objeto • Sintaxe: • objectclass ( <OID da classe de objeto> • [ "NAME" <nome da classe de objetos> ] • [ "DESC" <descrição da classe de objeto> ] • [ "OBSOLETE" ] • [ "SUP" <OID da classe de objeto ancestral> ] • [ ( "ABSTRACT" / "STRUCTURAL" / "AUXILIARY" ) ] • [ "MUST" <OID dos atributos obrigatórios> ] • [ "MAY" <OID dos atributos não obrigatórios> ] • )
  • 32. LDAP – Atri butos • Possuem nomes • Definem os tipos de dados que podem armazenar – Podem possuir um ou mais valores – Podem estar presentes em um ou mais objetos • Regras de comparação – Métodos de comparação de atributos, definidos nas propriedades  IGUALITY, SUBSTR e ORDERING – Usado para indexação
  • 34. LDAP – Object Identi fi er • O OID é o identificador único de um atributo ou classe de  objeto • Utilizam estrutura hierárquica • Órgão central Internet Assigned Numbers Authority – IANA  coordena distribuição de OIDs para empresas • Schemas armazenam as definições de objetos, atributos e  classes
  • 35. LDAP – Modelo Funci onal • Determina o que pode ser feito com a informação, seu  acesso e modificação • Pesquisa – Read – retorna os atributos de um DN – Search – Seleciona entradas de acordo com um filtro • Filtros: &, |, ! , ~=, <=, >= , * – Compare –Indica se o valor corresponde ao valor contido ou não.  Usado para senhas • Alteração – Modifica entradas existentes – Adiciona, exclui e altera atb. • Outros – Modify, add, delete e modify RDN
  • 36. LDAP – Modelo de Segurança • Proteção da informação a acessos não autorizados • Autenticação de usuários • Controle de acesso e Autorização • Integridade dos dados • Privacidade dos dados
  • 37. LDAP e X.500 – Concei tos comuns • Modelo de dados que usa o DIT é uma única estrutura do  ponto de vista lógico • Cada entrada do diretório é definida por uma classe de  objeto (Object Class) • A classe de objeto possui diversos atributos • Cada atributo é formado por um par – Attribute Type – Attribute Value
  • 38. Acti ve Di rectory • Serviço de diretórios da Microsoft (Windows 2000/3) • Utiliza padrões de mercado e é compatível com LDAP • Autenticação utiliza Kerberos • Estrutura hierárquica – Benefícios na organização dos dados • Base de dados pode ser distribuída entre vários servidores – Performance – Tolerância a falhas
  • 39. Acti ve Di rectory • O Active Directory está localizado nas máquinas  controladoras de domínio • O repositório AD armazena diversos objetos e recursos – Contas de usuários – Grupos – Computadores – Impressoras • Cada objeto tem um conjunto de propriedades que também  é armazenado no AD
  • 40. Acti ve Di rectory ‐ Domíni o • Um domínio provê área de atuação e limites administrativos  e de segurança • Permite que os recursos sejam agrupados logicamente – De acordo com os critérios de cada local • Árvore – Conjunto de um ou mais domínios • Floresta – Conjunto de uma ou mais árvores
  • 41. Acti ve Di rectory ‐ Árvore • Qualquer estrutura de AD, mesmo as que contém apenas 1  domínio, podem ser chamadas de árvore – Hierarquia de domínios formando uma nomenclatura contínua • Todos os domínios de determinada árvore possuem: – Namespace contíguo – Schema comum – Global Catalog • Relações de confiança transitivas são estabelecidas entre os  domínios dentro da árvore – Permissão para uso de objetos de outro domínio – Relações são criadas automaticamente
  • 42. Acti ve Di rectory ‐ Floresta • Conjunto de árvores • Todos os domínios de determinada floresta possuem: – Schema comum – Global Catalog • Namespace pode ser ou não contíguo • Relações de confiança não são transitivas e precisam ser estabelecidas entre os domínios dentro da árvore – Permissão para uso de objetos de outro domínio – Relações NÃO são criadas automaticamente
  • 43. Acti ve Di rectory ‐ Objetos • Registros no AD são chamados de “Objetos” • Objetos – Usuários, Grupos, Computadores e Impressoras • Objetos possuem atributos – Nome, localização, telefone, etc... • Objetos e atributos são definidos no Schema • Schema é extensível – Podem ser criados outros atributos
  • 46. Acti ve Di rectory ‐ Contai ners • Os objetos no AD são agrupados em containers lógicos – Domínios – Organizational Units (OU) – Grupos • Leaves – Usuários – Impressoras – Computadores
  • 47. Acti ve Di rectory – Group  Poli cy • Políticas de grupo podem ser aplicadas aos objetos – Objetivo de atribuir configurações comuns para grupos de objetos – Pode ser aplicada a usuários, computadores ou Ous – Políticas podem sofrer herança – Pode haver sobreposição de configurações (GPOs diferentes  alterando a mesma configuração
  • 48. Acti ve Di rectory – Si tes • Site é um conjunto de sub‐redes que possuem boa  interconexão entre si • Funções do Site – Localização de serviços (ex. Login) – Replicação – Aplicação das diretivas de grupo • Sites estão conectados a partir de site links – Conectam 2 ou mais sites
  • 49. Acti ve Di rectory – Global Catalog • O Catálogo Global possui uma réplica de todos os objetos de  uma floresta • É possível configurar subconjuntos a partir de atributos dos  objetos • Agiliza a procura de objetos na floresta
  • 50. Acti ve Di rectory – Global Catalog
  • 51. Acti ve Di rectory – DNS • No Windows 2000 ou superior, o DNS pode funcionar  integrado ao AD, possibilitando – Única topologia de replicação – Atualização de mestre múltiplos – Atualizações dinâmicas – Transferência de zona incremental
  • 52. Acti ve Di rectory – Rep li cação • Informações são replicadas entre os diversos AD • Contextos de nomeação que são replicados – Schema – Configuração – Domínio • Intra‐site (entre Ads do mesmo site) – Não há compressão – assume boa conectividade – Notificação de 5 em 5 minutos • Inter‐site (Sites diferentes) – Usa RPC over IP ou SMTP – Compressão – 10 – 20% do tamanho original – Pode ser agendada
  • 53. Acti ve Di rectory – Rep li cação • Links de sites conectam dois ou mais sites – Custo e agendamento de replicação podem ser definidos – Transitivo (pode ser desativado) • Pontes de links de sites – Interligam dois ou mais links de sites
  • 54. Acti ve Di rectory – Nami ng Contexts • Schema (esquema) – Definição dos atributos – Replicação para todos os DCs da floresta • Configuração – Estrutura AD • Domínios • Sites • Localização dos DCs • Domínios – Objetos específicos • Usuários, Grupos, Computadores, OUs. – Replicação em todos os DCs do domínio
  • 55. Acti ve Di rectory – Mestres de  Op eração • Schema (esquema) – Executa atualizações do esquema  – Envia atualização para os demais DCs – Um por floresta – Padrão = primeiro DC instalado • Domínios – Mestre é o único DC que pode adicionar ou remover um domínio do  diretório; – Pode também adicionar ou remover referências cruzadas a  domínios em diretórios externos – Um por floresta – Padrão = primeiro DC instalado
  • 56. Exercíci os – Aula 9 • (Susep/06 – Esaf) no Kerberos, versões 4 e 5, os algoritmos de  criptografia DES (Data Encryption Standard) e o RSA (Rivest‐ Shamir‐ Adleman) são exclusivamente utilizados • (CGU/06 – Esaf) na versão 5 do Kerberos, cada ticket inclui uma chave  de sessão que é usada pelo cliente para encriptar o autenticador  enviado ao serviço associado àquele ticket, sendo possível a negociação,  entre cliente e servidor, de chaves de subsessão a serem usadas na  conexão.
  • 57. Exercíci os – Aula 9 • (MPE‐RR/08 – Cespe) O protocolo LDAP, assim como o protocolo DAP  (Directory Access Protocol), tem o objetivo de padronizar a  comunicação e prover acesso a serviços de diretórios distribuídos. Os  clientes são os DUA (Directory User Agent) e os DSA (Directory System  Agents). • (Serpro/08 – Cespe) O Active Directory, incluso no sistema operacional  Microsoft Windows Server 2003, tem suporte ao LDAP (lightweight  directory access protocol). • (CBM/DF/08 – Cespe) O é um protocolo útil quando se trata de  gerenciamento de autenticação em sistemas Linux, pois permite a  centralização, em um único local da rede, de informações acerca de  usuários, senhas e diretórios, entre outras. Além disso, o acesso a esses  dados pode ser feito de forma segura, pois a maioria dos servidores  LDAP oferece conexões criptografadas usando SSL
  • 58. Exercíci os – Aula 9 • (Senado/08 – FGV) O Windows Server 2003 utiliza um serviço de  diretório,denominado Active Directory, que emprega um banco de • dados onde ficam armazenados todos os recursos de uma rede e ele os  torna acessíveis a todos os usuários e aplicativos dessa rede. Dentre  seus componentes, um representa um depósito de informações que  armazena um subconjunto dos atributos de todos os objetos existentes  no Active Directory, tendo a função de agilizar a realização de queries.  Nele existe a informação necessária para que se saiba a localização de  qualquer objeto existente no Active Directory. Esse componente é  denominado: • (A) Main Library. (B) Data Schema. • (C) Global Catalog. (D) Domain Controler. • (E) Organizational Unit.
  • 59. Exercíci os – Aula 9 • (Petrobras/07 – Cespe) O suporte ao  no Windows 2003 é  substancialmente diferente do suporte no Windows 2000. • (Idem) O Windows 2003 permite que servidores normais sejam  convertidos em controladores de domínio, mas não o contrário. • (Idem) No Windows 2003, a conversão de servidores normais em  controladores de domínio pode ser realizada com o active directory  installation wizard. • (Pref. Vitória/07 – Cespe) No Windows Server 2003, podem ser  definidas, no active directory, contas, que podem ser usadas para os  usuários acessarem recursos no domínio. • O active directory possibilita organizar os usuários em grupos. Se um  mesmo nome for usado para identificar diferentes grupos de usuários,  mesmo que os grupos estejam em diferentes domínios do active  directory, ocorrerá um erro.
  • 60. Exercíci os – Aula 9 • (TJPE/07 – FCC) Analise os componentes do Active Directory. • I. Um objeto é qualquer usuário, grupo, computador, impressora,  recurso ou serviço dentro do Active Directory. • II. Um contêiner é um tipo de objeto especial utilizado para organizar o  Active Directory. • III. O conjunto de atributos disponível para qualquer tipo de objeto  particular é chamado esquema. O esquema torna as classes de objeto  diferentes umas das outras. • É correto o que se afirma em: • (A) I, II e III. (B) I e II, apenas. (C) I, apenas. (D) II, apenas. • (E) III, apenas.
  • 61. Exercíci os – Aula 9 • (MPE‐PE/06 – FCC) Objetos especiais utilizados pelo Active Directory do  Windows 2000 Server para armazenar outros objetos são • (A) sites. • (B) classes. • (C)) containers. • (D) domínios. • (E) catálogos globais.
  • 62. Exercíci os – Aula 9 • (AGE‐ES/04 – Cespe) Os controladores de domínios, que fazem parte do  active directory, podem ser usados para ajustar as opções de segurança,  simplificando a administração nos sistemas de arquivos FAT e NTFS.