389 Directory Service Active Directory Integração de bases LDAP.
Transcript of 389 Directory Service Active Directory Integração de bases LDAP.
389 Directory ServiceActive Directory
Integração de bases LDAP
• Servidores de diretório• Características gerais da RNP• Problemas anteriores ao Projeto• Objetivo do Projeto• Características e arquitetura do 389 DS• 389 Console• Sincronização com o Active Directory• Solução adotada pela RNP
Agenda
• Um servidor de diretório fornece um serviço de diretório centralizado para sua intranet, rede e informações extranet.
• Ele se integra com os sistemas existentes e age como um repositório centralizado para a consolidação das informações do cliente, empregado, fornecedor e parceiro.
Servidor de diretório
RNP
RJ
DF
CP
Externos
• Três sites geograficamente dispersos.• Estações de trabalho e notebooks Windows.• Servidores Linux, Windows e BSD.• Serviços operando em plataformas de código aberto e
fechado.
Características da RNP
Cada site tinha seu próprio domínio
Não existia relação de confiança entre eles
Contas de rede eram duplicadas
Grande esforço administrativo
Dificuldade de implementar políticas de segurança
Dificuldade de padronização
Dificuldade de integração com os serviços
Problemas anteriores
Ponto central de administração
Alta disponibilidade e resiliência
Serviço de diretório centralizado
Pouco esforço administrativo
Facilidade de implementar políticas
Facilidade de padronização
Facilidade de integração com os serviços
Objetivos
Prós Contras
Padronização
Políticas
Operacional
Integração
Seguro
Custo
Flexível
• Failover cluster da Microsoft não é compatível• Demanda maior da equipe de suporte para os clientes
Windows
OpenLdap + Samba
Prós Contras
CAFe
Segurança
Flexibilidade
Custo
Seguro
Operacional
Padronização
Alta disponibilidade
• Não implementa o protocolo X.500 de acordo com sua RFC, o que pode comprometer sua integração com os serviços baseados em LDAP
• Suportado somente no Windows
Active Directory
X
Qual é o melhor cenário ?
+
Prós Contras
Seguro
Operacional
Padronização
Alta disponibilidade
Complexidade
Custo
389DS & Active Directory
Replicação Multi-Master, para fornecer tolerância a falhas e desempenho de gravação de alta performance.
Autenticação segura e transporte (SSLv3, TLSv1, e SASL)
Suporte para LDAPv3
Console gráfico para todas as operações do usuário, grupo e gerenciamento de servidores.
Vasta documentação, incluindo instalação e guias de implantação
Escalabilidade: milhares de operações por segundo
Sincronização de usuários do Active Directory e grupos
Características do 389DS
Core do Servidor
Gerência comunicação cliente/servidor
Implementa os daemons
Suporta TLS
Multi-thread nativo
Plug-ins
Funcionalidades fora do escopo do core
Politicas de senha
Validação de dados
Operações estendidas (LDAP V3)
Árvore básica do diretório
DIT (Directory Information Tree)
cn=config (configuração interna
do servidor)
O=NetscapeRoot (configuração de outros tipos de
servidores Netscape)
Banco de dados
Gerência a camada de persistência
Implementa índices, transações e todas as
funcionalidades otimizadas para um
Servidor de Diretorio.
Funções de alto nível como otimização de
consultas, execução de consultas, backup e
restore, etc ....
Arquitetura
Directory Server
É o daemon do 389 DS
Implementa LDAP v3
Implementa administração por linha de
comando
Directory Server Console
É a interface com o usuário do 389 DS
Engloba todos os aspectos de
gerenciamento
Permite criar usuários, grupos e unidades
organizacionais
Políticas de senha
Visualização de logs de replicação
Admin Server
É o agente de administração do Directory Server
Funciona com um servidor
web
Interface entre o Console de
administração e o Core
Componentes
Console baseado em Java
Servidor de administração (webserver)
Servidor LDAP
Conexão SSL/TLS
Console / Linha de comando
Componentes
389 Console
389 Console
Sincronização de usuários
Sincronização de grupos
Sincronização de senhas de usuário
Sincronização bidirecional ( Inbound e Outbound )
Comunicação via LDAP seguro com o Active Directory
Sincroniza as senhas por uma conexão LDAP SSL (Necessita de PKI)
Necessita de um serviço instalado em todos os controladores de domínio.
Active Directory Sync
Active Directory Sync
Criar Sync Account
Criar replicação
Criar Windows Sync Agreement Iniciar o Sync
Infraestrutura de chaves publicas e privadas
PassSync em todos os controladores de domínio
Importar os certificados e o CA em todos os controladores de domínio
Um usuário com permissões adequadas no Active Directory
Criar o “Sync Agreements” no 389 Console.
Habilitar a replicação marcando a opção “Sync new windows users” no 389 Console
Pré-requisitos
Sync Account
Replicação
Windows Sync Agreement
Iniciar a sincronização
dn: uid=alberto.viana,OU=GTI,OU=RNP-RJ,dc=rnp,dc=localobjectClass: topobjectClass: personobjectClass: organizationalpersonobjectClass: inetOrgPersonobjectClass: ntUserobjectClass: eduPersonobjectClass: brPersonobjectClass: schacPersonalCharacteristicsuid: alberto.vianacn: Alberto Vianasn: VianantUserDomainId: alberto.vianantUserCreateNewAccount: truentUserDeleteAccount: truegivenName: Albertodescription: Analista de TImail: [email protected]: 21 2102-9660userPassword:{SSHA}m8wR43asdsaqJTS/gZGuRoef9r860pBWZZ/l: Rio de Janeirost: Rio de JaneirophysicalDeliveryOfficeName: Rio de Janeiro
Exemplo LDIF
• 389 DS não replica unidades organizacionais• É necessário criar manualmente no 389 antes de iniciar
a sincronização• Se não criar a estrutura, os usuários não serão
replicados
Unidades Organizacionais
AD-DC-01
AD-DC-02
AD-DC-0X
389-DS-01
389-DS-02
Diagrama replicação
Diagrama da solução
dc01 dc02 dc03 dc04
dc05 dc06
Site RJ Site DF
Site CP
389DS Backup
RNP.LOCAL
389DS Principal
389 DS
Eduroam
CAFe
*Zimbra
*Wiki
*Adobe Connect
Active Directory
Eduroam
Polycom CMA
Acesso a rede da RNP
Servidor de Arquivos (DFS)
* Previsão futura de integração
Serviços integrados