LDAP+SSO

SUPORTE TÉCNICO

COMPARTILHAMENTO DE ARQUIVOS● Arquivos locais

o Sistemas Operacionalo HDs, DVD, PenDrive, SSD...

COMPARTILHAMENTO DE ARQUIVOS● Principal função da rede: Compartilhar recursos● Compartilhar recursos:

o Arquivoso Impressoras

AUTENTICAÇÃO CENTRALIZADA● Diversos aplicativos necessitam autenticação● Cada aplicativo pode ter um tipo diferente de autenticação● Ambiente heterrogêneo● Ideal para ambiente coorporativo● Centralização● Segurança● Organização

AUTENTICAÇÃO CENTRALIZADA● Cenário com diversas aplicações

AUTENTICAÇÃO CENTRALIZADA● OpenLDAP, Samba, AD

DIRETÓRIO● Armazenar informações de forma hierárquica com o objetivo de facilitar a

busca e a recuperação dessas informações● Centralização● Catálogo de informações

DIRETÓRIO● Otimizado para leitura● Hierárquico● Organiza as informações● Capacidades avançadas de consulta

X.500 DAP● Serviço de Diretórios de Rede ou Serviço de Informação Corporativa● Monitoramento de todos os nomes, perfis, email e endereço de cada host.● X.500 DAP (Directory Access Protocol)● Baseado no OSI● Difícil implementação● Aplicações complexas e lentas

LDAP● Lightweight Directory Access Protocol● Ajuste para arquitetura TCP/IP● Leve● Simples implementação● Cliente-servidor● Porta 389 e 636

LDAP● Organização de forma hierárquica● Busca a partir do nó raiz● Cada registro possui um identificador único

LDAP● Estrutura desenvolvida para representar organizações ou limites geográficos

LDAP● Outras entradas podem existir representando os estados

LDAP● Estrutura geográfica e organizacional

dc=mav

LDAP● Identificação do nó através do DN (Distinguied Name)● Nome único em toda árvore● DN de Iuri da árvore anterior:

o cn=Iuri,ou=rh,o=cefet,st=MG,c=br● Lembrem da regra Highlander:

o No final só pode existir um

LDAP● Atributos

Entrada Significadoc Country - Paíso OrganizationName - Organizaçãoou OrganizationUnir - Unidade Organizacionalcn CommonName - Nome Comumuid UserID - Identificação do usuáriogn givenName - Nomedc DomainComponent - Componente de domínio

LDAP● Modelo bastante utilizado, estilo DNS

dc=mav

LDAP● DN de Iuri no exemplo anterior:

o uid=iuri,ou=Usuários,dc=mav,dc=com,dc=br

LDAP● O que pode ser inserido numa base LDAP?

o Tudo*● O que deve ser inserido numa base LDAP?

o Nem tudo é pertinenteo Armazenar recursos de rede

LDAP● Schema

o define estrutura de entradas e atributoso Padrão para descrever a estrutura dos objetos

OPENLDAP● Open Lightweight Directory Access Protocol● Leve e robusto● Suporta diversos Backends● Fácil backup● Replicação● Segurança● Define forma de funcionamento de um serviço de diretórios● Suporte a TLS/SSL

ACTIVE DIRECTORY● Implementação LDAP Microsoft● A partir do Windows 2000● Gerenciamento centralizado de recursos● Redução de complexidade● Muito utilizado nas empresas● GPO

DOMÍNIOS● Limite administrativo:

o Administrador tem permissões de acesso em todos os recursos do domínio.● Limite de segurança:

o Cada domínio tem definições de políticas de segurança que se aplicam às contas do usuário e demais recursos dentro do domínio.

● Agrupamento lógico de contas e recursos com políticas de segurança.

DOMÍNIOS● 2 tipos de servidores:

o Controladores de Domínio (Domain Controller - DC);o Servidores Membros (Member Servers).

● Alterações em um domínio serão replicadas automaticamente para outros DC’s.● São endereçados através do DNS;● Em um domínio todos os DC’s compartilham uma lista de usuários, grupos e

políticas de segurança;

DOMÍNIOS● Exemplo AD

DOMÍNIOS● Principais componentes

o Contas de usuários, computadores e grupos de usuários;o É possível bloquear a criação de usuários nas estações de trabalho utilizando o

recurso de GPO;o Usuários em um grupo podem ser modificados de lugar;o Grupos são uma coleção de contas de usuários;o Os membros de um grupo herdam as permissões atribuídas ao grupo;o Os usuários podem ser membros de outros grupos;o Grupos podem ser membros de outros grupos

GPO● Group Policy - Diretivas de grupo● Conjunto de regras que controlam o ambiente de trabalho● Se aplica a usuários e computadores do domínio● Gerenciamento centralizado de restrições de usuários● Conflito entre usuário e computador

o Prevalece o usuário

GPO● Itens normalmente tem 3 valores

o Enableo Disableo Not Configured

● Conflito entre usuário e computadoro Prevalece o usuário

● Hierarquiao Siteso Domínioso OU

GPO● Exemplos de GPOs

o Desabilitar o prompto Desabilitar acesso ao painel de controleo Desabilitar montagem de pen-driveo Definir browser padrãoo Desabilitar download de arquivo executávelo Diversas outras opções

WINDOWS SERVER 2008● Hands on● Vamos realizar a instalação em conjunto● Vamos criar um domínio de teste● Vamos realizar a integração dos usuários entre o AD e Mav 5● Vamos testar a autenticação dos usuários através do Mav

CONSULTAS NA BASE DE DADOS● Nem sempre teremos acesso ao servidor Windows● Utilizaremos a ferramenta: ldapsearch para consultas● Faz parte do pacote ldap-utils.● Sintaxe:

● ldapsearch Parâmetros● Parâmetros:

● -w – utiliza a senha passada em linha de comando● -D - DN utilizado na consulta● -b - Base utilizada na consulta● -h - Endereço IP do Servidor OpenLDAP● ObjectClass – Tipo de objeto● campo - Campo retornado

CONSULTAS NA BASE DE DADOS● Exemplo:

● ldapsearch -W -D CN=Administrator,CN=Users,DC=iuri,DC=mav,DC=com,DC=br -b 'DC=iuri,DC=mav,DC=com,DC=br' -h 10.128.20.48 "(objectClass=Person)" mail

E O MAV?● Utiliza a base de usuários já existente no AD para realizar a integração● Toda autenticação é realizada pelo servidor AD● Mav realiza apenas a consulta

CONFIGURAÇÃO NO MAV● O Mav necessita de algumas informações para realizar a integração com o AD

● Esquema LDAP● Define o tipo de LDAP a ser integrado

● Grupo de Entrada● Define o grupo de usuários que contém os usuários que farão parte do Mav

● Base DN● Define a base de pequise dos usuários do “Grupo de entrada”

● Domínio do Diretório● Define o domínio a ser utilizado

● Campo de E-mail● Define o campo utilizado para ser utilizado para login do usuário

CONFIGURAÇÃO NO MAV● O Mav necessita de algumas informações para realizar a integração com o AD

● Host● Define o endereço do servidor LDAP

● Porta● Define a porta do servidor LDAP

● Usuário● Define o usuário que tem a autorização para realizar a busca

● Senha● Define a senha do usuário

SSO● O Single Sign-on é definido como um único ponto de entrada, ou seja, necessita

a autenticação apenas uma única vez. Isso permite acesso automaticamente a sistemas sem a necessidade de digitar login e senha em cada sistema

● Mav● Permite que o usuário após realizar o login na estação de trabalho não necessite

autenticar novamente no Mav para realizar o acesso a Internet● Configuração no Mav:

● Seguir o documento exposto na Wiki: http://wiki.mav.com.br/wiki/index.php/Ativar_o_SSO_e_acesso_ao_MWS_via_Terminal_Service