A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

389 Directory Service Active Directory Integração de bases LDAP.

Apresentações semelhantes


Apresentação em tema: "389 Directory Service Active Directory Integração de bases LDAP."— Transcrição da apresentação:

1 389 Directory Service Active Directory Integração de bases LDAP

2 Servidores de diretório Características gerais da RNP Problemas anteriores ao Projeto Objetivo do Projeto Características e arquitetura do 389 DS 389 Console Sincronização com o Active Directory Solução adotada pela RNP Agenda

3 Um servidor de diretório fornece um serviço de diretório centralizado para sua intranet, rede e informações extranet. Ele se integra com os sistemas existentes e age como um repositório centralizado para a consolidação das informações do cliente, empregado, fornecedor e parceiro. Servidor de diretório

4 RNP RJDFCPExternos Três sites geograficamente dispersos. Estações de trabalho e notebooks Windows. Servidores Linux, Windows e BSD. Serviços operando em plataformas de código aberto e fechado. Características da RNP

5 Cada site tinha seu próprio domínio Não existia relação de confiança entre eles Contas de rede eram duplicadas Grande esforço administrativo Dificuldade de implementar políticas de segurança Dificuldade de padronização Dificuldade de integração com os serviços Problemas anteriores

6 Ponto central de administraçãoAlta disponibilidade e resiliênciaServiço de diretório centralizadoPouco esforço administrativoFacilidade de implementar políticasFacilidade de padronizaçãoFacilidade de integração com os serviços Objetivos

7 PrósContras PadronizaçãoPolíticasOperacionalIntegraçãoSeguroCustoFlexível Failover cluster da Microsoft não é compatível Demanda maior da equipe de suporte para os clientes Windows OpenLdap + Samba

8 PrósContras CAFeSegurançaFlexibilidadeCustoSeguroOperacionalPadronizaçãoAlta disponibilidade Não implementa o protocolo X.500 de acordo com sua RFC, o que pode comprometer sua integração com os serviços baseados em LDAP Suportado somente no Windows Active Directory

9 X Qual é o melhor cenário ?

10 + PrósContras SeguroOperacionalPadronizaçãoAlta disponibilidadeComplexidadeCusto 389DS & Active Directory

11 Replicação Multi-Master, para fornecer tolerância a falhas e desempenho de gravação de alta performance. Autenticação segura e transporte (SSLv3, TLSv1, e SASL) Suporte para LDAPv3 Console gráfico para todas as operações do usuário, grupo e gerenciamento de servidores. Vasta documentação, incluindo instalação e guias de implantação Escalabilidade: milhares de operações por segundo Sincronização de usuários do Active Directory e grupos Características do 389DS

12 Core do Servidor Gerência comunicação cliente/servidor Implementa os daemons Suporta TLSMulti-thread nativo Plug-ins Funcionalidades fora do escopo do core Politicas de senhaValidação de dados Operações estendidas (LDAP V3) Árvore básica do diretório DIT (Directory Information Tree) cn=config (configuração interna do servidor) O=NetscapeRoot (configuração de outros tipos de servidores Netscape) Banco de dados Gerência a camada de persistência Implementa índices, transações e todas as funcionalidades otimizadas para um Servidor de Diretorio. Funções de alto nível como otimização de consultas, execução de consultas, backup e restore, etc.... Arquitetura

13 Directory Server É o daemon do 389 DSImplementa LDAP v3 Implementa administração por linha de comando Directory Server Console É a interface com o usuário do 389 DS Engloba todos os aspectos de gerenciamento Permite criar usuários, grupos e unidades organizacionais Políticas de senha Visualização de logs de replicação Admin Server É o agente de administração do Directory Server Funciona com um servidor web Interface entre o Console de administração e o Core Componentes

14 Console baseado em Java Servidor de administração (webserver) Servidor LDAP Conexão SSL/TLS Console / Linha de comando Componentes

15 389 Console

16

17 Sincronização de usuários Sincronização de grupos Sincronização de senhas de usuário Sincronização bidirecional ( Inbound e Outbound ) Comunicação via LDAP seguro com o Active Directory Sincroniza as senhas por uma conexão LDAP SSL (Necessita de PKI) Necessita de um serviço instalado em todos os controladores de domínio. Active Directory Sync

18 Criar Sync Account Criar replicação Criar Windows Sync Agreement Iniciar o Sync

19 Infraestrutura de chaves publicas e privadasPassSync em todos os controladores de domínio Importar os certificados e o CA em todos os controladores de domínio Um usuário com permissões adequadas no Active DirectoryCriar o Sync Agreements no 389 Console. Habilitar a replicação marcando a opção Sync new windows users no 389 Console Pré-requisitos

20 Sync Account

21 Replicação

22 Windows Sync Agreement

23 Iniciar a sincronização

24 dn: uid=alberto.viana,OU=GTI,OU=RNP-RJ,dc=rnp,dc=local objectClass: top objectClass: person objectClass: organizationalperson objectClass: inetOrgPerson objectClass: ntUser objectClass: eduPerson objectClass: brPerson objectClass: schacPersonalCharacteristics uid: alberto.viana cn: Alberto Viana sn: Viana ntUserDomainId: alberto.viana ntUserCreateNewAccount: true ntUserDeleteAccount: true givenName: Alberto description: Analista de TI mail: telephoneNumber: userPassword:{SSHA}m8wR43asdsaqJTS/gZGuRoef9r860pBWZZ/ l: Rio de Janeiro st: Rio de Janeiro physicalDeliveryOfficeName: Rio de Janeiro Exemplo LDIF

25 389 DS não replica unidades organizacionais É necessário criar manualmente no 389 antes de iniciar a sincronização Se não criar a estrutura, os usuários não serão replicados Unidades Organizacionais

26 AD-DC-01 AD-DC-02 AD-DC-0X 389-DS DS-02 Diagrama replicação

27 Diagrama da solução dc01 dc02 dc03 dc04 dc05 dc06 Site RJ Site DF Site CP 389DS Backup RNP.LOCAL 389DS Principal

28 389 DS EduroamCAFe*Zimbra*Wiki*Adobe Connect Active Directory EduroamPolycom CMAAcesso a rede da RNP Servidor de Arquivos (DFS) * Previsão futura de integração Serviços integrados

29 1 Rodrigo Azevedo


Carregar ppt "389 Directory Service Active Directory Integração de bases LDAP."

Apresentações semelhantes


Anúncios Google