389 Directory Service Active Directory Integração de bases LDAP
Agenda Servidores de diretório Características gerais da RNP Problemas anteriores ao Projeto Objetivo do Projeto Características e arquitetura do 389 DS 389 Console Sincronização com o Active Directory Solução adotada pela RNP
Servidor de diretório Um servidor de diretório fornece um serviço de diretório centralizado para sua intranet, rede e informações extranet. Ele se integra com os sistemas existentes e age como um repositório centralizado para a consolidação das informações do cliente, empregado, fornecedor e parceiro.
RNP Características da RNP Três sites geograficamente dispersos. Estações de trabalho e notebooks Windows. Servidores Linux, Windows e BSD. Serviços operando em plataformas de código aberto e fechado. RNP RJ DF CP Externos
Problemas anteriores Cada site tinha seu próprio domínio Não existia relação de confiança entre eles Contas de rede eram duplicadas Grande esforço administrativo Dificuldade de implementar políticas de segurança Dificuldade de padronização Dificuldade de integração com os serviços
Objetivos Ponto central de administração Alta disponibilidade e resiliência Serviço de diretório centralizado Pouco esforço administrativo Facilidade de implementar políticas Facilidade de padronização Facilidade de integração com os serviços
OpenLdap + Samba Failover cluster da Microsoft não é compatível Demanda maior da equipe de suporte para os clientes Windows Prós Seguro Custo Flexível Contras Padronização Políticas Operacional Integração
Active Directory Prós Contras Não implementa o protocolo X.500 de acordo com sua RFC, o que pode comprometer sua integração com os serviços baseados em LDAP Suportado somente no Windows Prós Contras CAFe Segurança Flexibilidade Custo Seguro Operacional Padronização Alta disponibilidade
Qual é o melhor cenário ? X
389DS & Active Directory + Prós Seguro Operacional Padronização Alta disponibilidade Contras Complexidade Custo
Características do 389DS Replicação Multi-Master, para fornecer tolerância a falhas e desempenho de gravação de alta performance. Autenticação segura e transporte (SSLv3, TLSv1, e SASL) Suporte para LDAPv3 Console gráfico para todas as operações do usuário, grupo e gerenciamento de servidores. Vasta documentação, incluindo instalação e guias de implantação Escalabilidade: milhares de operações por segundo Sincronização de usuários do Active Directory e grupos
Arquitetura Core do Servidor Plug-ins Árvore básica do diretório Gerência comunicação cliente/servidor Implementa os daemons Suporta TLS Multi-thread nativo Plug-ins Funcionalidades fora do escopo do core Politicas de senha Validação de dados Operações estendidas (LDAP V3) Árvore básica do diretório DIT (Directory Information Tree) cn=config (configuração interna do servidor) O=NetscapeRoot (configuração de outros tipos de servidores Netscape) Banco de dados Gerência a camada de persistência Implementa índices, transações e todas as funcionalidades otimizadas para um Servidor de Diretorio. Funções de alto nível como otimização de consultas, execução de consultas, backup e restore, etc ....
Componentes Directory Server É o daemon do 389 DS Implementa LDAP v3 Implementa administração por linha de comando Directory Server Console É a interface com o usuário do 389 DS Engloba todos os aspectos de gerenciamento Permite criar usuários, grupos e unidades organizacionais Políticas de senha Visualização de logs de replicação Admin Server É o agente de administração do Directory Server Funciona com um servidor web Interface entre o Console de administração e o Core
Componentes Console baseado em Java Servidor de administração (webserver) Servidor LDAP Conexão SSL/TLS Console / Linha de comando
389 Console
389 Console
Active Directory Sync Sincronização de usuários Sincronização de grupos Sincronização de senhas de usuário Sincronização bidirecional ( Inbound e Outbound ) Comunicação via LDAP seguro com o Active Directory Sincroniza as senhas por uma conexão LDAP SSL (Necessita de PKI) Necessita de um serviço instalado em todos os controladores de domínio.
Criar Windows Sync Agreement Active Directory Sync Criar Sync Account Criar replicação Criar Windows Sync Agreement Iniciar o Sync
Pré-requisitos Infraestrutura de chaves publicas e privadas PassSync em todos os controladores de domínio Importar os certificados e o CA em todos os controladores de domínio Um usuário com permissões adequadas no Active Directory Criar o “Sync Agreements” no 389 Console. Habilitar a replicação marcando a opção “Sync new windows users” no 389 Console
Sync Account
Replicação
Windows Sync Agreement
Iniciar a sincronização
Exemplo LDIF dn: uid=alberto.viana,OU=GTI,OU=RNP-RJ,dc=rnp,dc=local objectClass: top objectClass: person objectClass: organizationalperson objectClass: inetOrgPerson objectClass: ntUser objectClass: eduPerson objectClass: brPerson objectClass: schacPersonalCharacteristics uid: alberto.viana cn: Alberto Viana sn: Viana ntUserDomainId: alberto.viana ntUserCreateNewAccount: true ntUserDeleteAccount: true givenName: Alberto description: Analista de TI mail: alberto.viana@rnp.br telephoneNumber: 21 2102-9660 userPassword:{SSHA}m8wR43asdsaqJTS/gZGuRoef9r860pBWZZ/ l: Rio de Janeiro st: Rio de Janeiro physicalDeliveryOfficeName: Rio de Janeiro
Unidades Organizacionais 389 DS não replica unidades organizacionais É necessário criar manualmente no 389 antes de iniciar a sincronização Se não criar a estrutura, os usuários não serão replicados
Diagrama replicação AD-DC-01 389-DS-01 AD-DC-02 389-DS-02 AD-DC-0X
Diagrama da solução Site RJ Site DF Site CP RNP.LOCAL 389DS Backup dc01 dc02 dc03 dc04 389DS Backup 389DS Principal RNP.LOCAL dc05 dc06 Site RJ Site DF Site CP
Servidor de Arquivos (DFS) Serviços integrados 389 DS Eduroam CAFe *Zimbra *Wiki *Adobe Connect Active Directory Polycom CMA Acesso a rede da RNP Servidor de Arquivos (DFS) * Previsão futura de integração
Rodrigo Azevedo rodrigo.azevedo@rnp.br