Integrantes: Danilo Huberto Felipe Dantas Jorge Brasil José Leonardo Thiago Rodrigo 1

LDAP – Sua Origem O LDAP foi originalmente desenvolvido como um cliente para o X.500, que define o Protocolo de Acesso a Diretório (DAP) para os clientes usarem quando estiverem em contato com servidores de Diretório. O serviço de diretório pode ser visto como um banco de dados especializado que tem como característica marcante o suporte à grande quantidade de pesquisas. O DAP é um protocolo que roda sobre uma camada OSI completa, e precisa de uma quantidade significativa de recursos computacionais para ser executado. O LDAP roda diretamente sobre o TCP e fornece a maioria das funcionalidades do DAP, a um custo muito menor. O uso do LDAP, torna fácil o acesso ao Diretório X.500, mas ainda exige um serviço X.500 completo, para tornar os dados disponíveis aos vários clientes LDAP que estão sendo desenvolvidos.

LDAP – Sua Definição: LDAP (Lightweight Directory Access Protocol), ou seja Protocolo Leve de Acesso a Diretórios, é um protocolo que trabalha na camada de aplicação da pilha de protocolos TCP/IP, como por exemplo o SMTP, HTTP, FTP, TELNET e tantos outros, utilizado para acessar um serviço de Diretório. Atualmente vem se tornando um padrão, diversos programas já têm suporte ao LDAP. Livros de endereços, autenticação, armazenamento de certificados digitais e de chaves públicas, são alguns dos exemplos onde o LDAP já é amplamente utilizado.

Arquitetura Cliente/Servidor Definido pela RFC 2251 (LDAPv3 – 1997) Por ser descritivo é ideal para ser usado por: Aplicações diversas Ex: Sistema de cadastro de funcionários Sistema operacional Ex: Autenticação do usuário Serviços de rede Ex: Servidor de email

LDAP – Por que usá-lo? Integração entre sistemas Operacionais Interligação ( Windows , Linux, Unix , MacOS); Integração entre Serviços Serviços de e-mail, FTP , Web etc; Desempenho nas consultas: Desenvolvido com ênfase na leitura, ou seja, os dados serão lidos rapidamente por um número maior de consultas simultâneas; Difundido no mercado; Não requer hardware pesado para operações.

LDAP a evolução do DAP L de Leve, pois usa 3 camadas a menos que o X.500 resultando em menos processamento.

Características do OpenLDAP Funcionamento sobre IPV4 e IPV6; Leve e robusto; Suporte a vários backends(BDB,SQL,PASSWD); Suporte a múltiplas instâncias de dados; “Backup” feito através de réplicas; Suporte a SASL(Autenticação) e a TLS/SSL; Desenvolvido sob licença OpenLDAP Public License Altamente configurável, inclusive com ACL's Suporta conexões seguras através dos protocolos SASL, TLS ou SSL Suporta replicação (replicas), porém é single- master Permite a separação do DIT entre vários servidores (referrals) Suporta vários backends: BerkeleyDB, GDBM, LDAP (proxy), passwd, SQL, entre outros. Vasta API disponível: C/C++, Java, PHP, Perl, etc

A Segurança no LDAP Protegendo informações de acessos indevidos usamos: Autenticação nas diversas versões LDAP: só autenticação simples (texto aberto); LDAPv2: autenticação simples e pode utilizar Kerberos v4 e v5; LDAPv3,: utiliza framework, múltiplos mecanismos de autenticação. Transmissão de dados seguro (criptografia): Proporcionando: Autenticidade, Integridade e Criptografia de dados. Modelos de controle de acesso: Definindo direitos de acesso as informações do diretório para cada usuário ou grupo.

Otimizações do LDAP Tipos de otimizações: Replicação do serviço de diretórios  Visa o conceito de prover mecanismos de tolerância a falhas afim de manter o acesso as informações dos usuário sempre integra. Diretórios distribuídos  Visa o conceito de reduzir os pontos de falhas, além de prover menor consumo de banda e tempo quando uma consulta é realizada. O principal benefício é a possibilidade de redução de custos com hardware.

Funcionamento do LDAP O serviço de Diretório LDAP é baseado em um modelo cliente-servidor. Um ou mais servidores contêm os dados criando a árvore de Diretório. Um cliente LDAP conecta-se a um servidor e faz uma requisição. O servidor responde com a requisição, ou exibe um ponteiro para onde o cliente pode conseguir a informação (tipicamente, outro servidor LDAP). Podemos fazer uma comparação com o DNS, a diferença é que o servidor LDAP não faz buscas recursivas, ou seja, em nome do cliente. O cliente é encarregado de procurar pelo servidor até encontrar a informação desejada.

Implementações de servidores LDAP: Netscape LDAP Server; Fedora Directory Server; Sun ONE Directory Server; Microsoft Active Directory; Novell eDirectory; OpenLDAP.

Exemplos de aplicações Servidores diversos; Domínio; Sendmail; Qmail; SAMBA; POP 3 / IMAP; Clientes de Email; Evolution; Sistemas de autenticação (Linux, Windows, etc); Aplicações diversas.

Schemas Conjunto de “regras” integradas ao diretório; Regras que determinam qual o tipo de dados e como esses dados serão armazenados na base; Essas “regras” são compostas de Atributos e ObjectClasses; Cada aplicação integrada ao OpenLDAP pode ter o próprio schema com seus próprios requisitos (Ex: SAMBA - samba.schema);

DN – Distinguished Name ● São nomes distintos que identificam cada entrada na base; ● A utilização de dn é importante para referenciar itens da base, adicionando, alterando ou removendo itens da base, como atributos e até mesmo entradas; ● São utilizados nos arquivos LDIF e na autenticação de usuários. Ex: dn:cn=danilo,ou=palestrantes,dc=servidoldap,dc=com

Conclusões Protocolo leve  Não necessita de muitos recursos computacionais; Padrão aberto  É possível a construção de produtos para várias plataformas (OpenLDAP); Expansível  Podem ser adicionadas novas funcionalidades para atender às necessidades dos serviços de diretório e de segurança (framework SASL); Integração  Com diversos Serviços

Exemplo de Integrações: Proftpd pam_ldap (autenticação local)

Agora vamos mostrar o passo a passo para configurar um servidor Openldap, com o objetivo de centralizar autenticações a um domínio, autenticado no banco de dados do Openldap.