OpenLDAP: a chave é a centralização

Este artigo tem por finalidade apresentar os conceitos básicos do OpenLDAP afim de despertar o interesse dos leitores para essa poderosa ferramenta, estimulando-os a buscar mais conhecimento sobre o assunto e posteriormente colocá-lo em prática. Aqui serão mostradas as características do OpenLDAP e seu funcionamento, passando por conceitos como serviço de diretórios, origem, aplicações e segurança.

[ Hits: 109.671 ]

Por: Jaime Ribeiro Junior em 11/12/2008


OpenLDAP e a segurança



Com a base de dados centralizada a atenção para segurança em volta das informações contidas no SLDAP deve ser multiplicada, pois a quebra de seu sigilo se tornará muito mais crítica, pois ao se descobrir um login e senha o intruso terá acesso a tudo que for permitido ao usuário X acessar, ressaltando que ele pode fazer isto de qualquer ponto da rede.

Um dos recursos providos pelo OpenLDAP é seu vinculo com softwares de criptografia, provendo um nível a mais na segurança da transmissão. O OpenSSL quando integrado faz com que o OpenLDAP passe a transmitir dados criptografados, onde chaves criptográficas e certificações digitais podem ser configuradas pelo administrador do sistema.

O OpenSSL, como o OpenLDAP, é multiplataforma e já vem instalado em algumas distribuições Linux além de poder ser facilmente encontrado em repositórios.

Pode-se implementar chaves criptográficas para proteger as informações mais importes como senhas e informações críticas, criptografando os dados para armazenamento. É importante ressaltar que dados criptografados sempre que utilizados é necessário decriptá-los, isso faz com que a resposta ao solicitante seja mais demorada por isso para melhor desempenho não convém criptografar todo o banco de dados.

Outro recurso de suma importância para a proteção de qualquer rede é a utilização de políticas de segurança, as quais o administrador cria regras a serem seguidas pelos usuários tais como: proibição da divulgação de senhas, além de nunca deixar dados pessoais salvos em locais publicamente acessíveis dentro outras muitas outras ações que podem ser citadas, como prover pequenos cursos nesse sentido.

A troca de senhas periodicamente também é uma prática importante. O OpenLDAP pode ser configurado para fazer com que uma senha seja espirada de tempo em temos, 15 em 15 dias por exemplo, onde sempre haverá uma rotatividade de senhas.

O administrador deve monitorar a acessos e ações dos usuários a fim de se certificar que estão cumprindo a política de segurança e restringir acessos a locais externos inseguros, pensando inclusive em seus possíveis deslizes.

Uma atividade indispensável que deve ser feita tanto na configuração inicial como durante a utilização, é a criação da política de acessos. Deve-se exigir que o usuário se identifique através de login e senha para ter acesso a base de dados e definir o nível de acesso dos usuários.

Definir quem pode acessar o que é de suma importância para uma manutenção segura onde por exemplo não há necessidade de uma funcionário da recepção saber informações sobre a contabilidade. O OpenLDAP provem o controle de acesso através das ACLs (Access Control List - Listas de Controle de Acesso, que deverão ser definidas e configuradas pelo administrador do sistema.

Segurança envolve mais do que do simplesmente manter os dados a salvo de acessos não autorizados. É também assegurar que eles não serão perdidos por alguma eventualidade, entre os mais variados defeitos de software e hardware, isso porque atualmente as informações são o coração das maiorias das empresas e na falta delas, elas simplesmente param.

A primeira preocupação é a utilização de uma rede elétrica e de dados confiável elaboradas de forma estruturada. Outro ponto imprescindível é a utilização de equipamento de hardware confiáveis, diminuindo o risco da ocorrência de defeitos. A utilização de backups é sempre necessário, ele pode ser feito de várias maneiras, como manualmente e através de um RAID.

Na forma manual o administrador deverá fazer a cópia dos dados armazenando-os em um local seguro. O RAID (Redundant Array of Independent Disks - Matriz Redundante de Discos Independentes), de acordo com Alecrim (2004, doc. eletrônico) "É um conjunto de HDs que funcionam como se fossem um só. Isso permite ter uma tolerância alta contra falhas, pois se um disco tiver problemas, os demais continuam funcionando, disponibilizando os dados".

O RAID é dividido em seis níveis. Para fazer um backup de forma automática é preciso a utilização do nível um, que consiste em dois HDs trabalhando juntos.

A informação gravada no primeiro HD também será gravada no segundo onde, na falta do primeiro o secundário continuara funcionando no seu lugar.

Replicação de Base

Visando a segurança dos dados, podemos enxergar mais um nível o de garantir que o serviço nuca pare de funcionar, a menos que solicitado pelo administrador.

Iremos passa de forma rápida por mais um conceito, o que é Cluster, ele é um aglomerado de computadores conectados, para melhor desempenho, via rede de alta velocidades, que trabalham juntos para oferecer melhor processamento ou continuidade continua de serviços. Um cluster pode chegar ao nível de processamento de dados em nível de mainframes, hoje os principais servidores de internet do mundo usam clusters. Os cluster possuem diversas aplicações, as principais são:
  • Beowulf (Processamento Paralelo): os computadores compartilham os processos e assim processando-os mais rápido, priorizando o desempenho de processamento.
  • Balanceamento de carga: distribui os processos entre os computadores de forma a não deixar nenhum sobrecarregado.
  • Alta disponibilidade: são usados em sistemas que não podem parar de funcionar, trabalham mantendo um servidor primário e outro secundário, se necessário um terceiro e assim por diante, quando o primário para de funcionar ele coloca o secundário no lugar.
  • Combo: é a junção do cluster de balanceamento de carga e do de alta disponibilidade, claro que se temos 2 computadores trabalhando no modo de balanceamento de carga teremos que ter 2 de "reserva" para assumir seu lugar e assim consecutivamente.

Os clusters podem ser usados de duas maneiras com o nosso servidor LDAP a principal é a de alta disponibilidade para que se garanta que o serviço não irá parar. Se por um acaso o servidor tenha que atender uma rede que exija tal ferramenta pode-se usar um cluster combo.

Implica-se para que o servidor reserva continue servido a rede conforme o primário, que os dados nos dois sejam iguais, e é aí que entra a replicação de base. A mesma realiza uma clonagem imediata de todo dado gravado no primário para secundário, gerando uma réplica do nosso SLDAP. Servidores que não trazem com sigo o software de réplica podem usar softwares de terceiro como o DRBD, CODA ou RSYNC, mas o OpenLDAP trás em seu pacote o Slurpd e em versões mais recentes o Syncrepl. Os dois tem a mesma finalidade contudo o syncrepl é mais versátil e possui mais opções.

Para que o cluster de alta disponibilidade trabalhe de maneira correta precisamos de programas auxiliares como o Headerbeat que monitora se o servidor primário esta funcionando e avisa imediatamente ao secundário se o primeiro falhar, isso em nível de hardware, e também temos o Mon que coloca o secundário em prática bastando apenas que o serviço pare. Imagine que o serviço de diretório pare por problemas de inconsistência no software, se você não estiver utilizando o Mon o servidor secundário não será ativado visto que o primário ainda está conectado na rede.

No caso de diretórios distribuídos tem que ser feito um cluster em cada um, pois o cluster não assume a forma de Servidos de Diretórios distribuídos, visto que ele irá assumir a forma de um único sistema processado mais de uma maquina.

Com o servidor de réplica devidamente configurado ficará muito difícil que o serviço pare, garantindo mais este nível de segurança em nosso SLDAP( Servidor LDAP).

Página anterior     Próxima página

Páginas do artigo
   1. Sumário + resumo
   2. Introdução
   3. O que é um diretório, onde ele é aplicado
   4. Do X.500 ao OpenLDAP
   5. O OpenLDAP e a centralização
   6. OpenLDAP e a segurança
   7. Considerações finais + Referências
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Aprendendo a linguagem Python - parte II

Outro método (rápido/fácil) de instalação e configuração do gdesklets no Slackware 10

Rastrear e recuperar seu PC ou notebook roubado

LTSP - Linux Terminal Service

Criando um servidor de impressão para residências e pequenas empresas com Linux

  
Comentários
[1] Comentário enviado por dfsantos em 11/12/2008 - 14:07h

Primeiramente queria parabeniza-lo pelo artigo de otima qualidade e agradecer por ter separado umas horas para fazer esse trabalho de qualidade incontestavel em favor da comunidade. Possuo o livro do Clonil Trigo e estou estudando para exame da LPI exame 301 que aborda o OPENLDAP e concerteza foi muito dificil achar material de qualidade como esse na internet... parabens pelo trabalho e mais uma vez agradeço o esforço em compartilhar seu conhecimento conosco.

Em relação ao a "porem há poucos profissionais no mercado que o dominam. " estarei me empenhando nos estudos para fazer parte destes e assim poder contribuir para que esse numero de profissionais aumente....

[2] Comentário enviado por jaimejr1987 em 11/12/2008 - 14:39h

Obrigado, pelo comentario, quero sempre estar trablhando afim de espor as qualidades das ferramentas livres de alto peso como está.

[3] Comentário enviado por info24hs em 11/12/2008 - 17:28h

Cara não muito bom teu artigo, ja tinha visto esse nome na internet mas não tinha lido sobre, com esse artigo entendi perfeitamente oque significa esse recurso. vou tentar implementar aqui, valeu e parabens!

[4] Comentário enviado por joserribeirojuni em 11/12/2008 - 18:08h

Muito bom esse artigo parabéns !

[5] Comentário enviado por oseasfr em 11/12/2008 - 20:50h

Artigo de qualidade. Parabéns Jayme Jr.

[6] Comentário enviado por rrinfor em 12/12/2008 - 08:55h

Ótimo artigo! trabalho 4 anos com informática, e 3 especificamente com Linux, mas so ouvia falar rapidamente do OpenLDAP, mas ja li o bastante no seu artigo para me interessar e aprender mais sobre ele.

Abraços

[7] Comentário enviado por removido em 13/12/2008 - 12:24h

Excelente... parabéns e continue com artigos desse nível... a comunidade agradece!!!
Se possível, seria interessante um artigo mostrando a parte técnica do OpenLDAP.
Imagino que um OpenLDAP rodando com PostgreSQL 8.3 com replicação de dados seja uma façanha bem interessante pra se testar.
Se eu conseguir algo nessa aventura, postarei um artigo aqui explicando e detalhando os passos de como montar um ambiente deste tipo.
Valeu!!!

[8] Comentário enviado por Mallakka em 26/02/2009 - 11:47h

Jaime,

parabéns pelo ótimo trabalho.
Gostaria de saber, se não for problema, se você teria mais algum material falando sobre OpenLDAP, Samba ou Active Directory. Se o material for seu melhor ainda porque já vi a qualidade dos mesmos =). Estou fazendo um trabalho abordando justamente esses temas, qualquer coisa pode me enviar um email.

Valeu !!!

[9] Comentário enviado por jrosalino em 07/04/2009 - 14:07h

Muito bom o texto, me ajudou a conhecer melhor o LDAP. Mas tenho uma dúvida, o servidor LDAP da minha empresa está instalado em servidor linux utilizando MySQL e temos uma aplicaçao em Visual Basic 6 no windows XP que terá que acessa-lo. A conexão com a fonte de dados necessita de um driver? se necessitar seria qual tipo?

Obrigado

[10] Comentário enviado por jaimejr1987 em 07/04/2009 - 18:36h

ok, vamos entender melhor o assunto... O seu aplicativo VB6 vai acessar a base LDAP diretamente?.... ex: Um servidor de dominio + servidor FTP + Programa de gerencia como o nagios que utiliza a base LDAP para altenticação... Todos esses serviços utizão apenas a base LDAP para buscar nomes de usuario e senha alem de endereço e telefone do usuario. Bem no exemplo acima o uma estação windows xp vai usar o dominio samba, ou seja ele vai utilizar o samba e não o ldap, quem usa o ldap é o samba, o ftp da mesma forma o usuario vai utilizar o ftp não o ldap diretamente pois é o servidor ftp que vai utilizar o ldap e da mesma forma ao fazer um acesso remoto e utilizar um software de gerenciamento via browser vc vai utilizar o software que por sua vez usa o ldap. Bem estou estou querendo chegar no seguinte... Lenbra o que é um SCHEMA bem... todos os softwares acima precisão do seu para poder acessar a base ldap, da mesma forma o software feito em VB vai precisar... a parte do mySQL já ta configurada no ldap ok... se vc ta querendo acessar um dado como login e senha e utiliza-lo para fazer a autenticação no seu software VB6 vc vai precisar de um SCHEMA para ele, se vc estiver querendo acessar informações no BD do LDAP como telefone e endereço, alem da linha de comando existem softwares que faz isso pra vc.... ok... bem... não sei se existe algum SCHEMA para um aplicação VB6, mas vc pode criar um. Ps: não sei criar SQUEMAS utilizo os que já existem... pois aplicações como as que citei acima já tem SCHEMAS prontos na net.... criar um SCHEMA não é facil. Mas vc pode tentar. A parte do dirver seria para que seu software VB6 utiliza-se o My SQL, mas pelo que eu entendi vc que usar a base LDAP que esta utilizando o MySQL para ser armazenada, ou seja como nos exemplos acima hehe... vc vai utilizar é o ldap não o MySQL diretamente... que precisa se comunciar com o MySQL é o LDAP. Ou seja se for isso que eu entendi que vc ta querendo vc vai presisar de um SCHEMA para seu software alem de fazer um acesso na Base ldap remotamente pela rede. Existem algumas configurações de vairam de software para software que deve ser feita no proprio software para usar o LDAP, ex o Samba de ser configurado para usar a base LDAP ao em ves da padão.

Espero ter ajudado, mas se não for essa sua duvida posta outro comentaria explicando melhor a situação

até

by JaimeJR

[11] Comentário enviado por jaimejr1987 em 07/04/2009 - 18:42h

A como na informatica tudo gira e nuca para... caso vc consiga descobrir um geito de acessar a base LDAP pelo seu programa VB6 de outra forma poste aki Ok.

[12] Comentário enviado por jrosalino em 08/04/2009 - 16:50h

Obrigado jaime, eu vou verificar exatemente a condição do LDAP com os gestores para passar informação melhor detalhada. Se conseguir acessar pelo VB6 postarei a forma sim. \(^o^)/

[13] Comentário enviado por lucfab em 21/04/2010 - 15:45h

Parabens Jayme pelo seu Artigo, Será que vc poderia me dar uma dicas de replicação de bases LDAP (Master/Slave), Obrigado Luciano S.


Contribuir com comentário