Post on 22-Apr-2015
SINGLE SIGNONSITUAÇÃO ATUAL
● Várias bases● Nome● Senha● Autorização
● Mais de uma identificação● Vários métodos● Falta padronização● Dificuldade de atualização● Senhas fracas
SINGLE SIGNONIDENTIFICAÇÃO/AUTENTICAÇÃO
Cliente
Nome e senha
Autentica Base de senha
SINGLE SIGNONIDENTIFICAÇÃO/AUTENTICAÇÃO
Cliente
Nome e senha
AutenticaBase de senhae autorizações
Pede autorizações
Informa autorizações
SINGLE SIGNONIDENTIFICAÇÃO/AUTENTICAÇÃO
Cliente
Nome e senha
Autentica Base de senha
Pede autorizações
Informa autorizações
Base de autorizações
SINGLE SIGNONSERVIÇO DE DIRETÓRIO
● Banco de dados● Otimizado para leitura● Hierárquico
●Árvore ●Sub-árvore
● X500
SINGLE SIGNONLDAP - Lighweight Directory Access Protocol
SINGLE SIGNONLDAP - Lighweight Directory Access Protocol
Livres:● OpenLdap● JavaLdap
Comerciais:● Computer Associates eTrust● Novell NDS eDirectory● Netscape Directory Server● Ex Innosoft Directory Services● Microsoft Active Directory● Sun ONE Directory Server● Oracle Internet Directory● CP[tm] Directory Server de Critical Path● VDE Directory Server Express de OctetString● Ophelion de Syntegra (orienté ISP et opérateurs télécom)● Global Directory Meta Edition, annuaire X500 et LDAP v3 de Syntegra● IBM Directory Server
SINGLE SIGNONLDAP - Lighweight Directory Access Protocol
● Identificação/autenticação● Autorização● Livro de endereços● Dns● Outros
SINGLE SIGNONLDAP - Lighweight Directory Access Protocol
● Classes de objetos●Atributos obrigatórios●Atributos opcionais
●Esquema●Classes de objetos e atributos para uma aplicação
SINGLE SIGNONKERBEROS - Protocolo de autenticação em rede
SINGLE SIGNONKERBEROS - Protocolo de autenticação em rede
SINGLE SIGNONKERBEROS - Protocolo de autenticação em rede
KDC FILHOMASTER
KDC PAI
APLICAÇÃOAdm. Usuário
LDAPMASTER
CLIENTEADMUSUÁRIO
KDCFILHOSLAVE
LDAPSLAVE(sub-arvore escola)
Autent.Linux Global
Autent.Linux Local
PDCSAMBA
Autent.Windows Local
Autent.Windows Global
KDC FILHOMASTERKDC FILHOMASTERKDC FILHOMASTER
AUTENTICAÇÃO - ESQUEMA GERAL
KDC FILHOMASTER
KDC PAI
APLICAÇÃOAdm. Usuário
LDAPMASTER
CLIENTEADMUSUÁRIO
KDCFILHOSLAVE
LDAPSLAVE(sub-arvore escola)
Autent.Linux Global
Autent.Linux Local
PDCSAMBA
Autent.Windows Local
Autent.Windows Global
KDC FILHOMASTERKDC FILHOMASTERKDC FILHOMASTER
15
2
3 4
2'
ADMINISTRAÇÃO DE USUÁRIOS
KDC FILHOMASTER
KDC PAI
APLICAÇÃOAdm. Usuário
LDAPMASTER
CLIENTEADMUSUÁRIO
KDCFILHOSLAVE
LDAPSLAVE(sub-arvore escola)
Autent.Linux Global
Autent.Linux Local
PDCSAMBA
Autent.Windows Local
Autent.Windows Global
KDC FILHOMASTERKDC FILHOMASTERKDC FILHOMASTER
15
2
3 4
2' 6
REPLICAÇÃO LDAP - SÍNCRONA
KDC FILHOMASTER
KDC PAI
APLICAÇÃOAdm. Usuário
LDAPMASTER
CLIENTEADMUSUÁRIO
KDCFILHOSLAVE
LDAPSLAVE(sub-arvore escola)
Autent.Linux Global
Autent.Linux Local
PDCSAMBA
Autent.Windows Local
Autent.Windows Global
KDC FILHOMASTERKDC FILHOMASTERKDC FILHOMASTER
REPLICAÇÃO KERBEROS - ASSÍNCRONA
KDC FILHOMASTER
KDC PAI
APLICAÇÃOAdm. Usuário
LDAPMASTER
CLIENTEADMUSUÁRIO
KDCFILHOSLAVE
LDAPSLAVE(sub-arvore escola)
Autent.Linux Global
Autent.Linux Local
PDCSAMBA
Autent.Windows Local
Autent.Windows Global
KDC FILHOMASTERKDC FILHOMASTERKDC FILHOMASTER
1
2 3
4
AUTENTICAÇÃO DE USUÁRIO LOCAL EM LINUX
KDC FILHOMASTER
KDC PAI
APLICAÇÃOAdm. Usuário
LDAPMASTER
CLIENTEADMUSUÁRIO
KDCFILHOSLAVE
LDAPSLAVE(sub-arvore escola)
Autent.Linux Global
Autent.Linux Local
PDCSAMBA
Autent.Windows Local
Autent.Windows Global
KDC FILHOMASTERKDC FILHOMASTERKDC FILHOMASTER 1 2
36
4 5
AUTENTICAÇÃO DE USUÁRIO NÃO LOCAL EM LINUX
KDC FILHOMASTER
KDC PAI
APLICAÇÃOAdm. Usuário
LDAPMASTER
CLIENTEADMUSUÁRIO
KDCFILHOSLAVE
LDAPSLAVE(sub-arvore escola)
Autent.Linux Global
Autent.Linux Local
PDCSAMBA
Autent.Windows Local
Autent.Windows Global
KDC FILHOMASTERKDC FILHOMASTERKDC FILHOMASTER
1
6
25
43
AUTENTICAÇÃO DE USUÁRIO LOCAL EM WINDOWS
KDC FILHOMASTER
KDC PAI
APLICAÇÃOAdm. Usuário
LDAPMASTER
CLIENTEADMUSUÁRIO
KDCFILHOSLAVE
LDAPSLAVE(sub-arvore escola)
Autent.Linux Global
Autent.Linux Local
PDCSAMBA
Autent.Windows Local
Autent.Windows Global
KDC FILHOMASTERKDC FILHOMASTERKDC FILHOMASTER
18
23
4
7
5 6
AUTENTICAÇÃO DE USUÁRIO NÃO LOCAL EM WINDOWS
SINGLE SIGNONDESAFIOS
● Unificação das bases● Adoção de serviços kerberizados● Kerberização de aplicativos● Administração