389 Directory Service Active Directory Integração de bases LDAP.
Transcript of 389 Directory Service Active Directory Integração de bases LDAP.
![Page 1: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/1.jpg)
389 Directory ServiceActive Directory
Integração de bases LDAP
![Page 2: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/2.jpg)
• Servidores de diretório• Características gerais da RNP• Problemas anteriores ao Projeto• Objetivo do Projeto• Características e arquitetura do 389 DS• 389 Console• Sincronização com o Active Directory• Solução adotada pela RNP
Agenda
![Page 3: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/3.jpg)
• Um servidor de diretório fornece um serviço de diretório centralizado para sua intranet, rede e informações extranet.
• Ele se integra com os sistemas existentes e age como um repositório centralizado para a consolidação das informações do cliente, empregado, fornecedor e parceiro.
Servidor de diretório
![Page 4: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/4.jpg)
RNP
RJ
DF
CP
Externos
• Três sites geograficamente dispersos.• Estações de trabalho e notebooks Windows.• Servidores Linux, Windows e BSD.• Serviços operando em plataformas de código aberto e
fechado.
Características da RNP
![Page 5: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/5.jpg)
Cada site tinha seu próprio domínio
Não existia relação de confiança entre eles
Contas de rede eram duplicadas
Grande esforço administrativo
Dificuldade de implementar políticas de segurança
Dificuldade de padronização
Dificuldade de integração com os serviços
Problemas anteriores
![Page 6: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/6.jpg)
Ponto central de administração
Alta disponibilidade e resiliência
Serviço de diretório centralizado
Pouco esforço administrativo
Facilidade de implementar políticas
Facilidade de padronização
Facilidade de integração com os serviços
Objetivos
![Page 7: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/7.jpg)
Prós Contras
Padronização
Políticas
Operacional
Integração
Seguro
Custo
Flexível
• Failover cluster da Microsoft não é compatível• Demanda maior da equipe de suporte para os clientes
Windows
OpenLdap + Samba
![Page 8: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/8.jpg)
Prós Contras
CAFe
Segurança
Flexibilidade
Custo
Seguro
Operacional
Padronização
Alta disponibilidade
• Não implementa o protocolo X.500 de acordo com sua RFC, o que pode comprometer sua integração com os serviços baseados em LDAP
• Suportado somente no Windows
Active Directory
![Page 9: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/9.jpg)
X
Qual é o melhor cenário ?
![Page 10: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/10.jpg)
+
Prós Contras
Seguro
Operacional
Padronização
Alta disponibilidade
Complexidade
Custo
389DS & Active Directory
![Page 11: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/11.jpg)
Replicação Multi-Master, para fornecer tolerância a falhas e desempenho de gravação de alta performance.
Autenticação segura e transporte (SSLv3, TLSv1, e SASL)
Suporte para LDAPv3
Console gráfico para todas as operações do usuário, grupo e gerenciamento de servidores.
Vasta documentação, incluindo instalação e guias de implantação
Escalabilidade: milhares de operações por segundo
Sincronização de usuários do Active Directory e grupos
Características do 389DS
![Page 12: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/12.jpg)
Core do Servidor
Gerência comunicação cliente/servidor
Implementa os daemons
Suporta TLS
Multi-thread nativo
Plug-ins
Funcionalidades fora do escopo do core
Politicas de senha
Validação de dados
Operações estendidas (LDAP V3)
Árvore básica do diretório
DIT (Directory Information Tree)
cn=config (configuração interna
do servidor)
O=NetscapeRoot (configuração de outros tipos de
servidores Netscape)
Banco de dados
Gerência a camada de persistência
Implementa índices, transações e todas as
funcionalidades otimizadas para um
Servidor de Diretorio.
Funções de alto nível como otimização de
consultas, execução de consultas, backup e
restore, etc ....
Arquitetura
![Page 13: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/13.jpg)
Directory Server
É o daemon do 389 DS
Implementa LDAP v3
Implementa administração por linha de
comando
Directory Server Console
É a interface com o usuário do 389 DS
Engloba todos os aspectos de
gerenciamento
Permite criar usuários, grupos e unidades
organizacionais
Políticas de senha
Visualização de logs de replicação
Admin Server
É o agente de administração do Directory Server
Funciona com um servidor
web
Interface entre o Console de
administração e o Core
Componentes
![Page 14: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/14.jpg)
Console baseado em Java
Servidor de administração (webserver)
Servidor LDAP
Conexão SSL/TLS
Console / Linha de comando
Componentes
![Page 15: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/15.jpg)
389 Console
![Page 16: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/16.jpg)
389 Console
![Page 17: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/17.jpg)
Sincronização de usuários
Sincronização de grupos
Sincronização de senhas de usuário
Sincronização bidirecional ( Inbound e Outbound )
Comunicação via LDAP seguro com o Active Directory
Sincroniza as senhas por uma conexão LDAP SSL (Necessita de PKI)
Necessita de um serviço instalado em todos os controladores de domínio.
Active Directory Sync
![Page 18: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/18.jpg)
Active Directory Sync
Criar Sync Account
Criar replicação
Criar Windows Sync Agreement Iniciar o Sync
![Page 19: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/19.jpg)
Infraestrutura de chaves publicas e privadas
PassSync em todos os controladores de domínio
Importar os certificados e o CA em todos os controladores de domínio
Um usuário com permissões adequadas no Active Directory
Criar o “Sync Agreements” no 389 Console.
Habilitar a replicação marcando a opção “Sync new windows users” no 389 Console
Pré-requisitos
![Page 20: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/20.jpg)
Sync Account
![Page 21: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/21.jpg)
Replicação
![Page 22: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/22.jpg)
Windows Sync Agreement
![Page 23: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/23.jpg)
Iniciar a sincronização
![Page 24: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/24.jpg)
dn: uid=alberto.viana,OU=GTI,OU=RNP-RJ,dc=rnp,dc=localobjectClass: topobjectClass: personobjectClass: organizationalpersonobjectClass: inetOrgPersonobjectClass: ntUserobjectClass: eduPersonobjectClass: brPersonobjectClass: schacPersonalCharacteristicsuid: alberto.vianacn: Alberto Vianasn: VianantUserDomainId: alberto.vianantUserCreateNewAccount: truentUserDeleteAccount: truegivenName: Albertodescription: Analista de TImail: [email protected]: 21 2102-9660userPassword:{SSHA}m8wR43asdsaqJTS/gZGuRoef9r860pBWZZ/l: Rio de Janeirost: Rio de JaneirophysicalDeliveryOfficeName: Rio de Janeiro
Exemplo LDIF
![Page 25: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/25.jpg)
• 389 DS não replica unidades organizacionais• É necessário criar manualmente no 389 antes de iniciar
a sincronização• Se não criar a estrutura, os usuários não serão
replicados
Unidades Organizacionais
![Page 26: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/26.jpg)
AD-DC-01
AD-DC-02
AD-DC-0X
389-DS-01
389-DS-02
Diagrama replicação
![Page 27: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/27.jpg)
Diagrama da solução
dc01 dc02 dc03 dc04
dc05 dc06
Site RJ Site DF
Site CP
389DS Backup
RNP.LOCAL
389DS Principal
![Page 28: 389 Directory Service Active Directory Integração de bases LDAP.](https://reader038.fdocuments.net/reader038/viewer/2022102517/552fc13c497959413d8db96a/html5/thumbnails/28.jpg)
389 DS
Eduroam
CAFe
*Zimbra
*Wiki
*Adobe Connect
Active Directory
Eduroam
Polycom CMA
Acesso a rede da RNP
Servidor de Arquivos (DFS)
* Previsão futura de integração
Serviços integrados