LDAP+SSO
SUPORTE TÉCNICO
COMPARTILHAMENTO DE ARQUIVOS● Arquivos locais
o Sistemas Operacionalo HDs, DVD, PenDrive, SSD...
COMPARTILHAMENTO DE ARQUIVOS● Principal função da rede: Compartilhar recursos● Compartilhar recursos:
o Arquivoso Impressoras
AUTENTICAÇÃO CENTRALIZADA● Diversos aplicativos necessitam autenticação● Cada aplicativo pode ter um tipo diferente de autenticação● Ambiente heterrogêneo● Ideal para ambiente coorporativo● Centralização● Segurança● Organização
AUTENTICAÇÃO CENTRALIZADA● Cenário com diversas aplicações
AUTENTICAÇÃO CENTRALIZADA● OpenLDAP, Samba, AD
DIRETÓRIO● Armazenar informações de forma hierárquica com o objetivo de facilitar a
busca e a recuperação dessas informações● Centralização● Catálogo de informações
DIRETÓRIO● Otimizado para leitura● Hierárquico● Organiza as informações● Capacidades avançadas de consulta
X.500 DAP● Serviço de Diretórios de Rede ou Serviço de Informação Corporativa● Monitoramento de todos os nomes, perfis, email e endereço de cada host.● X.500 DAP (Directory Access Protocol)● Baseado no OSI● Difícil implementação● Aplicações complexas e lentas
LDAP● Lightweight Directory Access Protocol● Ajuste para arquitetura TCP/IP● Leve● Simples implementação● Cliente-servidor● Porta 389 e 636
LDAP● Organização de forma hierárquica● Busca a partir do nó raiz● Cada registro possui um identificador único
LDAP● Estrutura desenvolvida para representar organizações ou limites geográficos
LDAP● Outras entradas podem existir representando os estados
LDAP● Estrutura geográfica e organizacional
dc=mav
LDAP● Identificação do nó através do DN (Distinguied Name)● Nome único em toda árvore● DN de Iuri da árvore anterior:
o cn=Iuri,ou=rh,o=cefet,st=MG,c=br● Lembrem da regra Highlander:
o No final só pode existir um
LDAP● Atributos
Entrada Significadoc Country - Paíso OrganizationName - Organizaçãoou OrganizationUnir - Unidade Organizacionalcn CommonName - Nome Comumuid UserID - Identificação do usuáriogn givenName - Nomedc DomainComponent - Componente de domínio
LDAP● Modelo bastante utilizado, estilo DNS
dc=mav
LDAP● DN de Iuri no exemplo anterior:
o uid=iuri,ou=Usuários,dc=mav,dc=com,dc=br
LDAP● O que pode ser inserido numa base LDAP?
o Tudo*● O que deve ser inserido numa base LDAP?
o Nem tudo é pertinenteo Armazenar recursos de rede
LDAP● Schema
o define estrutura de entradas e atributoso Padrão para descrever a estrutura dos objetos
OPENLDAP● Open Lightweight Directory Access Protocol● Leve e robusto● Suporta diversos Backends● Fácil backup● Replicação● Segurança● Define forma de funcionamento de um serviço de diretórios● Suporte a TLS/SSL
ACTIVE DIRECTORY● Implementação LDAP Microsoft● A partir do Windows 2000● Gerenciamento centralizado de recursos● Redução de complexidade● Muito utilizado nas empresas● GPO
DOMÍNIOS● Limite administrativo:
o Administrador tem permissões de acesso em todos os recursos do domínio.● Limite de segurança:
o Cada domínio tem definições de políticas de segurança que se aplicam às contas do usuário e demais recursos dentro do domínio.
● Agrupamento lógico de contas e recursos com políticas de segurança.
DOMÍNIOS● 2 tipos de servidores:
o Controladores de Domínio (Domain Controller - DC);o Servidores Membros (Member Servers).
● Alterações em um domínio serão replicadas automaticamente para outros DC’s.● São endereçados através do DNS;● Em um domínio todos os DC’s compartilham uma lista de usuários, grupos e
políticas de segurança;
DOMÍNIOS● Exemplo AD
DOMÍNIOS● Principais componentes
o Contas de usuários, computadores e grupos de usuários;o É possível bloquear a criação de usuários nas estações de trabalho utilizando o
recurso de GPO;o Usuários em um grupo podem ser modificados de lugar;o Grupos são uma coleção de contas de usuários;o Os membros de um grupo herdam as permissões atribuídas ao grupo;o Os usuários podem ser membros de outros grupos;o Grupos podem ser membros de outros grupos
GPO● Group Policy - Diretivas de grupo● Conjunto de regras que controlam o ambiente de trabalho● Se aplica a usuários e computadores do domínio● Gerenciamento centralizado de restrições de usuários● Conflito entre usuário e computador
o Prevalece o usuário
GPO● Itens normalmente tem 3 valores
o Enableo Disableo Not Configured
● Conflito entre usuário e computadoro Prevalece o usuário
● Hierarquiao Siteso Domínioso OU
GPO● Exemplos de GPOs
o Desabilitar o prompto Desabilitar acesso ao painel de controleo Desabilitar montagem de pen-driveo Definir browser padrãoo Desabilitar download de arquivo executávelo Diversas outras opções
WINDOWS SERVER 2008● Hands on● Vamos realizar a instalação em conjunto● Vamos criar um domínio de teste● Vamos realizar a integração dos usuários entre o AD e Mav 5● Vamos testar a autenticação dos usuários através do Mav
CONSULTAS NA BASE DE DADOS● Nem sempre teremos acesso ao servidor Windows● Utilizaremos a ferramenta: ldapsearch para consultas● Faz parte do pacote ldap-utils.● Sintaxe:
● ldapsearch Parâmetros● Parâmetros:
● -w – utiliza a senha passada em linha de comando● -D - DN utilizado na consulta● -b - Base utilizada na consulta● -h - Endereço IP do Servidor OpenLDAP● ObjectClass – Tipo de objeto● campo - Campo retornado
CONSULTAS NA BASE DE DADOS● Exemplo:
● ldapsearch -W -D CN=Administrator,CN=Users,DC=iuri,DC=mav,DC=com,DC=br -b 'DC=iuri,DC=mav,DC=com,DC=br' -h 10.128.20.48 "(objectClass=Person)" mail
E O MAV?● Utiliza a base de usuários já existente no AD para realizar a integração● Toda autenticação é realizada pelo servidor AD● Mav realiza apenas a consulta
CONFIGURAÇÃO NO MAV● O Mav necessita de algumas informações para realizar a integração com o AD
● Esquema LDAP● Define o tipo de LDAP a ser integrado
● Grupo de Entrada● Define o grupo de usuários que contém os usuários que farão parte do Mav
● Base DN● Define a base de pequise dos usuários do “Grupo de entrada”
● Domínio do Diretório● Define o domínio a ser utilizado
● Campo de E-mail● Define o campo utilizado para ser utilizado para login do usuário
CONFIGURAÇÃO NO MAV● O Mav necessita de algumas informações para realizar a integração com o AD
● Host● Define o endereço do servidor LDAP
● Porta● Define a porta do servidor LDAP
● Usuário● Define o usuário que tem a autorização para realizar a busca
● Senha● Define a senha do usuário
SSO● O Single Sign-on é definido como um único ponto de entrada, ou seja, necessita
a autenticação apenas uma única vez. Isso permite acesso automaticamente a sistemas sem a necessidade de digitar login e senha em cada sistema
● Mav● Permite que o usuário após realizar o login na estação de trabalho não necessite
autenticar novamente no Mav para realizar o acesso a Internet● Configuração no Mav:
● Seguir o documento exposto na Wiki: http://wiki.mav.com.br/wiki/index.php/Ativar_o_SSO_e_acesso_ao_MWS_via_Terminal_Service
Top Related