Servicos de Diretorio - LDAP
Felipe Natale Munhoz
SENAC TI - Redes de Computadores - Florianopolis/SC
1 / 27
Conceito de DiretorioServico de armazenamento hierarquico de informacoes com oobjetivo principal de facilitar a pesquisa e a recuperacao deinformacoes.
2 / 27
Conceito de DiretorioUm diretorio permite que usuarios ou aplicacoes possamencontrar recursos no ambiente de acordo com determinadascaracteristicas com um objetivo particular
3 / 27
Conceito de Diretorio - Exemplo
Voce esta com fome e decide comprar uma pizza, mas naosabe o numero da pizzaria. Onde procurar? Na listatelefonica.
A lista telefonica possui os princıpios de um diretorio.
Um Diretorio indica um caminho a seguir para se encontraralgo que procura.
No caso de uma lista telefonica utiliza-se o nome de umapessoa ou empresa para achar seu numero de telefone ouendereco.
4 / 27
Servico de Diretorio - Utilizacao
Centralizar informacoes em uma rede de computadores podese tornar um problema.
Com o crescimento da rede fica complicado ou ate inviavel demanter as informacoes sincronizadas e atualizadas.
Quando um funcionario novo entrar na empresa, sera precisocadastra-lo em todos os sistemas oferecidos pela empresa.
Quando o funcionario se desliga da empresa, e necessariobloquear o acesso do mesmo em todos esses sistemas.
5 / 27
Servico de Diretorio - Principais Caracteristicas
Centralizacao
Manutencao
Pesquisa de informacoes
6 / 27
Nao sao exemplos de Servico de Diretorio - Banco de dados
Bancos de dados sao otimizados para ler e escreverinformacoes.
Tem suporte a operacoes complexas, como transacoes.
7 / 27
Nao sao exemplos de Servico de Diretorio - Sistema de arquivos
Sistemas de arquivos sao otimizados para trabalhar comarquivos grandes.
8 / 27
Um bom exemplo de Servico de Diretorio - DNS
O DNS se enquadra no conceito de diretorio, pois e umsistema de pesquisa de informacoes.
O DNS funciona de forma hierarquica, por exemplo, odomınio ’brasil.gov.br’ tem tres nıveis hierarquicos.
9 / 27
Protocolo de acesso a diretoriosO protocolo de acesso a diretorios DAP fazia parte dasespecificacaos X.500 da ITU.
O DAP foi definido com base no modelo OSI.
O modelo OSI se mostrou muito complexo e foi substituıdopelo TCP/IP.
Surgiu entao o LDAP que foi uma versao do DAP que seadaptou melhor ao TCP/IP.
10 / 27
LDAPLightweight Directory Access Protocol
Versao mais flexıvel do DAP
Padronizado em 1993 no RFC 1487
Esta atualmente em sua terceira revisao LDAPv3
11 / 27
LDAP - EstruturaOrganiza as informacoes de forma hierarquica
A arvore de informacoes possui um elemento raiz
A partir do elemento raiz e que sao feitas as buscaspercorrendo os nos-filhos ate encontrar o elemento desejado
12 / 27
13 / 27
LDAP - EstruturaA raiz e os ramos da arvore sao diretorios
Cada diretorio pode conter outros diretorios ou elementosque sao chamados de entradas
Cada entrada possui um ou mais atributos que, por sua vez,podem ter um ou mais valores associados
14 / 27
LDAP - EstruturaUma caracteristica herdada do X.500 foi o uso demnemonicos para definir os nomes dos atributosPara diretorios:
’c’ Para diretorios que representam paıses (do ingles country)’o’ Para o nome da empresa (do ingles organization)’ou’ Para departamento (do ingles organization unit)
Para entradas’cn’ Como atributo de nome (do ingles common name)’uid’ Para identidade de usuario (do ingles user ID)’gn’ Para o nome proprio da pessoa (do ingles given name)’sn’ Para o sobrenome de uma pessoa (do ingles surname)
15 / 27
LDAP - EstruturaCada entrada e identificada por um atributo unicodenominado DN (Distinguished Name)
O DN de uma entrada costuma ser a concatenacao de seuatributo ’cn’ com os nomes de cada nıvel de diretorio ondeesta inserida, ate chegar a raiz.
16 / 27
LDAP - EstruturaO DN e como o caminho absoluto de um arquivo em umsistema de arquivos (/usr/share/apps/app.sh)
Uma entrada que e referenciada apenas pelo seu ’cn’costuma ser chamada de RDN (Relative Distinguished Name(app.sh)
17 / 27
LDAP - Tipos de informacoes
E permitido armazenar qualquer informacao no diretorio:nomes, usuarios, senhas, emails, imagens
Cada informacao que e armazenada deve estar definida emum arquivo chamado schema
Um schema e como uma planta-baixa, com a definicao daestrutura das entradas e dos atributos que seraoreconhecidos
18 / 27
LDAP - Tipos de informacoes
As entradas sao definidas em classes de objetos
As classes de objetos por sua vez definem uma lista deatributos obrigatorios e opcionais
Toda entrada inserida em um diretorio deve implementar pelomenos uma classe de objetos
A partir dai a entrada tem o dever de definir os atributosobrigatorios da classe implementada
E os atributos opcionais como o proprio nome revela podemser definidos ou nao.
19 / 27
LDAP - Tipos de informacoes
Cada objeto ou atributo possui um OID (Object ID) registradona IANA
Se for necessario criar um schema proprio, deve ser feito oregistro no site da IANA
Entretanto criar um schema nao e nada trivial
Devido a isto o LDAP ja fornece alguns schemas prontos paraserem utilizados
Por exemplo os atributos (c, o, ou, cn, uid, gn, sn) saodefinidos pelos schemas padrao do LDAP
Quando e necessario integrar o LDAP com outra aplicacao,normalmente a prorpia aplicacao fornece o schema com adefinicao dos atributos utilizados
20 / 27
LDAP - Insercao de informacoes
Apos a configuracao basica do LDAP com o carregamentodos schemas basicos, o LDAP inicia um servico, com a basede informacoes vazia
Para enviar informacoes para a base de dados e configurar aestrutura que se pretende ter, e necessario utilizar arquivosno formato ldif
ldif - LDAP Interchange Format (Formato de intercambioLDAP)
O ldif e um arquivo texto, usado para importar e exportarinformacoes do LDAP, e pode ser editado por um editor detexto simples
Este arquivo nao pode ter acentos, cedilhas e espacos embranco no final de cada linha
21 / 27
Exemplo de arquivo ldifdn: uid=usuario1, ou=departamento, dc=senac, dc=br
objectClass: top
objectClass: organizationalPerson
objectClass: qmailuser
objectClass: samba
uid: usuario1
22 / 27
LDAP - Formas de organizacao das informacoes -Estilo X.500
23 / 27
LDAP - Formas de organizacao das informacoes -Estilo DNS
24 / 27
LDAP - Busca de informacoes
As pesquisas sao feitas por meio de criterios de busca,podendo indicar em qual parte da arvore sera realizada abusca.
Tambem e possıvel pesquisar pela arvore toda, mas aperformance e bastante ruim
A pesquisa pode ser realizada por qualquer usuario comacesso ao servidor
Por exemplo uma base que e acessada para verificar umusuario e senha de rede
25 / 27
LDAP - Aplicacoes
Autenticacao de usuarios de um servidor
Lista de enderecos
Samba
Proxy
26 / 27
LDAP - Integracao
27 / 27
Top Related