Lus Jos Machado de Sousa

Consolidao de Bases LDAP distintas em Ambiente Samba: Proposio para um Caso Real

Monograa de Ps-Graduao Lato Sensu apresentada ao Departamento de Cincia da Computao para obteno do ttulo de Especialista em Administrao em Redes Linux

Orientador Prof. M.Sc. Herlon Ayres Camargo

Lavras Minas Gerais - Brasil 2010

Lus Jos Machado de Sousa

Consolidao de Bases LDAP distintas em Ambiente Samba: Proposio para um Caso Real

Monograa de Ps-Graduao Lato Sensu apresentada ao Departamento de Cincia da Computao para obteno do ttulo de Especialista em Administrao em Redes Linux

Aprovada em 24 de Abril de 2010

Prof. M.Sc. Denilvon V. Martins

Prof. D.Sc. Joaquim Quinteiro Ucha

Prof. M.Sc. Herlon Ayres Camargo (Orientador)

Lavras Minas Gerais - Brasil 2010

Aos que de alguma forma constroem o Software Livre, sem o qual no seria possvel a execuo deste trabalho.

Agradecimentos
A Deus, sobretudo; s minhas amadas Rose e Maria Clara, pela pacincia e carinho; minha famlia, pelo apoio incondicional; Ao meu orientador Prof. Herlon Camargo, pelas valorosas consideraes; E aos amigos e professores do ARL, por todo afeto e conhecimento compartilhado.

Sumrio
1 2 Introduo Reviso de Literatura 2.1 2.2 2.3 2.4 3 Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Smbldap-tools . . . . . . . . . . . . . . . . . . . . . . . . . . . Syncrepl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 5 5 7 10 12 15 17 17 18 22 22 23 24 25 27 27

Migrao da Base LDAP 3.1 Migrao de contas de usurios . . . . . . . . . . . . . . . . . . . 3.1.1 3.1.2 3.2 Dump da base de dados . . . . . . . . . . . . . . . . . . . Tratando os atributos das contas de usurios . . . . . . . .

Migrao de grupos de usurios . . . . . . . . . . . . . . . . . . 3.2.1 3.2.2 Copiando grupos e membros . . . . . . . . . . . . . . . . Adicionando grupos e membros . . . . . . . . . . . . . .

3.3 3.4 4

Migrao de estaes de trabalho . . . . . . . . . . . . . . . . . . Consideraes Finais . . . . . . . . . . . . . . . . . . . . . . . .

Adequaes nos Servidores Samba e LDAP 4.1 Adequaes no servidor Samba . . . . . . . . . . . . . . . . . . . i

4.1.1 4.1.2 4.2

Ajustando o arquivo smb.conf . . . . . . . . . . . . . . . Ajustando os scripts de logon . . . . . . . . . . . . . . .

28 31 32 32 33 33 33 33 34 35 37 37 37 38 39 40 41 42 45 45 47 49 49 51

Adequaes nos arquivos do Smbldap-tools . . . . . . . . . . . 4.2.1 4.2.2 Ajustando o arquivo smbldap.conf . . . . . . . . . . . . Ajustando o arquivo smbldap_bind.conf . . . . . . . .

4.3

Adequaes no servidor LDAP . . . . . . . . . . . . . . . . . . . 4.3.1 4.3.2 4.3.3 Ajustando o arquivo sldapd.conf . . . . . . . . . . . . . Ajustando o arquivo ldap.conf . . . . . . . . . . . . . . Servio de replicao de diretrios . . . . . . . . . . . . .

4.4 5

Consideraes Finais . . . . . . . . . . . . . . . . . . . . . . . .

Migrao de Dados Compartilhados no Servidor 5.1 Cpia de dados compartilhados e ACLs . . . . . . . . . . . . . . . 5.1.1 5.1.2 5.2 5.3 Copiando os arquivos compartilhados . . . . . . . . . . . Copiando as permisses de acesso estendidas . . . . . . .

Congurao de quotas . . . . . . . . . . . . . . . . . . . . . . . Consideraes Finais . . . . . . . . . . . . . . . . . . . . . . . .

Consideraes Finais 6.1 Trabalho Futuros . . . . . . . . . . . . . . . . . . . . . . . . . .

A Arquivos de Congurao do Servidor PDCJUST A.1 Arquivo smb.conf . . . . . . . . . . . . . . . . . . . . . . . . . A.2 Arquivo smbldap.conf . . . . . . . . . . . . . . . . . . . . . . . A.3 Arquivo smbldap_bind.conf . . . . . . . . . . . . . . . . . . . A.4 Arquivo slapd.conf . . . . . . . . . . . . . . . . . . . . . . . . A.5 Arquivo ldap.conf . . . . . . . . . . . . . . . . . . . . . . . . .

ii

Lista de Figuras
3.1 3.2 3.3 3.4 3.5 4.1 4.2 4.3 4.4 4.5 Diagrama do ambiente de rede simulado. . . . . . . . . . . . . . . Conta de usurio da base JUSTA-SS . . . . . . . . . . . . . . . . Script ajusta_usuario.sh . . . . . . . . . . . . . . . . . . . . Arquivo grupos_subsede.ldif . . . . . . . . . . . . . . . . . . Script adiciona_grupos.sh . . . . . . . . . . . . . . . . . . . . Conguraes globais do arquivo smb.conf no BDCJUST . . . . . Compartilhamento do arquivo smb.conf no BDCJUST . . . . . . . Script de logon netlogon.bat do BDCJUST . . . . . . . . . . . . Congurao do Syncrepl no BDCJUST . . . . . . . . . . . . . . Permisses de acesso no BDCJUST . . . . . . . . . . . . . . . . . 16 19 21 23 24 28 30 31 34 36

iii

iv

Lista de Tabelas
3.1 3.2 Dados dos servidores Samba/LDAP . . . . . . . . . . . . . . . . . Pacotes utilizados nos servidores Samba/LDAP . . . . . . . . . . . 16 17

vi

Resumo
Este trabalho apresenta uma proposio para consolidao de bases LDAP distintas em um ambiente Samba. Baseia-se em um caso real da Justia Federal de Primeira Instncia do Cear, onde vrios servidores Samba/LDAP atuam como PDC de domnios distintos em stios remotos. So discutidos os detalhes para a consolidao das bases de dados dos servidores OpenLDAP e as adequaes necessrias nos servidores Samba para a implementao de servidor de rplica, com a utilizao do programa Syncrepl, para sincronizar o contedo dos diretrios dos servidores BDC remotos. Tambm so discutidos os procedimentos para migrao dos compartilhamentos de arquivos e diretrios com a utilizao de quota de disco e POSIX ACL.

Palavras-Chave: LDAP; Samba; Smbldap; Consolidao de Bases; Replicao; Syncrepl.

vii

Captulo 1

Introduo
Algumas experincias institucionais bem sucedidas e, principalmente, um relatrio do TCU do ano de 19931 impulsionaram a utilizao do Software Livre no mbito governamental. "No Documento, o relator do processo, ministro Augusto Sherman Cavalcanti, determina a aquisio de software livres pelo setor pblico como uma alternativa que pode signicar economia, segurana e exibilidade."(LUZ; CAPARELLI, 2003). Apoiada tecnicamente em experincias bem sucedidas e respaldada legalmente, a Justia Federal de Primeiro Grau no Cear iniciou em 2004 a sua primeira experincia de uso corporativo de Software Livre. Inicialmente, implantou o seu primeiro controlador de domnio baseado nessa tecnologia para atender rede do edifcio sede situado na cidade de Fortaleza. A partir do ano seguinte, os mesmos servios foram estendidos para as subsedes localizadas em pontos remotos, na mesma cidade da sede e em outras cidades do interior do estado. Em virtude da precariedade da infraestrutura da rede de dados utilizada para conexes remotas entre a sede e as subsedes, avaliou-se a inviabilidade da implantao de uma soluo com uma nica base utilizando o protocolo Lightweight Directory Access Protocol (LDAP), replicada por meio de uma rede WAN2 . Em virtude dessa limitao, para cada stio, foi instalado um servidor Samba/LDAP para gerenciar uma base de dados localmente.

1 Disponvel em http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20031016/TC%20003.

789.doc 2 Wide Area Network (WAN) uma rede que abrange reas de longa distncia.

Solucionado o problema da infraestrutura da rede WAN e ampliada a demanda de sistemas na instituio, surgiu a necessidade de se fazer uso das facilidades que um sistema de diretrio pode oferecer, tais como catlogo nico de endereos e autenticao centralizada do tipo Single Sign On3 , integrando os mais diversos sistemas. Embora as informaes de contas e grupos de usurios j estejam armazenadas em diretrios LDAP, o fato de se encontrarem armazenadas de forma distribuda inviabiliza a implementao de uma autenticao nica. Alm disso essa abordagem cria diculdades no gerenciamento de contas de usurios que se encontram em trnsito entre a sede e subsedes da instituio. Este trabalho tem como objetivo ser uma proposio para a consolidao de bases LDAP em ambiente Samba no mbito da Justia Federal de Primeiro Grau no Cear, com o intuito de promover uma utilizao mais ampla e eciente dos servios de diretrios, engendrando facilidades de uso de sistemas computacionais para os usurios da instituio e melhorias na gerncia de informaes corporativas para a rea de tecnologia da informao. O caso real tomado como referncia neste trabalho refere-se a seis bases LDAP a serem unicadas em uma nica, perfazendo um total de aproximadamente 1200 contas de usurios de domnio e 1100 estaes de trabalho. Entretanto, por questes didticas, limitou-se o nmero de bases LDAP para apenas duas delas, pois todos os procedimentos aqui desenvolvidos podem ser aplicados para as demais bases em virtude da similaridade ambiental. Para preservar as informaes da instituio, utilizou-se dados ctcios nas bases LDAP e nos nomes dos servidores, com a simulao do ambiente de rede o mais prximo possvel do real. Para realizar a simulao do ambiente real foram utilizadas mquinas virtuais4 implementadas com a aplicao Sun VirtualBox5 . O Captulo 1 apresenta os objetivos deste trabalho e um resumo da metodologia adotada. O Captulo 2 apresenta a reviso de literatura. O Captulo 3 expe os procedimentos necessrios para a unicao de bases LDAP distintas. O Captulo 4 discute quais as adequaes necessrias nos servios Samba e LDAP para se implementar a replicao dos diretrios LDAP. O Captulo 5 apresenta os procedimentos de migrao de arquivos e diretrios compartilhados pelo servidor Samba. O Cap3 Single Sign On (SSO) um mecanismo que permite ao usurio realizar apenas uma nica ao de autenticao e autorizao para utilizar todos os sistemas e aplicaes que lhe so disponibilizados. 4 Mquina virtual o nome dado a uma mquina simulada atravs de software. 5 VirtualBox uma ferramenta utilizada para emular mquinas virtuais em plataformas x86 e AMD64/Intel64. Disponvel em http://www.virtualbox.org.

tulo 6 apresenta as consideraes nais e aponta sugestes para trabalhos futuros. Por m, o Apndice A lista os arquivos de congurao do servidor Samba/LDAP principal utilizado neste trabalho.

Captulo 2

Reviso de Literatura
2.1 Samba

"O Samba1 um pacote de software tremendamente popular, disponvel sob a licena pblica GNU, que implementa o lado CIFS2 em hosts Linux."(NEMETH; SNYDER; HEIN, 2007). Possui um amplo conjunto de ferramentas bastante teis para integrar redes onde convivem juntos sistemas GNU/Linux e Windows. Mesmo em um ambiente de rede em que predominam clientes Windows, h bons motivos para se utilizar o servidor Samba. Por ser um sistema de alta conabilidade executado em plataforma Unix, tambm bastante convel, apresenta poucos problemas e um baixo custo de manuteno. De acordo com (TS; ECKSTEIN; COLLIER-BROWN, 2003) o Samba oferece um melhor desempenho sob fortes cargas de demandas, superando o servidor Windows 2000 na proporo de 2 para 1 em equipamentos idnticos. Alm de todas as vantagens relacionadas a desempenho, a utilizao do Samba representa signicativa reduo de custos de instalao, pois alm de ser distribudo livremente no requer licenas adicionais para seus clientes. Por meio dos daemons smbd e nmbd , o servidor Samba oferece os seguintes servios:

em http://samba.org Internet File System (CIFS) um protocolo de compartilhamento de arquivos, evoluo posterior do protocolo Server Message Block (SMB) desenvolvido para sistemas Windows.
2 Common

1 Disponvel

 autenticao e autorizao em domnio Windows; compartilhamento de sistema de arquivo atravs do protocolo CIFS; impresso em rede; converso de nomes; anncio de servios; resoluo de nomes com Windows Internet Name Service (WINS). Outro destaque desse servidor est no fato de toda a sua congurao ser denida apenas em um nico arquivo em formato texto. As conguraes do servidor Samba so armazenadas no arquivo smb.conf e podem ser modicadas por meio de um editor de texto simples. Atravs do uso de parmetros denidos individualmente por linha, sua congurao pode ser muito simples ou extremamente complexa, a depender dos recursos habilitados e das possveis integraes com outros sistemas. Atravs do uso de sees so denidas, no arquivo smb.conf, as conguraes globais e de compartilhamento de recursos do protocolo CIFS. Na seo global, identicada pelo marcador [global], so especicados os parmetros que afetam todo o servidor. Dentre os principais parmetros, destacam-se: netbios name = [nome do servidor] - especica o nome NetBIOS do servidor; workgroup = [nome do grupo/domnio] - dene o nome do grupo de trabalho ou domnio; server string = [identificao] - identicao do servidor enviada para o ambiente de rede; domain master = - dene se o servidor tentar ou no se tornar Domain Master Browser (DMB) da rede; local master = [valor] - diz se o servidor tentar ou no se tornar Local Master Browser (LMB) da rede local. preferred master = [valor] - dene se o servidor ter vantagem para ganhar a eleio para LMB; 6

 os level = [num] - dene o nvel do sistema operacional para eleies de controlador local ou de domnio; Em um domnio controlado por um Samba sempre realizada uma eleio para denir o LMB do segmento de rede. Sobre o papel da mquina vencedora desta eleio, Silva arma: "Logo que declarada o local master browser, ela comea a receber via broadcasting a lista de recursos compartilhados por cada mquina para montar a lista principal que ser retornada para outras mquinas do grupo de trabalho ou outras subredes que solicitem os recursos compartilhados por aquele grupo."(SILVA, 2007). Uma outra eleio tambm realizada para denir DMB da rede. Esse servidor conhecido como Controlador Principal de Domnio ou Primary Domain Controller (PDC). Seu papel manter uma lista completa dos nomes das mquinas e dos recursos disponibilizados na rede, enviados pelos LMB. Como mostra (TS; ECKSTEIN; COLLIER-BROWN, 2003), um PDC tambm atua como LMB de seu segmento de rede. Um outro recurso disponibilizado pelo Samba a implementao de servidor para atuar como Controlador Secundrio de Domnio ou Backup Domain Controller (BDC). Esse servidor aumenta a disponibilidade e prov maior grau de escalabilidade do servidor Samba. O uso do Samba integrado com servidor LDAP, utilizando replicao de diretrios, uma das formas recomendveis de viabilizar a implementao de um servidor BDC. Mais detalhes sobre implementao do Samba esto disponveis em (TS; ECKSTEIN; COLLIER-BROWN, 2003) e (THE SAMBA TEAM, 2007).

2.2

OpenLDAP

O OpenLDAP3 um servio de diretrio baseado no protocolo LDAP, extenso do trabalho feito inicialmente na Universidade de Michigan e agora continuado como um projeto de cdigo aberto.
3 Disponvel

em http://openldap.org

"LDAP ou Protocolo Leve de Acesso a Diretrios um conjunto de regras que controla a comunicao entre servios de diretrios e seus clientes."(TRIGO, 2007). Esse servio prov informaes em forma de rvore com o objetivo de facilitar o acesso a cada item armazenado. Sob esta abordagem, diretrio signica algo usado para indicar direes. Assim, pode-se denir um diretrio como um sistema que armazena dados de forma hierrquica e que contm mecanismo otimizados de pesquisa dessas informaes. Existem vrios motivos para a utilizao do OpenLDAP, de acordo com (CARTER, 2009). Dentre eles destacam-se: o cdigo fonte est disponvel para download sob a licena OpenLDAP Public Licence. Junto com o cdigo so fornecidas diversas informaes suplementares documentao existente; compatvel com as especicaes principais do LDAPv3; disponvel para mltiplas plataformas, incluindo GNU/Linux, Solaris, Mac OS e FreeBSD; possvel integr-lo com diversos outros sistemas, tais como Samba, Postfix, QMail, Squid e Radius; trabalha com servidor de rplica, o que viabiliza distribuio de carga entre mltiplos servidores e alta disponibilidade. As conguraes do servidor OpenLDAP so denidas pelos arquivos slapd.conf e ldap.conf. O arquivo slapd.conf a fonte central das informaes de congurao para o servidor standalone OpenLDAP e utilizado por ferramentas relacionadas manipulao de dump do contedo do diretrio, como slapcat e slapadd. Dentre as principais informaes, encontram-se: os arquivos de schemas, os quais denem a estrutura das entradas e dos atributos que podem ser inseridos na base LDAP; o tipo de banco de dados que ser utilizado pelo OpenLDAP; 8

 o domnio utilizado, denido pelo parmetro suffix; o usurio administrador do domnio e sua senha, por meio dos parmetros rootdn e rootpw, respectivamente; denies de polticas de acesso base de dados; ndices mantidos para otimizar as consultas. O arquivo ldap.conf contm o endereo do servidor onde se encontra a base LDAP e o DN base do diretrio, que o mesmo denido pelo parmetro suffix no arquivo slapd.conf. utilizado pelas ferramentas de cliente OpenLDAP, tais como ldapmodify e ldapsearch. Dentre as principais ferramentas disponibilizadas pelo servidor OpenLDAP, destacam-se os seguintes comandos e suas opes mais usuais: slapcat - utilizado para gerar um dump da base de dados para um arquivo no formato LDIF4 . Opes: -b sufixo - usa o sufixo para determinar qual a base a ser gerada. -f slapd.conf - especica um arquivo slapd.conf alternativo. -l arquivo-ldif - escreve no arquivo arquivo-ldif especicado. -s rvore - dene qual a rvore que ser pesquisada. slapadd - adiciona dados off-line em diretrio LDAP. Opes: -b sufixo - usa o sufixo para determinar qual a base a ser modicada. -f slapd.conf - especica um arquivo slapd.conf alternativo. -l arquivo-ldif - l os dados do arquivo arquivo-ldif especicado. ldapsearch - realiza pesquisas na base. Opes:
Data Interchange Format (LDIF) arquivo em formato texto simples usado para representar entradas em diretrios LDAP.
4 LDAP

-b sufixo - usa o sufixo para determinar qual a base a ser pesquisada. -L - sada no formato LDIF. -x - autenticao simples. filtros - ltros de pesquisas aplicados base. atributos - especica os atributos a serem retornados na pesquisa. ldapmodify - altera entradas da base LDAP. Opes: -f arquivo-ldif - l as modicaes do arquivo arquivo-ldif especicado. -W - solicita prompt para autenticao simples. -x - autenticao simples. ldapdelete - apaga entradas LDAP. Opes: -f arquivo-ldif - apaga as entradas do arquivo arquivo-ldif especicado. -W - solicita prompt para autenticao simples. -x - autenticao simples. Mais detalhes sobre os comando do OpenLDAP esto disponveis em (TRIGO, 2007).

2.3

Smbldap-tools

Smbldap-tools um conjunto de scripts escritos em linguagem Perl que integram o servidor de domnio Samba com o servio de diretrio OpenLDAP. Esses scripts esto disponveis nos repositrios da maioria das distribuies GNU/Linux. As ferramentas Smbldap-tools visam tanto a usurios comuns quanto a administradores de sistemas GNU/Linux e utilizam dois arquivos de congurao que devem estar congurados de acordo com o ambiente: smbldap.conf e smbldap_ bind.conf. 10

No arquivo smbldap.conf so denidos os parmetros globais a serem utilizados pelos scripts do Smbldap-tools que manipulam objetos da base do diretrio LDAP. Dentre as principais informaes denidas nesse arquivo destacam-se o SID do domnio, o suxo do diretrio LDAP, representado pelo parmetro suffix, e o nome do domnio Samba. Esses trs parmetros denem as informaes primordiais para a integrao de um determinado domnio Samba com um diretrio LDAP, correspondente e adequado para abrigar os objetos que integram o ambiente: usurios, grupos e computadores. O arquivo smbldap_bind.conf abriga as credenciais de acesso do usurio com permisso de modicar o contedo do diretrio LDAP. Em virtude disso, deve ter permisso de acesso apenas ao usurio root do sistema, pois a senha encontrase em formato de texto puro e no criptografado. condio fundamental para o uso do Smbldap-tools que os servidores Samba e OpenLDAP estejam congurados atravs dos arquivos smb.conf e slapd. conf, respectivamente, de forma coerente com todo o ambiente. Do Smbldap-tools, destacam-se os scripts e suas opes mais usuais: smbldap-useradd - adiciona um novo usurio em um diretrio LDAP. Opes: -a - cria uma conta Windows. -c gecos - dene o atributo gecos do usurio. -m - cria o home do usurio e copia o contedo do arquivo /etc/skel para esse diretrio. -P - solicita o prompt para informar a senha. smbldap-userdel - remove usurio em um diretrio LDAP. Opes: -r - remove diretrio home do usurio. -R - remove diretrio home do usurio interativamente. smbldap-groupadd - adiciona um novo grupo em um diretrio LDAP. Opes: 11

-g gidNumber - dene o gidNumber para o grupo. -p - imprime o gidNumber do grupo. smbldap-groupmod - modica uma conta de usurio em um diretrio LDAP. Opes: -m - adiciona usurios em um grupo. -x - apaga usurios de um grupo. smbldap-groupdel - remove um grupo em um diretrio LDAP. Opes: No h opes disponveis. Mais informaes sobre implementao do Smbldap-tools so encontradas em (TERPSTRA, 2006).

2.4

Syncrepl

O Syncrepl, disponvel a partir da verso 2.2 do servidor OpenLDAP, um programa que prov recursos para a replicao e sincronizao de diretrios LDAP, viabilizando a implementao de servios de alta disponibilidade, balanceamento de carga em procedimentos de consulta e a utilizao de servidores de backup. Antes disso era disponibilizado apenas o programa Slurp, que utilizava um daemon exclusivo (Slurpd) para realizar tarefas de replicao entre diretrios. O Syncrepl, diferente de seu antecessor, iniciado juntamente com o processo LDAP e possui as seguintes caractersticas, como mostra (TRIGO, 2007): mais exvel e tolerante falhas que o Slurp; a ao de replicar baseada no estado da rplica, ou seja, o servidor de rplica envia arquivos que denem o estado de seu contedo (cookies) para o servidor provedor, dispensando o uso de arquivos de log; possui parmetros que aumentam a segurana e o desempenho; a rplica iniciada pelo cliente (consumidor); 12

 possvel replicar somente parte da base de dados; somente atualiza aps a concluso da ltima transmisso (incremental); rplica baseada em evento (refreshOnly) ou em tempo determinado (refreshAndPersist). A partir da verso 2.4, o OpenLDAP suporta novos mtodos de replicao, dentre eles, o protocolo de sincronizao multi-master, atravs do qual as mudanas no diretrio podem ser aceitas em qualquer rplica. Nesse caso, a rplica propaga a mudana para todos os servidores que contenham copias da partio. Detalhes sobre a replicao com o Syncrepl esto disponveis em (TRIGO, 2007) e (THE OPENLDAP PROJECT, 2004).

13

14

Captulo 3

Migrao da Base LDAP

Neste trabalho foram utilizados trs servidores: PDCJUST, PDCJUST-SS e BDCJUST. O servidor PDCJUST simulou o servidor instalado no edifcio sede da instituio, utilizado para controlar o domnio JUSTA. Esse foi o receptor da base migrada e, portanto, sofreu poucas alteraes nas conguraes de seus servios. Para atender rede da subsede, foi utilizado o servidor PDCJUST-SS para controlar o domnio JUSTA-SS. A base LDAP desse servidor foi migrada para a unicao no servidor PDCJUST, denido como o Primary Domain Controller (PDC) do domnio JUSTA. O servidor BDCJUST foi instalado na subsede para receber a base replicada e atuar como BDC do domnio JUSTA, substituindo o servidor PDCJUST-SS. A utilizao simultnea desse servidor com o PDCJUST-SS proporcionou uma migrao gradual das estaes de trabalho do domnio JUSTA-SS para o domnio JUSTA, controlado localmente pelo BDC da subsede. Esse procedimento teve como objetivo minimizar o impacto do processo de mudanas para os usurios do domnio da subsede. A Tabela 3.1 apresenta um resumo dos principais dados relacionados aos servios e ambiente de rede relacionados aos servidores cujas bases foram unicadas. A Figura 3.1 mostra o diagrama de rede do ambiente simulado para o desenvolvimento deste trabalho. Para realizar a simulao do ambiente real foram utilizadas mquinas implementadas com a aplicao Sun VirtualBox Verso 3.1.2 r56127. Para ga-

15

Tabela 3.1: Dados dos servidores Samba/LDAP

Servidor Localizao End. IP Local Rede Local End.IP WAN Rede WAN Nome de Host Nome NetBIOS Domnio Samba SAMBA SID Suxo Base LDAP

PDCJUST sede 172.16.0.6/16 172.16.0.0/16 192.168.3.10/24 192.168.3.0/24 pdcjust.jus.br PDCJUST JUSTA S-1-5-21-11758681533947730691-4236143472 dc=justa,dc=jus,dc=br

PDCJUST-SS subsede 172.20.0.6/16 172.20.0.0/16 192.168.3.11/24 192.168.3.0/24 pdcjust-ss.jus.br PDCJUST-SS JUSTA-SS S-1-5-21-12758834301708041124-1285709030 dc=justa-ss,dc=jus,dc=br

Figura 3.1: Diagrama do ambiente de rede simulado.

rantir a similaridade dos ambientes, os servidores Samba/LDAP utilizados neste trabalho foram instalados com o mesmo sistema operacional, bem como os mesmos pacotes dos servios implementados no caso real. Utilizou-se o sistema operacional CentOS GNU/Linux i386 Verso 4.1 com os pacotes dos servios apresentados na Tabela 3.2. Vale salientar que este trabalho no tem como objetivo discutir a instalao de um servidor Samba/LDAP. Mais detalhes desses procedimentos so apresentados por (THE SAMBA TEAM, 2007). 16

Tabela 3.2: Pacotes utilizados nos servidores Samba/LDAP

Servios Samba

LDAP

Smbldap Tools Quotas

Pacotes samba-3.0.10-1.4E samba-common-3.0.10-1.4E samba-client-3.0.10-1.4E openldap-2.2.13-2 openldap-servers-2.2.13-2 openldap-clients-2.2.13-2 smbldap-tools-0.9.1-1.2.el4.rf quota-3.12-5

Este captulo descreve os passos necessrios para se efetuar a migrao de uma base LDAP entre servidores distintos com o objetivo de unicao das informaes em um diretrio a ser replicado para um stio remoto. O servidor denominado PDCJUST, instalado na sede, foi o receptor da migrao oriunda do servidor PDCJUST-SS, localizado na subsede.

3.1

Migrao de contas de usurios

Esta seo tem como objetivo apresentar os procedimentos necessrios para a migrao das contas de usurios observando-se detalhes fundamentais que evitaram inconsistncias na base unicada. Foram utilizadas ferramentas fornecidas nos pacotes do OpenLDAP e tambm alguns scripts desenvolvidos em Shell, exclusivamente para este processo, pelo autor deste trabalho. Informaes detalhadas sobre programao em Shell esto disponveis em (CAMARGO, 2005), (NEVES, 2008) e (JARGAS, 2008).

3.1.1

Dump da base de dados

Para extrair o dump da base de dados do servidor da subsede foi utilizado o programa Slapcat, fornecido junto com o pacote do Openldap-servers. Conforme orientao de (THE OPENLDAP PROJECT, 2004) o comando de um nica linha, executado com privilgio de usurio root no console do servidor, foi o suciente para gerar o dump da base desejada em formato LDIF: 17

# slapcat -s ou=People,dc=justa-ss,dc=jus,dc=br \ -l usuarios_subsede.ldif O arquivo usuarios_subsede.ldif, resultado da sada do comando acima, contm uma representao em formato textual simples de todas as entradas relacionadas aos usurios da base de dados LDAP do servidor da subsede PDCJUST-SS. Tais informaes podem ser editadas off-line atravs de um editor de texto comum ou por meio de um script.

3.1.2

Tratando os atributos das contas de usurios

Dos dados obtidos no arquivo usuarios_subsede.ldif, apenas as entradas relacionadas s contas de usurios foram selecionadas para receberem o tratamento de seus atributos antes de se efetivar a migrao para a base unicada. A Figura 3.2 exibe uma dessas entradas relativa a uma conta de usurio. Como lembra (TRIGO, 2007), cada entrada identicada por um atributo nico denominado Distinguished Name - Nome distinto (DN). Para adequao dessa entrada nova base, inicialmente foi necessrio substituir o suxo do domnio de dc=justa-ss,dc=jus,dc=br para dc=justa,dc=jus,dc=br. Alm do DN, tambm foi preciso ajustar os atributos uidNumber, sambaSID e sambaPrimaryGroupSID, implementado atravs do script escrito em Shell mostrado na Figura 3.3. O atributo uidNumber, utilizado para identicar os usurios no sistema operacional GNU/Linux, deve ser nico para cada conta. Para manter a integridade da base de dados, foi utilizado, no script da Figura 3.3, a varivel UID_NUMBER, cujo valor foi denido com o prximo uidNumber a ser utilizado na base para onde esto sendo migradas as contas. Para identicar o maior valor do atributo uidNumber na base do diretrio do domnio JUSTA foi suciente executar no servidor PDCJUST a seguinte linha de comando com privilgio de administrador do sistema: # ldapsearch -LLL -x -b ou=People,dc=justa,dc=jus,dc=br uidNumber | grep uidNumber | cut -d":-f2 | tr -d " " | sort -nr | head -n1 Para a base domnio JUSTA, utilizada neste trabalho, o valor retornado foi 1010. Portanto, para evitar conitos de dados, foi utilizado na varivel UID_NUMBER 18

dn: uid=csabino,ou=People,dc=justa-ss,dc=jus,dc=br objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount objectClass: sambaSamAccount cn: Cesar Sabino sn: csabino uid: csabino uidNumber: 1011 gidNumber: 513 homeDirectory: /home/csabino loginShell: /bin/bash gecos: Cesar Sabino description: Cesar Sabino structuralObjectClass: inetOrgPerson entryUUID: 787ab2d6-aa1e-102e-8d76-b55582708a3b creatorsName: uid=samba,ou=People,dc=justa-ss,dc=jus,dc=br createTimestamp: 20100209232745Z sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaPwdCanChange: 0 sambaPwdMustChange: 2147483647 displayName: Cesar Sabino sambaAcctFlags: [UX] sambaSID: S-1-5-21-1275883430-1708041124-1285709030-3022 sambaPrimaryGroupSID: S-1-5-21-1275883430-1708041124-1285709030-513 sambaHomeDrive: U: sambaLMPassword: C7D36D999A7B2082AAD3B435B51404EE sambaNTPassword: 2176503CCD06D05BBCE3E934465C555A sambaPwdLastSet: 1265758069 userPassword:: e1NTSEF9czVRTVRCVG96QUpzcGQxbU5SNnhTLytFZlNWMk5VNUQ= entryCSN: 20100209232749Z#000002#00#000000 modifiersName: uid=samba,ou=People,dc=justa-ss,dc=jus,dc=br modifyTimestamp: 20100209232749Z
Figura 3.2: Conta de usurio da base JUSTA-SS

19

o valor imediatamente superior correspondente a 1011. Todos os uidNumber dos usurios migrados foram imputados com atributo a partir dessa numerao. Os atributos sambaSID e sambaPrimaryGroupSID so relacionados ao conceito de domnio implementado pelo Samba. De acordo com (THE SAMBA TEAM, 2007), cada domnio prov um nico Network Security Identifier (SID), o qual representa um contexto seguro. Todas as contas do domnio esto relacionadas ao SID do domnio. Para efetuar a migrao dos usurios, tambm fez-se necessrio a adequao desses atributos para o valor de SID (S-1-5-21-1175868153 -3947730691-4236143472) relacionado ao domnio receptor da migrao. As contas de usurios e grupos so compostas pela combinao do SID e mais um identicador relativo (RID), o qual nico para cada conta de usurio do domnio. Para calcular o valor do identicador RID foi utilizada a funo implementada pelo script Smbldap-useradd provido pelo pacote Smbldap-tools. Conforme consta no script mostrado na Figura 3.3, utilizou-se a seguinte funo: RID=uidNumber*2+1000 Calculado o RID correspondente, cada conta de usurio recebeu o valor de atributo sambaSID composto pela combinao SID-RID. Para a conta de usurio apresentada na Figura 3.2, os atributos uidNumber e sambaSID receberam os valores 1014 e S-1-5-21-1175868153-39477306914236143472-3028, respectivamente. O atributo sambaPrimaryGroupSID tambm composto pela combinao SID-RID. Para adequ-lo para a migrao, esse atributo recebeu o SID do domnio JUSTA combinado com o RID do grupo Domain Users, o qual possui o valor padro igual a 513. Portanto, todos os usurios receberam no atributo sambaPrimaryGroupSID o mesmo valor equivalente a S-1-5-21-1175868153-3947730691-4236143472513. Para implementar as adequaes na base a ser migrada, executou-se o script da Figura 3.3 no servidor PDCJUST-SS, atravs da linha de comando no console, com privilgios de administrador do sistema: # ./adiciona_grupos.sh usuarios_subsede.ldif > \ usuarios_subsede_migrados.ldif O arquivo usuarios_subsede_migrados.ldif recebeu as contas dos usurios j com todas as adequaes necessrias para serem inseridas na base unicada.

20

#!/bin/bash # nome: ajusta_usuarios.sh # descricao: ajusta contas de usuarios para migrar para novo domnio # usage: ./ajusta_usuarios.sh <arquivo.ldif> # Variaveis relacionadas as bases de dados SUFIXO_ANTIGO="dc=justa-ss,dc=jus,dc=br" SUFIXO_NOVO="dc=justa,dc=jus,dc=br" SAMBA_SID="S-1-5-21-1175868153-3947730691-4236143472" UID_NUMBER="1011" # Seleciona os dn dos usuarios exceto os usuarios de sistema grep dn: uid.*ou=People $1 | grep -v uid=root, |\ grep -v uid=nobody, | grep -v uid=samba, > ./dn_usuarios.ldif while read DN_USUARIO do # Calcula RID RID=$((($UID_NUMBER*2)+1000)) # Seleciona atributos dos usuarios cat $1 |\ sed -n "/$DN_USUARIO/,/modifyTimestamp:/p" |\ # Troca SUFIXO sed -e "s/$SUFIXO_ANTIGO/$SUFIXO_NOVO/g # Troca UID Number s/^uidNumber:.*/uidNumber: $UID_NUMBER/g # Troca sambaSID s/^sambaSID:.*/sambaSID: ${SAMBA_SID}-${RID}/g # Troca sambaPrimaryGroupSID s/^sambaPrimaryGroupSID:.*/sambaPrimaryGroupSID: ${SAMBA_SID}-513/g" # Imprime linha em branco para separar usuarios echo "" # Incrementa UID NUMBER UID_NUMBER=$(($UID_NUMBER+1)) done < ./dn_usuarios.ldif # Remove arquivo auxiliar rm ./dn_usuarios.ldif
Figura 3.3: Script ajusta_usuario.sh

21

Por m, para se efetivar a migrao, foi copiado o arquivo de usuarios_sub sede_migrados.ldif para o servidor PDCJUST, receptor da migrao. Com o daemon Ldapd desligado, executou-se a seguinte linha de comando no console com privilgios de administrador: # slapadd -l usuarios_subsede.ldif Feito isso, iniciou-se o daemon Ldapd para que todas as contas de usurios estivessem disponveis na base unicada: # service ldap start

3.2

Migrao de grupos de usurios

Esta seo descreve o processo de migrao dos grupos de usurios do diretrio LDAP, os quais so utilizados nas permisses de acesso ao servidor Samba citadas no Captulo 4.

3.2.1

Copiando grupos e membros

Para migrar os grupos foi utilizado, no servidor da subsede PDCJUST-SS, o comando ldapsearch, que faz parte do conjunto de comandos do pacote Openldapclients. As opes e os parmetros de uso desse comando so detalhados por (TRIGO, 2007). No console do servidor foi executado com privilgios administrativos a seguinte linha de comando: # ldapsearch -LLL -x -b ou=Group,dc=justa-ss,dc=jus,dc=br \ (&(!(ou=Group))(!(cn=Domain Admins))(!(cn=Domain Guests)) \ (!(cn=Domain Computers))(!(cn=Administrators)) \ (!(cn=Account Operators))(!(cn=Print Operators)) \ (!(cn=Backup Operators))(!(cn=Replicators))) \ memberUid > grupos_subsede.ldif A linha acima gerou o arquivo grupos_subsede.ldif contendo os grupos de usurios e seus respectivos membros. importante observar a utilizao de ltros de busca para selecionar apenas os grupos que convenientemente deveriam ser migrados. Alguns desses grupos, criados automaticamente no processo de inicializao da base LDAP por meio da 22

execuo do script smbldap-populate, disponvel no pacote smbldap-tools, foram excludos da seleo. Apenas o grupo de sistema Domain Users e os grupos criados posteriormente foram selecionados, sendo excludos os demais grupos de sistema, que j se encontravam na base receptora, com os mesmos membros da base em migrao. Como resultado, foi gerado um arquivo contendo os grupos Domain Users, cartorio01 e catorio02, e seus respectivos membros, conforme apresentado na Figura 3.4.
dn: cn=Domain Users,ou=Group,dc=justa-ss,dc=jus,dc=br memberUid: samba memberUid: rbarros memberUid: raraujo memberUid: ralves memberUid: csabino memberUid: anascimento memberUid: fpessoa dn: cn=cartorio01,ou=Group,dc=justa-ss,dc=jus,dc=br memberUid: rbarros memberUid: ralves memberUid: fpessoa dn: cn=cartorio02,ou=Group,dc=justa-ss,dc=jus,dc=br memberUid: csabino memberUid: raraujo memberUid: anascimento
Figura 3.4: Arquivo grupos_subsede.ldif

3.2.2

Adicionando grupos e membros

Para efetivar a migrao dos grupos e seus respectivos membros, foi utilizado o script apresentado na Figura 3.5, desenvolvido em Shell pelo autor deste trabalho, junto com o arquivo grupos_subsede.ldif. No servidor PDCJUST, com o daemon Ldapd desligado, executou-se a seguinte linha de comando no console do servidor com privilgios de administrador do sistema: #./adiciona_grupos.sh grupos_subsede.ldif 23

Para nalizar a migrao das contas de grupo de usurios, iniciou-se o daemon do servio LDAP.
#!/bin/bash # nome: adiciona_grupos.sh # descricao: adiciona grupos e membros no novo domnio # usage: ./adiciona_grupos.sh <arquivo.ldif> while read LINHA do ATRIBUTO=${LINHA%%:*} case $ATRIBUTO in "dn") GRUPO=$(echo ${LINHA##dn: } |\ cut -d"," -f1 | cut -d"=" -f2); smbldap-groupadd "$GRUPO";; "memberUid") MEMBRO=$(echo ${LINHA##memberUid: }) smbldap-groupmod -m "$MEMBRO" "$GRUPO";; *) shift;; esac done < $1
Figura 3.5: Script adiciona_grupos.sh

3.3

Migrao de estaes de trabalho

Diferente das contas de usurios e grupos, a migrao das contas das estaes de trabalho no se realizou por meio da manipulao direta do contedo dos diretrios LDAP. Ao adicionar as estaes de trabalho no domnio JUSTA, o parmetro add machine script, denido no arquivo smb.conf, foi suciente para autorizar o servidor BDCJUST a incluir automaticamente as contas relativas a estas estaes no diretrio LDAP unicado. Os procedimentos para incluso de clientes CIFS em domnio Samba so apresentados em detalhe por (TS; ECKSTEIN; COLLIERBROWN, 2003). Entretanto s foi possvel realizar esse processo de migrao das estaes de trabalho aps a instalao do servidor BDCJUST na subsede, j contendo a base replicada do domnio JUSTA. A instalao e congurao desse servidor tratada no Captulo 4. 24

Para reduzir o impacto desse processo foi necessria a convivncia simultnea dos dois servidores Samba/LDAP na rede da subsede, o que viabilizou uma migrao gradual das estaes de trabalho. Foi preciso ento um ajuste para que apenas um dos servidores Samba desse suporte ao servio WINS no segmento de rede da subsede. "Nunca congure mais de um servidor WINS em uma mesma rede."(SILVA, 2007). Durante o processo de migrao foi desabilitado o servio WINS no servidor BDCJUST, atravs da substituio do parmetro wins support = yes por wins server = 172.20.0.6, endereo do servidor PDCJUST-SS. Ao m da migrao de todas as estaes de trabalho, foi desligado o antigo servidor PDCJUST-SS, restabelecido o servio WINS no servidor BDCJUST e realizada as adequaes nas estaes de trabalho para utilizao desse servio.

3.4

Consideraes Finais

Aps os procedimentos apresentados neste Captulo, o diretrio LDAP do servidor PDCJUST passou a abrigar as contas dos usurios e grupos de rede da sede e subsede da instituio. A partir de ento foi possvel a replicao do diretrio para um controlador de domnio secundrio em uma subrede fora da sede. O Captulo 4 trata da preparao desse servidor Samba/LDAP secundrio, denominado BDCJUST, congurado para atender ao domnio JUSTA na rede da subsede, implementando a replicao da base LDAP unicada no servidor PDCJUST, controlador principal do domnio.

25

26

Captulo 4

Adequaes nos Servidores Samba e LDAP

Este captulo trata dos detalhes de congurao do servidor de rplica Samba/LDAP atravs da implementao do servio Syncrepl, disponibilizado pelo pacote de programa Openldap-servers. Para substituir o servidor PDCJUST-SS, foi implementado um servidor BDC do domnio JUSTA, denominado BDCJUST, responsvel pelo controle do domnio com base nica e replicada na subsede. Para que houvesse uma migrao gradual das estaes de trabalho entre os domnios, o servidor BDCJUST foi colocado em produo em paralelo com o servidor PDCJUST-SS.

4.1

Adequaes no servidor Samba

Esta seo apresenta as conguraes necessrias para o servidor BDCJUST atuar como BDC na rede da subsede, migrando os compartilhamentos de recursos mantidos anteriormente pelo servidor PDCJUST-SS. Foram ajustados o arquivo smb.conf e os scripts de logon de domnio e de grupos. 27

4.1.1

Ajustando o arquivo smb.conf

Para congurar o servio Samba no BDCJUST foi utilizado como referncia o arquivo smb.conf do servidor PDCJUST apresentado no Apndice A. O servidor BDCJUST foi congurado para atuar como BDC do domnio JUSTA, cujo servidor PDC encontra-se localizado no segmento de rede da sede. De acordo com (RED HAT, INC., 2005) s pode existir um nico Domain Master Browser (DMB) por domnio, o qual recebe a lista dos recursos e compartilhamentos dos outros servidores Local Master Browser (LMB) presentes na rede. O PDCJUST, instalado na sede, foi congurado para assumir o papel de DMB atravs da habilitao do parmetro domain master = yes. Para o servidor BDCJUST, o seu arquivo smb.conf foi congurado com o parmetro domain master = no, entretanto foi utilizado o parmetro local master = yes. Um trecho desse arquivo que dene esse parmetros globais apresentado na Figura 4.1.

[global] workgroup = JUSTA server string = "Servidor BDCJUST" netbios name = BDCJUST domain master = no local master = yes preferred master = yes domain logons = yes os level = 65 wins server = 172.16.0.6 wins proxy = yes
Figura 4.1: Conguraes globais do arquivo smb.conf no BDCJUST

Com esses parmetros globais denidos, o servidor BDCJUST foi preparado para controlar o domnio JUSTA localmente (LMB), realizando a autenticao e autorizao dos clientes no segmento de rede da subsede. "A mquina escolhida como Local Master Browser envia pacotes para a porta UDP 138 do Domain Master e este responde pedindo a lista de todos os nomes de mquinas que o Local Master conhece, e tambm o registra como Local Master para aquele segmento de rede."(SILVA, 2007). 28

Portanto, ao ser implementado um nico domnio (JUSTA), o servidor PDCJUST passou a consolidar todas as informaes relacionadas ao nomes de mquinas e recursos compartilhados atravs do protocolo CIFS em todos os segmentos da rede. Tambm foram congurados dois parmetros relativos ao servio WINS. O primeiro, wins server = 172.16.0.6, dene exatamente o endereo do servidor PDCJUST, congurado como servidor WINS do domnio JUSTA. Como lembra (THE SAMBA TEAM, 2007), o Samba no possui suporte nativo para replicao de servio WINS. Como opo, utilizou-se o parmetro wins proxy = yes que redireciona as solicitaes de resolues de nomes, feitas a partir dos clientes da rede local da subsede, para o servio WINS prestado pelo servidor PDCJUST, localizado na sede. Os outros parmetros globais do servidor BDCJUST so exatamente iguais ao do servidor PDCJUST, apresentados no arquivo smb.conf do Apndice A. Alm dos parmetros globais utilizados pelo daemon smbd para denir os servios de autenticao e autorizao, tambm foram congurados no arquivo smb.conf as opes de compartilhamento de arquivos e diretrios utilizadas pelo protocolo CIFS. Para que o novo servidor mantivesse os mesmos servios de compartilhamento de recursos do PDCJUST-SS, foram migradas as denies de compartilhamentos apresentados na Figura 4.2. Para os compartilhamentos [cartorio01] e [cartorio02], a opo valid users foi utilizada para delimitar o acesso apenas aos membros dos grupos correspondentes, migrados anteriormente para base LDAP unicada. Para cada compartilhamento de grupo foi utilizada a opo path que aponta para o diretrio do sistema operacional onde se encontram os arquivos e diretrios compartilhados. A migrao de arquivos e diretrios disponibilizados por esse servio tratada no Captulo 5. Figura 4.2 apresenta ainda dois compartilhamentos especiais: [homes] e [net logon]. O primeiro refere-se ao compartilhamento do diretrio inicial de cada usurio. Nos servidores tratados neste trabalho foi utilizado o padro de diretrio inicial do GNU/Linux, o qual criado abaixo do diretrio home, com o nome da conta do referido usurio de sistema e permisso de acesso restrita ao mesmo. Para a mon-

29

[homes] comment = Home Directories browseable = no writable = yes [netlogon] comment = Netlogon path = /home/netlogon browseable = no public = yes read only = yes [cartorio01] comment = 1o. Cartorio path = /home/compart/cartorio01 browseable = yes writable = yes valid users = @cartorio01 [cartorio02] comment = 2o. Cartorio path = /home/compart/cartorio02 browseable = yes writable = yes valid users = @cartorio02
Figura 4.2: Compartilhamento do arquivo smb.conf no BDCJUST

30

tagem automtica desse diretrio como uma unidade de rede remota, foi utilizado o parmetro logon drive nas conguraes globais do arquivo smb.conf. O segundo compartilhamento refere-se ao diretrio onde encontram-se os scripts de logon do domnio. Nesse diretrio foi gravado o script netlogon.bat, denido no parmetro global logon script do arquivo smb.conf, o qual dever ser lido e executado por todas as mquinas clientes durante o logon no domnio. Em virtude da necessidade de apenas leitura desse script pelas mquinas clientes, o compartilhamento foi congurado com as opes read only = yes e browseable = no. Mais detalhes sobre o arquivo netlogon.bat so apresentados na Subseo 4.1.2.

4.1.2

Ajustando os scripts de logon

O arquivo netlogon.bat, disponibilizado por meio do compartilhamento de rede [netlogon] denido nas conguraes globais do servidor BDCJUST, foi migrado do servidor PDCJUST-SS e sofreu alguns ajustes para se adequar ao novo domnio. Esse arquivo, que contm comandos MS-DOSNT que so executados nos clientes CIFS no momento do logon das mquinas Windows no domnio, apresentado na Figura 4.3.
echo off @call net time \\bdcjust /YES @REM Script especifico por usuario @REM \\bdcjust\netlogon\%username%.bat @echo Ativando unidades de rede... @call \\bdcjust\cartorio01\netlogon.bat @call \\bdcjust\cartorio02\netlogon.bat
Figura 4.3: Script de logon netlogon.bat do BDCJUST

Para adequar esse script ao novo servidor foi necessrio modicar o nome NetBIOS em todas referncias feitas ao servidor do domnio. Para isso, substituiuse o nome pdcjust-ss por bdcjust nas referncias aos compartilhamentos providos pelo servidor BDCJUST. Tambm foram necessrios os mesmos ajustes nos scripts netlogon.bat executados pelas duas ltimas linhas da Figura 4.3, os quais foram congurados 31

com permisses de execuo apenas para os membros dos grupos cartorio01 e cartorio02, respectivamente. No caso do primeiro script netlogon.bat, foi concedida a permisso de execuo apenas para os membros do grupo cartorio01. Durante o logon no domnio, este script solicita o mapeamento da uma unidade de rede para o compartilhamento [cartorio01], denido no servidor BDCJUST atravs da linha de comando MS-DOSNT a seguir: net use T: \\bdcjust\cartorio01 /no Efetuado o logon no domnio, os membros do grupo cartorio01 passaram a ter disponvel, alm da unidade (U:), relativa ao diretrio inicial de usurio, a unidade de grupo (T:), equivalente ao compartilhamento correspondente no servidor BDCJUST. Para o grupo catorio02 foi utilizado o mesmo script netlogon.bat, apenas com as adequaes do nome do grupo e das permisses de execuo.

4.2

Adequaes nos arquivos do Smbldap-tools

Para congurao do novo servidor de domnio BDCJUST, necessitou-se realizar ajustes dos arquivos smbldap.conf e smbldap_bind.conf, gravados no diretrio /etc/smbldap-tools, nos quais est baseado o uso destas ferramentas.

4.2.1

Ajustando o arquivo smbldap.conf

O arquivo smbldap.conf, utilizado para denir parmetros globais a serem utilizados pelos scripts do Smbldap-tools, abriga as informaes relacionadas ao domnio do servidor Samba. Dessa forma, para ajustar o servidor BDCJUST ao domnio JUSTA, utilizouse para esses trs parmetros, os mesmos denidos no PDC. Assim, foi suciente copiar o arquivo smbldap.conf, sem nenhuma alterao, do servidor PDCJUST, listado no Apndice A. 32

4.2.2

Ajustando o arquivo smbldap_bind.conf

O arquivo smbldap_bind.conf possui as credenciais de acesso do usurio administrador do diretrio LDAP. Para manter uma padronizao foi conveniente utilizar as mesmas credenciais em todos os servidores LDAP. Portanto, para adequar esse arquivo do servidor BDCJUST ao novo domnio, foi suciente ajustar o DN do usurio administrativo do diretrio com o suxo do domnio JUSTA e congurar a sua senha correspondente. Para todos servidores Samba/LDAP tratados neste trabalho foi utilizado o usurio samba com poderes administrativos, o qual possui permisso de leitura e escrita em todo contedo do diretrio. Foi suciente copiar o arquivo smbldap_bind.conf do servidor PDCJUST, apresentado no Apndice A.

4.3

Adequaes no servidor LDAP

Esta seo detalha as conguraes feitas nos arquivos do servidor OpenLDAP necessrias para garantir a sincronizao das bases LDAP entre os servidores PDCJUST e BDCJUST.

4.3.1

Ajustando o arquivo sldapd.conf

Para prover as informaes do domnio JUSTA, o servidor BDCJUST foi congurado com os mesmos parmetros de domnio e schemas, exceto as denies de polticas de acesso, do servidor PDCJUST. As permisses de acesso para o BDCJUST so tratadas na Subseo 4.3.3. Portanto, o servidor BDCJUST foi inicialmente congurado com o arquivo slapd.conf com o mesmo contedo, retiradando-se as permisses de acesso, do servidor PDCJUST, mostrado no Apndice A.

4.3.2

Ajustando o arquivo ldap.conf

O arquivo ldap.conf contm apenas o endereo do servidor onde se encontra a base LDAP e o DN base do diretrio. 33

Semelhante ao servidor PDCJUST, o servidor BDCJUST possui o servio LDAP e o contedo de sua base instalados no mesmo equipamento. Tambm utiliza o mesmo DN base relativo ao domnio JUSTA. Portanto, o servidor BDCJUST foi congurado com o contedo do arquivo ldap.conf idntico ao do servidor PDCJUST, listado no Apndice A.

4.3.3

Servio de replicao de diretrios

Para garantir a unicidade e integridade da base LDAP entre os servidores, foi utilizado o programa Syncrepl, disponibilizado junto com o servidor OpenLDAP. Pelo fato do mecanismo de sincronizao do Syncrepl ser implementada do lado cliente, conforme ressalta (THE OPENLDAP PROJECT, 2004), suciente congurar o arquivo slapd.conf no servidor BDCJUST. Para congurar a parte cliente do servidor de rplica, foram includos no arquivo slapd.conf, do servidor BDCJUST, os parmetros apresentados na Figura 4.4.
syncrepl rid=123 provider=ldap://172.16.0.6:389 type=refreshOnly interval=00:00:05:00 searchbase="dc=justa,dc=jus,dc=br" scope=sub schemachecking=off updatedn="cn=replica,dc=justa,dc=jus,dc=br" bindmethod=simple binddn="cn=Manager,dc=justa,dc=jus,dc=br" credentials=secret updateref ldap://172.16.0.6
Figura 4.4: Congurao do Syncrepl no BDCJUST

O parmetro provider indica o endereo do servidor provedor, de onde so consumidas as atualizaes da base de dados, neste caso, o servidor PDCJUST. As opes type=refreshOnly e interval=00:00:05:00 denem o modo de sincronizao e a periodicidade de solicitao das atualizaes ao servidor provedor das informaes, respectivamente. Para autenticao no servidor LDAP provedor foram utilizados os parmetros binddn="cn=Manager,dc=justa,dc=jus,dc=br" e credentials=secret. Es34

tes indicam o DN e a senha do usurio que tem permisso de leitura e escrita no diretrio LDAP do servidor PDCJUST. Vale ainda ressaltar o parmetro updateref, utilizado no lado consumidor da replicao. Esta opo indica que todas as solicitaes de modicaes enviadas para o servidor BDCJUST devero ser redirecionadas para o servidor principal, indicado pelo endereo de rede fornecido. Portanto todas as modicaes sempre ocorrero no servidor PDCJUST e, posteriormente, replicadas para o servidor BDCJUST, quando este solicitar a sincronizao do contedo de seu diretrio. Mais detalhes sobre esses e outros parmetros do Syncrepl so encontradas em (TRIGO, 2007) e (THE OPENLDAP PROJECT, 2004). Foi ainda necessrio adequar as permisses de escrita no servidor consumidor das atualizaes, de forma a assegurar que apenas o usurio denido pelo parmetro updatedn pudesse fazer as modicaes na base de dados, garantindo, assim, a consistncia da replicao. Foi restringida, portanto, a permisso de escritas apenas ao DN equivalente ao usurio denido como responsvel pela gravao da rplica no servidor BDCJUST: cn=replica,dc=justa,dc=jus,dc=br. Para evitar ambiguidade, esse mesmo usurio tambm foi denido como o rootdn do diretrio em substituio a cn=Manager,dc=justa,dc=jus,dc=br. A Figura 4.5 apresenta as permisses de acesso com essas restries denidas no arquivo slapd.conf do servidor BDCJUST. Concludas as conguraes do Syncrepl, reiniciou-se os servidores LDAP, comeando pelo provedor PDCJUST e, em seguida, o consumidor BDCJUST. Com o Syncrepl no foi necessrio ter uma base inicial no servidor BDCJUST, adicionada manualmente antes de iniciar a rplica. Ao solicitar a primeira atualizao da base, toda a estrutura foi replicada do servidor PDCJUST. Aps essa primeira atualizao completa, apenas as alteraes da base passaram a ser propagadas por meio da replicao entre os servidores.

4.4

Consideraes Finais

Aps a concluso dos procedimentos descritos neste Captulo, o servidor BDCJUST cou preparado para realizar o controle do domnio JUSTA na subsede, com a replicao do diretrio LDAP unicado no servidor PDCJUST. 35

# Polticas de acesso para rplica access to attrs=objectClass,entry,gecos,homeDirectory, uid,uidNumber,gidNumber,cn,memberUid,attrs=description, telephoneNumber by * read access to attrs=cn,attrs=userPassword,sambaLMPassword,sambaNTPassword, sambaPwdLastSet, sambaLogonTime,sambaLogoffTime,sambaKickoffTime, sambaPwdCanChange, sambaPwdMustChange,sambaAcctFlags,displayName, sambaHomePath, sambaHomeDrive,sambaLogonScript,sambaProfilePath, description, sambaUserWorkstations,sambaPrimaryGroupSID, sambaDomainName,sambaSID,sambaGroupType,sambaNextRid, sambaNextGroupRid,sambaNextUserRid,sambaAlgorithmicRidBase by self read by * none access to * by dn.base="cn=replica,dc=justa,dc=jus,dc=br" write by * none
Figura 4.5: Permisses de acesso no BDCJUST

Vale observar que no ambiente de rede real a comunicao entre os servidores Samba/LDAP em pontos remotos ocorre atravs de uma rede WAN, conetada por meio de alguns ativos, tais como roteadores e rewalls. possvel que haja a necessidade de ajustes nesses equipamentos para permitir a troca de pacotes atravs das portas de comunicao do protocolo TCP/IP utilizadas pelos servios Samba e Syncrepl. Para realizar a migrao denitiva do domnio, com a transferncia das estaes de trabalho, ainda foi necessrio migrar os arquivos e diretrios compartilhados pelo servidor PDCJUST-SS. O Captulo 5 detalha esses procedimentos.

36

Captulo 5

Migrao de Dados Compartilhados no Servidor

Alm de realizar tarefas de autenticao e autorizao no domnio, os servidores Samba/LDAP tratados neste trabalho tambm implementam servios de compartilhamento de arquivos. Este Captulo aborda os detalhes da migrao dos arquivos e diretrios compartilhados pelo Samba no servidor PDCJUST-SS para o servidor BDCJUST, com a integrao de outros recursos, como Posix ACL e servio de quota.

5.1
5.1.1

Cpia de dados compartilhados e ACLs

Copiando os arquivos compartilhados

Conforme pode ser observado no arquivo smb.conf de congurao do servidor Samba da Figura 4.2, todos os compartilhamentos migrados so relativos a dados gravados no diretrio /home do sistema de arquivos do GNU/Linux. Considerando que foi atribudo o endereo de rede 172.20.0.7/16 para o servidor BDCJUST, para efetuar a transferncia dos dados foi suciente executar no console do servidor PDCJUST-SS a seguinte linha de comando com privilgios administrativos: # rsync -a /home root@172.20.0.7:/home 37

A linha de comando acima realizou a cpia dos arquivos e diretrios do servidor PDCJUST-SS, no qual o comando foi executado, para o servidor BDCJUST, receptor da migrao dos dados. O Rsync1 , utilizado nesse procedimento, um programa de cdigo-aberto, disponvel para sistemas Unix, que sincroniza remotamente dados entre servidores, com a vantagem de preservar as informaes relacionadas ao controle de acesso nativo do sistema de arquivo. A opo -a foi usada para ativar o archive mode, um conjunto de opes mais usuais para transferncia de arquivos. Para realizar a transferncia dos arquivos entre os servidores Samba/LDAP, o Rsync utilizou o protocolo SSH2 . Portanto, foi necessrio disponibilizar esse servio no servidor BDCJUST, receptor da transferncia dos dados. Mais detalhes de utilizao do Rsync e da implementao do servidor SSH esto disponveis em (NEMETH; SNYDER; HEIN, 2007).

5.1.2

Copiando as permisses de acesso estendidas

A partir da verso do 2.4 do kernel do GNU/Linux foi disponibilizado uma extenso ao sistema de controle de acesso Unix tradicional, denominada POSIX ACL. Este recurso possibilitou a utilizao de ACLs3 com a especicaes de permisso para mltiplos usurios ou grupos. O Samba ao compartilhar arquivos e diretrios com sistemas Windows compatvel com a POSIX ACL e faz um bom esforo para traduzir ACLs entre este sistema operacional e o GNU/Linux. Para habilitar esse recurso foi utilizada a opo acl no arquivo /etc/fstab, no qual so denidas todas as opes de montagem de sistema arquivos durante a inicializao do servidor. O servidor BDCJUST foi instalado com uma partio separada para o diretrio /home. Assim, para habilitar a POSIX ACL, foi includa a clusula acl, na linha relacionada a esta partio, dentro do arquivo /etc/fstab.
1 Rsync um utilitrio que prov rpida transferncia de arquivo de forma incremental. Disponvel em http://samba.anu.edu.au/rsync/. 2 Secury Shell ou SSH um protocolo de rede que permite a conexo criptografada entre computadores que permite a execuo remota de comandos. 3 Access Control list (ACL) ou Lista de Controle de Acesso uma lista que dene as permisses de acesso a um determinado objeto de um sistema, como por exemplo, um sistema de arquivo.

38

Infelizmente ainda poucos utilitrios de backup e transferncia de arquivos do suporte a POSIX ACL, como o caso do Rsync, utilizado para migrar os dados compartilhados nos servidores. Para contornar essa limitao, fez-se uso de utilitrios que manipulam POSIX ACL. Para fazer o dump das ACLs no servidor PDCJUST-SS foi necessrio executar a seguinte linha de comando com privilgio de administrador do sistema: # getfacl -R /home > dir_home.acl Para restaurar as ACLs, foi copiado o arquivo dir_home.acl para servidor BDCJUST, no qual executou-se a linha de comando, com privilgios de administrador do sistema: # setfacl --restore=dir_home.acl Os programas getfacl e setfacl esto disponveis no pacote de programas acl, disponvel no repositrio ocial da distribuio GNU/Linux utilizada neste trabalho. Mais informaes sobre o uso de POSIX ACL so apresentadas em (TERPSTRA, 2006).

5.2

Congurao de quotas

De acordo com (RED HAT, INC., 2007), o sistema de quota de disco nativo do sistema GNU/Linux possibilita gerar restries por partio para cada usurio do sistema ou mesmo para grupos de usurios. Uma boa gerncia desse sistema promove o uso racional dos recursos de discos disponibilizados pelo servidor. Para migrar as informaes de quota de usurio para o servidor BDCJUST foram executados os seguintes passos: habilitao do sistema de quotas no arquivo /etc/fstab com a incluso da opo usrquote para a partio do diretrio /home. Para concluir esse passo foi ainda necessrio remontar esta partio com a seguinte linha de comando executada com privilgio de administrador: # mount -o remount /home o uso do utilitrio Rsync para migrar os dados do servidor PDCJUST-SS copiou tambm o arquivo aquota.user, no qual so guardadas as informaes 39

de quota de disco para usurios. Portanto, foi apenas suciente gerar a tabela de uso corrente de disco para o diretrio /home com execuo da seguinte linha de comando com privilgio de administrador no servidor BDCJUST: # quotacheck -avu Foram implementas apenas quotas de usurio no servidores tratados neste trabalho. (RED HAT, INC., 2007) apresenta os detalhes de implementao de quotas de grupo.

5.3

Consideraes Finais

Os procedimentos abordados neste Captulo prepararam o servidor BDCJUST para receber as estaes de trabalho da rede da subsede no domnio JUSTA. Ao nal da migrao das estaes de trabalho do domnio JUSTA-SS para JUSTA, o servidor PDCJUST-SS pde ser desativado, conforme descrito na Seo 3.3.

40

Captulo 6

Consideraes Finais
O servio de diretrio vem se tornando um padro, com diversos programas dando suporte ao LDAP. Existem muitas formas de se disponibilizar um servio de diretrio, o que permite que diferentes tipos de informaes sejam manipuladas com requerimentos diferentes sobre os objetos armazenados. Devido a grande exibilidade tanto do servidor Samba, quanto do servidor OpenLDAP, este trabalho abordou apenas uma das diversas possibilidades de utilizao desses servios, que podem ser congurados e integrados com muitas outras ferramentas de modo que melhor se adeque aos mais diversos cenrios. Para efeitos de simulao, foi alcanado o objetivo esperado. A soluo apresentada neste trabalho, portanto, est apta para ser implementada, entretanto devese atentar para possveis detalhes do ambiente real que no foram tratados na simulao. Deve car claro que no existe uma nica forma de implementao de tais servios e no foi pretenso desse trabalho delimitar essas possibilidades. A utilizao de rplica de diretrio, tratada nessa proposio com o uso do Syncrepl, viabiliza a autenticao nica no ambiente da Justia Federal de Primeiro Grau no Cear, o que pode resultar em grandes benefcios para a instituio. Dentre esses benefcios pode-se destacar: a diminuio do desgaste do usurio ao administrar apenas uma nica credencial de acesso, reduo do tempo gasto em vrios processos de autenticao, reduo do nmero de chamados tcnicos para reinicializao de senhas e centralizao de informaes de acesso protegidas. Em virtude de no haver restrio quanto ao nmero de rplicas, o uso de mltiplos servidores BDC, em cada segmento de rede, tambm possibilita o aumento do grau de escalabilidade e disponibilidade dos servios de autenticao. 41

Alm desses benefcios supra citados, a replicao tambm representa uma boa estratgia para a reduo do trfego na rede WAN da instituio, pois todas as requisies de leitura do diretrio LDAP podem ocorre na prpria rede local.

6.1

Trabalho Futuros

Este trabalho apresentou uma soluo para autenticao nica sem considerar os aspectos de segurana que envolvem um ambiente de rede. Uma proposta para trabalhos futuros a implementao de uma soluo Single Sign On com o uso do OpenLDAP integrado com Kerberos, visando aumentar o nvel de segurana no processo de autenticao. Outros trabalhos podem ser desenvolvidos utilizando os novos mtodos de replicao disponibilizados a partir da verso 2.4 do OpenLDAP.

42

Referncias Bibliogrcas
CAMARGO, H. A. Automao de Tarefas. Lavras: UFLA/FAEPE, 2005. 152 p. Curso de Ps-Graduao "Lato Sensu"(Especializao) a Distncia: Administrao em Rede Linux. CARTER, G. LDAP Administrao de Sistemas. Rio de Janeiro: Starlin Alta Con. Com. Ltda, 2009. JARGAS, A. M. Shell Script Prossional. So Paulo: Novatec Editora, 2008. LUZ, C.; CAPARELLI, E. Governo x Microsoft. Revista do TCU, Tribunal de Contas da Unio, Braslia, v. 1, n. 98, dez. 2003. NEMETH, E.; SNYDER, G.; HEIN, T. R. Manual Completo do Linux. So Paulo: Pearson Prentice Hall, 2007. NEVES, J. C. Programao Shell Linux. 7. ed. Rio de Janeiro: Brasport, 2008. RED HAT, INC. Red Hat Enterprise Linux 4: Reference guide. [S.l.], 2005. Acessado em: 02 de fevereiro de 2010. Disponvel em: <http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ref-guide/index.html>. RED HAT, INC. Red Hat Enterprise Linux 4.5.0: System administration guide. [S.l.], 2007. Acessado em: 02 de fevereiro de 2010. Disponvel em: <http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/en-US/System Administration Guide /index.html>. SILVA, G. M. d. Guia Foca GNU/Linux: Avanado. [S.l.], 27 nov. 2007. Acessado em: 10 de fevereiro de 2010. Disponvel em: <http://focalinux.cipsga.org.br/download/inic interm/focalinux12-pdf.tar.gz>. TERPSTRA, J. H. Samba-3 by Example: Practical exercises in successful samba deployment. [S.l.], jul. 2006. Acessado em: 31 de janeiro de 2010. Disponvel em: <http://www.samba.org/samba/docs/man/Samba-Guide/>. 43

THE OPENLDAP PROJECT. OpenLDAP Software 2.2 Administrators Guide. [S.l.], 25 fev. 2004. Acessado em: 02 de janeiro de 2010. Disponvel em: <http://www.openldap.org/doc/admin22/>. THE SAMBA TEAM. The Ofcial Samba 3.2.x HOWTO and Reference Guide. [S.l.], 2007. Acessado em 31 de janeiro de 2010. Disponvel em: <http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/>. TRIGO, C. H. OpenLDAP: uma abordagem integrada. So Paulo: Novatec Editora, 2007. TS, J.; ECKSTEIN, R.; COLLIER-BROWN, D. Using Samba. 2. ed. USA: OReilly & Associates, 2003.

44

Apndice A

Arquivos de Congurao do Servidor PDCJUST

A.1 Arquivo smb.conf

[global] workgroup = JUSTA server string = "Servidor PDCJUST" netbios name = PDCJUST domain master = yes local master = yes preferred master = yes domain logons = yes os level = 100 logon script = netlogon.bat logon path = \\%L\%U\Profiles logon home = \\%L\%U logon drive = U: wins support = yes name resolve order = wins lmhosts bcast admin users = samba log file = /var/log/samba/%m.log max log size = 50 security = user encrypt passwords = yes 45

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 read raw = yes write raw = yes max xmit = 65535 getwd cache = yes oplocks = yes # Integracao com LDAP # scripts para adionar maquinas e usuarios automatico add machine script = /usr/sbin/smbldap-useradd -w %u add group script = /usr/sbin/smbldap-groupadd -p %g add user to group script = /usr/sbin/smbldap-groupmod -m %u %g # Base Ldap na qual deve realizar a autenticacao passdb backend = ldapsam:ldap://127.0.0.1 # DN do administrador do LDAP #ldap admin dn = "cn=Manager,dc=justa,dc=jus,dc=br" ldap admin dn = "uid=samba,ou=People,dc=justa,dc=jus,dc=br" # DN da base ldap ldap suffix = dc=justa,dc=jus,dc=br # Ramo de maquinas ldap machine suffix = ou=Computers # Ramo de Usuarios ldap user suffix = ou=People # Ramo de Grupos ldap group suffix = ou=Group # sicronizando senhas de todos os sistemas ldap passwd sync = yes # Utilizar ssl ldap ssl = off # Quando o usuario for removido do samba ser removido do ldap ldap delete dn = yes # ACLs Windows map acl inherit = yes inherit acls = yes inherit permissions = yes # Internacionalizacao

46

ldap idmap suffix = ou=People dos charset = CP850 unix charset = ISO8859-1 # Definicoes de compartilhamento [homes] comment = Home Directories browseable = no writable = yes [netlogon] comment = Netlogon path = /home/netlogon browseable = no public = yes read only = yes [diretoria] comment = Diretoria Administrativa path = /home/compart/diretoria browseable = yes writable = yes valid users = @diretoria [contadoria] comment = Secao de Contadoria path = /home/compart/contadoria browseable = yes writable = yes valid users = @contadoria

A.2

Arquivo smbldap.conf

# Security Identified do Dominio SID="S-1-5-21-1175868153-3947730691-4236143472" # Domnio do Samba 47

sambaDomain="JUSTA" # Configuraes LDAP masterLDAP="127.0.0.1" masterPort="389" ldapTLS="0" verify="none" cafile="/etc/smbldap-tools/ca.pem" clientcert="/etc/smbldap-tools/smbldap-tools.pem" clientkey="/etc/smbldap-tools/smbldap-tools.key" suffix="dc=justa,dc=jus,dc=br" usersdn="ou=People,${suffix}" computersdn="ou=Computers,${suffix}" groupsdn="ou=Group,${suffix}" idmapdn="ou=Idmap,${suffix}" sambaUnixIdPooldn="sambaDomainName=JUSTA,${suffix}" scope="sub" hash_encrypt="SSHA" crypt_salt_format="%s" # Configuraes GNU/Linux userLoginShell="/bin/bash" userHome="/home/%U" userHomeDirectoryMode="700" userGecos="System User" defaultUserGid="513" defaultComputerGid="515" skeletonDir="/etc/skel" # Configuraes Samba userSmbHome="" userProfile="" userHomeDrive="U:" userScript="" mailDomain="justa.jus.br" # Configuraces SMBLDAP-TOOLS with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd"

48

with_slappasswd="0" slappasswd="/usr/sbin/slappasswd"

A.3

Arquivo smbldap_bind.conf

# Usurio definido como "admin users" no arquivo smb.conf masterDN="uid=samba,ou=People,dc=justa,dc=jus,dc=br" # Senha do usurio samba masterPw="secret"

A.4

Arquivo slapd.conf

# Arquivos de schemas para atributos include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/samba.schema # Arquivo de processo pidfile /var/run/slapd.pid # Banco de dados utilizado pelo LDAP database ldbm # Estrutura da rvore suffix "dc=justa,dc=jus,dc=br" # Administrador do domnio rootdn "cn=Manager,dc=justa,dc=jus,dc=br" # Senha de acesso do administrador rootpw secret # Local onde sero armazenados os arquivos da base directory /var/lib/ldap 49

# Polticas de acesso access to attrs=userPassword,sambaLMPassword,sambaNTPassword, sambaPwdLastSet,sambaPwdMustChange by anonymous auth by dn.base="cn=Manager,dc=justa,dc=jus,dc=br" write by dn="uid=samba,ou=People,dc=justa,dc=jus,dc=br" write by self write by * none access to attrs=objectClass,entry,gecos,homeDirectory, uid,uidNumber,gidNumber,cn,memberUid by dn="uid=samba,ou=People,dc=justa,dc=jus,dc=br" write by * read access to attrs=description,telephoneNumber by dn="uid=samba,ou=People,dc=justa,dc=jus,dc=br" write by self write by * read access to attrs=cn,sambaLMPassword,sambaNTPassword,sambaPwdLastSet, sambaLogonTime,sambaLogoffTime,sambaKickoffTime,sambaPwdCanChange, sambaPwdMustChange,sambaAcctFlags,displayName,sambaHomePath, sambaHomeDrive,sambaLogonScript,sambaProfilePath,description, sambaUserWorkstations,sambaPrimaryGroupSID,sambaDomainName, sambaSID,sambaGroupType,sambaNextRid,sambaNextGroupRid, sambaNextUserRid,sambaAlgorithmicRidBase by dn="uid=samba,ou=People,dc=justa,dc=jus,dc=br" write by self read by * none access to dn="ou=People,dc=justa,dc=jus,dc=br" by dn="uid=samba,ou=People,dc=justa,dc=jus,dc=br" write by * none access to dn="ou=Group,dc=justa,dc=jus,dc=br" by dn="uid=samba,ou=People,dc=justa,dc=jus,dc=br" write by * none

50

access to dn="ou=Computers,dc=justa,dc=jus,dc=br" by dn="uid=samba,ou=People,dc=justa,dc=jus,dc=br" write by * none access to * by dn.base="cn=Manager,dc=justa,dc=jus,dc=br" write by dn="uid=samba,ou=People,dc=justa,dc=jus,dc=br" write by * none # ndices index objectClass index ou,cn,mail,surname,givenname index uidNumber,gidNumber,loginShell index uid,memberUid index nisMapName,nisMapEntry index sambaSID index sambaDomainName eq index sambaPrimaryGroupSid index default sub

eq,pres eq,pres,sub eq,pres eq,pres,sub eq,pres,sub eq eq

A.5

Arquivo ldap.conf

# Endereo do servidor LDAP HOST 127.0.0.1 # DN base BASE dc=justa,dc=jus,dc=br

51