Escolar Documentos
Profissional Documentos
Cultura Documentos
INTEGRANDO LDAP COM SAMBA PARA UTILIZAO COMO SOLUO DE PDC NA REDE
2008
INTEGRANDO LDAP COM SAMBA PARA UTILIZAO COMO SOLUO DE PDC NA REDE
Monografia Departamento
apresentada de Computao
ao da
Universidade Federal de Lavras, como condio prvia para a concluso do Curso de Ps-Graduao Lato Sensu em Administrao de Redes Linux.
INTEGRANDO LDAP COM SAMBA PARA UTILIZAO COMO SOLUO DE PDC NA REDE
Monografia Departamento
apresentada de Computao
ao da
Universidade Federal de Lavras, como condio prvia para a concluso do Curso de Ps-Graduao Lato Sensu em Administrao de Redes Linux.
Resumo
Esta monografia descreve como configurar e operar o software OpenLDAP que prover servios de diretrio. O LDAP est se tornando uma ferramenta importante na vida de um administrador de redes, ento necessrio entende-lo para ser utilizado como soluo dentro da rede, no caso especifico esta sendo abortado sua utilizao para configurao de um servidor PDC (Personal Domain Controller ), operando com o Samba integrado com o OpenLDAP, funcionando no sistema operacional Linux. Para centralizar a base de usurios da rede em um nico servidor e privilegiar solues opensource, sem custo adicional de conexes e/ou licenas.
SUMRIO
1. INTRODUO 2.1 SISTEMA OPERACIONAL 3. SAMBA 3.1 CONTROLADOR DE DOMNIO (PDC) 4. LDAP 4.1 AVALIAO DO PROTOCOLO 4.2 COMO TRABALHA O LDAP 4.3 O QUE UM DIRETRIO? 4.3.1 INFORMAES ARMAZENADAS EM UM DIRETRIO 4.3.2 ORGANIZAO DAS INFORMAES 4.3.3 SERVIDORES DE DIRETRIO 4.3.4 OPERAO 4.4 MOTIVOS PARA SE USAR O LDAP 4.5 MOTIVOS PARA NO UTILIZAR BANCO DE DADOS RELACIONAL 4.6 ORIGEM DO LDAP 4.7 LDIF (Lightweight Data Interchange Format) 4.8 DIRETRIO REPLICADO 4.8.1 DIRETRIO DISTRIBUIDO 4.9 MODELOS LDAP 4.9.1 MODELO DE INFORMAO 4.9.2 MODELO DE NOMES 4.9.3 MODELO FUNCIONAL 4.9.4 MODELO DE SEGURANA 4.10 SLAPD 4.11 SLURPD 4.12 DIRETIVAS DO ARQUIVO DE CONFIGURAO 4.12.1 DIRETIVAS GLOBAIS 4.12.2 DIRETIVAS DE BANCOS DE DADOS 4.13 LDAP BACKENDS, OBJETOS E ATRIBUTOS. 4.14 STARTLS 4.15 BIND (autentique) 4.16 PROCURA E COMPARA 4.17 ATUALIZAO DAS OPERAES 4.18 OPERAO EXTENDIDA 4.18.1 ABANDONO 4.18.2 UNBIND 1 2 2 3 6 6 7 8 8 9 9 10 10 10 11 12 13 13 14 14 14 15 15 16 17 18 19 19 20 21 22 23 23 24 24 24 25
4.18.3 SCHEMA 4.18.4 VARIAES 4.19 OUTROS MODELOS DE DADOS 4.19.1 APLICATIVOS 4.19.2 NOMEANDO ESTRUTURA 4.19.3 TERMINOLOGIA 4.19.4 ACL's 4.19.5 THREADS 4.19.6 TCP WRAPPERS 4.20 CONFIGURANDO O SERVIDOR LDAP 4.20.1 DIRETIVAS GLOBAIS 4.20.2 DIRETIVAS GERAL DE BACKEND 4.20.3 BANCO DE DADOS GERAL DE DIRETIVAS 4.20.4 BDB BANCO DE DADOS DE DIRETIVAS 4.20.5 LDBM BANCO DE DADOS DE DIRETIVAS 4.20.6 CONTROLE DE ACESSOS 4.20.7 ARQUIVO DE CONFIGURAO 4.20.8 EXECUO DO SERVIDOR LDAP 4.20.9 OPES DE LINHAS DE COMANDOS 4.20.10 CRIAO DE BANCO DE DADOS E MANUTENO 4.20.11 CRIANDO BANCO DE DADOS ON-LINE 4.20.12 CRIANDO UM BANCO DE DADOS OFFLINE 4.20.13 FORMATO DO LDIF 4.20.14 O LDAPSEARCH, LDAPDELETE E LDAPMODIFY 4.21 AUTENTICAO USANDO LDAP 4.22 LOGS 5. RESULTADO DO PDC CONFIGURADO 5.1 CONFIGURAO DO SAMBA 5.2 CONFIGURAO DO LDAP 5.3 UTILIZAO DO SERVIDOR DE DIRETRIO PELO LDAPADMIN 6. CONCLUSO 7. REFERNCIA BIBLIOGRFICA
25 26 26 26 26 27 27 28 28 28 29 31 32 35 36 37 39 41 41 42 42 44 46 48 50 51 52 52 55 56 63 64
LISTAS DE FIGURA
5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.3.1 5.3.2 5.3.3 5.3.4 5.3.5 5.3.6 5.3.7 5.3.8 5.3.9
Primeira parte do smb.conf.................................................. Segunda parte do smb.conf................................................. Terceira parte do smb.conf.................................................. Arquivo smbldap.conf........................................................... Arquivo smbldap-bind.conf.................................................. Arquivo samba4wins.conf.................................................... Arquivo ldap.conf.................................................................. Primeira parte do arquivo mazombo.ldif............................ Segunda parte do arquivo mazombo.ldif........................... Primeira parte do arquivo slapd.conf................................. Segunda parte do arquivo slapd.conf................................ Tela inicial do LDAPAdmin................................................. Acesso base do diretrio Computadores....................... Cadastro de computador..................................................... Acesso a base do diretrio Usurio................................... Primeira etapa para cadastrar um usurio........................ Segunda etapa para cadastrar um usurio....................... Terceira etapa para cadastrar um usurio........................ Quarta etapa para cadastrar um usurio........................... Acesso base do diretrio Grupos...................................
52 53 53 54 54 54 55 55 55 56 56 57 57 58 58 59 59 60 60 61 61 62
5.3.10 Primeira etapa de cadastro do grupo................................ 5.3.11 Segunda etapa de cadastro do grupo...............................
1. INTRODUO
O propsito principal deste projeto demonstrar a configurao e operao um Servidor de Diretrio LDAP integrado com o servio Samba, rodando sobre plataforma o sistema operacional Linux. Incluindo detalhes de configurao e execuo do LDAP e o processo slapd, e atualizar o processo de replicao slurpd. Tambm sero consideradas as tarefas de armazenamento, recuperao e atualizao das informaes do diretrio usado pelos clientes do LDAP. Que seja til para os administradores de redes. O LDAP (Lightweight Directory Access Protocol), pode ter sua utilidade realada em uma instalao leve, sua funcionalidade til para o administrador de redes, que ajuda a evitar que usurios o incomodem perguntando o e-mail de outros usurios. O LDAP foi projetado para armazenar informaes e responder consultas por TCP/IP. Com somente um pouco de informao sobre um usurio registrado (por exemplo, sobrenome ou login) um cliente pode recuperar o nmero do telefone, endereo de email, etc. Existe um mtodo para distribuir senhas e outras informaes por uma rede o NIS (Network Information Service - Servio de Informaes de Rede). O NIS permite que tenham-se um servidor central para distribuir informaes de usurios, incluindo aliases de email e informao de automount. Entretanto, o NIS no apropriado para administrar grandes objetos binrios (BLOBs) como imagens JPEG ou outra coisa que no seja o velho texto plano ASCII. Por outro lado, o LDAP feito para este tipo de tarefa. Como resultado, o LDAP est sendo usado para substituir servios NIS no Linux completamente. De fato, o LDAP possui vrias vantagens sobre o NIS. O LDAP possui suporte para listas de controle de acesso (ACLs) para permitir que usurios no-root acrescentem ou modifiquem dados. Suporta criptografia SSL dos clientes, possui chamadas para a codificao das suas prprias aplicaes em C ou Perl. A informao do LDAP pode ser utilizada fora do domnio LDAP. O lanamento do OpenLDAP, oferece aos usurios e administradores de redes, a possibilidade de testar a versatilidade do protocolo LDAP com um cdigo atualizado. OpenLDAP foi codificado para ser escalvel, fornecendo suporte para replicao de servidores, e uma escolha de servidores de bancos de dados de backend (como o GDBM). O projeto do LDAP hierrquico (como o DNS) ao invs de um banco de dados relacional, o que significa que no necessrio ter nenhum suporte para o mySQL ou o PostgreSQL. Usar uma base de dados relacional diminui um pouco a performance quando se est consultando informaes hierarquizadas. A diferena pode no ser muita, mas aumenta conforme a taxa de consultas aumenta.
e no depende de uma camada intermediria como o Winsock. Em acessos via modem Internet, a velocidade de transmisso dez por cento a vinte por cento maior. [Bonan, 2002. pg.05]. O Debian est atento para detalhes que permitem produzir programas de alta qualidade e estabilidade. As instalaes podem ser facilmente configuradas para servir mltiplos propsitos , como firewall com poucos pacotes, estaes desktop cientficas e servidores de rede de alta performance. Esta distribuio especialmente popular entre usurios avanados por causa de sua excelncia tcnica e ateno s necessidades e expectativas da comunidade Linux. O Debian tambm introduziu muitas caractersticas como instalao e remoo fcil de softwares, e tambm a possibilidade de permitir a atualizao do sistema sem requerer a reinstalao. [Uira, 2004. pg.181]. Por razes de estabilidade, segurana e custo, o sistema operacional Linux foi escolhido para ser instalado no servidor em questo. Para manter a configurao mnima, sem recursos adicionais e desnecessrios, a distribuio Linux escolhida foi o Debian, que oferece, alm da simplicidade de configurao e manuteno, a flexibilidade de manter-se apenas o mnimo necessrio no sistema. Para o mesmo procedimento poderia ser utilizada outra distribuio do sistema operacional Linux.
3. SAMBA
O SMB Server Message Block utilizado pela Microsoft e IBM como padro de compartilhamento de arquivos. A implementao deste padro feita por um pacote de software livre chamado SAMBA. O Samba um servidor, um conjunto de ferramentas que permite que mquinas Linux e Windows se comuniquem e compartilhem arquivos e impressoras. Com ele, possvel construir a topologia de domnios, fazer controle de acesso, compartilhamento, servio de WINS e outros. [Uira, 2004. pg.295]. A primeira verso do Samba, disponibilizada em 1992, foi escrita por Andrew Tridgell, um australiano ento estudante de cincias da computao. Como na poca a especificao do SMB utilizada pela Microsoft ainda era fechada, Andrew desenvolveu um pequeno programa, batizado de clockspy, para examinar os pacotes de dados enviados por uma mquina Windows e, assim, ir implementando uma a uma as chamadas de sistema utilizadas, um trabalho bastante complexo. O resultado foi um programa que rodava no Solaris (o sistema Unix desenvolvido pela Sun) e era capaz de responder s chamadas SMB como se fosse um servidor Windows. Este arquivo ainda pode ser encontrado em alguns dos ftps do http: //samba.org, com o nome Server-0.5. O objetivo desta primeira verso era apenas resolver um problema domstico: interligar um PC rodando o Windows 3.1 Workstation Sun que ele tinha em casa. Na poca isso j era possvel utilizando um dos clientes NFS comerciais para DOS, mas Andrew precisava de suporte a NetBIOS para um aplicativo que pretendia 3
utilizar, o WindX, um servidor X para Windows, que permitia rodar aplicativos via rede a partir do servidor Unix. [Morimoto, 2006. pg.216]. At ento o objetivo era apenas fazer o programa funcionar, no criar um sistema de compartilhamento de arquivos. Depois de algum tempo, Andrew recebeu um e-mail contando que o programa tambm funcionava com o LanManager da Microsoft, permitindo compartilhar arquivos de um servidor Unix com mquinas rodando o DOS. Andrew s acreditou depois de testar, mas ficou to maravilhado com o que havia conseguido que criou o projeto NetBios for Unix e comeou a recrutar voluntrios atravs da Usenet. Mais tarde o projeto passou a usar o nome Samba, que foi adotado no em apologia ao carnaval, mas apenas porque uma das poucas palavras do dicionrio do Aspell que possui as letras S, M, B, de Server Message Blocks. Em 1994 a Microsoft liberou as especificaes do SMB e do NetBios, o que permitiu que o desenvolvimento do Samba desse um grande salto, tanto em recursos quanto em compatibilidade, passando a acompanhar os novos recursos adicionados ao protocolo da Microsoft, que mais tarde novamente deixou de ser aberto. Hoje, alm de ser quase 100% compatvel com os recursos de rede do Windows 98, NT e 2000, o Samba reconhecido por ser mais rpido que o prprio Windows na tarefa se servidor de arquivos. Um dos pontos fortes do Samba que o projeto foi todo desenvolvido sem precisar apelar para qualquer violao de patentes. Todas as chamadas (com exceo das que a Microsoft tornou pblicas em 1994) foram implementadas monitorando as transmisses de dados atravs da rede, uma espcie de engenharia reversa que no tem nada de ilegal. E como se descobrisse como funciona um cdigo de encriptao apenas examinando arquivos encriptados por ele. Matemticos fazem isso a todo instante e muitas vezes so bem pagos para isso. Graas a este detalhe, o Samba no corre o perigo de sofrer restries devido a aes judiciais. De qualquer forma, no existem sinais de que a Microsoft pretenda declarar guerra ao Samba. Pelo contrrio, foi a existncia do Samba que permitiu que a Microsoft conseguisse colocar PCs rodando o Windows em muitos micros onde s entravam Workstations Unix, j que com o Samba os servidores Unix existentes passaram a ser compatveis com as mquinas Windows. Ou seja: de certa forma, o Samba foi vantajoso at mesmo para a Microsoft. O Samba dividido em dois mdulos. O servidor propriamente dito e o cliente, que permite acessar compartilhamentos em outras mquinas (tanto Linux quanto Windows). Os dois so independentes, permitindo que mantenha apenas o cliente instalado num desktop e instale o servidor apenas nas mquinas que realmente forem compartilhar arquivos. Isso permite melhorar a segurana da rede de uma forma geral. [Morimoto, 2006. pg.217]. Toda a configurao relacionada com nomes, grupo de trabalho, tipo de servidor, log, compartilhamento de arquivos e impresso do samba est localizada no arquivo /etc/samba/smb.conf. Este arquivo dividido em sees e parmetros. As sesses utilizam nomes reservados para configuraes especficas. So elas:
[global] Define configuraes que afetam o comportamento de todo o servidor Samba, com efeitos em todas os compartilhamentos. [homes] Especifica opes de acesso aos diretrios HOME dos usurios. [printers] Define opes gerais para controle das impressoras do sistema. Este compartilhamento mapeia os nomes de todas as impressoras encontradas no /etc/printcap. [profile] Define um perfil quando o servidor Samba usado como controlador de domnio. Outros nomes de sesses podem ser utilizados para definir compartilhamentos de impressoras ou arquivos. [Uira, 2004 pg.296]. O Samba possui dois processos que atuam como servidor: SMBD Responsvel pelos servios de compartilhamento de arquivos, impressoras e autenticao. [Uira, 2004 pg.296]. O processo SMBD verifica a porta 139 (porta usada no samba) e replica-se a cada solicitao do cliente na realizao de tarefas de impresso e compartilhamento de arquivos. Se dispem a cobrir os aspectos de segurana de forma direta. Todo o recurso compartilhado pode estar protegido por uma senha, a qual pode ser implementada de duas distintas: [Bonan, 2002. pg.373]. Senhas por compartilhamento: Onde cada item compartilhado como discos, diretrios, impressora etc. tem uma senha prpria. Senhas por usurio: Neste caso todo o usurio deve identificar-se no servidor atravs de um nome e de uma senha. Aps uma validao positiva, o servidor fornecer os acessos de acordo com as permisses predefinidas para o usurio. [Bonan, 2002. pg.374]. NMBD Responsvel pelo servio de Wins e resoluo de nomes em redes SMB. [Uira, 2004 pg.296]. O processo NMBD recebe todo o trfego da porta UDP/137 e UDP/138 para os servios de nomes, registros e browsing (navegao). A diferena entre os dois mtodos e definida no prprio servidor, no podendo coexistir para um mesmo recurso compartilhado atravs da rede. [Bonan, 2002. pg.374]. Os pacotes do Samba recebem nomes um pouco diferentes nas distribuies derivadas do Debian e no Fedora o outras distribuies derivadas do Red Hat. Pacote Servidor: Cliente: Documentao: Swat: Debian samba smbclient samba-doc swat Fedora samba samba-client samba-doc samba-swat
4. LDAP
LDAP significa Lightweight Directory Access Protocol, ou seja, Protocolo Leve de Acesso a Diretrios. Como o nome sugere, um protocolo leve para acessar servios de diretrio. O LDAP roda em cima do protocolo TCP/IP ou outras conexes de transferncia de servios. Basicamente LDAP um protocolo, que trabalha na camada de aplicao da pilha de protocolos TCP/IP, como o SMTP, HTTP, FTP, TELNET e tantos outros. S que esses protocolos so bem conhecidos, seus nomes, suas funcionalidades, os processos que os implementam. O LDAP uma definio de protocolo para acesso a bancos de dados especializados nos chamados diretrios. similar ao SQL no sentido que uma linguagem para interagir com bancos de dados sem especificar um banco de dados particular. De fato, o banco de dados de suporte ao LDAP quase sempre um sistema RDBMS geral, como o LDBM ou o Oracle. Um diretrio um conjunto de informaes com atributos semelhantes organizados em uma maneira lgica e hierrquica. O exemplo mais comum a lista telefnica, que consiste em uma srie de nomes (ou de uma pessoa ou organizao) organizou alfabeticamente, com um endereo e nmero de telefone agregados. Um diretrio de LDAP freqentemente reflete vrias polticas, limites geogrficos, e/ou organizacionais, dependendo do modelo escolhido. De acordo com o desenvolvimento do LDAP atualmente tendem a usar (DNS) nomes para estruturar os nveis mais altos da hierarquia. Dentro do diretrio poderia aparecer entrada representando 6
pessoas, unidades organizacionais, impressoras, documentos, agrupadas pessoas ou qualquer outra coisa que representa uma entrada da rvore (ou entradas mltiplas). LDAP um protocolo cliente-servidor leve para acessar servios de diretrio, especificamente baseado em X.500, que prioriza o TCP/IP ou outra conexo similar. Um diretrio semelhante a um banco de dados, mas tende a conter mais descritivo, informaes baseadas em atributo. As informaes em um diretrio esto geralmente lida muito mais freqentemente que escrito. Os diretrios so afinados para dar resposta rpida a pesquisa de volume ou operaes de procura alta. Eles podem ter a habilidade de reproduzir informaes extensamente a fim de acrescentar disponibilidade e confiabilidade, enquanto reduzindo tempo de resposta. Existem muitos caminhos diferentes para prover um servio de diretrio. Os mtodos distintos permitem tipos diferentes de informaes para serem armazenados no diretrio, requisitos de lugar diferente em como aquelas informaes podem ser referenciadas e atualizadas, como protegido de acesso sem autorizao, etc. Um pouco de servios de diretrio so locais, provendo servio para um contexto restringido. Outros servios so globais, provendo servio para um contexto muito mais abrangente.
Alm do servidor pode enviar "notificaes no solicitadas", isso so respostas para qualquer solicitao e houver a necessidade de um aviso prvio. Um mtodo comum alternado para assegurar a comunicao do LDAP o uso de um tnel de SSL. Isto denotado em LDAP URLs usando o esquema de URL "ldaps". A porta default para LDAP acima de 636. O uso de LDAP acima de SSL era comum em Verso de LDAP 2 (LDAPv2) mas nunca estava padronizado em qualquer especificao formal. LDAP definido em termos, mensagens de protocolo so codificadas no formato binrio onde usa representaes textuais para vrios ASN.
informao. A partir dai podemos entender porque diretrio usado nesses contextos. Vejamos, diretrios em sistemas de arquivo nada mais do que um arquivo especial que contem as lista dos arquivos pertencentes a esse diretrio. No contexto de redes e ambientes distribudos, diretrio uma lista que contem informaes, quase todos servios de rede, por exemplo, exigem algum tipo de autenticao, obrigando desta forma que os servios mantenham um diretrio de usurios (uma lista de usurios). J no contexto com banco de dados muito natural, uma vez que lista na verdade um depsitos de informao. Basicamente o diretrio uma base de dados especializada com o propsito de prover o acesso rpido aos dados de uma maneira padronizada.
ARMAZENADAS
EM
UM
O modelo de informaes do LDAP baseado em entradas. Uma entrada uma coleo de atributos que tem forma geral ou exclusiva e nome distinto - (DN - Distinguished Name). O DN usado para se referir a uma entrada que se pode tomar em um nico sentido. Cada atributo de entrada tem um tipo e um ou mais valores. Os tipos so strings de memria, como cn para nome comum, ou mail para endereo de email. A sintaxe de valores depende dos tipos de atributos. Por exemplo, o atributo cn pode conter o valor Juquinha da Silva. O atributo mail pode conter juquinha@mazombo.br.
O LDAP um servio de diretrios baseado no modelo ClienteServidor. No servidor executado um processo chamado de SLAPD.
4.3.4 OPERAO
O cliente solicita uma mensagem positiva de ID, e a resposta do servidor tem a mesma mensagem de ID. A resposta inclui um cdigo de resultado numrico que indica sucesso, um pouco de condio de erro ou alguns outros casos especiais. Antes da resposta, o servidor pode enviar outras mensagens com outros dados de resultado - por exemplo, cada entrada achada pela operao de procura retornada em tal mensagem. Expande a discusso de respostas de indicao para vrias operaes, especialmente modificao, por exemplo, onde todos modificam devem ser dirigido das rplicas at um diretrio de mestre.
especializadas com a informao redundante parcial, que pode ser usada freqentemente. No caso do servidor web apache tem a capacidade de autenticao, portanto necessita de alguma forma de armazenamento para usurio. O apache utiliza uma srie de programas (htpasswd, htdigest) e arquivos (htaccess) para armazenar, adicionar e alterar a sua base de dados de usurios. Que na verdade nada mais que um diretrio. J o servidor de arquivos Samba usa outro diretrio para armazenar dados sobre os usurios. Alem de usar outra srie de programas (smbpasswd, smbadduser) para a manuteno dessa base de dados (diretrio). Outros servios compartilham a mesma base de dados o caso do servidor de email postfix, do servidor FTP proftpd e do sistema de login do linux. Alem disso, aplicaes desenvolvidas por terceiros tambm necessitam de algum tido de diretrio, seja local ou remoto. Imaginem que um desenvolvedor crie um controle de estoque, bem os usurios desse sistema, bem como as permisses so mais lidas do que escritas. Essa aplicao seria muito mais aceita e integrada se a autenticao fosse feita atravs de um servio de diretrio, eliminado o velho problema de um usurio possuir varias contas e vrias senhas, e fazer vrios logins em vrios sistemas. O LDAP capaz de unificar diferentes diretrios em um nico diretrio, seja para servidores, ou para aplicaes clientes. Vrios pesos pesados da indstria de tecnologia apostam nessa idia. A Microsoft com seu Active Directory, a Novell com seu NDS, a SUM com o iPlanet. Todas essas empresas apostam no LDAP como mecanismo centralizador de informaes. Uma tima forma de reforar a necessidade de servidor de diretrios.
e-mails, a interface de comunicao j est embutida em vrios aplicativos do mercado. Padronizao: O LDAP vem se tornando o padro para a disponibilizao de informaes em forma de diretrio. Peso: Um servidor LDAP (em especial, o OpenLDAP) leve e no precisa de hardware "anabolizado" para rodar. Custo: O OpenLDAP free pela GPL e o no mximo, vai lhe custar algumas horas para configur-lo e mant-lo. Em suma: basta voc decidir se o LDAP realmente, a melhor opo. Ele oferece muito, por muito pouco.
O protocolo era originalmente criado por Wengyik Yeong. No incio de fases de engenharia de LDAP, era conhecido como Directory Light Browse Protocolo, ou LDBP. Era mencionado novamente como o escopo do protocolo era expandido para no incluir s diretrio browse e funes buscadores, mas tambm diretrio atualiza funes. LDAP influenciou protocolos de Internet subseqente, inclusive verses mais velhas de X.500, (XED), (DSML), (SPML), e o (SLP).
As operaes bind e unbind so de gerenciamento de sesso. A operao abandonar permite cancelar uma operao em processo.
16
4.10 SLAPD
SLAPD um servidor de diretrios LDAP que roda em vrios tipos de plataformas. Utilizado para criar os servios de diretrio. Em cada diretrio pode conter muitas informaes interessantes, que voc mesmo pode administrar. O SLAPD pode servir para um servio de diretrio global ou para apenas voc utilizar. Algumas das caractersticas importantes do SLAPD so: SLAPDv3 - O Slapd verso 3 possui suporte a IPv4 e IPv6; Simples autenticao segura - O Slapd suporta uma forte segurana atravs do uso de SASL, o qual suporta mecanismos como MD5, EXTERNAL e GSSAPI, suporte a SSL. Controle de acesso - slapd prov um acesso rico e poderoso controlarem instalao, permitindo a voc controlar acesso s informaes em seu banco de dados(s). Pode-se controlar acesso a entradas baseadas em informaes de autorizao de LDAP, endereo de IP, nome de domnio e outros critrios. Slapd suporta ambos, estticos e acesso dinmico controlarem informaes. Controle de topologia - slapd pode ser configurado para restringir acesso na camada de soquete baseado em informaes de topologia de rede. Esta caracterstica utiliza envolturas de TCP. Internacionalizao - slapd suporta unicode e etiquetas de idioma. Diversificao de banco de dados - O Slapd vem com diversas opes de banco de dados. Incluindo BDB, LDBM, via SHELL ou PASSWD. Permite vrios bancos de dados no mesmo servidor. Api de Mdulos genricos - Se for necessrio mais customizao, slapd deixa escrever seus prprios mdulos facilmente. O slapd consiste em duas partes distintas: uma frente termina aquela comunicao de protocolo de handles com clientes de LDAP; e mdulos que tarefas de handle especfico como operaes de banco de dados. Porque estes dois pedaos comunicam via bem definida C API, pode escrever seus prprios mdulos personalizado, que estendem slapd em modos numerosos. Tambm, vrios mdulos de banco de dados programveis so providos. Estes permitem expor origens de dados externas para slapd usando idiomas de programao popular (Perl, Shell, SQL e TCL). Possui threads para alto desempenho. Replicao - o slapd permite ser copiado para outros servidores, podendo ter servidor master e slave; configurado atravs de um nico arquivo de configurao. Este nico-master/multiple-escravo esquema de replicao vital em ambientes de volume alto onde um nico slapd s no prov a disponibilidade ou confiabilidade necessria. Slapd suporta dois mtodos de replicao: LDAP Sync e slurpd. 17
Transporte Segurana de Camada: slapd suporta autenticao e segurana de dados baseados em certificado (integridade e confidncia) servios pelo uso de TLS (ou SSL). Slapd implementao de TLS utiliza o software OpenSSL. Escolha de banco de dados backends: slapd vem com uma variedade de banco de dados diferente backends que pode se escolhida. Eles incluem BDB, um alto desempenho transacional, banco de dados backend; HDB, um alto desempenho hierrquico transacional backend; LDBM, um DBM de peso leve baseado backend; Shell, um backend interface para escrituras de Shell arbitrria; e PASSWD, um simples backend interface para o arquivo passwd. O BDB e HDB backends utilizam Sleepycat DB de Berkely. LDBM utiliza um ou outro DB de Berkeley ou GDBM. Instncias de banco de dados mltiplo: slapd pode ser configurado para servir para bancos de dados mltiplos ao mesmo tempo. Isto significa que um nico slapd servidor pode responder para pedidos para muitas pores logicamente diferentes da rvore de LDAP, usando o banco de dados mesmo ou diferente backends.
4.11 SLURPD
Slurpd um processo para ajudar o slapd a replicar seus servios. responsvel pela distribuio das modificaes do servidor master para os outros servidores. O slapd e o slurpd se comunicam atravs de um arquivo comum de texto. O arquivo slapd.conf est dividido em trs partes de configurao: global, backend e banco de dados. Os comentrios podem ser definidos por '#' e se a linha comea com um espao em branco. O formato geral do arquivo slapd.conf definido assim: # Diretivas globais de configurao global # Definio de backend backend # Primeiro banco de dados e configurao das diretivas database # Segundo banco de dados e diretivas database A configurao das diretivas precisa ter argumentos, por isto que elas so separadas por espao. Se um argumento possui um espao em branco, o argumento precisa ser ter aspas duplas. "Desta forma". A distribuio contm um exemplo de configurao do arquivo slapd.conf, que ser instalado no diretrio /etc/ldap. O nmero de arquivos 18
contendo as definies do SCHEMA (atributos e os ObjectClass) tambm estar disponvel no diretrio /etc/ldap/schema.
19
referral URL Esta diretiva especifica a orientao para passar quando o slapd no conseguir achar um banco de dados. sizelimit Esta diretiva especifica o nmero mximo de entradas para retornar em uma operao de procura. timelimit nmero Esta diretiva especifica o nmero mximo de segundos que o slapd leva para responder uma requisio de procura.
Diretiva que especifica o sufixo DN de pesquisas que sero transmitidas para este banco de dados. suffix "dc=mazombo,dc=br"
no diretrio, listas de objetos individuais ou agrupa os objetos. Posies, como o nome e descrio. Organizaes no diretrio. Pessoas no diretrio. Uma entrada pode pertencer a mais de uma classe de objeto. A entrada para uma pessoa definida pela classe de objeto de pessoa, mas pode tambm ser definida por atributos no inetOrgPerson, 21
groupOfNames, e organizao objectclasses. A estrutura de classe de objeto do servidor determina a lista total exigida e permite atributos para uma entrada particular. Os dados de diretrio representado como atributo. Qualquer pedao especfico de informaes associado com um atributo descritivo. O commonName, ou cn, atributo usado para armazenar nome da pessoa . Uma pessoa chamada Maria Silva pode ser representada no diretrio como: cn: Maria Silva Cada pessoa que entra no diretrio definido pela coleo de atributos na classe de objeto de pessoa. Outro atributo usado para definir esta entrada pode ser: givenname: Maria surname: Silva mail: maria.silva@mazombo.com.br O atributo exigido inclui os atributos que devem estar presentes em entradas usando a classe de objeto. Todas as entradas exigem o objectClass atributo, que lista os classes de objeto para que uma entrada pertence. Cada atributo tem uma definio de sintaxe correspondente. A definio de sintaxe descreve o tipo de informaes providas pelo atributo. Normalmente objectclass e definies de atributo residem em arquivos de esquema, no esquema de subdiretrio debaixo do home da instalao de OpenLDAP.
4.14 STARTLS
A operao de StartTLS estabelece (o descendente de SSL) na conexo. Isso pode prover confidncia de dados e/ou proteo de integridade dos dados. Durante a negociao de TLS o servidor envia seu certificado para provar sua identidade. O cliente pode tambm enviar um certificado para provar sua identidade. Depois de fazer isso, o cliente pode ento usar /external para ter esta identidade usada em determinar a identidade usada em fazer decises de autorizao de LDAP. Os servidores tambm freqentemente suportar o no normal "LDAPS" ("LDAP SEGURO", comumente conhecido como "LDAP acima de SSL") protocolo em uma porta separada, revelia 636. LDAPS difere de LDAP em dois modos: 1) conecta, o cliente e servidor estabelecem TLS antes de quaisquer mensagens de LDAP serem transferidas (sem uma operao de Comeo TLS). 2) a conexo de LDAPS deve ser fechada em encerramentos de TLS. 22
LDAPS foi principalmente usado com LDAPv2, porque a operao de StartTLS ainda no tinha sido definida.[wikipedia].
singleLevel - (entradas imediatamente abaixo da base DN). wholeSubtree - (a subrvore inteira comeando na base DN). filtro - como examinar cada entrada no escopo. Por exemplo (&(objectClass=pessoa)(|(givenName=Maria)(remeta=Maria*))) procura por pessoas que ou deram nome Maria ou um endereo de email que comea com Maria. derefAliases - e como seguir entradas de nome alternativo (entradas que se referem a outras entradas). atributos - atributos para retornar para entradas de resultado. sizeLimit, timeLimit Mximo de nmero de entradas, e mximo tempo de procura. 23
typesOnly - tipos de atributo de retorno somente, no valores de atributo. O servidor retorna as entradas de comparao e talvez referncias de continuao (em qualquer pedido), seguido pelo final resulta com o cdigo de resultado. Comparar operao toma um DN, um nome de atributo e um valor de atributo, e checa se a chamado entrada contm aquele atributo com que estime.
4.18.1 ABANDONO
A operao abandonar pedidos que o servidor aborta uma operao chamada por uma mensagem ID. O servidor no precisa honrar o pedido. Infelizmente, nem Abandone nem uma operao com sucesso abandonado envia uma resposta. Um semelhante cancelar operao estendida, ento foi definido que envia respostas, mas nem todas as implementaes suportam isto.
24
4.18.2 UNBIND
A operao unbind abandona quaisquer operaes excedentes e fecha a conexo. No tem nenhuma resposta. O nome de origem histrica: No o oposto da vinculao da operao. Os clientes podem abortar uma sesso simplesmente fechando a conexo, mas eles deveram usar desconectar. Caso contrrio o servidor pode dizer diferena entre uma conexo de rede falha (ou um ataque de mutilao) e um cliente descorts.
4.18.3 SCHEMA
O schema define os tipos de atributo que as entradas de diretrio podem conter. Uma definio de atributo inclui uma sintaxe, e valores mais no binrio em LDAPv3 usam sintaxe de string. Um "atributo de correio poderia conter o valor "jose@mazombo.br". Um "atributo de membro contm DNS de outras entradas de diretrio. As definies de atributo tambm especificam se o atributo nico-estimado ou estimado mltiplo, como procura ou compara o atributo. O schema define classes de objeto. Cada entrada deve ter um objectclass atributo, contendo classes definidas no schema. A definio de esquema das classes de uma entrada define o que um tanto quanto o objeto e a entrada podem representar, como uma pessoa, organizao ou domnio. As definies de classe de objeto tambm listam atributos que a entrada deve conter. Uma entrada representando uma pessoa poderia pertencer ao topo de classes" e "Sociedade de pessoa no "classe de pessoa exigiria a entrada para conter o "sn" e "cn" atributos, e permitam a entrada tambm para conter "userPassword", "telephoneNumber", e outros atributos. Desde entradas podem pertencer a classes mltiplos, cada entrada tem um complexo de atributo opcional e obrigatrio fixa formado da unio dos classes do objeto. O schema tambm inclui vrias outras informaes que controla as entradas de diretrio. A maioria de elementos do schema tem um nome e um globalmente diferente. Os servidores de diretrio podem publicar o schema do diretrio controlando uma entrada em uma base DN dado pelo atributo subschemaSubentry operacional da entrada. (Um atributo operacional descreve operao do diretrio em lugar de informaes de usurio e est s retornada de uma procura quando for explicitamente solicitado). Os administradores do servidor podem definir seus prprios schemas alm dos padres. O esquema define os tipos de atributo que entradas de diretrio podem conter. Um atributo de membro contm DNS de outras entradas de diretrio.
25
4.18.4 VARIAES
A operao de servidor remanescente para o implementador ou administrador decidir. Conseqentemente, servidores podem ser instalados para suportar uma larga variedade de argumentos. Memria de dados no servidor no especificada, o servidor pode usar arquivos simples, bancos de dados, ou s so um portal para algum outro servidor. O controle de acesso no padronizado. As senhas dos usurios podem ser armazenadas em suas entradas ou em outro lugar. O servidor pode recusar apresentar operaes quando desejar, e impor vrios limites. A maioria de partes de LDAP so extensvel. Pode se definir novas operaes. Os controles podem modificar pedidos e respostas, solicitar classificar resultados de procura. Novos escopos de procura e vinculao de mtodos podem ser definidos. Os atributos podem ter opes que podem modificar sua semntica.
4.19.1 APLICATIVOS
Deste modo, se escolhe alguns protocolos gerais como LDAP e para vrios servios, podem se enfocar nestes poucos protocolos em vez de ter que manter e melhorar muitos protocolos especializados. Aplicativos comuns de LDAP so para computadores, usurios e grupos. Muitos clientes de e-mail suportar pesquisas de LDAP.
servidor ldap tambm chamado ldap.mazombo.br, o nvel de topo da organizao que URL de LDAP se torna ldap://ldap.mazombo.br / dc=mazombo,dc=br. Abaixo do nvel superior, a entrada tipicamente nomeia refletir a estrutura ou necessidades internas da organizao em lugar do DNS nomeado.
4.19.3 TERMINOLOGIA
A terminologia de LDAP que se pode encontrar bastante confusa. Algumas dessas confuses devido a enganos, outro exemplo devido a suas origens histricas, outros surjam quando usados com servios que usar terminologia diferente. O "LDAP" s vezes usado para se referir ao protocolo, outros tempos para o protocolo e os dados. Um "DIRETRIO de LDAP" pode ser os dados ou tambm o ponto de acesso. Um "atributo" pode ser o tipo de atributo, ou o contedo de um atributo em um diretrio, ou uma descrio de atributo (um tipo de atributo com opes). Umas "annimas" e umas "no autenticadas" vinculaes so diferentes. Vincular mtodos que ambos os estado de autenticao de produto annimo, ento esto sendo usadas para ambas as variantes. O "uid" atributo devia segurar nomes dos usurios em lugar de usurio numrico IDs.
4.19.4 ACL's
Deve-se restringir o acesso a escrita das entradas conta Manager, exceto para a sub-rvore do usurio. Esta sub-rvore tambm dever conter direitos de escrita para o administrador. O administrador est habilitado a criar novos usurios, modificar os atributos dos usurios existentes e deletar usurios. A primeira ACL assegura que os usurios possam modificar suas senhas com seus prprios privilgios. Para estar de acordo com a empresa, simplesmente substituir mazombo e br pelos nome de domnio da empresa no arquivo slapd.conf. Reinicia o servidor OpenLDAP aps o trmino da edio do arquivo slapd.conf. access to attr="userPassword" by self write by dn="cn=Manager,dc=mazombo,dc=br" write by dn="cn=admin,dc=mazombo,dc=br" write by anonymous auth by * none access to * by dn="cn=Manager,dc=mazombo,dc=br" write by dn="cn=admin,dc=mazombo,dc=br" write by * read 27
Descrio dos Privilgios: none=0 sem acesso auth=x necessrios bind compare=cx necessrio para comparar search=scx necessrios para aplicar filtros de procura read=rscx necessrio para ler resultados das buscas write=wrscx necessrios para modificar/renomear
4.19.5 THREADS
Os threads tem suporte garantido para ser sistema Linux. O OpenLDAP projetado para threads. OpenLDAP suporta POSIX pthreads, C outras variedades. O ato de configurar, requisitar poder achar um subsistema de thread apropriado. parte da base do aproveitar-se das Threads, e vrias a possibilidade de
<global config directives> # backend definio backend <typeA> <backend-specific directives> #segunda definio de banco de dados & configurao de diretivas database <typeB> <database-specific directives> #segunda "typeA" banco de dados definio & configurao de diretivas database <typeA> <database-specific directives> # subseqente backend & definies de banco de dados & configurao de diretivas A distribuio contm um arquivo de configurao de exemplo que instalado no diretrio /usr/local/etc/openldap. Vrios arquivos contendo definies de shemas (tipos de atributo e classes de objeto) tambm esto providos no diretrio /usr/local/etc/openldap/schema.
include <filename> Essa diretiva especifica que o slapd deve ler informaes de configurao adicionais do arquivo dados antes de continuar com a linha prxima do arquivo corrente. O arquivo includo devia seguir o normal formato do arquivo slapd. O arquivo comumente usado para incluir arquivos contendo especificaes da schema. loglevel <integer> Essa diretiva especifica o nvel em que deve depurar declaraes e estatstica de operao. Deve-se ter OpenLDAP configurado --ativar-depura (o default) para este trabalho (com exceo dos dois nveis de estatstica, que esto sempre habilitados). Nveis de log so aditivos. Os valores possveis para <inteiro> so: Depurando Nveis Nvel -1 0 1 2 4 8 Descrio Ativar toda depurao Nenhuma depurao Traa chamadas de funo Depura manipulao de pacote Traa depurao pesada Gerenciamento de conexo Imprime sada de pacotes enviados e 16 recebidos 32 Procura processamento de filtro Processamento de arquivo de 64 configurao Processamento do acesso a lista de 128 controle Ativa log de conexes / operaes / 256 resultados. 512 Ativa a entrada no log das enviadas Comunicao de impresso com 1024 shell backends Imprime analise de depurao da 2048 entrada. Exemplo: loglevel 255 or loglevel -1 30
Este causar muitas informaes de depurao para ser syslogged. Default: loglevel 256 objectclass <RFC2252 Object Class Description> Essa diretiva define uma classe de objeto. Checar a URL seguinte para mais detalhes. referral <URI> Essa diretiva especifica a indicao para passar de volta quando slapd puder encontrar um para o banco de dados um pedido local. referral ldap://root.mazombo.br Este se referir a questes no locais da raiz global do servidor LDAP no Projeto OpenLDAP. os clientes do LDAP podem perguntar em um determinado servidor, mas nota que a maior parte destes clientes s vo conhecer como URLs do LDAP simples que contm um host separado e opcionalmente um nome distinto. sizelimit <integer> Essa diretiva especifica o nmero de mximo de entradas para retornar para uma operao de busca. Default: sizelimit 500 timelimit <integer> Essa diretiva especifica o nmero de mximo de segundos (em tempo real) que o slapd passar a responder a um pedido de procura. Se um pedido no est acabado neste tempo, um resultado indicando um excedido timelimit ser retornado. Default: timelimit 3600
backend <type> Essa diretivas marcam o incio de uma definio de backend. <o tipo> devia ser um de bdb ou um de outro suporta tipos backend listados abaixo: Banco de dados Backends Tipo bdb dnssrv ldbm Descrio Berkeley DB transactional backend DNS SRV backend Lightweight DBM backend Lightweight Directory Access Protocol (Proxy) ldap backend meta Meta Directory backend monitor Monitor backend passwd Permisso de somente leitura para o passwd perl shell sql Perl programmable backend Shell (programa externo) backend Programvel em SQL backend
Exemplo: backend bdb Esta marca o incio de um nova definio para o BDB backend.
32
readonly { on | off } Esta diretiva pe o banco de dados no modo "somente para leitura". Qualquer tentativas para modificar o banco de dados retornar um mensagem de erro. Default: readonly off replica uri=ldap[s]://<hostname>[:<port>] | host=<hostname>[:<port>] [bindmethod={simple|kerberos|sasl}] ["binddn=<DN>"] [saslmech=<mech>] [authcid=<identity>] [authzid=<identity>] [credentials=<password>] [srvtab=<filename>] Esta diretiva especifica uma replicao do site para este banco de dados. O uri= parmetro especifica um esquema, um host e opcionalmente uma porta onde o escravo slapd instncia e pode ser achada. Ou um nome de domnio ou endereo de IP podem ser usados para <hostname>. Se <porta> no recebe, o nmero de porta de padro LDAP (389 ou 636) usado. A uri permite o servidor de rplica LDAP ser especificado como um LDAP URI como ldap://slave.mazombo.br:389 ou ldaps://slave.mazombo.br:636. O binddn o parmetro que d ao DN a vincular como para atualizaes para o escravo slapd. Devia ser um DN que tem acesso read/write ao banco de dados escravo slapd. Deve tambm combinar a diretiva updatedn no arquivo de configurao slapd do escravo. Geralmente, este DN no devia ser o mesmo que o rootdn no banco de dados mestre. Desde que os DNS so provveis para conter espaos embutidos, os inteiros "binddn=<DN>" string deve ser incluso em citaes duplas. O bindmethod simples , pode usar kerberos ou sasl, dependendo da autenticao baseada em senha simples ou autenticao de Kerberos ou autenticao de SASL para ser usada quando conectando ao escravo slapd. A autenticao simples no devia ser usada a menos que integridade e protees de isolamento adequadas esto em lugar (por exemplo TLS ou IPSEC). Autenticao simples exige especificao de binddn e parmetros credenciais. A autenticao de Kerberos voltada a favor de mecanismos de autenticao de SASL, em particular os mecanismos de KERBEROS_V4 e GSSAPI. a autenticao de Kerberos exige binddn e srvtab parmetros. A autenticao de SASL est geralmente recomendada. a autenticao de SASL exige especificao de um mecanismo usando o parmetro saslmech. Dependendo do mecanismo, uma identidade de autenticao e/ou credenciais podem ser especificadas usando authcid 33
e credenciais respectivamente. O authzid parmetro pode ser usado para especificar uma identidade de autorizao. replogfile <filename> Essa diretiva especifica o nome do arquivo log da replicao para o slapd. O log da replicao tipicamente escrito por slapd e l por slurpd. Normalmente, esta diretiva s usada se slurpd est sendo usado para reproduzir o banco de dados. Porm, tambm pode usar ele para gerar um log de transao, se slurpd no est executando. Neste caso, periodicamente precisar truncar o arquivo, caso contrrio ele crescer indefinidamente. rootdn <dn> Esta diretiva especifica o DN que no sujeito a controle de acesso ou restries de limite administrativas para operaes neste banco de dados. O DN no precisa se refere a uma entrada no diretrio. O DN pode se referir a uma identidade de SASL. Exemplo baseado em entrada: rootdn "cn=Manager, dc=mazombo, dc=br" Exemplo baseado em SASL: rootdn "uid=root,cn=mazombo.br,cn=digest-md5,cn=auth" rootpw <password> Esta diretiva pode ser usada para especificar uma senha para o rootdn (quando o rootdn configurado para um DN dentro do banco de dados). Exemplo: rootpw secret Tambm permissveis para prover o formato da senha no formulrio RFC 2307. slappasswd pode ser usado para gerar a segurana da senha. Exemplo: rootpw {SSHA}ZKKuqbEKJfKSXyfgftrtbHG3fn9j1v4QNG8MD O cdigo foi gerado usando o comando slappasswd -s secret. suffix <dn suffix> Esta diretiva especifica o sufixo de DN de questes que sero passadas para este backend banco de dados. As linhas de sufixo mltiplo podem receber, e pelo menos se exigido para cada definio de banco de dados. suffix "dc=mazombo, dc=br" 34
As questes com um DN terminar em "dc=mazombo.dc=br" ser passado para este backend. Quando o backend para passar uma questo selecionado, slapd dirige-se para a linha de sufixo(s) em cada definio de banco de dados no pedido eles aparecem no arquivo. Deste modo, se um sufixo de banco de dados um prefixo de outro, deve aparecer atrs dele no config arquivo. Syncrepl Esta diretiva usado para manter um banco de dados reproduzido sincronizado com o banco de dados de mestre, de forma que o contedo de banco de dados reproduzido ser mantido em dia com o contedo do mestre. Neste trabalho no cobre em detalhes este diretivo, porque esta sendo configurando um Servidor de LDAP nico. updatedn <dn> Esta diretiva s aplicvel em um escravo slapd. Especifica o DN permitiu fazer mudanas para a rplica. Isto pode ser o DN slurpd vincula como quando fazendo mudanas para a rplica ou o DN associou com uma identidade de SASL. Exemplo baseado em entrada: updatedn "cn=Update Daemon, dc=mazombo, dc=br" Exemplo baseado em SASL: updatedn "uid=slurpd,cn=mazombo.br,cn=digest-md5,cn=auth" updateref <URL> Esta diretiva s aplicvel em um escravo slapd. Especifica-se a URL para retornar aos clientes que se submetem a pedidos de atualizao na rplica. updateref ldap://master.mazombo.br
sessionlog <sid> <limit> A operao de Sincronizao de Contedo de LDAP em prexistindo sesso pode usar o arquivo de log de sesso a fim de reduzir a quantia de trfego de sincronizao. Se a rplica no to antiquada que pode ser feito em dia pelas informaes no arquivo de sesso, o provedor slapd enviar ao consumidor slapd as identidades para entradas junto com as entradas de escopo adicionado as modificaes dentro do contedo da replicao. Se o status de rplica antiquado demais e alm da cobertura do arquivo do histrico, ento o provedor slapd enviar as identidades das descarregadas em entradas de escopo junto com as mudadas entradas de escopo. O consumidor slapd ento remover entradas na rplica que no so identificadas como apresentados no contedo de provedor.
directory <directory> Esta diretiva especifica o diretrio onde os arquivos de LDBM contendo o banco de dados associou seus ndices. Default: directory /usr/local/var/openldap-data index {<attrlist> | default} [pres,eq,approx,sub,none] Esta diretiva especifica os ndices para manter o atributo dado. Se s um <attrlist> recebe, os ndices defaults so mantidos. index default pres,eq index uid index cn,sn pres,eq,sub index objectClass eq A primeira linha fixa o conjunto default de ndices para manter presente e igual. A segunda linha causa o default (pres,eq) conjunto de ndices para ser mantido para o atributo uid. A linha trs apresenta, igualdade e ndices de substring para ser mantidos para atributo cn e sn. A quarta linha causa um ndice de igualdade para o atributo objectClass. index objectClass eq mode <integer> Esta diretiva especifica o modo de proteo de arquivos recentes do ndice de banco de dados criados. Default: mode 0600
37
Acesso concedido para entradas debaixo da subrvore de c=BR, com exceo das entradas debaixo das "o=mazombo, c=BR" subrvore, para procurar acesso concedido. Nenhum acesso concedido para c=BR, como nenhuma partidas de acesso diretivas DN. Se o pedido destes acessos a diretivas eram invertidos. Outro caminho para implementar os mesmos controles de acesso : access to dn.amigos="dc=mazombo,dc=br" by * search access to dn.amigos="dc=br" by * read Acesso concedido para entradas debaixo da subrvore de br de dc, com exceo das entradas debaixo da subrvore dc=mazombo,dc=br, para que procurem acesso concedido. Nenhum acesso concedido para dc=br ,nenhuma partida do acesso da diretivas DN. Se o pedido destes acesso a diretivas eram invertidos, arrastar diretiva nunca seria alcanado, desde que todas as entradas debaixo de dc=mazombo,dc=br, tambm esto debaixo de entradas de dec=br. Tambm nota-se nenhum acesso para clusula da diretiva "by <que>", o acesso negado. Isto , todo acesso a diretiva implcita by * none clusula e todos acessam a lista, termina com um acesso implcito a diretiva * by * none. O prximo arquivo de configurao, novamente mostra importncia de ordenar, ambos acesso a clusulas da diretiva "by <que>". Tambm mostra o uso de um seletor de atributo para conceder acesso a um atributo especfico e vrios <que> seletores. access to dn.subarvore="dc=mazombo,dc=br" attr=telefones by self write by dn.amigos=dc=mazombo,dc=br" search by peername=IP:10\..+ read access to dn.subarvore="dc=mazombo,dc=br" by self write by dn.amigos="dc=mazombo,dc=br" search by anonymous auth Esta demonstrao se aplica a entradas nas subrvore "dc=mazombo,dc=br". Todos os atributos exceto telefone, uma entrada pode escrever para propriamente, entradas debaixo de mazombo.br entradas podem procurar por eles, qualquer outra pessoa no tem nenhum acesso (implcito by * none) com exceo de autenticao/autorizao (que sempre feito anonimamente). O atributo telefone escrita pela entrada, procura por entradas debaixo de mazombo.br, legveis por clientes que conectam na faixa de rede 10, caso contrrio no legvel (implcita by * none). Todo outro acesso negado pelo acesso implcito a * by * none. s vezes til para permitir um DN particular para adicionar ou remover propriamente um atributo.se quiser criar um agrupamento e permitir a pessoas adicionar e remover seu prprio atributo DN do membro, podie realizar com um acesso diretivo como isto: 38
access to attr=member,entry by dnattr=member selfwrite O dnattr diz que o acesso se aplica a entradas listadas no atributo do membro. O selfwrite acessa diz que tais membros podem adicionar ou apagar seu prprio atributo DN. A adio do atributo de entrada exigida porque o acesso a entrada exigido para acessar quaisquer dos atributos de entrada.
A linha 4 um controle de acesso global. Se aplica a todas as entradas. A prxima seo do arquivo de configurao define questes para parmetros, "dc=mazombo,dc=br" da rvore. O banco de dados para ser reproduzido para dois escravo slapds. Os ndices so para ser mantidos para vrios atributos, e o atributo userPassword para ser protegido de acesso sem autorizao. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. # BDB definition for the mazombo.com database bdb suffix "dc=mazombo,dc=br" directory /usr/local/var/openldap-data rootdn "cn=Manager,dc=mazombo,dc=br" rootpw secret # replication directives replogfile /usr/local/var/openldap/slapd.replog replica uri=ldap://slave1.mazombo.br:389 binddn="cn=Replicator,dc=mazombo,dc=br" bindmethod=simple credentials=secret replica uri=ldaps://slave2.mazombo.br:636 binddn="cn=Replicator,dc=mazombo,dc=br" bindmethod=simple credentials=secret # indexed attribute definitions 39
20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32.
index uid pres,eq index cn,sn,uid pres,eq,sub index objectClass eq # database access control definitions access to attr=userPassword by self write by anonymous auth by dn.base="cn=Admin,dc=mazombo,dc=br" write by * none access to * by self write by dn.base="cn=Admin,dc=mazombo,dc=br" write by * read
A linha 5 um comentrio. O comeo da definio de banco de dados marcado pelo palavra-chave de banco de dados na linha 6. A linha 7 especifica o sufixo de DN para questes passar para este banco de dados. A linha 8 especifica o diretrio em que os arquivos de banco de dados ficaro. As linhas 9 e 10 identificam o banco de dados " super usurio", entrada e associa a senha. Esta entrada no sujeito a controle de acesso, tamanho ou restries de prazo. rootpw {SSHA}ZKKuqbEKJfKSXyfgftrtbHG3fn9j1v4QNG8MD As linhas 11 a 18 so para replicao. As linhas 20 a 22 indicam os ndices para manter vrios atributos. As linhas 24 por 32 especificam controle de acesso para entradas no banco de dados. Como o primeiro banco de dados, os controles tambm se aplicam a entradas no seguras em qualquer banco de dados. Para todas as entradas aplicveis, o userPassword atributo escrita pela entrada propriamente e pela entrada "admin". Pode ser usado para autenticao e/ou autorizao, mas caso contrrio no legvel. Todos outros atributos so escritos pela entrada "admin", mas pode ser lida por todos os usurios (autenticado ou no). A prxima seo do arquivo de configurao define outro banco de dados de BDB. Aqui esta questes envolvendo o dc=mazombo,dc=br, administrada pela mesma entidade que o primeiro banco de dados. 33. 34. 35. 36. 37. 38. 39. # BDB definition for mazombo.net database bdb suffix "dc=mazombo,dc=net" directory /usr/local/var/openldap-data-net rootdn "cn=Manager,dc=mazombo,dc=br" index objectClass eq access to * by users read
40
Esta opo fixa para o slapd depurar nveis. Caracteristicas dos vrios nveis de depurao esto impressos e slapd, no importando quaisquer outras opes e os nveis de depurao corrente: Pode ativar nveis mltiplos especificando a opo depurar, uma vez para cada nvel. Isto , se quiser localizar funo chamada e verificao no arquivo de configurao, estando processada, pode configurar nvel para a soma daqueles dois nveis (neste caso, -d 65). Ou, pode deixar slapd fazer, (por exemplo -d 1 -d 64).
DE
BANCO
DE
DADOS
Esta seo especifica como criar um banco de dados slapd. Existem dois caminhos para criar um banco de dados. Primeiro pode criar o banco de dados on-line usando LDAP. Com este mtodo, simplesmente recomea atividades slapd e adiciona entradas usando o cliente de LDAP da escolha do administrador. Este mtodo bom para bancos de dados relativamente pequenos (algumas cem ou mil entradas, dependendo de seus requisitos). Este trabalho de mtodo para tipos de banco de dados suporta atualizaes. O segundo mtodo de criao de banco de dados est para fazer fora da linha usando utilitrios especiais provido com slapd. Este mtodo melhor se voc tiver muitos milhares de entradas para criar, que tomariam um tempo longo usando o mtodo de LDAP, ou se quiser assegurar o banco de dados no acessado enquanto est sendo criado. S que nem todos tipos de banco de dados suportar estes utilitrios.
suffix "o=mazombo, c=br" No deve deixar de especificar um diretrio onde os arquivos de ndice devem ser criados: directory /usr/local/tudelft Este diretrio e necessrio ser criado com permisses apropriadas de forma que slapd possa escrever. E preciso configurar slapd de forma que possa conectar a ele como um usurio de diretrio com permisso para adicionar entradas. Configurar o diretrio para suportar um usurio ou usurio de raiz. Isso feito pelas seguintes opes na definio de banco de dados: rootdn <dn> rootpw <passwd> (Utiliza-se uma senha de SHA ) Estas opes especificam um DN e senha que podem ser usados para autenticar como o "superusuario" entrada do banco de dados (isto , a entrada permiti fazer qualquer coisa). O DN e senha especificaram aqui sempre trabalharo, no importando se a entrada chamado realmente existe ou tem a senha. Este resolve o problema de como autenticar e adicionar entradas antes de qualquer entrada. Slapd nativo entende se usar um SHA-1 codificando a senha na diretiva rootpw. possvel usar o comando slappasswd para gerar as senhas. slappasswd -h {SHA} rootpw "{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ="
rootdn "cn=Manager,dc=mazombo,dc=br" rootpw "{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=" A sada default para slappasswd para gerar senhas seguras {SSHA}, neste caso no precisa passar pelo parmetro -h, chama-se slappasswd diretamente. Se estiver usando SASL como um mecanismo para autenticar contra LDAP, a linha rootpw pode ser descartada. Finalmente, deve ter certeza que a definio de banco de dados contenha as definies de ndice que deseja: index {<attrlist> | default} [pres,eq,sub,none] ndice dos atributos cn, sn, uid e objectclass, as linhas de configurao de ndice seguinte puderam ser usadas. index cn,sn,uid pres,eq,sub 43
index objectClass pres,eq No so todos tipos de ndice que esto disponveis com todos tipos de atributo. Uma vez que voc configurou para sua preferncia, recomece atividades slapd, conecte com seu cliente de LDAP, e comece a adicionar entradas. Por exemplo, adicionar a entrada de mazombo seguido por uma entrada de email usando o ldapadd ferramenta, cria um arquivo chamado /tmp/novaentrada com o contedo: o=mazombo, c=br objectClass=organization description=Teste do dominio mazombo cn=email, o=mazombo, c=br objectClass=organizationalRole cn=email description= mazombo email email@mazombo.br Ento usa-se um comando para criar a entrada: ldapadd -f /tmp/novaentrada -x -D "cn=Manager, o=mazombo, c=br" -w secret O comando acima assume que foi configurado rootdn "cn=Gerente, o=mazombo, c=br" e rootpw para "secreto" (talvez SHA-1 codificado em slapd.conf). Se no quiser a senha na linha de comandos, usa-se a opo -W para o comando ldapadd em vez de -w "senha". ldapadd -f /tmp/newentry -x -D "cn=Manager, o=mazombo, c=br" -W Enter LDAP Password:
44
suffix <dn> Esta opo diz que entradas so para ser seguras por este banco de dados. Devie-se deixar este para o DN da raiz da subrvore que est tentando criar. suffix "o=mazombo, c=br" No deve deixar de especificar um diretrio onde os arquivos de ndice devam ser criados: directory /usr/local/mazombo Precisa especificar quais ndices deseja construir. feito por uma ou mais opes de ndice. index {<attrlist> | default } [pres,eq,approx,sub,none] index cn,sn,uid pres,eq,sub index objectClass eq Este cria presena, igualdade e ndices de substring para o cn, sn, e uid atributos e um ndice de igualdade para o atributo objectClass. Uma vez que configurado de acordo com a preferncia do adminitrador, cria um banco de dados primrio e associa ndices executando o programa slapadd: slapadd -l <inputfile> -f <slapdconfigfile> [-d <debuglevel>] [-n <integer>|-b <suffix>] Os parmetros tm os seguintes significados: -l <inputfile> O arquivo de entrada e especificado no LDIF contendo as entradas para adicionar em formulrio de texto. -f <slapdconfigfile> Especifica-se o arquivo de configurao slapd que diz onde criar os ndices. -d <debuglevel> Aciona a depurao, como especificados por <debuglevel>. O depurar nveis so o mesmo que para slapd. -n <databasenumber> Um parmetro opcional que especifica qual banco de dados deve modificar. O primeiro banco de dados listado no arquivo de configurao 1, o segundo 2, etc. revelia, o primeiro banco de 45
dados no arquivo de configurao usada. No devia ser usado junto com -B. -b <suffix> Um parmetro opcional que especifica o que banco de dados deve modificar. O sufixo provido combinado contra um sufixo de banco de dados diretivo para determinar o nmero de banco de dados. No deve ser usado junto com -N. s vezes pode ser necessrio para regenerar ndices, como depois de modificar slapd.conf. Isto possvel usando o programa slapindex. slapindex -f <slapdconfigfile> [-d <debuglevel>] [-n <databasenumber>|-b <suffix>] Onde as -f, -d, -n e -b so opes o mesmo que para o slapadd programa. slapindex reconstri todos os ndices baseados no contedo de banco de dados corrente. O programa slapcat usado para esvaziar o banco de dados para um arquivo de LDIF. Isso pode ser til quando quiser fazer uma cpia de segurana legvel de seu banco de dados ou quando quiser editar seu banco de dados fora da linha. slapcat -l <filename> -f <slapdconfigfile> [-d <debuglevel>] [-n <databasenumber>|-b <suffix>] Onde -n ou -b usado para selecionar o banco de dados no slapd.conf, especificado usando -F. A sada de LDIF correspondente escrita para sada de padro ou para o arquivo especificado usando a opo -l.
#este equivale a dn: cn= Barbara Silva, dc=mazombo, dc=br cn: Barbara Silva #os valores de atributo mltiplo so especificados nas linhas separadas. cn: Barbara Silva cn: Barbarinha Se um <attrvalue> contm caracteres no-imprimindo ou comear com um especial, um dois pontos duplo (':'), ou um menos que ('<'), o <attrdesc> seguido por um dois pontos duplo e a base64 de codificao do valor. cn:: IGJlZ2lucyB3aXRoIGEgc3BhY2U= Tambm pode especificar uma URL contendo o valor de atributo. cn:< file://path/to/file.jpeg As entradas mltiplas dentro do mesmo arquivo de LDIF so separadas pelas linhas brancas. Aqui um arquivo de LDIF contendo duas entradas. # Entrada de Jose Silva dn: cn=Jose da Silva, dc=mazombo, dc=br cn: Jose da Silva cn: Ze da Silva objectClass: person sn: Silva # Base64 encoded JPEG imagens jpegPhoto:: /9j/4AAQSkZJRgABAAAAAQABAAD/2wBDABALD A4MChAODQ4SERATGCgaGBYWGDEjJR0oOjM9PDkzODdASFxO Q ERXRTc4UG1RV19iZ2hnPk1xeXBkeFxlZ2P/2wBDARESEhgVG # Entrada de Antonio Souza dn: cn=Antonio Souza, dc=mazombo, dc=com cn: Antonio Souza cn: Antonio Souza objectClass: person sn: Souza # arquivos de imagens .jpeg imagensjpeg:< file://srv/arquivo.jpeg Espaos no so aparados de valores em um arquivo de LDIF. No so espaos internos mltiplos comprimidos. Se no quiser eles em seus dados,e s no coloca-los.
47
ldapdelete -v 'cn=Antonio Souza,o=mazombo,c=br' -D 'cn=Jose Silva,o=mazombo,c=br' W A -v opo suporta modo verboso, a opo -D suporta Binddn (o dn para autenticar contra) e a opo -W suporta lembrete de senha. ldapmodify uma interface do shell acessvel para o ldap_modifye ldap_add chamando suas bibliotecas. Use este utilitrio para modificar entradas em nosso banco de dados de LDAP. A sinopse para chamar ldapmodify o seguinte: ldapmodify [-a] [-b] [-c] [-r] [-n] [-v] [-k] [-d debuglevel] [-D binddn] [-W] [-w passwd] [-h ldaphost] [-p ldapport] [-f file] ldapadd [-b] [-c] [-r] [-n] [-v] [-k] [-K] [-d debuglevel] [-D binddn] [-w passwd] [-h ldaphost] [-p ldapport] [-f file] ldapadd implementado como um link para a ferramenta ldapmodify. Quando invocou como ldapadd a tarefa de adicionar nova flag de entrada o ldapmodify automaticamente ligado. ldapmodify abre uma conexo para um servidor de LDAP, vincula, e modifica ou adiciona entradas. As informaes de entrada so lidas na entrada padro ou de arquivo pelo uso da opo -f. dn: cn=modifica,o=mazombo,c=br changetype: modifica replace: mail mail: modif@mazombo.br add: title title: Principal add: imagensjpeg imagensjpeg: /tmp/imagens.jpeg delete: description o comando ldapmodify -b -r -f /tmp/novaentrada Substituir o contedo do "modifica" atributo de entrada do correio com o valor " modif@mazombo.br ", adiciona um ttulo "Principal", e o contedo do arquivo /tmp/imagens.jpeg como uma imagensjpeg, e completamente remova o atributo de descrio. As mesmas modificaes de acima podem ser apresentadas usando a mais velho formato de entrada ldapmodify: cn=modifica,o=mazombo,c=br mail=modif@mazombo.br 49
+title=principal +imagensjpeg=/tmp/imagens.jpeg -description O comando: ldapmodify -b -r -f /tmp/entrymods O arquivo /tmp/novaentrada existe e tem contedo: dn: cn=Maria Silva,o=mazombo,c=br objectClass: person cn: Maria Silva cn: Maie sn: Silva title: gerente de marketing mail: maria.silva@mazombo.br uid: maria.silva o comando ldapadd -f /tmp/entrymods Adicionar a entrada com dn: cn=Maria Silva, o=mazombo, c=br , se no for j apresenta uma entrada com este dn j existe, o comando assinala o erro e no escrever elaboradamente a entrada. O arquivo /tmp/novaentrada existe e tem o contedo: dn: cn=Maria Silva,o=mazombo,c=br changetype: delete o comando ldapmodify -f /tmp/novaentrada remove a entrada da Maria Silva A opo -f suporta arquivo, a opo -b suporta binrio, o -r suporta substituir valores existentes revelia.
pode-se usar o mecanismo de autenticao simples dentro de um canal codificado (como SSL), desde que suportado pelo servidor de LDAP. O SASL a autenticao e a camada de segurana(RFC 2222). Especifica um protocolo em que os dados so permutados entre o cliente e o servidor para os propsitos de autenticao e estabelecimento de uma camada de segurana em que possa executar a comunicao subseqente. Usando SASL, LDAP pode suportar qualquer tipo de autenticao em acordo estipulado entre o cliente e o servidor. O processo de autenticao dos usurios acessa informaes da sua rvore de diretrio, O servidor LDAP pode autenticar usurios de outros servios (Postifix, ProFtp etc...). Isto realizado migrando informaes de usurio especficas para seu servidor de LDAP e usando um mecanismo chamado PAM, (Pluggable Authentication Module).
4.22 LOGS
Afim de ativar a gerao de logs tem que editar o arquivo syslog.conf, localizado no diretrio /etc. Cria-se uma linha como a descrita abaixo dentro do arquivo syslog.conf. local4.* /var/log/slapd.log Nesta linha usurio default LOCAL4 usar o syslog para facilitar o seu uso. Se quiser especificar o nvel dos logs que sero gerados ou mudar o usurio default, existem as opes seguintes quando inicia o slapd: -s syslog-level Esta opo diz ao slapd que as declaraes de depurao de nvel devem ser registradas no syslog. O nvel descreve a severidade da mensagem, e um palavra-chave da seguinte lista ordenada (mais alta para a mais baixa): emerg, alert, crit, err, warning, notice, info, e debug. slapd -f myslapd.conf -s debug -l syslog-local-user Seleciona o usurio local do syslog. Os valores podem ser LOCAL0, LOCAL1, e assim por diante, at LOCAL7. O default LOCAL4. Porm, esta opo s est permitida em sistemas que suportam usurios local com o syslog.
51
52
Figura 5.1.2: Segunda parte do smb.conf. Na figura 5.2 mostra as configuraes do home, dos usurio, netlogon, onde direciona os scripts de logon e o profiles, que define sobre regras dos perfis do controlador de domnio.
Figura 5.1.3: Terceira parte do smb.conf. Na figura acima mostra a configurao sobre as impressoras pertencentes ao domnio sob controle do servidor PDC.
53
Figura 5.1.4: Arquivo smbldap.conf A figura 5.4, mostra o arquivo de configurao smbldap.conf, onde consta alguns parmetros necessrios para a integrao do samba com o ldap.
Figura 5.1.5: Arquivo smbldap-bind.conf A figura acima mostra o arquivo onde armazena os parmetros necessrios para se acessar a base ldap, principalmente quando se usa alguma ferramenta ou software que existe suporte ao ldap.
Figura 5.1.6: Arquivo samba4wins.conf A figura 5.1.6 mostra o arquivo samba4wins.conf, onde se estipula parmetros necessrios para a replicao do servio wins no domnio do PDC.
54
Figura 5.2.1: Arquivo ldap.conf O arquivo ldap.conf, armazena configuraes sobre a base do diretrio ldap, como o nome do host, domnio da base e senha de acesso.
Figura 5.2.3: Segunda parte do arquivo mazombo.ldif O arquivo mazombo.ldif armazena as informaes sobre a base de dados do diretrio (usurios, grupos, computadores, etc..) no servidor PDC do domnio mazombo.br.
55
Figura 5.2.5: Segunda parte do arquivo slapd.conf As principais configuraes do LDAP esto armazenadas no arquivo slapd.conf, onde esta armazenado os parmetros de todo o funcionamento do OpenLdap.
56
Figura 5.3.2: Acesso base do diretrio Computadores. Na figura 5.3.2, mostra como feito a consulta sobre os computadores que constam cadastrados na base de dados do LDAP.
57
Figura 5.3.3: Cadastro de computador O cadastro dos computadores na rede, na base de dados do LDAP um procedimento simples como mostra a figura 5.3.1.
Figura 5.3.4: Acesso a base do diretrio Usurio. O acesso as informaes dos usurios cadastrados na base do LDAP demonstrado atravs da figura 5.3.4.
58
Figura 5.3.5: Primeira etapa para cadastrar um usurio. Na figura 5.3.5 mostra a primeira etapa de cadastramento do usurio na base de dados do LDAP, onde encontra-se os dados referentes a conta na rede.
Figura 5.3.6: Segunda etapa para cadastrar um usurio. A segunda etapa para cadastrar usurio consiste no preenchimento dos campos referentes s informaes de acordo com o servidor Samba.
59
Figura 5.3.7: Terceira etapa para cadastrar um usurio. Na terceira etapa do cadastramento de usurio o local onde se colocam dados sobre o usurio, para identific-lo se quando necessrio.
Figura 5.3.8: Quarta etapa para cadastrar um usurio. Na figura 5.3.8 mostra o procedimento de cadastro de quais grupos o usurio ir pertencer.
60
Figura 5.3.9: Acesso base do diretrio Grupos. O acesso s informaes dos grupos cadastrados na base do LDAP demonstrado atravs da figura 5.3.5.
Figura 5.3.10: Primeira etapa de cadastro do grupo. A figura 5.3.10 esboa o processo de cadastramento de dados de um determinado grupo. 61
Figura 5.3.11: Segunda etapa de cadastro do grupo. Na figura 5.3.11 demonstra a segunda etapa de cadastro de um determinado grupo, no h informaes a serem cadastradas, pois a edio principal est na figura 5.3.10, na primeira etapa.
62
6. CONCLUSO
Atualmente na rea de redes, muitos administradores, principalmente os que atuam para o poder pblico vem precisando se encaixar no processo de migrao de servios que se enquadrem no projeto do governo federal de software livre. Para profissionais que atuam na iniciativa privada, levanta-se outras questes, como a questo de otimizao de gastos e manuteno, onde muitas vezes exigido uma soluo que atenda as necessidades da mesma forma que as solues proprietarias atenderiam. Ento foi focado a questo da utilizao do PDC, um servio extremamente importante para um funcionamento otimizado, organizado e operacionalmente vivel. Avalio-se ento a utilizao do Samba integrado com servidor de diretrio OpenLdap, uma soluo extremamente funcional, mas com um detalhe, a questo de implementao e documentao, que em relao aos demais servio um procedimento pouco documentada e publicada pela comunidade. Por isso realizou-se essa pesquisa para que pudesse reunir informaes e experincias de sucesso na realizao de tal procedimento e consequentemente poder dar uma contribuio para a comunidade. Devido os dados coletados e expostos, constatou-se que a utilizao do LDAP, oferece opes diversas para ser utilizado como soluo e somando a ferramentas e recursos criadas que tem nativo conectividade com ele, a sua utilizao viavel para agilizar e dar qualidade ao trabalho de uma rede. Com a realizao dessa pesquisa sobre a integrao do Samba com o LDAP, possibilitou um enorme acrescimo em relao aos conhecimentos e consequentemente um crescimento profissional. Ento somados esses atributos, conclui-se que essa pesquisa foi de suma importncia e sem ela talvez fosse inviavl a aquisio de detalhes existentes na soluo em questo.
63
7. REFERNCIA BIBLIOGRFICA
BONAN, Adilson Rodrigues; Configurando e Usando o Sistema Operacional Linux. So Paulo: Ed. Berkeley, 2002. p.03-05, p. 373-398. MORIMOTO, Carlos E.; Redes e Servidores Linux 2Edio. Porto Alegre: Ed. Sul Editores, 2006. p. 216-241. RIBEIRO, Uir; Certificao Linux. Rio de Janeiro: Ed. Axcel Books, 2004. p. 181, p. 295-297. HATCH, Brian; LEE, James; KURTZ, George; Segurana contra Hackers Linux 2Edio. So Paulo: Ed. Futura, 2003. p. 416-418, p. 427-428. KANIES, Luke A.; Uma Introduo ao Ldap. Disponvel na Internet via www. url: http: //br.geocities.com/cesarakg/IntroLDAP-ptBR.html. Arquivo capturado em 05 de fevereiro de 2006. LDAP. Administrator Guide. Disponvel na Internet via www. url: http://www.openldap.org/doc/admin23/. Arquivo capturado em 13 de janeiro de 2007. SAMBA. Docs and Books. Dispon[ivel na internet via www. url: http://us4.samba.org/samba/docs/. Arquivo capturado em 14 de janeiro de 2007. WIKIPEDIA; Lightweight Directory Acess Protocol. Disponvel na Internet via www. url: http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol. Arquivo capturado em 16 de fevereiro de 2007. ELSON, David; Autenticao Linux Usando OpenLdap. Disponvel na Internet via www. url: http://online.securityfocus.com/infocus/1427. Arquivo capturado em 12 de janeiro de 2006. AMERSDORFER, Markus; Using OpenLDAP on Debian Woody to serve Linux and Samba users. url: http://home.subnet.at/~max/ldap/index.php. Arquivo capturado em 30 de agosto de 2006. LEMAIRE, Jrme Tournier Olivier. Smbldap-howto. Disponvel na Internet via www. url: http://www.idealx.org/prj/samba/smbldaphowto.en.html#htoc1. Arquivo capturado em 30 de agosto de 2006.
64