HETEROGNEOS (WINDOWS X LINUX) LAVRAS - MG 2010 JACKSON RIBEIRO DE SOUZA AUTENTICAO CRUZADA EM AMBIENTES HETEROGNEOS (WINDOWS X LINUX) Monograa apresentada ao Colegiado do Curso de Cincia da Computao, para a obteno do ttulo de Bacharel em Cin- cia da Computao. Orientador Prof. PhD Luiz Henrique Andrade Correia LAVRAS - MG 2010 JACKSON RIBEIRO DE SOUZA AUTENTICAO CRUZADA EM AMBIENTES HETEROGNEOS (WINDOWS X LINUX) Monograa apresentada ao Colegiado do Curso de Cincia da Computao, para a obteno do ttulo de Bacharel em Cin- cia da Computao. Aprovada em 16 de Novembro de 2010 Prof a . Dr a . Marluce Rodrigues Pereira Prof. MSc. Eric Fernandes de Mello Arajo Prof. PhD Luiz Henrique Andrade Correia Orientador LAVRAS - MG 2010 Dedico esta monograa ao meu maior amigo, companheiro e exemplo...Deus, que sempre com seu amor, compreenso e justia, me manteve em seu caminho, me mostrando sempre quais deveriam ser os prximos passos mesmo quando as innitas opes tentavam me confundir. AGRADECIMENTOS Agradeo todos que me ajudaram, diretamente ou indiretamente na concluso desse trabalho, pois estes tiveram a pacincia de me aguen- tar em momentos que nem eu mesmo me suportava. Agradeo ao meu orientador, Prof. Dr. Luiz Henrique de Andrade Correia pelos conselhos, correes e ajuda imprescindvel neste tra- balho. Agradeo tambm a minha me, Adagilza Chagas Ribeiro, mulher es- pecial em minha vida que foi fundamental para que hoje alcanasse meus objetivos e me tornasse uma pessoa melhor. E em especial a uma pessoa que com poucas palavras e atitudes me mostrou que a vida vai muito alm do que os olhos podem ver, Elayne Cristina Ramos Hoffmann. Por m, aos colegas e amigos que, mesmo sem saber me ajudaram muito. RESUMO Este trabalho tem por objetivo a implementao de um ambiente de rede heterogneo interopervel, onde estaes clientes estaro habilitadas a realizarem a vericao de credenciais atravs de servidores em plataformas distintas, pro- movendo assim a autenticao cruzada. Para alcanar tal objetivo foi implemen- tado um servidor em plataforma Linux (openSUSE 11.3) e outro Microsoft R (Win- dows Server 2008 Enterprise R ), proporcionando assim uma vertente open source e outra proprietria, para a anlise da viabilidade e vantagens da integrao pro- posta. Palavras-chave: Active Directory. Autenticao Cruzada. Interoperabilidade. LDAP. OpenLDAP. ABSTRACT This paper aims to implement an interoperable heterogeneous network en- vironments, where client stations will enable to obtain the authentication servers using different platforms, thus promoting the cross-authentication. To achieve this goal was implemented a Linux (openSUSE 11.3) and other Microsoft R (Windows R Server 2008 Enterprise), thus providing an open source component and the other owner, to the feasibility and advantages of the proposed integration. Keywords: Active Directory. Cross-Authentication. Interoperability. LDAP. OpenLDAP. LISTA DE FIGURAS Figura 1 Grco evoluo 2006/2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Figura 2 rvore de Diretrio (COOMBS, 2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Figura 3 Switch Virtual e ligaes entre as mquinas virtualizadas . . . . . . . . . . 34 Figura 4 Tela Inicial de Instalao do openSUSE 11.3. . . . . . . . . . . . . . . . . . . . . . . . 36 Figura 5 Congurao IP openSUSE 11.3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Figura 6 Congurao IP Windows Server 2008 Enterprise R . . . . . . . . . . . . . . . 38 Figura 7 Tela do Server Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Figura 8 Selecionando a opo Active Directory Domain Services . . . . . . . . . . 41 Figura 9 Instalao realizada com sucesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Figura 10 Instalao OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Figura 11 Registro de recurso do Ubuntu 10.04 LTS no DNS . . . . . . . . . . . . . . . . . 46 Figura 12 Instalao do Likewise Open . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Figura 13 Ingressando o Ubuntu 10.04 LTS no Active Directory . . . . . . . . . . . . . . 49 Figura 14 Tela credenciais de Administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Figura 15 Estao cliente Ubuntu 10.04 LTS adicionada ao Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Figura 16 Tela Inicial LDAP Server Conguration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Figura 17 Select Server Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Figura 18 Tela New Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Figura 19 LDAP Client Conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Figura 20 Advanced Conguration OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Figura 21 Congurao pGina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Figura 22 Congurao do Plugin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Figura 23 Nova Tela de Logon do Windows 7 R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Figura 24 Tela com a mensagem de senha expirada . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Figura 25 Tela nenhuma conta de usurio disponvel . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Figura 26 Autenticando no Domnio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Figura 27 Estao cliente Windows autenticada no OpenLDAP. . . . . . . . . . . . . . . 66 Figura 28 Sincronizao entre Active Directory e OpenLDAP . . . . . . . . . . . . . . . . 69 Figura 29 Tela inicial de Congurao do Active Directory R . . . . . . . . . . . . . . . . . 75 Figura 30 Choose a Deployment Conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Figura 31 Tela Name the Forest Root Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Figura 32 Tela Set Forest Functional Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Figura 33 Tela Set Domain Functional Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Figura 34 Tela Additional Domain Controller Options. . . . . . . . . . . . . . . . . . . . . . . . . 79 Figura 35 Tela Alerta Congurao IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Figura 36 Tela Delegao para o DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Figura 37 Tela Location for Database, Log Files, and SYSVOL . . . . . . . . . . . . . . . 81 Figura 38 Directory Services Restore Mode Administrator Password . . . . . . . . . 82 Figura 39 Termino da Congurao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 SUMRIO 1 INTRODUO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.1 Contextualizao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.2 Motivao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.3 Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.4 Estrutura do Trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2 REFERENCIAL TERICO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.1 Conceitos Fundamentais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.1.1 Domnio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.1.2 Diretrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 2.1.3 Servio de Diretrio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 2.2 O protocolo LDAP (Lightweight Directory Access Protocol) . . . . . . 22 2.3 Implementaes do Protocolo LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 2.3.1 OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 2.3.2 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.4 Virtualizao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 2.5 Literatura Relacionada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2.5.1 Trabalhos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3 METODOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.1 Tipo de Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.2 Procedimentos Metodolgicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.2.1 Etapas da Pesquisa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.3 Ambiente Computacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3.3.1 Sistemas Operacionais Clientes e Servidores . . . . . . . . . . . . . . . . . . . . . . 31 3.3.2 Servios de Diretrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.3.3 Ferramentas para a Autenticao Cruzada. . . . . . . . . . . . . . . . . . . . . . . . 32 3.3.4 Topologia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 4 DOCUMENTAO DAS INSTALAES DOS SISTEMAS E FERRAMENTAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.1 Instalao dos Sistemas Operacionais Servidores . . . . . . . . . . . . . . . . . 35 4.1.1 Instalao do openSUSE 11.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.1.2 Instalao do Windows Server 2008 Enterprise . . . . . . . . . . . . . . . . . . . 37 4.2 Instalaes dos Sistemas Operacionais Clientes . . . . . . . . . . . . . . . . . . . 39 4.3 Instalao dos Servios de Diretrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.3.1 Instalao do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.3.2 Instalao do OpenLDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 5 CONFIGURAES NECESSRIAS PARAAAUTENTICAO CRUZADA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 5.1 Autenticao Cruzada Cliente x Servidor (Ubuntu 10.04 LTS x Windows Server 2008 Enterprise) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 5.1.1 Congurando o Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 5.1.2 Congurao da estao cliente Ubuntu 10.04 LTS . . . . . . . . . . . . . . . 45 5.1.2.1 Instalando o Likewise Open . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5.1.2.2 Ingressando no Domnio do Active Directory. . . . . . . . . . . . . . . . . . . . . . . 49 5.2 Autenticao Cruzada Cliente x Servidor (Windows 7 x open- SUSE 11.3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 5.2.1 Congurando o OpenLDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 5.2.2 Congurao da estao cliente Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . 56 5.2.2.1 Utilizando o pGina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 6 RESULTADOS E DISCUSSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 6.1 Autenticao Cruzada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 7 CONCLUSES E TRABALHOS FUTUROS . . . . . . . . . . . . . . . . . . . . . 67 7.1 Concluses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 7.2 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 8 REFERNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 11 1 INTRODUO 1.1 Contextualizao O alto custo na adoo de uma plataforma que seja totalmente proprietria para a estruturao de um ambiente de TI (Tecnologia da Informao) um pro- blema permanente e que tem se tornado um grande desao para muitas organiza- es. Em particular podemos destacar as pequenas, onde em sua maioria possuem oramentos e recursos limitados. Muitas dessas organizaes acabam por adotar medidas de conteno de gastos levando servios e departamentos de TI a sofre- rem dcits em resposta a este problema. Como conseqncia, elas so muitas vezes limitadas a tecnologias mais antigas e at mesmo a verses obsoletas do software, devido ao alto custo de atualizaes constantes e aquisies de novas licenas (WILKINS; COLE; NELSON, 2004). A conabilidade dos sistemas atuais tambm se tornou uma questo im- portante e preocupante devido ao grande crescimento das redes de computadores locais e da internet. Em decorrncia de tal fato temos como conseqncia uma disseminao de vrus cada vez mais acelerada e dinmica em um mbito global, colocando em risco diariamente todos os processos organizacionais que rodam so- bre a infraestrutura de TI. Assim temos um ambiente onde empresas esto cada vez mais preocupadas com a segurana de seus sistemas e proteo de seus dados. Todo esse cenrio, aliado crescente popularizao dos sistemas opera- cionais open source, tem elevado o nmero de empresas interessadas na adoo dos servios baseados nesta plataforma. Em parte devido principalmente a fatores como: segurana, disponibilidade e tambm ao baixo custo de implementao e licenciamento. Com isso nos deparamos cada vez mais com uma mudana na estruturao dos Data Centers atuais. Atualmente no encontramos mais um am- 12 biente homogneo e com predominncia de uma nica tecnologia, mas sim uma diversicao de plataformas aonde software proprietrio e software livre se jun- tam em um mesmo cenrio (RIGOLETO, 2006). Na perspectiva de Figueiredo (1999), grande parte das organizaes acabam por adotar mltiplas plataformas em seus ambientes de TI devido a razes histricas e pragmticas. Tendo como intuito, atender as suas diversas necessidades as quais no podem ser sanadas com apenas uma nica tecnologia. Entretanto, novos desaos so gerados ao se unir tecnologias distintas em um mesmo ambiente, um desses desaos continuar provendo de forma eciente e segura a autenticao e acesso a rede atravs dos servios de diretrio para os diferentes tipos de sistemas operacionais clientes. Atualmente, as grandes em- presas possuem uma gama diversicada de plataformas, onde cada uma possui seu prprio gerenciamento de usurios. Essa descentralizao gera uma demanda enorme aos responsveis pela administrao dos objetos de diretrio (contas de usurios, contas de computador, diretivas de segurana). E com essa arquitetura de controle baseada em banco de dados distribudos acaba por criar desaos como, replicao e consistncia nas mltiplas bases de diretrios, aumentando tambm assim a exposio a ataques e falhas de segurana (JUNIOR, 2009). De acordo com Reinhardt et al. (2009), com o aumento das redes de computadores e as constantes mudanas e evolues, o gerenciamento de identi- dade torna-se cada vez mais complexo. Uma organizao no pode esperar um longo perodo para que um determinado empregado consiga se autenticar na rede e obter acesso a uma determinada aplicao. As exigncias de produtividade dos ambientes corporativos exigem que o acesso do usurio aos recursos da rede seja imediata e satisfatria, no prejudicando assim seu desempenho. 13 Porm, mais do que implementar diferentes plataformas nas redes de com- putadores contemporneas, existe hoje uma alta necessidade de integrao desses novos sistemas open source com as tecnologias proprietrias j utilizadas, per- mitindo assim que os servios oferecidos pelos mesmos continuem operando de forma ininterrupta e consistente. Em especial destacamos o servio de diretrio, pois atravs desse poderoso recurso que provemos de forma centralizada e segura todo o gerenciamento e autenticao dos usurios corporativos. Existem alguns mecanismos que permitem tal gerenciamento e autenti- cao em ambientes mistos, em particular o LDAP (Lightweight Directory Ac- cess Protocol) merece destaque. O foco principal deste trabalho apresentar este protocolo, procurando analisar e descrever duas de suas implementaes, Active Directory R e OpenLDAP, tendo como foco a interoperabilidade atravs da auten- ticao cruzada. 1.2 Motivao De acordo com pesquisa realizada pela Fundao Getlio Vargas, foi cons- tatado que nos Data Centers atuais 12% dos servidores so Unix, 20% Linux, 66% Windows e 2% outros. Isso mostra a grande heterogeneidade das redes de computadores contemporneas e que h um grande desao a ser vencido no ge- renciamento de identidade entre essas plataformas distintas. A autenticao entre sistemas proprietrios e de cdigo aberto j uma realidade no meio empresa- rial. Devido a esse cenrio, e as inmeras mudanas no mundo dinmico da TI com foco cada vez maior em interoperabilidade, se faz necessrio uma maior ex- planao e pesquisa sobre a capacidade de tecnologias distintas coexistirem no mesmo ambiente, provendo a autenticao cruzada de forma harmoniosa e mais do que isso, produtiva (MEIRELLES, 2010). 14 1.3 Objetivo Este trabalho tem por objetivo a implementao de um ambiente de rede heterogneo e interopervel atravs da autenticao cruzada, utilizando para isso ferramentas que estejam disponveis nas plataformas adotadas e que permitam a comunicao entre os sistemas. Este ambiente tem como propsito que usurios de estaes clientes Linux ou Windows possam ser autenticados usando o protocolo LDAP, tanto no servio de diretrio da Microsoft, o Active Directory R , quanto em sua verso livre, o OpenLDAP, de forma que estes possam usufruir das potencia- lidades de ambas as tecnologias, garantido assim maior segurana e versatilidade no acesso s informaes. Figura 1: Grco evoluo 2006/2010 1.4 Estrutura do Trabalho Para possibilitar uma melhor organizao do trabalho, o mesmo foi divi- dido em 7 captulos. O resumo que se segue dever assim permitir uma leitura r- pida, facilitando a escolha do tema que mais suscite dvidas ao leitor, permitindo- 15 lhe deste modo concentrar-se nas questes que considere mais importantes. O captulo 2 apresenta o referencial terico, mostrando os principais conceitos ne- cessrios para um melhor entendimento e explanao sobre o assunto, deline- ando assim uma base slida para a construo da interoperabilidade proposta. A metodologia utilizada neste trabalho apresentada no captulo 3, juntamente com informaes sobre o ambiente computacional utilizado. No captulo 4 tem-se o in- cio da parte prtica, onde encontra-se a documentao das instalaes dos sistemas adotados e das ferramentas necessrias para cumprimento dos objetivos. Esta parte foi estruturada em forma de tutoriais para facilitar a sua reproduo em qualquer ambiente posteriormente. Ainda dando prosseguimento parte prtica, no cap- tulo 5 so documentados os procedimentos e conguraes necessrias para a in- teroperabilidade entre as plataformas atravs da autenticao cruzada com Active Directory R e OpenLDAP. No captulo 6 temos os resultados e discusso, onde analisamos a viabilidade do projeto e suas diculdades. O Captulo 7 naliza apresentando a concluso e trazendo sugestes para trabalhos futuros. 16 2 REFERENCIAL TERICO Para uma melhor compreenso do trabalho apresenta-se neste captulo os conceitos e ferramentas necessrias para a implementao e desenvolvimento do ambiente de autenticao cruzada proposto. 2.1 Conceitos Fundamentais 2.1.1 Domnio Podemos denir um domnio como um limite administrativo e de segu- rana. Administrativo, pois as contas que possuem tais privilgios tm permisses de acesso em todos os recursos do domnio ao qual esto inseridas, mas no em recursos de outros domnios, ou seja, o domnio quem dene as fronteiras de permisses (BATTISTI, 2003). J a caracterizao como um limite de segurana se d pelo fato de que cada domnio em particular tem suas denies de polticas de segurana que se aplicam s contas de usurios e demais recursos dentro do domnio e no a outros domnios. Assim, diferentes domnios podem ter diferentes polticas e congu- raes de segurana. Por exemplo, no domnio A, posso ter uma poltica de segu- rana que dene um tamanho mnimo de senha como 8 caracteres. Esta poltica ser vlida para todas as contas de usurio do domnio A. Um segundo domnio B, pode ter uma poltica de segurana diferente, a qual dene um tamanho mnimo de senha de 12 caracteres. Esta poltica ser vlida somente para as contas de usurios do domnio B (BATTISTI, 2003). O conjunto de contas de computadores e de usurios cadastrados de forma centralizada em um banco de dados compartilhado por toda a rede tambm uma das formas de denirmos um domnio. Por contas de usurios e computadores 17 entende-se ser o nome e a senha dos mesmos, credenciais necessrias para que possam acessar os recursos da rede, ou seja, o domnio ao qual pertenam. Em se tratando de domnios podemos enumerar vrias vantagens, dentre as mais pertinentes destacam-se: escalabilidade, portabilidade e a facilidade de administrao. Escalabilidade: A utilizao da estrutura de domnio promove um cresci- mento da rede computacional de forma organizada e simples, nesse ambi- ente os usurios possuemapenas umnome e uma senha e conseguemacessar todos os recursos da rede aos quais tenham permisso (MINASI, 2003). Portabilidade: Pois habilita os usurios que pertencem ao domnio se au- tenticarem e usarem qualquer computador que esteja nesse domnio, per- mitindo que os mesmos tenham suas conguraes disponveis em qual- quer mquina da rede, alcanando assim uma maior portabilidade (MINASI, 2003). Facilidade de administrao: Ambientes que possuem um domnio de rede, ao contratar um funcionrio, basta apenas cadastr-lo no banco de dados do domnio, com as permisses aos recursos de rede necessrios. No necessria nenhuma alterao nas estaes de trabalho para que esse usurio possa ser um membro de toda a rede do domnio. Para excluir um usurio demitido o raciocnio o mesmo, basta exclu-lo do banco de dados do domnio (MINASI, 2003). A criao de um domnio realizada atravs da instalao e manuteno de servios de diretrios como o Active Directory R e OpenLDAP, s pginas seguintes ilustram esses conceitos. 18 2.1.2 Diretrio Uma das formas de sintetizar e entender o conceito de diretrio ima- ginar um banco de dados centralizado com informaes sobre usurios, senhas, computadores e outros elementos necessrios ao funcionamento de um sistema. Esse sistema pode ser representado por um conjunto de aplicaes em um servi- dor, servios de email ou autenticao. Pode-se tambm fazer um paralelo com um exemplo mais simples e mais presente em nosso dia a dia, como por exemplo uma lista telefnica com o cadastro do nome do usurio, telefone e endereo, que tambm reete uma analogia com um tpico diretrio (BATTISTI, 2003). Em termos gerais, grande parte dos prossionais de informtica associa o termo diretrio ao contexto de sistemas de arquivos, o que s em parte ver- dadeiro. Ao pesquisar o conceito da palavra diretrio percebe-se que a mesma tem vrios signicados, se diferenciando de acordo com o contexto. No con- texto de sistemas de arquivos possui um signicado, no contexto de redes e ambi- entes distribudos outro e no contexto de banco de dados um terceiro signicado (NAGUEL, 2001). Esses signicados no so excludentes como pode-se supor em princpio. Em um nvel mais elementar diretrio signica lista. E lista nada mais do que um depsito de informao. A partir da possvel entender porque diretrio usado nesses contextos. Diretrio em sistemas de arquivos nada mais do que um arquivo espe- cial que contm as lista dos arquivos pertencentes a esse diretrio. No contexto de redes e ambientes distribudos, diretrio uma lista que contm informaes de servios de rede que, por exemplo, exigem algum tipo de autenticao, obri- gando que os servios mantenham um diretrio de usurios, ou seja, uma lista de 19 usurios. J no contexto de banco de dados mais intuitivo, uma vez que lista na verdade um depsito de informao (NAGUEL, 2001). Nas redes de computadores com modelo baseado em diretrio, h uma base nica de informaes, que podem ser contas de usurios, contas de computa- dor ou qualquer outro recurso da rede. Porm, na prtica no que existe uma nica base armazenada em um determinado servidor e todos os demais acessam esta base. O que ocorre na prtica, que todos contm uma cpia do diretrio e alteraes efetuadas em um dos servidores so repassadas para os demais, para que todos quem com uma cpia idntica da base de dados do diretrio. Esta sin- cronizao entre os servidores conhecida como replicao (BATTISTI, 2003). De acordo com Querino e Jnior (2005), a utilizao de um diretrio varia de acordo com a necessidade. Em resumo, pode-se citar os seguintes: Sistemas de Arquivos: Nesse contexto, umdiretrio simplesmente denido como um arquivo especial que contm as informaes pertencentes a esse diretrio; Redes em Ambientes Distribudos: Com esse contexto o diretrio corres- ponde a uma lista que contm informaes dos servios da rede para o efeito de autenticao da mesma. Base de Dados: No que diz respeito base de dados, um diretrio um estrutura (schema), que armazena diversas tabelas, sendo estas tabelas com caractersticas comuns. Em resumo, pode-se denir um diretrio como uma base de dados espe- cializada como propsito de prover o acesso rpido aos dados de forma padronizada, contendo diferentes tipos de informaes e oferecendo uma versatilidade muito grande na hora de buscar o dado desejado. 20 2.1.3 Servio de Diretrio Em termos gerais, um servio de diretrio um repositrio de informaes de rede, aplicaes, ou NOS (Network Operation System) que so teis para mlti- plos sistemas ou usurios. De fato, h muitos tipos de diretrios diferentes, in- cluindo pginas de internet, servidores de email, e at mesmo servio de DNS (Domain Name System) (DESMOND et all., 2009) Segundo Bosque e Macedo (2007), um servio de diretrio contm infor- maes em formas de entradas. Um bom exemplo poderia ser uma lista telefnica, que contm entradas como: nomes de pessoas, nomes de empresas, endereos e telefones. Cada entrada representada nessa lista contm uma srie de dados que, de maneira formal, chamamos de atributos. A gura 1 exibe um exemplo de diretrio estruturado. Nesta imagem possvel visualizar o conjunto de dados dispostos de forma hierrquica formando uma rvore, onde cada n representa um objeto. Um servio de diretrio desempenha tambm um papel importante den- tro da empresa, pois ele fornece uma estrutura que facilita e padroniza o acesso a diversas informaes, como por exemplo, dados de usurio, computadores, im- pressoras, servindo como um ponto de integrao entre os diversos sistemas e minimizando os problemas de administrao dos mesmos. Os recursos de redes de grande porte so compartilhados por vrios usurios e aplicativos. Para permitir que usurios e aplicativos acessem os recursos e as informaes sobre eles, voc precisa de um modo consistente de nomear, descre- ver, localizar, acessar, gerenciar e proteger informaes sobre esses recursos. Um servio de diretrio desempenha essa funo, sendo um repositrio estruturado de informaes sobre pessoas e recursos de uma organizao (MICROSOFT R , 2003). 21 Figura 2: rvore de Diretrio (COOMBS, 2005) Os servios de diretrio despontam atualmente como a ltima moda nos domnios de softwares para gesto de redes de computadores, principalmente no campo de servidores. Esses tipos de servios, implementam uma base de dados distribuda, onde a informao armazenada de forma hierarquizada, seguindo a estrutura de uma rvore (PEREIRA, 2003). Se o diretrio uma base de dados organizada, ou seja, uma lista de da- dos, um servio de diretrio nada mais do que uma aplicao que controla os objetos e seus atributos em um diretrio. Com o servio de diretrio, os objetos e os atributos podem estar disponveis aos usurios e a outras aplicaes de forma ininterrupta e centralizada. Existem hoje, muitas implementaes de software que 22 desempenham a funo de diretrio, por exemplo, o Active Directory R e o Openl- dap. Servio de diretrio a implementao cliente/servidor para o conceito de diretrio (NAGUEL, 2001). Dada a necessidade crescente de informaes, em particular atravs da In- ternet, a popularidade do diretrio tem crescido na ltima dcada e hoje uma es- colha comum para aplicaes distribudas (KOUTSONIKOLA; VAKALI, 2004). Para o cumprimento dos objetivos de integrao das plataformas hetero- gneas atravs da autenticao cruzada, ser necessria a implementao de servi- dores Microsoft R e Linux, com os servios de diretrio do Active Directory R e OpenLDAP respectivamente, atuando no mesmo domnio. Nesse sentido, faz-se necessrio a partir daqui explanar a respeito das fer- ramentas e tcnicas que faro esse ambiente possvel. Em resumo, tratam-se dos conceitos do protocolo LDAP e suas implementaes, alm de mais algumas tc- nicas e recursos que sero teis para concluso da interoperabilidade. 2.2 O protocolo LDAP (Lightweight Directory Access Protocol) O LDAP (Lightweight Directory Access Protocol) um protocolo padro inicialmente projetado para o acesso a servios de diretrio com o padro X.500. O LDAP a verso reduzida de um protocolo chamado DAP (Directory Access Protocol). A principal funo do DAP era a de estabelecer, de forma padro, regras de comunicao de acesso com um diretrio baseado no padro X.500, mas por ser complexo permitiu o surgimento do LDAP que implementa apenas as operaes bsicas do DAP como: Bind, Read, List, Search, Compare, Modify, Add, Delete e ModifyRDN (BOSQUE; MACEDO, 2007). De acordo com Gomes et all (2001), o LDAP trabalha diretamente sobre o protocolo TCP/IP e oferece mais funcionalidades do que o DAP e a um custo 23 menor. Como se trata tambm de um diretrio, ele baseia-se fundamentalmente no modelo cliente/servidor e fornece autenticao e o servio de diretrio para os utilizadores. O protocolo LDAP utilizado pela arquitetura do Active Directory R e ainda possvel de ser implementado usando o OpenLDAP em plataforma livre, que ser visto mais adiante. Servios de diretrios implementando LDAP podem conter informaes particulares de funcionrios e informaes sobre a organizao (SENA, 2005). O OpenLDAP se tornou o primeiro servio de diretrio de cdigo aberto em decorrncia da Universidade de Michigan que trabalhava em um projeto com o objetivo de desenvolver o seu prprio servidor LDAP e decidiu abrir o cdigo- fonte do seu software, surgindo assim a verso de cdigo aberto, o OpenLDAP, colocando esses recursos disponveis para usurios do mundo Linux (SENA, 2005). 2.3 Implementaes do Protocolo LDAP Nesta seo iremos abordar duas implementaes do protocolo LDAP que sero utilizadas para a criao do ambiente misto proposto, Active Directory R da Microsoft R e a vertente livre o, OpenLDAP. 2.3.1 OpenLDAP O OpenLDAP pode ser descrito como uma composio de um conjunto de aplicativos LDAP open source, no qual esto dispostas todas as ferramentas necessrias para fornecer um servio de diretrio padro LDAP v.3 em um am- biente de rede, disponvel em vrias plataformas (Linux, Solaris, MacOS). uma soluo considerada madura hoje em dia e possui amplo suporte, sendo largamente utilizada como alternativa s implementaes comerciais existentes como, Active 24 Directory R , Novell eDirectory, Sun Java System Directory Server (MACHADO; JUNIOR, 2006). Para Gamito e Oliveira (2003), o OpenLDAP denido como uma imple- mentao livre do protocolo LDAP, que foi criado inicialmente com o objetivo de permitir acesso a servios de diretrio, atravs da Internet, embora seja possvel utilizar qualquer tipo de dados. Aautenticao usando o OpenLDAP, na opinio de Querino e Jnior (2005), baseia-se fundamentalmente em dois mtodos bsicos que so os seguintes: LDAP Bind: Mtodo que consiste em fazer login enviando sua senha, em seguida o servio d-lhe a permisso de autenticao ou ento nega-lhe o acesso aos recursos solicitados. Neste caso, o utilizador apenas faz a requi- sio do servio sem se preocupar com a forma como a validao do seu pedido ser executado. LDAP Compare: Outro mtodo de autenticao onde a losoa utilizada para o efeito a comparao. O utilizador envia sua senha e pede ao servidor para compar-la com a que se encontra armazenada no diretrio e a resposta retornada com a permisso ou negao de acesso. Como um de seus recursos nativos, o OpenLDAP tambm possui o suporte a replicao de vrios mestres, onde dois servidores LDAP podem aceitar atualiza- es, sincronizar uns com os outros, e atualizar suas bases de dados, criando assim uma consistncia entre as replicas (KOUTSONIKOLA; VAKALI, 2004). interessante observar que toda essa maturidade e robustez se deve em parte ao fato do OpenLDAP suportar os padres LDAP v.3 (RFCs 2251-2256 e 2829-28), assim como umas RFCs adicionais, por exemplo (SHERESH, 2002): RFC 2596: Uso de linguagens de programao no LDAP; 25 RFC 2829: Mtodos de autenticao para o LDAP; RFC 2830: LDAP v.3, extenso para a camada de transporte seguro; RFC 2849: Incluso do formato LDAP Data Interchange Format (LDIF) v.1; RFC 3062: Operaes extendidas para a modicao de senhas. Todo esse projeto mantido por uma srie de programadores voluntrios no mundo inteiro, que juntos criam novas solues e desenvolvem a gama de aplicativos do OpenLDAP (GEYER; KELLERMANN; SILVELLO, 2005). 2.3.2 Active Directory O Active Directory armazena informaes sobre usurios, computadores e recursos de rede, tornando os recursos acessveis aos aplicativos. Ele fornece uma forma consistente de nomear, descrever, localizar, acessar, gerenciar e garan- tir a segurana de informaes sobre os recursos. O Active Directory possui as seguintes funes (MICROSOFT, 2003): Centraliza o controle de recursos de rede: Com a centralizao do controle de recursos como servidores, arquivos compartilhados e impressoras, apenas usurios autorizados podem acessar os recursos no Active Directory. Centraliza e descentraliza o gerenciamento de recursos: Os administradores podem gerenciar os computadores de clientes distribudos, servios de rede e aplicativos a partir de um local central usando uma interface de gerencia- mento consistente. Tambm podem distribuir tarefas administrativas, dele- gando o controle de recursos a outros administradores. 26 Armazena objetos de modo seguro em uma estrutura lgica: O Active Di- rectory armazena todos os recursos como objetos em uma estrutura lgica, hierrquica e segura. Otimiza o trfego de rede: A estrutura fsica do Active Directory permite usar a largura de banda da rede de modo mais eciente. Por exemplo, ela garante que os usurios, ao fazerem logon, sejam autenticados pela autori- dade mais prxima, o que reduz o trfego de rede. Na opinio de Loureiro (2001), a introduo do Active Directory no Win- dows 2000, constitui uma das mais ou se no a mais importante novidade do sis- tema operacional proprietrio. Esse protocolo trouxe um outro dinamismo para o Windows 2000 e revolucionou na sua totalidade no s a administrao e or- ganizao da rede, mas tambm veio preencher as lacunas nas redes NT, que se notavam tanto na criao como na gesto de redes geogracamente separadas. O Active Directory constitui assim, um elemento central das verses de servidores Windows 2000 e posteriores. Com a instalao do Active Directory em servidores Microsoft tem-se a criao de um domnio de rede baseado nessa plataforma. O Active Directory a implementao LDAP da Microsoft R , constituindo um novo servidor de di- retrios, como escrito acima. , tecnicamente, um servidor LDAP verso 3 (MI- CROSOFT, 2003). O Active Directory da Microsoft R um sistema totalmente integrado ao sistema operacional Windows R , sendo o primeiro servio de diretrio da Mi- crosoft escalvel, projetado para utilizar tecnologias de padro Internet. Ele inclui caractersticas de desempenho como armazenamento indexado para recuperao rpida de informaes e suporte nativo a LDAP, alm de caractersticas de segu- 27 rana, como a impossibilidade de se fazer pesquisas annimas (sem informar as credenciais do pesquisador) em sua base de dados (MICROSOFT, 2003). 2.4 Virtualizao Dene-se mquina virtual como sendo uma cpia eciente e separada de uma mquina fsica. A mquina virtual essencialmente idntica a uma mquina real, ou seja, qualquer instruo executada em uma mquina virtualizada deve exibir o mesmo efeito que seria observado se fosse executada em uma mquina fsica (POPEK; GOLDBERG, 1974). Devido ao fato de serem ecientes, se faz necessrio que uma parte das instrues dominantes seja executada diretamente no hardware da mquina. Isto exclui do mbito das mquinas virtuais os tradicionais simuladores (tentativa de imitar as funes de um dispositivo) e emuladores (tentativa de imitar o desenho do hardware de um dispositivo), por precisarem simular quase a totalidade das instrues antes de execut-las no hardware. A mquina virtual encontrase em um nvel de abstrao intermedirio entre a mquina real e o emulador, no que se refere forma como os recursos de hardware e de controle so abstrados e usados pelas aplicaes (LAUREANO, 2004). Pode-se entender o termo separada como o fato da mquina virtual ter que trabalhar como se fosse um computador independente. Essa caracterstica possbilita que o usurio no perceba que est executando suas tarefas em uma mquina virtualizada ao invs de uma mquina fsica. Alm disso, falhas em uma mquina virtual no sero propagadas para as outras mquinas virtuais (POPEK; GOLDBERG, 1974). O conceito de virtualizao tanto para desktops quanto para servidores o mesmo, ou seja, executar diversos sistemas operacionais em um nico hardware. 28 Uma forma j bastante difundida, apesar de no utilizar esta mesma terminologia, a virtualizao de desktops, atravs do uso de servidores de terminais, onde cada utilizador ligado ao sistema possui a sua sesso dentro de um mesmo sistema operacional. 2.5 Literatura Relacionada Neste captulo apresenta-se alguns trabalhos e pesquisas feitas sobre o tema em questo. Foro mapeados trabalhos cientcos e publicaes que abor- dam a metodologia adotada. O objetivo determinar o estado da arte sobre o tema desta monograa. 2.5.1 Trabalhos Dos trabalhos pesquisados, selecionou-se um artigo utilizando a biblioteca pGINA, um livro sobre interoperabilidade entre as plataformas Linux e Windows e duas monograas sobre autenticao cruzada utilizando o protocolo LDAP. Using pGINA to Authenticate Users in MicrosoftWindows Environments; Linux and Windows interoperability guide; Implementao de Ambientes Mistos Linux Windows para Compartilhamento de Recursos e Autenticao de Usurios; Integrao dos Sistemas Operativos Windows e Linux. A anlise desses materiais resultou em uma base slida para o alcane dos objetivos e proporcionou uma forma mais ecaz e agl para a resoluo dos prob- lemas e diculdades encontradas. O artigo Using pGINA to Authenticate Users in Microsoft Windows Environments apresenta a utilizao da biblioteca pGINA, 29 que simplica a autenticao de usurios Windows em um ambiente que inclue sistemas Linux e UNIX. O artigo tem como objetivo prover um entendimento so- bre como a autenticao na plataforma Microsoft funciona, e como o pGINA pode ser usado para proporcionar uma alternativa ao mecanismo de autenticao em ambientes heterogneos. O livro Linux and Windows interoperability guide vem com a proposta de fornecer uma maneira de se criar a interoperabilidade de forma harmoniosa e pro- dutiva em ambientes Linux e Windows. Cobrindo para isso pontos como: proble- mas mais comuns com interoperabilidade, servios de diretrio, internet/intranet, arquivos etc. Os trabalhos acadmicos utilizados como base (Implementao de Am- bientes Mistos Linux Windows para Compartilhamento de Recursos e Autenti- cao de Usurios e Integrao dos Sistemas Operacionais Windows e Linux), mostraram-se utis na delimitao da metodologia que deveria ser empregada, porm apresentaram um alto grau de desatualizao, uma vez que a interoperabil- idade realizada entre sistemas legados como Windows Server 2003 e Windows XP. Neste trabalho apresenta-se a interoperabilidade entre os sistemas mais atuais como Windows Server 2008, Windows 7 e Ubuntu LTS 10.04. 30 3 METODOLOGIA Este captulo descreve a metodologia utilizada no trabalho a qual permitiu que os objetivos da pesquisa fossem alcanados. Na primeira seo deste cap- tulo ser apresentada a classicao da pesquisa quanto natureza, objetivo e aos procedimentos. Em seguida sero descritos os procedimentos metodolgicos e o ambiente computacional utilizado. 3.1 Tipo de Pesquisa O presente trabalho pode ser classicado quanto a sua natureza como uma pesquisa aplicada, pois seu objetivo principal se concentra na gerao de conhe- cimento para a soluo de um problema prtico. Quanto aos objetivos ela pode ser enquadrada como pesquisa descritiva, uma vez que visa observar, registrar e analisar os fenmenos ou sistemas tcnicos a partir do ambiente interopervel im- plantado. Em relao aos procedimentos, a pesquisa caracterizada como experi- mental e em laboratrio, pois tem como nalidade a descoberta de novos mtodos, tcnicas, ensaios e estudos de laboratrio atravs de simulao. Entende-se por uma pesquisa em laboratrio aquela que permite o controle das variveis que pos- sam interferir no experimento (ZAMBALDE; PADUA; ALVES, 2008). 3.2 Procedimentos Metodolgicos 3.2.1 Etapas da Pesquisa A pesquisa foi estruturada essencialmente em trs etapas: levantamento bibliogrco, instalaes dos sistemas e ferramentas necessrias e conguraes para a autenticao cruzada. 31 A primeira delas consistiu basicamente na aquisio de referncias e do- cumentos para o desenvolvimento e evoluo do trabalho, possibilitando assim um maior embasamento terico. Nessa etapa ocorreu a pesquisa bibliogrca que serviu como base para a aquisio de conhecimento acerca dos temas envolvidos no projeto como: servio de diretrio, autenticao cruzada, interoperabilidade, Active Directory e OpenLDAP. O acervo bibliogrco basicamente foi formado por consultas a livros, monograas, teses de mestrado e artigos da rea, consulta- dos a partir do ms de novembro do ano de 2009. Na etapa seguinte foi realizada a criao do ambiente heterogneo, onde ocorreram as instalaes dos sistemas e ferramentas necessrias para a autenti- cao cruzada, incluindo os sistemas operacionais de servidores, estaes clientes e demais recursos. Emseguida foramfeitas as devidas conguraes no cenrio descrito acima, possibilitando assim a autenticao cruzada entre as plataformas Linux e Windows. Essas conguraes foram documentadas para possibilitar assim sua reproduo posterior. 3.3 Ambiente Computacional 3.3.1 Sistemas Operacionais Clientes e Servidores Como sistemas operacionais de servidores foram adotados o Windows Server 2008 Enterprise da Microsoft e o openSUSE 11.3 da Novell. A escolha do Windows Server 2008 Enterprise se deu por motivo como a adoo no mercado, pois como informado anteriormente segundo pesquisa realizada, esse sistema re- presenta mais de 60% dos sistemas operacionais utilizados em servidores no Brasil atualmente (MEIRELLES, 2010). 32 Em relao a escolha da distribuio Linux a ser utilizada, o acordo re- alizado entre Microsoft e Novell favoreceu a opo pelo openSUSE 11.3, pois ambas as plataformas vem trabalhando para alcanar a interoperabilidade entre seus produtos e servios, facilitando assim a comunicao entre seus sistemas e consequentemente a autenticao cruzada. Para as estaes clientes os seguintes sistemas foram implantados: Windows 7 da Microsoft e Ubuntu 10.04 LTS. O uso do Windows 7 se faz necessrio uma vez que foi adotado um servidor na mesma plataforma (Windows Server 2008 Enterprise), e a vertente open source Ubuntu 10.04 LTS, devido sua grande usabilidade, popularidade e adoo em desktops Linux. 3.3.2 Servios de Diretrio Os servios de diretrio utilizados nos servidores Windows e Linux foram o Active Directory e OpenLDAP respectivamente. O Active Directory a opo de servio de diretrio que est disponvel para a instalao no Windows Server 2008 Enterprise e vem desde o Windows Server 2000 onde se tornou a grande novidade. J o OpenLDAP um pacote o qual implementa o protocolo LDAP e est presente na maioria das distribuies Linux, e tem se tornado a grande opo para usurios dessa plataforma quando necessitam criar um servio de diretrio. 3.3.3 Ferramentas para a Autenticao Cruzada Para o ingresso de mquinas Linux em um domnio do Active Directory e sua posterior autenticao, foi utilizada a ferramenta Likewise Open, uma apli- cao open source a qual permite que mquinas Linux, Unix e Mac possam in- gressar em um domnio do Active Directory e serem autenticadas de maneira se- gura com suas credenciais de domnio. Para autenticao de clientes Windows no 33 OpenLDAP foi adotada a ferramenta pGina. O pGina um software livre de auten- ticao cujo propsito substituir de forma parcial a biblioteca GINA (Graphical Identication and Authentication) a qual carregada pelo sistema winlogon do Windows e responsvel pelos processos de login e de logout dos usurios. 3.3.4 Topologia Para a instalao dos sistemas operacionais clientes, servidores e ferra- mentas mencionadas acima, foi projetado umcenrio utilizando uma nica mquina fsica com a seguinte congurao de hardware: Processador: Intel(R) Core(TM)2 Duo T6400 2.0 GHz Memria RAM: DDR2 667MHz 4,0 GB Disco Rgido: HD sata 7200rpm 500 GB Placa de Rede Ethernet 100Mbits Realtek Todos os sistemas foramvirtualizados utilizando o software VMware Server 2.0.2. Sua adoo deu-se por motivos como o acesso gratuito, experincia prvia e conhecimento do produto, facilitando assimsua instalao e congurao. VMware Server umproduto gratuito de virtualizao para servidores emambas as platafor- mas, Windows e Linux. Ele permite particionar um servidor fsico em vrias mquinas virtuais para assim poder usufruir das vantagens da virtualizao. um produto potente e, ao mesmo tempo, de fcil utilizao por usurios. Com isso tem-se uma cenrio virtualizado conforme apresentado na Figura 2, onde temos um switch virtual representando a ligao feita entre os sistemas virtualizados. 34 Figura 3: Switch Virtual e ligaes entre as mquinas virtualizadas 35 4 DOCUMENTAODAS INSTALAES DOS SISTEMAS E FERRAMENTAS Este captulo tem por objetivo documentar as instalaes dos sistemas e ferramentas necessrias para alcanar a integrao de plataformas Linux e Win- dows atravs da autenticao cruzada. 4.1 Instalao dos Sistemas Operacionais Servidores Nesta primeira fase de implantao do cenrio proposto foi dada nfase s instalaes dos sistemas operacionais de servidores Linux e Windows, que so respectivamente, openSUSE 11.3 e Windows Server 2008 Enterprise. No houve a preocupao de uma documentao formal visto que as con- guraes feitas em suas opes padres j atendem s necessidades do ambiente. Segue, nos prximos itens, uma breve documentao sobre as instalaes realizadas. 4.1.1 Instalao do openSUSE 11.3 A demonstrao a seguir leva em considerao o modo de instalao em ambiente grco. A ferramenta de instalao e administrao do openSUSE 11.3 o YasT. Logo na primeira tela, seleciona-se a opo instalao, como mostra a gura 3. Selecionada a opo o instalador ir carregar em seguida o kernel do Linux. Como em todas as distribuies robustas, o instalador do openSUSE 11.3 ir reconhecer os perifricos disponveis na mquina e tambm sugerir uma forma de particionamento do HD (Hard Disk), pacotes de softwares a serem instalados, dentre outras opes. A partir daqui todas as conguraes sugeridas pelo insta- 36 Figura 4: Tela Inicial de Instalao do openSUSE 11.3 lador foram aceitas no padro, com exceo das conguraes da placa de rede, onde foram denidos um endereo IP (Internet Protocol) e uma mscara de sub- rede, de acordo com gura 4. 37 Figura 5: Congurao IP openSUSE 11.3 4.1.2 Instalao do Windows Server 2008 Enterprise Assim como na instalao do openSUSE 11.3, as conguraes podem permanecer como sugeridas pelo instalador. Apenas duas excees a essa regra: Devido ao fato de possuir a certicao de instrutor ocial Microsoft (Mi- crosoft Certied Trainer) e ter acesso aos softwares e chaves dos produ- tos comercializados pela mesma, ao ser questionado pelo instalador sobre o serial foi informada uma chave original adquirida diretamente no site http://technet.microsoft.com/pt-br/subscriptions/default.aspx, voltada justa- 38 mente para criao de ambientes de testes e projetos sem a necessidade de aquisio de licenas; Nas conguraes da placa de rede foi optado por denir um endereo IP xo como mostra a gura 5, de forma que ambos os sistemas estejam na mesma rede, pois a comunicao entre as mquinas ser necessria no futuro para congurao do ambiente proposto. Figura 6: Congurao IP Windows Server 2008 Enterprise R 39 4.2 Instalaes dos Sistemas Operacionais Clientes Nessa parte, destacamos alguns pontos referentes as instalaes dos sis- temas operacionais clientes que sero usados para testes de autenticao cruzada na rede atravs do ambiente heterogneo Linux x Windows que ser implantado. Os sistemas operacionais clientes a sereminstalados sero o Windows 7 e o Ubuntu 10.04 LTS. Nessas instalaes novamente no h segredos, sendo que todas as opes padres sugeridas pelo instalador so adequadas para uso com o cenrio proposto. Da mesma forma que foi feito com o Windows Server 2008 Enterprise e o openSUSE 11.3, no momento de alterao das propriedades da placa de rede deve- se denir umendereo IP xo de forma que essas mquinas estejamna mesma rede que as instalaes dos sistemas operacionais de servidores acima mencionados. Nas conguraes das placas de rede das estaes clientes que vo se au- tenticar usando o Active Directory deve-se informar na rea especca do servidor DNS (Domain Name System) o endereo IP do servidor Windows Server 2008 En- terprise, do contrrio essas estaes no conseguiro ser inseridas no domnio do Active Directory a ser criado e o acesso aos recursos dos servidores Windows no ser permitido. Ainda nas propriedades da placa de rede, recomendvel usar um nome de computador com no mximo 15 caracteres. Isso se faz necessrio para a correta integrao e acesso entre ambientes Linux e Windows, visto que se trata de uma restrio de nomes NetBios de computadores na rede. Para hosts de outras platafor- mas que no a Microsoft o nome de host dever ser limitado a 15 caracteres [Blair, 1998]. 40 A licena para o Windows 7 assim como para o Windows Server 2008 Enterprise foi adquirida atravs do site http://technet.microsoft.com entrando com as credenciais de instrutor Microsoft. 4.3 Instalao dos Servios de Diretrio Conforme descrito no referencial terico, faz-se necessrio, aps a insta- lao dos sistemas operacionais de rede, a instalao dos servios de diretrio em ambas as plataformas, Active Directory para Windows e OpenLDAP para Linux. Segue nos prximos tpicos a documentao das instalaes desses servios. 4.3.1 Instalao do Active Directory Nesta documentao ser demonstrada a instalao do Active Directory, a implementao do protocolo LDAP da Microsoft. Nesta primeira foram instalados apenas os binrios do Active Directory, para no prximo captulo ser realizada a sua congurao. Primeiramente foi aces- sado o Server Manager e selecionada a opo Add Roles como mostra a gura 6. Na sequncia apenas foi vericado se todas recomendaes foram atendi- das. Na etapa seguinte selecionou-se a role Active Directory Domain Services e clicou-se em Next como aparece na gura 7. Os passos seguintes so apenas informativos e devem ser seguidos cli- cando em Next at chegar a tela nal de conrmao de instalao, aonde in- formado que a mesma foi realizada com sucesso, ento clica-se em close como exibido na gura 8. 41 Figura 7: Tela do Server Manager Figura 8: Selecionando a opo Active Directory Domain Services 42 Figura 9: Instalao realizada com sucesso 4.3.2 Instalao do OpenLDAP O OpenLDAP um servio de diretrio open source disponvel nas dis- tribuies Linux, como por exemplo o openSUSE 11.3. Sua instalao realizada usando-se o YasT, cujo procedimento ser de- monstrado a seguir. No servidor openSUSE 11.3, necessrio logar com o usurio root e abrir o YasT. Na tela que surge, aps selecionar o grupo software e depois gerenciamento de software, dever aparecer um assistente. No campo de pesquisa ao digitar LDAP ser exibida uma tela como mostra a gura 9 onde dever ser selecionado o pacote yast2-ldap-server e aceitas as instalaes das dependncias. necessrio clicar em aceitar para concluir. 43 Figura 10: Instalao OpenLDAP 44 5 CONFIGURAES NECESSRIAS PARAAAUTEN- TICAO CRUZADA Este captulo tem como objetivo demonstrar as conguraes necessrias para que o ambiente de autenticao cruzada possa ser implantado e opere de maneira correta e eciente. Esses procedimentos incluem: Congurao do Active Directory R ; Congurao do OpenLDAP; Conguraes dos clientes (Windows 7 R , Ubuntu 10.04 LTS); Conguraes das ferramentas adotadas (Likewise Open, pGina). 5.1 Autenticao Cruzada Cliente x Servidor (Ubuntu 10.04 LTS x Windows Server 2008 Enterprise) Nesta etapa sero dadas as diretrizes para a autenticao cruzada entre a estao cliente Ubuntu 10.04 LTS e o servidor Windows Server 2008 Enterprise R , com o servio de diretrio Active Directory R instalado. 5.1.1 Congurando o Active Directory A congurao do Active Directory requer uma srie de passos e op- es. Devido a esse motivo e para proporcionar uma melhor sequncia na leitura a documentao de sua congurao foi colocada como apndice, denominado: APNDICE A - Congurao do Active Directory. 45 5.1.2 Congurao da estao cliente Ubuntu 10.04 LTS Aps a criao e congurao do domnio no Active Directory R , temos agora que congurar o cliente Ubuntu 10.04 LTS para que o mesmo possa ingressar no domnio e usar o mecanismo de autenticao da Microsoft R , assim teremos o logon de uma mquina cliente Linux em um servidor Windows R . Antes de inserirmos o Ubuntu 10.04 LTS no domno do Active Directory R alguns pontos devem ser analisados, como: Domain Name System (DNS) Primeiramente, para ingressar o cliente Linux no domnio do Active Directory R , precisamos garantir que o mesmo seja congurado com o endereo IP do Windows Server 2008 Enterprise R como seu servidor DNS primrio, em seguida deve- mos vericar se a estao cliente Linux que desejamos ingressar no domnio est cadastrada no servio DNS com seu respectivo registro de recurso do tipo A, como mostra a gura 21. Usando a linha de comando no Ubuntu 10.04 LTS podemos vericar facil- mente se o registro dessa mquina est cadastrada no servidor de DNS, bastanto para isso emitir o comando host seguido do FQDN(Fully Qualied Domain Name) da mquina em um terminal como demonstrado a seguir: ubuntu@ubuntu: host ubuntu.interoperabilidade.com ubuntu.interoperabilidade.com has address 192.168.0.3 Outro ponto referente ao DNS a criao de uma zona reversa j que muitos servios na plataforma Linux usam esse tipo de zona para resoluo de nomes. Com o mesmo comando exibido acima podemos vericar se um registro 46 Figura 11: Registro de recurso do Ubuntu 10.04 LTS no DNS reverso foi criado no servidor de DNS bastando apenas trocar o nome d mquina pelo seu endereo IP, no nosso caso caria da seguinte forma: ubuntu@ubuntu: host 192.168.0.3 3.0.168.192.in-addr.arpa domain name pointer ubuntu.interoperabilidade.com Hostname importante garantir tambm que FQDN (Fully Qualied Domain Name) da mquina cliente que ir engressar no domnio tenha correspondncia com registro criado no servidor DNS. Essa informao armazenada no arquivo de congu- rao hostname que se encontra em /etc/hostname no Ubuntu 10.04 LTS, e deve corresponder tambm a entrada armazenada no arquivo hosts em /etc/hosts. Voc pode vericar o FQDN na mquina Ubuntu 10.04 LTS pela linha de comando us- ando o comando hostname, por exemplo: 47 ubuntu@ubuntu: hostname -f ubuntu.interoperabilidade.com Sincronizao de Tempo O protocolo Kerberos usado internamente pelo Active Directory R para a autenticao sensvel ao tempo entre os computadores que desejam ingressar no domnio. A tolerncia por padro 300 segundos de diferena entre o servidor e o cliente, no nosso caso entre o Windows Server 2008 Enterprise R e o Ubuntu 10.04 LTS. Se a mquina cliente e o servidor diverem uma diferena maior do que 5 minutos entre seus relgios a autenticao atravs do Active Directory R ir fal- har. Podemos sincronizar o cliente Ubuntu 10.04 LTS com o servidor Windows Server 2008 Enterprise R atravs do comando ntpdate seguido do IP do Windows Server 2008 Enterprise R , como segue: ubuntu@ubuntu:sudo ntpdate 192.168.0.1 14 Out 20:19:50 ntpdate[4358]: step time server 192.168.0.1 offset -1.457341 sec Uma vez que todas as condies acima foram atentidas, a mquina cliente estar pronta para ingressar no domnio do Active Directory R . Para isso iremos utilizar o software Likewise Open. 5.1.2.1 Instalando o Likewise Open A instalao bem prtica e pode ser feita tanto pela linha de comando digitando: 48 Figura 12: Instalao do Likewise Open ubuntu@ubuntu: sudo apt-get install likewise-open , ou pela interface grca seguindo o caminho Sistema > Administrao > Geren- ciador de pacotes Synaptic e no campo de pesquisa digitar Likewise Open como mostra a gura 22. Com isso ser realizado o download dos pacotes necessrios e sua instalao ir prosseguir automaticamente. 49 Figura 13: Ingressando o Ubuntu 10.04 LTS no Active Directory 5.1.2.2 Ingressando no Domnio do Active Directory Aps a instalao, podemos iniciar a ferramenta Likewise Open seguindo o caminho Sistema -> Administrao -> Active Directory Membership. A janela Active Directory Membership ser aberta aonde devemos congurar o nome da mquina e o nome do domnio que queremos ingressar como mostra a gura 23. Tambm temos a opo de selecionarmos em qual Unidade Organizacional dese- jamos adicionar a estao cliente. Por padro todas as mquinas so acopladas no continer computers. Aps preenchermos com as informaes necessrias sero solicitadas as credenciais de administrador do domnio, como exbido na gura 24. E em al- guns instantes podemos visualizar o ingresso com sucesso no domnio do Active Directory R . A constatao se a operao foi realizada com sucesso, pode ser 50 Figura 14: Tela credenciais de Administrador vericada atravs da criao do cone computador no continer computers da fer- ramenta Active Directory Users and Computers, como mostra a gura 25. 5.2 Autenticao Cruzada Cliente x Servidor (Windows 7 x openSUSE 11.3) Nesta etapa apresentaremos os passos para a autenticao cruzada entre a estao cliente Windows 7 R e o servidor openSUSE 11.3, que possui o servio de diretrio OpenLDAP instalado. 5.2.1 Congurando o OpenLDAP Primeiramente iremos realizar as conguraes no servidor Linux no que diz respeito ao servio de diretrio que foi instalado anteriormente, a saber o OpenLDAP. Iniciamos a congurao do servio de diretrio do OpenLDAP com o mdulo servidor. Neste mdulo conguramos o servidor LDAP. Para isso clique em Network Services, no menu do YaST, e depois em LDAP Server. Na tela inicial 51 Figura 15: Estao cliente Ubuntu 10.04 LTS adicionada ao Active Directory que exibida marcamos como sim a opo Start LDAP Server e selecionamos a caixa Open Port in Firewall como exibido na gura 26. clicando em Next seguimos para prxima etapa aonde devemos escolher o tipo de servidor LDAP que queremos congurar, temos trs opes: Standalone Server: Um cenrio sem replicao, onde contamos com apenas um nico servidor LDAP; Master Server: Ambientes onde temos mais de um servidor LDAP e a repli- cao acontece a partir do Master Server para o Slave Server, constituindo assim bases redundantes; Slave Server: Basicamente consiste de uma rplica de um Master Server, atuando como uma base de backup. 52 Figura 16: Tela Inicial LDAP Server Conguration Em nosso cenrio foi selecionado a opo Standalone Server, como podemos ob- servar na gura 27. Aps selecionada a opo clicamos em Next e seguimos para a tela TLS Settings, aqui no foi alterado nenhuma opo, permanecendo como se encontra por padro, apenas selecione Next e siga para a prxima tela. Em Basic Database Settings certique-se de que Database Type esteja selecionado com o tipo hdb, no campo base DN preenchemos com o nome do domnio que no nosso caso dc=INTEROPERABILIDADE, dc=COM. O campo Administrator DN deve estar como cn=Administrator e o chekbox Append Base DN marcado. Na sequncia coloque a senha LDAP no campo LDAP Administrator Password e conrme em Validate Password. Em Database Directory deixamos o caminho que foi especi- cado por padro e por ltimo marcamos a opo Use this Database as the default for OpenLDAP clients, assim todos os clientes LDAP que estabelecerem conexes 53 Figura 17: Select Server Type com esse servidor iro conectar a essa base por padro. Isso cria um servidor LDAP com a seguinte congurao como exibida na gura 28. Dando concluso ao processo teremos a tela do sumrio aonde temos um resumo de todas as opes que foram adotadas, aqui devemos revisar cada uma delas e conrmar clicando em Finish caso estejam corretas, do contrrio devemos usar o boto back e retornar at o ponto que diverge das diretrizes passadas. Com isso nalizamos a congurao do mdulo servidor. Com o mdulo servidor congurado passamos em seguida para o mdulo cliente acessando Yast > Network Services > LDAP Client. A janela LDAP Client Conguration exibida como mostra a gura 29. Aqui aonde denimos a primeira fonte de autenticao. Marcamos a caixa de seleo Use LDAP. Note que os campos Adresses of LDAP Servers e LDAP Base DN j aparecem preenchidos com seus respectivos valores. Sele- 54 Figura 18: Tela New Database Figura 19: LDAP Client Conguration 55 Figura 20: Advanced Conguration OpenLDAP cione Advanced Conguration. V na aba Administration Settings, e perceba que o campo Conguration Base DN est como na gura 30, enquanto o campo Administrator DN pode ou no estar vazio. Se estiver, preencha o Administrator DN com cn=Administrator e selecione Append Base DN e clique em ok para nalizar. Agora importante salientarmos a questo de criao de usurios e grupos no OpenLDAP e suas peculiaridades. No Linux, a cada usurio dado um User ID (UID) que o identica unicamente. Na maioria dos sistemas o usurio root tm seu UID (User ID) menor que 1000, e o primeiro usurio real o 1000. Usurios LDAP podem ser autenticados em qualquer cliente Linux. Por isso os UIDs dos usurios LDAP devem, para no correr o risco de haver conitos, comear em 10.000. Alm disso os usurios podem pertencer a mais de um grupo, cada um com seu GID (Group ID), para evitar o mesmo problema por motivos de conito. 56 Para a criao dos usurios e grupos devemos acesssar o YaST -> Secu- rity and Users -> User and Group Management e ento digitar a senha do usurio administrator. Clique no boto LDAP Options -> LDAP User and Group Con- guration, a seguir adicione um novo objeto de congurao de grupo clicando em New e digite, congurao de grupo por exemplo e clique em OK. As cong- uraes de grupo so ento mostradas. Note que o primeiro GID 1000, o que bom pois no entrar em conito com grupos comuns que na maioria dos sis- temas comeam em 100. Clique em new novamente e ento adicione um objeto de congurao de usurio chamando-o, por exemplo, de congurao de usurio, quando suas opes so mostradas note que o UID comea em 1000. Com isso temos a seguinte congurao de diretrio que contm: Uma base DN (dc=interoperabilidade,dc=com) Uma unidade organizacional ldapcong (ou=ldapcong,dc=interoperabilidade,dc=com) Os objetos de congurao dos usurios e grupos (congurao de usurio,congurao de grupo). 5.2.2 Congurao da estao cliente Windows 7 Aps a criao e congurao do domnio no OpenLDAP, temos agora que congurar a estao cliente Windows 7 R para que a mesma possa efetuar logon no servidor openSUSE 11.3 e usar o seu mecanismo de autenticao. Para autenticar um sistema Windows R em um servio de diretrio LDAP instalado em uma plataforma open source como o Linux, precisamos fazer uso de uma biblioteca denominada pGina, a qual nos da suporte para que a autenticao seja efetuada. 57 O software pGina um mdulo cujo propsito substituir de forma par- cial a biblioteca GINA (Graphical Identication and Authentication). A biblioteca GINA um mdulo que est presente na plataforma Windows R , este mdulo carregado pelo processo winlogon cando assim responsvel pelos processos de login, logout e bloqueio de tela nos sistemas operacionais. A instalao do pGina no sistema implica que este novo mdulo seja car- regado pelo processo winlogon ao invs de carregar diretamente a biblioteca GINA, padro dos sistemas Windows R . O propsito principal dessa modicao possi- bilitar que uma mquina Windows R seja capaz de realizar a autenticao atravs de um servidor LDAP em plataforma Linux. A biblioteca pGina foi concebida para funcionar atravs de mdulos. Uma vez instalada essa biblioteca, pode-se congur-la para que, no processo de login seja utilizado um mdulo para que a autenticao acontea em um servidor LDAP por exemplo, ou alternativamente em um servidor MySQL, POP3, ou qualquer outro mecanismo que possa lidar com a vericao de credenciais. 5.2.2.1 Utilizando o pGina A instalao da biblioteca pGina deve ser realizada de forma muito cuida- dosa j que, tratando-se do processo de autenticao da mquina, um erro de in- stalao, ou do prprio pGina, pode tornar a mquina inacessvel. Por esta razo, importante ter uma cpia de backup do sistema, ou a possibilidade de poder ini- ciar no modo de segurana, para poder retroceder este processo de forma que o encarregado da autenticao de usurios volte a ser o prprio GINA, o padro do sistemas Windows R . A pgina web do projeto http://www.pgina.org. Nela voc encontra os arquivos para download e a documentao dos pacotes e plugins existentes. Em 58 nosso cenrio utilizamos a verso 2.1.0 do pGina que destinada a verses mais recentes dos sistemas da Microsoft R como o caso do Windows 7 R . A instalao do mdulo pGina 2.1.0 bem simples e no requer nenhuma opo alm das selecionadas por padro para seu correto funcionamento. Uma vez instalado necessrio a adio de um plugin para que a autenticao ocorra atravs de um servidor LDAP, esse plugin denominado LDAPAuth 1.5.3 e pode ser en- contrado atravs do endereo http://www.pgina.org/index.php/Plugins:LDAP_Auth, baixe o plugin e copie ele para a pasta plugins que foi criada na instalao do pGina. Uma vez baixado e transferido para a pasta mencionada, devemos abrir o local onde a instalao foi realizada e clicarmos em congure pGina, na opo plugin, carregamos o LDAPAuth 1.5.3 como mostra a gura 31. Figura 21: Congurao pGina Ao selecionarmos a opo congure ser exibida uma janela como a apre- sentada na gura 32, onde teremos que preencher com os valores corretos para que 59 Figura 22: Congurao do Plugin a comunicao do plugin com o servidor LDAP que no nosso caso o openSUSE 11.3 ocorra sem problemas. As opes conguradas em nosso ambiente caram como segue: LDAP Server: 192.168.0.2 (IP do openSUSE 11.3) Port: 389 (Porta de comunicao usada pelo LDAP) LDAP Method: Map Mode PrePend: uid= Append: ou=people, dc=interoperabilidade, dc=com Com isso a estao cliente est preparada para ser autenticada pelo nosso servidor LDAP. A gura 33 mostra a nova janela que ser exibida no Windows 7 R para que a autenticao possa ser realizada atravs do servidor openSUSE 11.3. 60 Figura 23: Nova Tela de Logon do Windows 7 R 61 6 RESULTADOS E DISCUSSO Este captulo ir abordar os resultados alcanados no trabalho, ou seja, se a autenticao cruzada foi realizada com sucesso e qual o comportamento dos sistemas frente interoperabilidade, e em seguida as diculdades encontradas. 6.1 Autenticao Cruzada Aautenticao cruzada pode ser realizada comsucesso, tanto na plataforma Windows R com a utilizao do servio de diretrio Active Directory R e sistemas clientes Linux, quanto em servidores open source com o OpenLDAP e estaes clientes Windows R . A associao entre servidores e clientes ocorreu em nveis diferentes de in- teroperabilidade, com uma integrao maior entre o Ubuntu 10.04 LTS e Windows Server 2008 Enterprise R , em parte pela grande diferena de recursos disponveis entre Active Directory R e OpenLDAP e com isso a possibilidade de testes para aplicao de diretivas nas estaes clientes. Como exemplo de algumas diretivas conguradas no Active Directory R e que foram processadas e "entendidas"no cliente Ubuntu 10.04 LTS pode-se citar: O usurio deve alterar a senha no prximo logon; Horrios de Logon; Fazer logon em(congurao que determina emqual estao cliente o usurio pode efetuar logon); Conta desabilitada; O usurio no pode alterar a senha. 62 Figura 24: Tela com a mensagem de senha expirada Entre as diretivas citadas, uma deles merece um adendo, a "O usurio deve alterar a senha no prximo logon". Quando congura-se essa diretiva em um determinado usurio do Active Directory R e tenta-se iniciar o processo de logon na estao Ubuntu 10.04 LTS digitando usurio e senha, o mesmo primeiramente informa que sua senha expirou como exibido na gura 34. Em seguida iniciado um processo onde primeiro solicita-se que o usurio entre com a senha atual, na tela seguinte exibida a mensagem para inserir a nova senha desejada e depois conrmar novamente a mesma. Aps feito isso, a seguinte mensagem mostrada na tela "nenhuma conta de usurio disponvel"como pode- mos visualizar na gura 35. O que acontece na realidade, que o Ubuntu 10.04 LTS primeiramente envia uma diretiva ao servidor Windows Server 2008 Enterprise R e altera a senha no Active Directory R . Sendo assim, precisa-se aps esse processo entrar nova- 63 Figura 25: Tela nenhuma conta de usurio disponvel mente com as credenciais do usurio, agora j com a nova senha e efetua-se a autenticao com sucesso. Com isso, observa-se que o cliente Ubuntu 10.04 LTS usa a primeira ten- tativa de logon para na verdade realizar a troca da senha quando esta diretiva est habilitada no servidor Windows R e aps isso pode-se efetuar o logon normal- mente. A ferramenta Likewise Open utilizada neste trabalho para o ingresso de es- taes Ubuntu 10.04 LTS ao domnio do Active Directory R , demonstrou-se bas- tante prtica e eciente, alcanando de forma rpida e objetiva o seu propsito. Diferentemente do software pGina, o Likewise Open no mantem um cache das credenciais dos usurios. Assim, a alterao de uma senha no servio de diretrio tem efeito imediato no logon seguinte. 64 importante resaltar tambm que as contas de usurios e grupos cria- dos no Active Directory R e utilizados para efetuar logon em estaes clientes Linux, no possuem os atributos que por padro estariam presentes em uma conta criada nessa plataforma. Para contornar tal fato e estender o schema do Active Directory R para que o mesmo suporte tais caractersticas e assim esteja em con- formidade com a RFC 2307, a qual dene quais atributos LDAP so necessrios para sistemas Unix e Unix-like, como o Ubuntu 10.04 LTS, deve-se instalar o re- curso presente no Windows Server 2008 Enterprise R , denominado Identity Man- agement for UNIX. Com isso pode-se observar uma maior integrao entre os objetos criados no Active Directory R e seu posterior uso no Ubuntu 10.04 LTS, uma vez que atrib- utos Unix passam agora a fazer parte das classes de usurios e grupos presentes no Active Directory R . A gura 36 exibe a forma como deve-se entrar com as in- formaes para realizar a autenticao entre a estao cliente Ubuntu 10.04 e o servidor Windows Server 2008 Enterprise R . No campo nome do usurio deve-se inserir primeiro o nome do domnio seguido de uma barra invertida e o nome do usurio a ser utilizado. 65 Figura 26: Autenticando no Domnio Da mesma forma, a autenticao entre o servidor Linux openSUSE 11.3 e a estao cliente Windows 7 R no servio de diretrio do OpenLDAP, aconteceu de forma satisfatria e eciente, tendo alguns pontos de diculdades como: Falta de documentao sobre o assunto e direcionamento para resoluao de problemas. Conhecimento de ambas as plataformas (Windows/Linux) para a congu- rao correta do ambiente. Diculdades na congurao adequada tanto do software pGina quanto no plugin LDAPAuth 1.5.3, pois fontes distintas no possuiam um consenso sobre os parametros a serem setados. Congurao do servio de diretrio OpenLDAP. 66 Figura 27: Estao cliente Windows autenticada no OpenLDAP Ao longo do tempo essas diculdades foram sendo sanadas com consultas a livros, monograas e artigos da rea. A ferramente pGina 2.0 juntamente com o plugin LDAPAuth 1.5.3 permite uma srie de conguraes nas contas de usurios, o que permite tambm uma exibilidade maior em escolher e denir o ambiente de trabalho, dando assim maior liberdade ao utilizador. A gura 37 exibi a tela da estao cliente Windows 7 R aps ter sido autenticado com uma conta Linux criada no OpenLDAP e as diversas opes de conguraes do software pGina 2.0. 67 7 CONCLUSES E TRABALHOS FUTUROS 7.1 Concluses Aimplementao de umambiente de rede heterogneo comas plataformas Windows e Linux para a autenticao cruzada demonstrou-se extremamente vivel e benca. Como primeiro resultado teve-se a gerao de uma documentao onde diretrizes e ressalvas esto documentadas como forma de orientar futuros leitores que tenham a necessidade de implementar um ambiente misto e precisem de orientaes para alcanar tais objetivos. A autenticao cruzada entre as estaes clientes (Ubuntu 10.04 LTS, Win- dows 7 R ) e os servidores (Windows Server 2008 Enterprise R , openSUSE 11.3) foi realizada com sucesso, e com isso tem-se novas potencialidades que podem ser exploradas como, centralizar a autenticao das estaes de trabalho independente do sistema operacional cliente adotado, Linux ou Windows. Isso gera uma srie de benefcios como: Reduo no nmero de senhas para gerenciar e administrar. Pesquisas in- dicam que 35% das chamadas ao helpdesk so para resetar senhas, au- mentando os custos da organizao de TI na medida em que o nmero de repositrios de usurios cresce. Uma grande organizao tem mais de vinte repositrios de usurios, resultando numa mdia de mais de cinco pares de logins e senhas por usurio nal caso as integraes no estejam congu- radas; Possibilidade de um ponto nico de manipulao dos objetos que servem a diversos sistemas, plataformas ou ambientes. Esse ponto central pode ser tanto um servidor Windows com o servio de diretrio do Active Directory, ou um servidor Linux com o OpenLDAP. 68 Ambientes integrados requerem um nmero menor de servidores, diminu- indo por conseqncia a necessidade de aquisio de novas licenas, reali- zao de conguraes e manuteno; A integrao proposta mantm na rede da empresa a soluo do servio de diretrio do Active Directory, que j foi um investimento absorvido pela empresa, visto que o servio de diretrio da Microsoft o lder de instalaes no mercado. A soluo congurada mantm esse legado da empresa; A integrao permite ao administrador a exibilidade do uso de qualquer plataforma tanto para servidores quanto para estaes de trabalho, aumen- tando assim as solues possveis de serem instaladas na empresa, dando maior exibilidade ao ambiente. Em linhas gerais, o desenvolvimento do trabalho e as pesquisas na rea de interoperabilidade demonstram que a opo por solues em plataforma livre gera um custo menor devido a no aquisies de licenas, que pode chegar a zero, mas por outro lado temos um custo de mo de obra na instalao e congurao desse sistema, uma vez que h uma escassez maior de prossionais especialistas. J para a plataforma proprietria pode-se considerar o inverso. Com isso, concludo o objetivo do trabalho gera-se um leque maior de opes, onde possveis solues de problemas na rea de gerenciamento de identi- dades podem agora ser analisadas com uma viso maior levando em conta ambas as plataformas, Window R e Linux. 7.2 Trabalhos Futuros Como trabalho futuro pode-se apontar a criao de um mecanismo de replicao entre as bases do servidor LDAP no Linux com o servio de diretrio 69 Figura 28: Sincronizao entre Active Directory e OpenLDAP da Microsoft R o Active Directory R . Assim torna-se possvel a sincronizao de senhas, usurios e grupos, e com isso uma maior integrao e interoperabilidade entre a plataforma proprietria e open source. Introduzindo um ambiente com tolerncia a falhas onde ambos servidores podero responder a pedidos de autenti- cao e suas bases estaro consistentes devido replicao. A gura 38 exibi uma possvel topologia para esse cenrio. 8 REFERNCIAS BATTISTI, J. Windows Server 2003 Curso Completo. 1. ed. 2003. 1568 p. Axcel Books. BLAIR, J. D. SAMBA: Integrating UNIX and Windows. 1. ed. 1998. 298 p. BOSQUE, L.; MACEDO, G. Active Directory e OpenLdap handbook Disponvel em: http://ndos.codeplex.com. Acesso em: 20 set. 2010. COOMBS, K. An Introduction to LDAP: Part 1-LDAP Primer. Dispo- nvel em http://www.novell.com/coolsolutions/feature/15359.html. Consul- tado em 01/10/2010. DESMOND, B.; RICHARDS, J.; ALLEN, R.; NORRIS, A. G. L. Design- ing, Deploying, and Running Active Directory. 4. ed. 2009. 791 p. FIGUEIREDO, A. Integrando Windows NT e UNIX. Disponvel em http://www.revista.unicamp.br/infotec/admsis/admsis2-1.html#ref1. Consul- tado em 01/09/2010. GEYER, C.; KELLERMANN, G. A.; SILVELLO, J. C. Manual OpenL- DAP. Disponvel em http://www.inf.ufrgs.br/gppd/disc/inf01008/trabalhos/ sem01-1/t1/openldap/. Consultado em 10/09/2010. GOMES, C. L.; ARRUDA, F. M. J.; WATTER, L. H.; SZTOLTZ, L; TEIX- ERA, R. S. Guia do Servidor da Conectiva, Editora Conectiva SA. 2001. JUNIOR, C. H. F. G. GERI Gerenciamento de Identidade Monograa (Graduao em Sistemas de Informao) - Faculdade Salesiana Maria Aux- iliadora, Maca, 2009. 71 KOUTSONIKOLA, V.; VAKALI, A. LDAP: Framework, Practices, and Trends. IEEE Internet Computing, v. 8, n. 5, p. 66-72, 2004. LAUREANO, M. A. P. Uma Abordagem para a Proteo de Detectores de Intruso Baseada em Mquinas Virtuais. Ph. D. Thesis, Pontifcia Universidade Catlica do Paran, 2004. MACHADO, E. S.; JUNIOR, F. S. M. Autenticao Integrada Baseada em Servio de Diretrio LDAP Monograa (Graduao em Sistemas de Informao) - Universidade de So Paulo, So Paulo, 2006. MINASI, M. Dominando O Windows Server 2003 - A Biblia. 1. ed. 2003. 1408 p. MEIRELLES, F. S. 21 a Mercado Brasileiro de Informtica e Uso nas Em- presas. 21 a Pesquisa Anual da FGV-EAESP-CIA, So Paulo, maio 2010. Disponvel em: <http://www.eaesp.fgvsp.br/subportais/interna/relacionad/ GVciaPesqResumoNoticias2010.pdf>. Acesso em: 19 ago. 2009. MICROSOFT, C. Introduo infra-estrutura do Active Directory. 1. ed. 2003. 44 p. NAGUEL, F. F.; FERNANDES, E. C. LDAP - Lightweight Directory Ac- cess Protocol PEREIRA, E. D. V. Integrao dos Sistemas Operativos Windows e Linux Anlise e Descrio dos Mecanismos de Integrao. Monograa (Bacharel em Engenharia de Sistemas e Informtica) - Universidade Jean Piaget de Cabo Verde, Cabo Verde, 2005. 72 POPEK, G. J.; GOLDBERG, R. P. Formal requirements for virtualizable third generation architectures. Communications of the ACM, v. 17, n. 7, p. 412, julho 1974. QUERINO, F. S.; JUNIOR, H. S. F. Autenticao distribuda de sistemas hbridos e servios de rede baseadas em servios de directrios Dispo- nvel em: https://www.redes.unb.br/PFG.202004.pdf. Acesso em: 19 ago. 2009. REINHARDT, A.; MELLO, D.; MARTINS, F.; MACHADO, M.Gerenciamen to Integrado de Identidade em Ambientes Corporativos, s.d.. Disponvel emhttp://www.inf.unisinos.br/ paschoal/arqs_gerencia_redes/trabs/grad/Apres Ger_Identidade.pdf. Consultado em 01/09/2010. RIGOLETO, F. Implementao de Ambientes Mistos Linux Windows para Compartilhamento de Recursos e Autenticao de Usurios Mono- graa (Graduao em Anlise de Sistemas) - Universidade So Francisco, Itatiba, 2006. SENA, C. LDAP Um Guia Prtico. 1. ed. 2005. 168 p. SHERESH, B.; SHERESH, D. Understanding Directory Services. 2. ed. 2002. 567 p. SMITH, M. C.; HOWES, T. A.; GOOD, G. S. Understanding and Deploy- ing LDAP Directory Services.. 2. ed. 2004. WILKINS, D.; DONALD, C.; MICHAEL, N. Windows Interoperability With Linux in the Enterprise (WINWILE): A Solution to the High Cost of Licensing, Downtime, and Security Problems. Journal of Computing Sciences in Colleges, v. 20, n. 2, p. 260-266, 2004. 73 ZAMBALDE, A. L.; PADUA, C.I.P.S.; ALVES, R. M. O documento cien- tco em Cincia da Computao e Sistemas de Informao. Lavras, Minas Gerais, Departamento de Cincia da Computao, UFLA, 2008. 74 p. 74 APNDICES APNDICE A - Congurao do Active Directory Inicialmente ser demonstrada a congurao do Active Directory no servidor Windows Server 2008 Enterprise instalado anteriormente. Para que o Active Directory possa ser congurado corretamente o servio de DNS (Domain Name System) para resoluo de nomes deve es- tar disponvel na rede ou ento deve-se congur-lo durante a criao do domnio, do contrrio o servio de diretrio da Microsoft no funcionar adequadamente. Para iniciar o processo de congurao obrigatoriamente deve-se efetuar o logon no Windows Server 2008 Enterprise com as credenciais de administrador. Em seguida seleciona-se o menu start e a opo run. Na tela que se abre digita-se o comando dcpromo e pressiona-se enter. Ser ento carregado o Active Directory Domain Service Installation Wizard conforme mostra a gura 10 onde h uma breve explicao sobre a instalao do Active Directory. Para dar continuidade clica-se em Next e segue-se para a prxima etapa. Na tela Operating System Compatibility exibido um alerta sobre o novo padro de segurana do Windows Server 2008, o qual informa que ele poder causar um impacto em clientes Windows NT 4.0, clientes no Microsoft e dispositivos NAS (Network Attached Storage) que no supor- tam algoritmo de criptograa forte. Caso esteja sendo instalando em um ambiente de produo preciso avaliar os impactos antes de prosseguir, ve- ricando se possui alguns dos dispositivos mencionados. Na sequncia ser carregada a janela conforme mostra a gura 11. 75 Figura 29: Tela inicial de Congurao do Active Directory R Figura 30: Choose a Deployment Conguration 76 Figura 31: Tela Name the Forest Root Domain Em Choose a Deployment Conguration h a opo de criar um Domain Controller para uma oresta existente (Existing forest) ou criar um novo Domain Controller para uma nova oresta (Create a new domain in a newforest). Como no cenrio utilizado est sendo criado o primeiro domnio da oresta, denominado INTEROPERABILIDADE.COM, necessrio se- lecionar a opo Create a newdomain in a newforest e seguir para a prxima etapa. A janela conforme mostra a gura 12 ser exibida. Nesta etapa, denominada Name the Forest Root Domain, denido o nome do domnio raiz da oresta. Esse nome tambm ser o nome da oresta. Ao digitar um nome FQDN (Fully Qualied Name), como por exemplo, INTEROPERABILIDADE.COM e em seguida clicado em Next, ser carregada a janela conforme mostra a gura 13. A tela Set Forest Functional Level permite selecionar o nvel fun- cional da oresta. O nvel funcional da oresta ir fornecer os recursos disponveis conforme o nvel selecionado, por exemplo, se for selecionado 77 Figura 32: Tela Set Forest Functional Level o nvel funcional Windows 2000 ter compatibilidade com Domain Con- trollers comWindows 2000, pormalguns novos recursos do Windows Server 2008 Entreprise no estaro disponveis. Os nveis de orestas disponveis so: Windows 2000 Windows Server 2003 Windows Server 2008 No exemplo apresentado ser selecionado o nvel de oresta Win- dows Server 2008 para que se tenha todas as funcionalidades mais recentes disponveis e no haver limitao de no ingresso de sistemas legados (Win- dows server 2000/2003) no domnio, pois em nosso cenrio no se faz ne- cessrio. Aps selecionar o nvel da oresta e clicar em Next, ser carregada a janela conforme mostra a gura 14. 78 Figura 33: Tela Set Domain Functional Level Na opo Set Domain Functional Level necessrio selecionar o nvel funcional do domnio. O nvel funcional da oresta congurado ante- riormente engloba vrios domnios dentro de uma mesma oresta, j o nvel funcional de domnio ir fornecer os recursos disponveis somente a esse domnio congurado em especco. Os nveis de domnio so: Windows 2000 Windows Server 2003 Windows Server 2008 Para o ambiente utilizado neste trabalho foi selecionado o nvel do domnio Windows Server 2008. Selecionando-se o nvel do domnio e em seguida clicando em Next ser carregada a janela conforme mostra a gura 15. A tela Additional Domain Controller Options permite incluir op- es adicionais no Domain Controller. Ao instalar o primeiro Domain Con- 79 Figura 34: Tela Additional Domain Controller Options troller da oresta o assistente de instalao automaticamente seleciona a opo Glogal Catalog, permitindo assim que esse Domain Controller atue como repositrio central para todos os objetos de todos os domnios dessa oresta. O Glogal Catalog tem a funo de armazenar todos os objetos dos domnios de uma mesma oresta, atuando como um local central para realizar pesquisas sobre esses mesmos objetos. O assistente recomenda que o servio de DNS seja instalado, como comentado anteriormente extremamente recomendvel instalar o servio de resoluo de nomes (DNS) ao congurar o Active Directory, uma vez que ao adotar essa abordagem todos os registros de recursos necessrios ao correto funcionamento do Active Directory sero criados automaticamente no DNS. No ambiente utilizado ser instalado o servio de DNS nesse Do- main Controller. necessrio escolher a opo e em seguida clicar em Next. Se houver um ou mais adaptadores de rede que recebe o endereo IP 80 Figura 35: Tela Alerta Congurao IP dinamicamente ou se tiver somente um adaptador congurado com IPv4 e IPv6, em que um deles receba o endereo IP dinamicamente, provavelmente ser exibido um alerta conforme mostra a gura 16. A opo No, I will assign static IP addresses to all physical network adapters deve ser selecionada acessando o Control Panel e seguido pelo Net- work and Sharing Center. Em Tasks na opo Manage network connections deve ser selecionado Local Area Connection e em seguida Properties, onde o Internet Protocol Version 6 (TCP/IPv6) deve ser desmarcado. Em Additional Domain Controller Options escolhendo-se Next para continuar, ser exibido um alerta informando que a delegao para o DNS no pode ser criada como mostra a gura 17. Isso ocorre devido a ainda no existir uma zona de DNS criada no servidor, para que isso no ocorresse, uma zona direta de nome INTEROPERABILIDADE.COM teria que ser cri- ada previamente no servidor de DNS, no exibindo assim essa mensagem. Neste caso essa mensagem pode ser ignorada, porque o servio de DNS ainda no est instalado e congurado no Domain Controller, o qual ser feito pelo assistente de instalao do Active Directory automaticamente. Ser carregada ento a janela conforme mostra a gura 18. 81 Figura 36: Tela Delegao para o DNS Figura 37: Tela Location for Database, Log Files, and SYSVOL 82 Figura 38: Directory Services Restore Mode Administrator Password Em Location for Database, Log Files, and SYSVOL deni-se onde ser armazenado o banco de dados do Active Directory, os arquivos de log e a pasta SYSVOL. Como boa prtica para uma performance melhor recomenda-se colocar tais arquivos em discos separados. Neste ambiente tem-se somente um volume, portanto deixa-se o caminho padro e em se- guida siga para a prxima etapa. A janela conforme mostra a gura 19 ser carregada. Em Directory Services Restore Mode Administrator Password entre com uma senha, a qual ser utilizada quando esse Domain Controller for iniciado em Restore Mode, ou seja quando for necessrio realizar algum reparo ou recuperao no Active Directory obrigatrio que se entre com a senha setada neste passo. Dando sequncia tem-se o Summary onde visualiza-se todas as op- es escolhidas com o assistente de instalao.Onde tambm se encontra a opo de exportar as conguraes para serem utilizadas em um arquivo de 83 Figura 39: Termino da Congurao resposta em uma futura instalao, sendo necessrio somente clicar no boto Export settings e salvar o arquivo em um local seguro. Nesse momento o assistente de instalao do Active Directory ir instalar e congurar o servio de DNS, o prprio Active Directory e todas as demais opes selecionadas e necessrias. Espere at o termino da insta- lao. Quando for exibida a tela conforme a gura 20 a congurao ter sido completada com xito.