Você está na página 1de 84

JACKSON RIBEIRO DE SOUZA

AUTENTICAO CRUZADA EM AMBIENTES


HETEROGNEOS (WINDOWS X LINUX)
LAVRAS - MG
2010
JACKSON RIBEIRO DE SOUZA
AUTENTICAO CRUZADA EM AMBIENTES HETEROGNEOS
(WINDOWS X LINUX)
Monograa apresentada ao Colegiado do
Curso de Cincia da Computao, para a
obteno do ttulo de Bacharel em Cin-
cia da Computao.
Orientador
Prof. PhD Luiz Henrique Andrade Correia
LAVRAS - MG
2010
JACKSON RIBEIRO DE SOUZA
AUTENTICAO CRUZADA EM AMBIENTES HETEROGNEOS
(WINDOWS X LINUX)
Monograa apresentada ao Colegiado do
Curso de Cincia da Computao, para a
obteno do ttulo de Bacharel em Cin-
cia da Computao.
Aprovada em 16 de Novembro de 2010
Prof
a
. Dr
a
. Marluce Rodrigues Pereira
Prof. MSc. Eric Fernandes de Mello Arajo
Prof. PhD Luiz Henrique Andrade Correia
Orientador
LAVRAS - MG
2010
Dedico esta monograa ao meu maior amigo, companheiro e exemplo...Deus,
que sempre com seu amor, compreenso e justia, me manteve em seu caminho,
me mostrando sempre quais deveriam ser os prximos passos mesmo quando as
innitas opes tentavam me confundir.
AGRADECIMENTOS
Agradeo todos que me ajudaram, diretamente ou indiretamente na
concluso desse trabalho, pois estes tiveram a pacincia de me aguen-
tar em momentos que nem eu mesmo me suportava.
Agradeo ao meu orientador, Prof. Dr. Luiz Henrique de Andrade
Correia pelos conselhos, correes e ajuda imprescindvel neste tra-
balho.
Agradeo tambm a minha me, Adagilza Chagas Ribeiro, mulher es-
pecial em minha vida que foi fundamental para que hoje alcanasse
meus objetivos e me tornasse uma pessoa melhor.
E em especial a uma pessoa que com poucas palavras e atitudes me
mostrou que a vida vai muito alm do que os olhos podem ver, Elayne
Cristina Ramos Hoffmann.
Por m, aos colegas e amigos que, mesmo sem saber me ajudaram
muito.
RESUMO
Este trabalho tem por objetivo a implementao de um ambiente de rede
heterogneo interopervel, onde estaes clientes estaro habilitadas a realizarem
a vericao de credenciais atravs de servidores em plataformas distintas, pro-
movendo assim a autenticao cruzada. Para alcanar tal objetivo foi implemen-
tado um servidor em plataforma Linux (openSUSE 11.3) e outro Microsoft R (Win-
dows Server 2008 Enterprise R ), proporcionando assim uma vertente open source
e outra proprietria, para a anlise da viabilidade e vantagens da integrao pro-
posta.
Palavras-chave: Active Directory. Autenticao Cruzada. Interoperabilidade. LDAP.
OpenLDAP.
ABSTRACT
This paper aims to implement an interoperable heterogeneous network en-
vironments, where client stations will enable to obtain the authentication servers
using different platforms, thus promoting the cross-authentication. To achieve this
goal was implemented a Linux (openSUSE 11.3) and other Microsoft R (Windows
R Server 2008 Enterprise), thus providing an open source component and the
other owner, to the feasibility and advantages of the proposed integration.
Keywords: Active Directory. Cross-Authentication. Interoperability. LDAP. OpenLDAP.
LISTA DE FIGURAS
Figura 1 Grco evoluo 2006/2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Figura 2 rvore de Diretrio (COOMBS, 2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Figura 3 Switch Virtual e ligaes entre as mquinas virtualizadas . . . . . . . . . . 34
Figura 4 Tela Inicial de Instalao do openSUSE 11.3. . . . . . . . . . . . . . . . . . . . . . . . 36
Figura 5 Congurao IP openSUSE 11.3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Figura 6 Congurao IP Windows Server 2008 Enterprise R . . . . . . . . . . . . . . . 38
Figura 7 Tela do Server Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Figura 8 Selecionando a opo Active Directory Domain Services . . . . . . . . . . 41
Figura 9 Instalao realizada com sucesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Figura 10 Instalao OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Figura 11 Registro de recurso do Ubuntu 10.04 LTS no DNS . . . . . . . . . . . . . . . . . 46
Figura 12 Instalao do Likewise Open . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Figura 13 Ingressando o Ubuntu 10.04 LTS no Active Directory . . . . . . . . . . . . . . 49
Figura 14 Tela credenciais de Administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Figura 15 Estao cliente Ubuntu 10.04 LTS adicionada ao Active
Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Figura 16 Tela Inicial LDAP Server Conguration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Figura 17 Select Server Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Figura 18 Tela New Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Figura 19 LDAP Client Conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Figura 20 Advanced Conguration OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Figura 21 Congurao pGina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Figura 22 Congurao do Plugin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Figura 23 Nova Tela de Logon do Windows 7 R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Figura 24 Tela com a mensagem de senha expirada . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Figura 25 Tela nenhuma conta de usurio disponvel . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Figura 26 Autenticando no Domnio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Figura 27 Estao cliente Windows autenticada no OpenLDAP. . . . . . . . . . . . . . . 66
Figura 28 Sincronizao entre Active Directory e OpenLDAP . . . . . . . . . . . . . . . . 69
Figura 29 Tela inicial de Congurao do Active Directory R . . . . . . . . . . . . . . . . . 75
Figura 30 Choose a Deployment Conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Figura 31 Tela Name the Forest Root Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Figura 32 Tela Set Forest Functional Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Figura 33 Tela Set Domain Functional Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Figura 34 Tela Additional Domain Controller Options. . . . . . . . . . . . . . . . . . . . . . . . . 79
Figura 35 Tela Alerta Congurao IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Figura 36 Tela Delegao para o DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Figura 37 Tela Location for Database, Log Files, and SYSVOL . . . . . . . . . . . . . . . 81
Figura 38 Directory Services Restore Mode Administrator Password . . . . . . . . . 82
Figura 39 Termino da Congurao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
SUMRIO
1 INTRODUO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.1 Contextualizao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.2 Motivao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.3 Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4 Estrutura do Trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2 REFERENCIAL TERICO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.1 Conceitos Fundamentais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.1.1 Domnio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.1.2 Diretrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.1.3 Servio de Diretrio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.2 O protocolo LDAP (Lightweight Directory Access Protocol) . . . . . . 22
2.3 Implementaes do Protocolo LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.3.1 OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.3.2 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.4 Virtualizao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.5 Literatura Relacionada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.5.1 Trabalhos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3 METODOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.1 Tipo de Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.2 Procedimentos Metodolgicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.2.1 Etapas da Pesquisa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.3 Ambiente Computacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.3.1 Sistemas Operacionais Clientes e Servidores . . . . . . . . . . . . . . . . . . . . . . 31
3.3.2 Servios de Diretrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.3.3 Ferramentas para a Autenticao Cruzada. . . . . . . . . . . . . . . . . . . . . . . . 32
3.3.4 Topologia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4 DOCUMENTAO DAS INSTALAES DOS SISTEMAS
E FERRAMENTAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.1 Instalao dos Sistemas Operacionais Servidores . . . . . . . . . . . . . . . . . 35
4.1.1 Instalao do openSUSE 11.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.1.2 Instalao do Windows Server 2008 Enterprise . . . . . . . . . . . . . . . . . . . 37
4.2 Instalaes dos Sistemas Operacionais Clientes . . . . . . . . . . . . . . . . . . . 39
4.3 Instalao dos Servios de Diretrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3.1 Instalao do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3.2 Instalao do OpenLDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5 CONFIGURAES NECESSRIAS PARAAAUTENTICAO
CRUZADA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.1 Autenticao Cruzada Cliente x Servidor (Ubuntu 10.04 LTS
x Windows Server 2008 Enterprise) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.1.1 Congurando o Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.1.2 Congurao da estao cliente Ubuntu 10.04 LTS . . . . . . . . . . . . . . . 45
5.1.2.1 Instalando o Likewise Open . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.1.2.2 Ingressando no Domnio do Active Directory. . . . . . . . . . . . . . . . . . . . . . . 49
5.2 Autenticao Cruzada Cliente x Servidor (Windows 7 x open-
SUSE 11.3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.2.1 Congurando o OpenLDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.2.2 Congurao da estao cliente Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . 56
5.2.2.1 Utilizando o pGina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6 RESULTADOS E DISCUSSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
6.1 Autenticao Cruzada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
7 CONCLUSES E TRABALHOS FUTUROS . . . . . . . . . . . . . . . . . . . . . 67
7.1 Concluses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
7.2 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
8 REFERNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
11
1 INTRODUO
1.1 Contextualizao
O alto custo na adoo de uma plataforma que seja totalmente proprietria
para a estruturao de um ambiente de TI (Tecnologia da Informao) um pro-
blema permanente e que tem se tornado um grande desao para muitas organiza-
es. Em particular podemos destacar as pequenas, onde em sua maioria possuem
oramentos e recursos limitados. Muitas dessas organizaes acabam por adotar
medidas de conteno de gastos levando servios e departamentos de TI a sofre-
rem dcits em resposta a este problema. Como conseqncia, elas so muitas
vezes limitadas a tecnologias mais antigas e at mesmo a verses obsoletas do
software, devido ao alto custo de atualizaes constantes e aquisies de novas
licenas (WILKINS; COLE; NELSON, 2004).
A conabilidade dos sistemas atuais tambm se tornou uma questo im-
portante e preocupante devido ao grande crescimento das redes de computadores
locais e da internet. Em decorrncia de tal fato temos como conseqncia uma
disseminao de vrus cada vez mais acelerada e dinmica em um mbito global,
colocando em risco diariamente todos os processos organizacionais que rodam so-
bre a infraestrutura de TI. Assim temos um ambiente onde empresas esto cada
vez mais preocupadas com a segurana de seus sistemas e proteo de seus dados.
Todo esse cenrio, aliado crescente popularizao dos sistemas opera-
cionais open source, tem elevado o nmero de empresas interessadas na adoo
dos servios baseados nesta plataforma. Em parte devido principalmente a fatores
como: segurana, disponibilidade e tambm ao baixo custo de implementao e
licenciamento. Com isso nos deparamos cada vez mais com uma mudana na
estruturao dos Data Centers atuais. Atualmente no encontramos mais um am-
12
biente homogneo e com predominncia de uma nica tecnologia, mas sim uma
diversicao de plataformas aonde software proprietrio e software livre se jun-
tam em um mesmo cenrio (RIGOLETO, 2006). Na perspectiva de Figueiredo
(1999), grande parte das organizaes acabam por adotar mltiplas plataformas
em seus ambientes de TI devido a razes histricas e pragmticas. Tendo como
intuito, atender as suas diversas necessidades as quais no podem ser sanadas com
apenas uma nica tecnologia.
Entretanto, novos desaos so gerados ao se unir tecnologias distintas em
um mesmo ambiente, um desses desaos continuar provendo de forma eciente
e segura a autenticao e acesso a rede atravs dos servios de diretrio para os
diferentes tipos de sistemas operacionais clientes. Atualmente, as grandes em-
presas possuem uma gama diversicada de plataformas, onde cada uma possui
seu prprio gerenciamento de usurios. Essa descentralizao gera uma demanda
enorme aos responsveis pela administrao dos objetos de diretrio (contas de
usurios, contas de computador, diretivas de segurana). E com essa arquitetura
de controle baseada em banco de dados distribudos acaba por criar desaos como,
replicao e consistncia nas mltiplas bases de diretrios, aumentando tambm
assim a exposio a ataques e falhas de segurana (JUNIOR, 2009).
De acordo com Reinhardt et al. (2009), com o aumento das redes de
computadores e as constantes mudanas e evolues, o gerenciamento de identi-
dade torna-se cada vez mais complexo. Uma organizao no pode esperar um
longo perodo para que um determinado empregado consiga se autenticar na rede
e obter acesso a uma determinada aplicao. As exigncias de produtividade dos
ambientes corporativos exigem que o acesso do usurio aos recursos da rede seja
imediata e satisfatria, no prejudicando assim seu desempenho.
13
Porm, mais do que implementar diferentes plataformas nas redes de com-
putadores contemporneas, existe hoje uma alta necessidade de integrao desses
novos sistemas open source com as tecnologias proprietrias j utilizadas, per-
mitindo assim que os servios oferecidos pelos mesmos continuem operando de
forma ininterrupta e consistente. Em especial destacamos o servio de diretrio,
pois atravs desse poderoso recurso que provemos de forma centralizada e segura
todo o gerenciamento e autenticao dos usurios corporativos.
Existem alguns mecanismos que permitem tal gerenciamento e autenti-
cao em ambientes mistos, em particular o LDAP (Lightweight Directory Ac-
cess Protocol) merece destaque. O foco principal deste trabalho apresentar este
protocolo, procurando analisar e descrever duas de suas implementaes, Active
Directory R e OpenLDAP, tendo como foco a interoperabilidade atravs da auten-
ticao cruzada.
1.2 Motivao
De acordo com pesquisa realizada pela Fundao Getlio Vargas, foi cons-
tatado que nos Data Centers atuais 12% dos servidores so Unix, 20% Linux,
66% Windows e 2% outros. Isso mostra a grande heterogeneidade das redes de
computadores contemporneas e que h um grande desao a ser vencido no ge-
renciamento de identidade entre essas plataformas distintas. A autenticao entre
sistemas proprietrios e de cdigo aberto j uma realidade no meio empresa-
rial. Devido a esse cenrio, e as inmeras mudanas no mundo dinmico da TI
com foco cada vez maior em interoperabilidade, se faz necessrio uma maior ex-
planao e pesquisa sobre a capacidade de tecnologias distintas coexistirem no
mesmo ambiente, provendo a autenticao cruzada de forma harmoniosa e mais
do que isso, produtiva (MEIRELLES, 2010).
14
1.3 Objetivo
Este trabalho tem por objetivo a implementao de um ambiente de rede
heterogneo e interopervel atravs da autenticao cruzada, utilizando para isso
ferramentas que estejam disponveis nas plataformas adotadas e que permitam a
comunicao entre os sistemas. Este ambiente tem como propsito que usurios de
estaes clientes Linux ou Windows possam ser autenticados usando o protocolo
LDAP, tanto no servio de diretrio da Microsoft, o Active Directory R , quanto em
sua verso livre, o OpenLDAP, de forma que estes possam usufruir das potencia-
lidades de ambas as tecnologias, garantido assim maior segurana e versatilidade
no acesso s informaes.
Figura 1: Grco evoluo 2006/2010
1.4 Estrutura do Trabalho
Para possibilitar uma melhor organizao do trabalho, o mesmo foi divi-
dido em 7 captulos. O resumo que se segue dever assim permitir uma leitura r-
pida, facilitando a escolha do tema que mais suscite dvidas ao leitor, permitindo-
15
lhe deste modo concentrar-se nas questes que considere mais importantes. O
captulo 2 apresenta o referencial terico, mostrando os principais conceitos ne-
cessrios para um melhor entendimento e explanao sobre o assunto, deline-
ando assim uma base slida para a construo da interoperabilidade proposta. A
metodologia utilizada neste trabalho apresentada no captulo 3, juntamente com
informaes sobre o ambiente computacional utilizado. No captulo 4 tem-se o in-
cio da parte prtica, onde encontra-se a documentao das instalaes dos sistemas
adotados e das ferramentas necessrias para cumprimento dos objetivos. Esta parte
foi estruturada em forma de tutoriais para facilitar a sua reproduo em qualquer
ambiente posteriormente. Ainda dando prosseguimento parte prtica, no cap-
tulo 5 so documentados os procedimentos e conguraes necessrias para a in-
teroperabilidade entre as plataformas atravs da autenticao cruzada com Active
Directory R e OpenLDAP. No captulo 6 temos os resultados e discusso, onde
analisamos a viabilidade do projeto e suas diculdades. O Captulo 7 naliza
apresentando a concluso e trazendo sugestes para trabalhos futuros.
16
2 REFERENCIAL TERICO
Para uma melhor compreenso do trabalho apresenta-se neste captulo os
conceitos e ferramentas necessrias para a implementao e desenvolvimento do
ambiente de autenticao cruzada proposto.
2.1 Conceitos Fundamentais
2.1.1 Domnio
Podemos denir um domnio como um limite administrativo e de segu-
rana. Administrativo, pois as contas que possuem tais privilgios tm permisses
de acesso em todos os recursos do domnio ao qual esto inseridas, mas no em
recursos de outros domnios, ou seja, o domnio quem dene as fronteiras de
permisses (BATTISTI, 2003).
J a caracterizao como um limite de segurana se d pelo fato de que
cada domnio em particular tem suas denies de polticas de segurana que se
aplicam s contas de usurios e demais recursos dentro do domnio e no a outros
domnios. Assim, diferentes domnios podem ter diferentes polticas e congu-
raes de segurana. Por exemplo, no domnio A, posso ter uma poltica de segu-
rana que dene um tamanho mnimo de senha como 8 caracteres. Esta poltica
ser vlida para todas as contas de usurio do domnio A. Um segundo domnio B,
pode ter uma poltica de segurana diferente, a qual dene um tamanho mnimo de
senha de 12 caracteres. Esta poltica ser vlida somente para as contas de usurios
do domnio B (BATTISTI, 2003).
O conjunto de contas de computadores e de usurios cadastrados de forma
centralizada em um banco de dados compartilhado por toda a rede tambm uma
das formas de denirmos um domnio. Por contas de usurios e computadores
17
entende-se ser o nome e a senha dos mesmos, credenciais necessrias para que
possam acessar os recursos da rede, ou seja, o domnio ao qual pertenam.
Em se tratando de domnios podemos enumerar vrias vantagens, dentre
as mais pertinentes destacam-se: escalabilidade, portabilidade e a facilidade de
administrao.
Escalabilidade: A utilizao da estrutura de domnio promove um cresci-
mento da rede computacional de forma organizada e simples, nesse ambi-
ente os usurios possuemapenas umnome e uma senha e conseguemacessar
todos os recursos da rede aos quais tenham permisso (MINASI, 2003).
Portabilidade: Pois habilita os usurios que pertencem ao domnio se au-
tenticarem e usarem qualquer computador que esteja nesse domnio, per-
mitindo que os mesmos tenham suas conguraes disponveis em qual-
quer mquina da rede, alcanando assim uma maior portabilidade (MINASI,
2003).
Facilidade de administrao: Ambientes que possuem um domnio de rede,
ao contratar um funcionrio, basta apenas cadastr-lo no banco de dados
do domnio, com as permisses aos recursos de rede necessrios. No
necessria nenhuma alterao nas estaes de trabalho para que esse usurio
possa ser um membro de toda a rede do domnio. Para excluir um usurio
demitido o raciocnio o mesmo, basta exclu-lo do banco de dados do
domnio (MINASI, 2003).
A criao de um domnio realizada atravs da instalao e manuteno
de servios de diretrios como o Active Directory R e OpenLDAP, s pginas
seguintes ilustram esses conceitos.
18
2.1.2 Diretrio
Uma das formas de sintetizar e entender o conceito de diretrio ima-
ginar um banco de dados centralizado com informaes sobre usurios, senhas,
computadores e outros elementos necessrios ao funcionamento de um sistema.
Esse sistema pode ser representado por um conjunto de aplicaes em um servi-
dor, servios de email ou autenticao. Pode-se tambm fazer um paralelo com
um exemplo mais simples e mais presente em nosso dia a dia, como por exemplo
uma lista telefnica com o cadastro do nome do usurio, telefone e endereo, que
tambm reete uma analogia com um tpico diretrio (BATTISTI, 2003).
Em termos gerais, grande parte dos prossionais de informtica associa
o termo diretrio ao contexto de sistemas de arquivos, o que s em parte ver-
dadeiro. Ao pesquisar o conceito da palavra diretrio percebe-se que a mesma
tem vrios signicados, se diferenciando de acordo com o contexto. No con-
texto de sistemas de arquivos possui um signicado, no contexto de redes e ambi-
entes distribudos outro e no contexto de banco de dados um terceiro signicado
(NAGUEL, 2001).
Esses signicados no so excludentes como pode-se supor em princpio.
Em um nvel mais elementar diretrio signica lista. E lista nada mais do que um
depsito de informao. A partir da possvel entender porque diretrio usado
nesses contextos.
Diretrio em sistemas de arquivos nada mais do que um arquivo espe-
cial que contm as lista dos arquivos pertencentes a esse diretrio. No contexto
de redes e ambientes distribudos, diretrio uma lista que contm informaes
de servios de rede que, por exemplo, exigem algum tipo de autenticao, obri-
gando que os servios mantenham um diretrio de usurios, ou seja, uma lista de
19
usurios. J no contexto de banco de dados mais intuitivo, uma vez que lista na
verdade um depsito de informao (NAGUEL, 2001).
Nas redes de computadores com modelo baseado em diretrio, h uma
base nica de informaes, que podem ser contas de usurios, contas de computa-
dor ou qualquer outro recurso da rede. Porm, na prtica no que existe uma
nica base armazenada em um determinado servidor e todos os demais acessam
esta base. O que ocorre na prtica, que todos contm uma cpia do diretrio
e alteraes efetuadas em um dos servidores so repassadas para os demais, para
que todos quem com uma cpia idntica da base de dados do diretrio. Esta sin-
cronizao entre os servidores conhecida como replicao (BATTISTI, 2003).
De acordo com Querino e Jnior (2005), a utilizao de um diretrio varia
de acordo com a necessidade. Em resumo, pode-se citar os seguintes:
Sistemas de Arquivos: Nesse contexto, umdiretrio simplesmente denido
como um arquivo especial que contm as informaes pertencentes a esse
diretrio;
Redes em Ambientes Distribudos: Com esse contexto o diretrio corres-
ponde a uma lista que contm informaes dos servios da rede para o efeito
de autenticao da mesma.
Base de Dados: No que diz respeito base de dados, um diretrio um
estrutura (schema), que armazena diversas tabelas, sendo estas tabelas com
caractersticas comuns.
Em resumo, pode-se denir um diretrio como uma base de dados espe-
cializada como propsito de prover o acesso rpido aos dados de forma padronizada,
contendo diferentes tipos de informaes e oferecendo uma versatilidade muito
grande na hora de buscar o dado desejado.
20
2.1.3 Servio de Diretrio
Em termos gerais, um servio de diretrio um repositrio de informaes
de rede, aplicaes, ou NOS (Network Operation System) que so teis para mlti-
plos sistemas ou usurios. De fato, h muitos tipos de diretrios diferentes, in-
cluindo pginas de internet, servidores de email, e at mesmo servio de DNS
(Domain Name System) (DESMOND et all., 2009)
Segundo Bosque e Macedo (2007), um servio de diretrio contm infor-
maes em formas de entradas. Um bom exemplo poderia ser uma lista telefnica,
que contm entradas como: nomes de pessoas, nomes de empresas, endereos e
telefones. Cada entrada representada nessa lista contm uma srie de dados que, de
maneira formal, chamamos de atributos. A gura 1 exibe um exemplo de diretrio
estruturado. Nesta imagem possvel visualizar o conjunto de dados dispostos de
forma hierrquica formando uma rvore, onde cada n representa um objeto.
Um servio de diretrio desempenha tambm um papel importante den-
tro da empresa, pois ele fornece uma estrutura que facilita e padroniza o acesso
a diversas informaes, como por exemplo, dados de usurio, computadores, im-
pressoras, servindo como um ponto de integrao entre os diversos sistemas e
minimizando os problemas de administrao dos mesmos.
Os recursos de redes de grande porte so compartilhados por vrios usurios
e aplicativos. Para permitir que usurios e aplicativos acessem os recursos e as
informaes sobre eles, voc precisa de um modo consistente de nomear, descre-
ver, localizar, acessar, gerenciar e proteger informaes sobre esses recursos. Um
servio de diretrio desempenha essa funo, sendo um repositrio estruturado
de informaes sobre pessoas e recursos de uma organizao (MICROSOFT R ,
2003).
21
Figura 2: rvore de Diretrio (COOMBS, 2005)
Os servios de diretrio despontam atualmente como a ltima moda nos
domnios de softwares para gesto de redes de computadores, principalmente no
campo de servidores. Esses tipos de servios, implementam uma base de dados
distribuda, onde a informao armazenada de forma hierarquizada, seguindo a
estrutura de uma rvore (PEREIRA, 2003).
Se o diretrio uma base de dados organizada, ou seja, uma lista de da-
dos, um servio de diretrio nada mais do que uma aplicao que controla os
objetos e seus atributos em um diretrio. Com o servio de diretrio, os objetos e
os atributos podem estar disponveis aos usurios e a outras aplicaes de forma
ininterrupta e centralizada. Existem hoje, muitas implementaes de software que
22
desempenham a funo de diretrio, por exemplo, o Active Directory R e o Openl-
dap. Servio de diretrio a implementao cliente/servidor para o conceito de
diretrio (NAGUEL, 2001).
Dada a necessidade crescente de informaes, em particular atravs da In-
ternet, a popularidade do diretrio tem crescido na ltima dcada e hoje uma es-
colha comum para aplicaes distribudas (KOUTSONIKOLA; VAKALI, 2004).
Para o cumprimento dos objetivos de integrao das plataformas hetero-
gneas atravs da autenticao cruzada, ser necessria a implementao de servi-
dores Microsoft R e Linux, com os servios de diretrio do Active Directory R e
OpenLDAP respectivamente, atuando no mesmo domnio.
Nesse sentido, faz-se necessrio a partir daqui explanar a respeito das fer-
ramentas e tcnicas que faro esse ambiente possvel. Em resumo, tratam-se dos
conceitos do protocolo LDAP e suas implementaes, alm de mais algumas tc-
nicas e recursos que sero teis para concluso da interoperabilidade.
2.2 O protocolo LDAP (Lightweight Directory Access Protocol)
O LDAP (Lightweight Directory Access Protocol) um protocolo padro
inicialmente projetado para o acesso a servios de diretrio com o padro X.500.
O LDAP a verso reduzida de um protocolo chamado DAP (Directory Access
Protocol). A principal funo do DAP era a de estabelecer, de forma padro, regras
de comunicao de acesso com um diretrio baseado no padro X.500, mas por ser
complexo permitiu o surgimento do LDAP que implementa apenas as operaes
bsicas do DAP como: Bind, Read, List, Search, Compare, Modify, Add, Delete e
ModifyRDN (BOSQUE; MACEDO, 2007).
De acordo com Gomes et all (2001), o LDAP trabalha diretamente sobre
o protocolo TCP/IP e oferece mais funcionalidades do que o DAP e a um custo
23
menor. Como se trata tambm de um diretrio, ele baseia-se fundamentalmente
no modelo cliente/servidor e fornece autenticao e o servio de diretrio para os
utilizadores.
O protocolo LDAP utilizado pela arquitetura do Active Directory R e
ainda possvel de ser implementado usando o OpenLDAP em plataforma livre,
que ser visto mais adiante. Servios de diretrios implementando LDAP podem
conter informaes particulares de funcionrios e informaes sobre a organizao
(SENA, 2005).
O OpenLDAP se tornou o primeiro servio de diretrio de cdigo aberto
em decorrncia da Universidade de Michigan que trabalhava em um projeto com
o objetivo de desenvolver o seu prprio servidor LDAP e decidiu abrir o cdigo-
fonte do seu software, surgindo assim a verso de cdigo aberto, o OpenLDAP,
colocando esses recursos disponveis para usurios do mundo Linux (SENA, 2005).
2.3 Implementaes do Protocolo LDAP
Nesta seo iremos abordar duas implementaes do protocolo LDAP que
sero utilizadas para a criao do ambiente misto proposto, Active Directory R da
Microsoft R e a vertente livre o, OpenLDAP.
2.3.1 OpenLDAP
O OpenLDAP pode ser descrito como uma composio de um conjunto
de aplicativos LDAP open source, no qual esto dispostas todas as ferramentas
necessrias para fornecer um servio de diretrio padro LDAP v.3 em um am-
biente de rede, disponvel em vrias plataformas (Linux, Solaris, MacOS). uma
soluo considerada madura hoje em dia e possui amplo suporte, sendo largamente
utilizada como alternativa s implementaes comerciais existentes como, Active
24
Directory R , Novell eDirectory, Sun Java System Directory Server (MACHADO;
JUNIOR, 2006).
Para Gamito e Oliveira (2003), o OpenLDAP denido como uma imple-
mentao livre do protocolo LDAP, que foi criado inicialmente com o objetivo de
permitir acesso a servios de diretrio, atravs da Internet, embora seja possvel
utilizar qualquer tipo de dados.
Aautenticao usando o OpenLDAP, na opinio de Querino e Jnior (2005),
baseia-se fundamentalmente em dois mtodos bsicos que so os seguintes:
LDAP Bind: Mtodo que consiste em fazer login enviando sua senha, em
seguida o servio d-lhe a permisso de autenticao ou ento nega-lhe o
acesso aos recursos solicitados. Neste caso, o utilizador apenas faz a requi-
sio do servio sem se preocupar com a forma como a validao do seu
pedido ser executado.
LDAP Compare: Outro mtodo de autenticao onde a losoa utilizada
para o efeito a comparao. O utilizador envia sua senha e pede ao servidor
para compar-la com a que se encontra armazenada no diretrio e a resposta
retornada com a permisso ou negao de acesso.
Como um de seus recursos nativos, o OpenLDAP tambm possui o suporte
a replicao de vrios mestres, onde dois servidores LDAP podem aceitar atualiza-
es, sincronizar uns com os outros, e atualizar suas bases de dados, criando assim
uma consistncia entre as replicas (KOUTSONIKOLA; VAKALI, 2004).
interessante observar que toda essa maturidade e robustez se deve em
parte ao fato do OpenLDAP suportar os padres LDAP v.3 (RFCs 2251-2256 e
2829-28), assim como umas RFCs adicionais, por exemplo (SHERESH, 2002):
RFC 2596: Uso de linguagens de programao no LDAP;
25
RFC 2829: Mtodos de autenticao para o LDAP;
RFC 2830: LDAP v.3, extenso para a camada de transporte seguro;
RFC 2849: Incluso do formato LDAP Data Interchange Format (LDIF)
v.1;
RFC 3062: Operaes extendidas para a modicao de senhas.
Todo esse projeto mantido por uma srie de programadores voluntrios
no mundo inteiro, que juntos criam novas solues e desenvolvem a gama de
aplicativos do OpenLDAP (GEYER; KELLERMANN; SILVELLO, 2005).
2.3.2 Active Directory
O Active Directory armazena informaes sobre usurios, computadores
e recursos de rede, tornando os recursos acessveis aos aplicativos. Ele fornece
uma forma consistente de nomear, descrever, localizar, acessar, gerenciar e garan-
tir a segurana de informaes sobre os recursos. O Active Directory possui as
seguintes funes (MICROSOFT, 2003):
Centraliza o controle de recursos de rede: Com a centralizao do controle
de recursos como servidores, arquivos compartilhados e impressoras, apenas
usurios autorizados podem acessar os recursos no Active Directory.
Centraliza e descentraliza o gerenciamento de recursos: Os administradores
podem gerenciar os computadores de clientes distribudos, servios de rede
e aplicativos a partir de um local central usando uma interface de gerencia-
mento consistente. Tambm podem distribuir tarefas administrativas, dele-
gando o controle de recursos a outros administradores.
26
Armazena objetos de modo seguro em uma estrutura lgica: O Active Di-
rectory armazena todos os recursos como objetos em uma estrutura lgica,
hierrquica e segura.
Otimiza o trfego de rede: A estrutura fsica do Active Directory permite
usar a largura de banda da rede de modo mais eciente. Por exemplo, ela
garante que os usurios, ao fazerem logon, sejam autenticados pela autori-
dade mais prxima, o que reduz o trfego de rede.
Na opinio de Loureiro (2001), a introduo do Active Directory no Win-
dows 2000, constitui uma das mais ou se no a mais importante novidade do sis-
tema operacional proprietrio. Esse protocolo trouxe um outro dinamismo para
o Windows 2000 e revolucionou na sua totalidade no s a administrao e or-
ganizao da rede, mas tambm veio preencher as lacunas nas redes NT, que se
notavam tanto na criao como na gesto de redes geogracamente separadas. O
Active Directory constitui assim, um elemento central das verses de servidores
Windows 2000 e posteriores.
Com a instalao do Active Directory em servidores Microsoft tem-se a
criao de um domnio de rede baseado nessa plataforma. O Active Directory
a implementao LDAP da Microsoft R , constituindo um novo servidor de di-
retrios, como escrito acima. , tecnicamente, um servidor LDAP verso 3 (MI-
CROSOFT, 2003).
O Active Directory da Microsoft R um sistema totalmente integrado ao
sistema operacional Windows R , sendo o primeiro servio de diretrio da Mi-
crosoft escalvel, projetado para utilizar tecnologias de padro Internet. Ele inclui
caractersticas de desempenho como armazenamento indexado para recuperao
rpida de informaes e suporte nativo a LDAP, alm de caractersticas de segu-
27
rana, como a impossibilidade de se fazer pesquisas annimas (sem informar as
credenciais do pesquisador) em sua base de dados (MICROSOFT, 2003).
2.4 Virtualizao
Dene-se mquina virtual como sendo uma cpia eciente e separada de
uma mquina fsica. A mquina virtual essencialmente idntica a uma mquina
real, ou seja, qualquer instruo executada em uma mquina virtualizada deve
exibir o mesmo efeito que seria observado se fosse executada em uma mquina
fsica (POPEK; GOLDBERG, 1974).
Devido ao fato de serem ecientes, se faz necessrio que uma parte das
instrues dominantes seja executada diretamente no hardware da mquina. Isto
exclui do mbito das mquinas virtuais os tradicionais simuladores (tentativa de
imitar as funes de um dispositivo) e emuladores (tentativa de imitar o desenho
do hardware de um dispositivo), por precisarem simular quase a totalidade das
instrues antes de execut-las no hardware. A mquina virtual encontrase em
um nvel de abstrao intermedirio entre a mquina real e o emulador, no que se
refere forma como os recursos de hardware e de controle so abstrados e usados
pelas aplicaes (LAUREANO, 2004).
Pode-se entender o termo separada como o fato da mquina virtual ter
que trabalhar como se fosse um computador independente. Essa caracterstica
possbilita que o usurio no perceba que est executando suas tarefas em uma
mquina virtualizada ao invs de uma mquina fsica. Alm disso, falhas em uma
mquina virtual no sero propagadas para as outras mquinas virtuais (POPEK;
GOLDBERG, 1974).
O conceito de virtualizao tanto para desktops quanto para servidores o
mesmo, ou seja, executar diversos sistemas operacionais em um nico hardware.
28
Uma forma j bastante difundida, apesar de no utilizar esta mesma terminologia,
a virtualizao de desktops, atravs do uso de servidores de terminais, onde
cada utilizador ligado ao sistema possui a sua sesso dentro de um mesmo sistema
operacional.
2.5 Literatura Relacionada
Neste captulo apresenta-se alguns trabalhos e pesquisas feitas sobre o
tema em questo. Foro mapeados trabalhos cientcos e publicaes que abor-
dam a metodologia adotada. O objetivo determinar o estado da arte sobre o tema
desta monograa.
2.5.1 Trabalhos
Dos trabalhos pesquisados, selecionou-se um artigo utilizando a biblioteca
pGINA, um livro sobre interoperabilidade entre as plataformas Linux e Windows e
duas monograas sobre autenticao cruzada utilizando o protocolo LDAP.
Using pGINA to Authenticate Users in MicrosoftWindows Environments;
Linux and Windows interoperability guide;
Implementao de Ambientes Mistos Linux Windows para Compartilhamento
de Recursos e Autenticao de Usurios;
Integrao dos Sistemas Operativos Windows e Linux.
A anlise desses materiais resultou em uma base slida para o alcane dos
objetivos e proporcionou uma forma mais ecaz e agl para a resoluo dos prob-
lemas e diculdades encontradas. O artigo Using pGINA to Authenticate Users
in Microsoft Windows Environments apresenta a utilizao da biblioteca pGINA,
29
que simplica a autenticao de usurios Windows em um ambiente que inclue
sistemas Linux e UNIX. O artigo tem como objetivo prover um entendimento so-
bre como a autenticao na plataforma Microsoft funciona, e como o pGINA pode
ser usado para proporcionar uma alternativa ao mecanismo de autenticao em
ambientes heterogneos.
O livro Linux and Windows interoperability guide vem com a proposta de
fornecer uma maneira de se criar a interoperabilidade de forma harmoniosa e pro-
dutiva em ambientes Linux e Windows. Cobrindo para isso pontos como: proble-
mas mais comuns com interoperabilidade, servios de diretrio, internet/intranet,
arquivos etc.
Os trabalhos acadmicos utilizados como base (Implementao de Am-
bientes Mistos Linux Windows para Compartilhamento de Recursos e Autenti-
cao de Usurios e Integrao dos Sistemas Operacionais Windows e Linux),
mostraram-se utis na delimitao da metodologia que deveria ser empregada,
porm apresentaram um alto grau de desatualizao, uma vez que a interoperabil-
idade realizada entre sistemas legados como Windows Server 2003 e Windows
XP. Neste trabalho apresenta-se a interoperabilidade entre os sistemas mais atuais
como Windows Server 2008, Windows 7 e Ubuntu LTS 10.04.
30
3 METODOLOGIA
Este captulo descreve a metodologia utilizada no trabalho a qual permitiu
que os objetivos da pesquisa fossem alcanados. Na primeira seo deste cap-
tulo ser apresentada a classicao da pesquisa quanto natureza, objetivo e aos
procedimentos. Em seguida sero descritos os procedimentos metodolgicos e o
ambiente computacional utilizado.
3.1 Tipo de Pesquisa
O presente trabalho pode ser classicado quanto a sua natureza como uma
pesquisa aplicada, pois seu objetivo principal se concentra na gerao de conhe-
cimento para a soluo de um problema prtico. Quanto aos objetivos ela pode
ser enquadrada como pesquisa descritiva, uma vez que visa observar, registrar e
analisar os fenmenos ou sistemas tcnicos a partir do ambiente interopervel im-
plantado. Em relao aos procedimentos, a pesquisa caracterizada como experi-
mental e em laboratrio, pois tem como nalidade a descoberta de novos mtodos,
tcnicas, ensaios e estudos de laboratrio atravs de simulao. Entende-se por
uma pesquisa em laboratrio aquela que permite o controle das variveis que pos-
sam interferir no experimento (ZAMBALDE; PADUA; ALVES, 2008).
3.2 Procedimentos Metodolgicos
3.2.1 Etapas da Pesquisa
A pesquisa foi estruturada essencialmente em trs etapas: levantamento
bibliogrco, instalaes dos sistemas e ferramentas necessrias e conguraes
para a autenticao cruzada.
31
A primeira delas consistiu basicamente na aquisio de referncias e do-
cumentos para o desenvolvimento e evoluo do trabalho, possibilitando assim
um maior embasamento terico. Nessa etapa ocorreu a pesquisa bibliogrca que
serviu como base para a aquisio de conhecimento acerca dos temas envolvidos
no projeto como: servio de diretrio, autenticao cruzada, interoperabilidade,
Active Directory e OpenLDAP. O acervo bibliogrco basicamente foi formado
por consultas a livros, monograas, teses de mestrado e artigos da rea, consulta-
dos a partir do ms de novembro do ano de 2009.
Na etapa seguinte foi realizada a criao do ambiente heterogneo, onde
ocorreram as instalaes dos sistemas e ferramentas necessrias para a autenti-
cao cruzada, incluindo os sistemas operacionais de servidores, estaes clientes
e demais recursos.
Emseguida foramfeitas as devidas conguraes no cenrio descrito acima,
possibilitando assim a autenticao cruzada entre as plataformas Linux e Windows.
Essas conguraes foram documentadas para possibilitar assim sua reproduo
posterior.
3.3 Ambiente Computacional
3.3.1 Sistemas Operacionais Clientes e Servidores
Como sistemas operacionais de servidores foram adotados o Windows
Server 2008 Enterprise da Microsoft e o openSUSE 11.3 da Novell. A escolha do
Windows Server 2008 Enterprise se deu por motivo como a adoo no mercado,
pois como informado anteriormente segundo pesquisa realizada, esse sistema re-
presenta mais de 60% dos sistemas operacionais utilizados em servidores no Brasil
atualmente (MEIRELLES, 2010).
32
Em relao a escolha da distribuio Linux a ser utilizada, o acordo re-
alizado entre Microsoft e Novell favoreceu a opo pelo openSUSE 11.3, pois
ambas as plataformas vem trabalhando para alcanar a interoperabilidade entre
seus produtos e servios, facilitando assim a comunicao entre seus sistemas e
consequentemente a autenticao cruzada. Para as estaes clientes os seguintes
sistemas foram implantados: Windows 7 da Microsoft e Ubuntu 10.04 LTS. O uso
do Windows 7 se faz necessrio uma vez que foi adotado um servidor na mesma
plataforma (Windows Server 2008 Enterprise), e a vertente open source Ubuntu
10.04 LTS, devido sua grande usabilidade, popularidade e adoo em desktops
Linux.
3.3.2 Servios de Diretrio
Os servios de diretrio utilizados nos servidores Windows e Linux foram
o Active Directory e OpenLDAP respectivamente. O Active Directory a opo de
servio de diretrio que est disponvel para a instalao no Windows Server 2008
Enterprise e vem desde o Windows Server 2000 onde se tornou a grande novidade.
J o OpenLDAP um pacote o qual implementa o protocolo LDAP e est presente
na maioria das distribuies Linux, e tem se tornado a grande opo para usurios
dessa plataforma quando necessitam criar um servio de diretrio.
3.3.3 Ferramentas para a Autenticao Cruzada
Para o ingresso de mquinas Linux em um domnio do Active Directory
e sua posterior autenticao, foi utilizada a ferramenta Likewise Open, uma apli-
cao open source a qual permite que mquinas Linux, Unix e Mac possam in-
gressar em um domnio do Active Directory e serem autenticadas de maneira se-
gura com suas credenciais de domnio. Para autenticao de clientes Windows no
33
OpenLDAP foi adotada a ferramenta pGina. O pGina um software livre de auten-
ticao cujo propsito substituir de forma parcial a biblioteca GINA (Graphical
Identication and Authentication) a qual carregada pelo sistema winlogon do
Windows e responsvel pelos processos de login e de logout dos usurios.
3.3.4 Topologia
Para a instalao dos sistemas operacionais clientes, servidores e ferra-
mentas mencionadas acima, foi projetado umcenrio utilizando uma nica mquina
fsica com a seguinte congurao de hardware:
Processador: Intel(R) Core(TM)2 Duo T6400 2.0 GHz
Memria RAM: DDR2 667MHz 4,0 GB
Disco Rgido: HD sata 7200rpm 500 GB
Placa de Rede Ethernet 100Mbits Realtek
Todos os sistemas foramvirtualizados utilizando o software VMware Server
2.0.2. Sua adoo deu-se por motivos como o acesso gratuito, experincia prvia e
conhecimento do produto, facilitando assimsua instalao e congurao. VMware
Server umproduto gratuito de virtualizao para servidores emambas as platafor-
mas, Windows e Linux. Ele permite particionar um servidor fsico em vrias
mquinas virtuais para assim poder usufruir das vantagens da virtualizao.
um produto potente e, ao mesmo tempo, de fcil utilizao por usurios. Com isso
tem-se uma cenrio virtualizado conforme apresentado na Figura 2, onde temos
um switch virtual representando a ligao feita entre os sistemas virtualizados.
34
Figura 3: Switch Virtual e ligaes entre as mquinas virtualizadas
35
4 DOCUMENTAODAS INSTALAES DOS SISTEMAS
E FERRAMENTAS
Este captulo tem por objetivo documentar as instalaes dos sistemas e
ferramentas necessrias para alcanar a integrao de plataformas Linux e Win-
dows atravs da autenticao cruzada.
4.1 Instalao dos Sistemas Operacionais Servidores
Nesta primeira fase de implantao do cenrio proposto foi dada nfase
s instalaes dos sistemas operacionais de servidores Linux e Windows, que so
respectivamente, openSUSE 11.3 e Windows Server 2008 Enterprise.
No houve a preocupao de uma documentao formal visto que as con-
guraes feitas em suas opes padres j atendem s necessidades do ambiente.
Segue, nos prximos itens, uma breve documentao sobre as instalaes
realizadas.
4.1.1 Instalao do openSUSE 11.3
A demonstrao a seguir leva em considerao o modo de instalao em
ambiente grco. A ferramenta de instalao e administrao do openSUSE 11.3
o YasT. Logo na primeira tela, seleciona-se a opo instalao, como mostra a
gura 3.
Selecionada a opo o instalador ir carregar em seguida o kernel do
Linux. Como em todas as distribuies robustas, o instalador do openSUSE 11.3
ir reconhecer os perifricos disponveis na mquina e tambm sugerir uma forma
de particionamento do HD (Hard Disk), pacotes de softwares a serem instalados,
dentre outras opes. A partir daqui todas as conguraes sugeridas pelo insta-
36
Figura 4: Tela Inicial de Instalao do openSUSE 11.3
lador foram aceitas no padro, com exceo das conguraes da placa de rede,
onde foram denidos um endereo IP (Internet Protocol) e uma mscara de sub-
rede, de acordo com gura 4.
37
Figura 5: Congurao IP openSUSE 11.3
4.1.2 Instalao do Windows Server 2008 Enterprise
Assim como na instalao do openSUSE 11.3, as conguraes podem
permanecer como sugeridas pelo instalador. Apenas duas excees a essa regra:
Devido ao fato de possuir a certicao de instrutor ocial Microsoft (Mi-
crosoft Certied Trainer) e ter acesso aos softwares e chaves dos produ-
tos comercializados pela mesma, ao ser questionado pelo instalador sobre
o serial foi informada uma chave original adquirida diretamente no site
http://technet.microsoft.com/pt-br/subscriptions/default.aspx, voltada justa-
38
mente para criao de ambientes de testes e projetos sem a necessidade de
aquisio de licenas;
Nas conguraes da placa de rede foi optado por denir um endereo IP
xo como mostra a gura 5, de forma que ambos os sistemas estejam na
mesma rede, pois a comunicao entre as mquinas ser necessria no futuro
para congurao do ambiente proposto.
Figura 6: Congurao IP Windows Server 2008 Enterprise R
39
4.2 Instalaes dos Sistemas Operacionais Clientes
Nessa parte, destacamos alguns pontos referentes as instalaes dos sis-
temas operacionais clientes que sero usados para testes de autenticao cruzada
na rede atravs do ambiente heterogneo Linux x Windows que ser implantado.
Os sistemas operacionais clientes a sereminstalados sero o Windows 7 e o Ubuntu
10.04 LTS. Nessas instalaes novamente no h segredos, sendo que todas as
opes padres sugeridas pelo instalador so adequadas para uso com o cenrio
proposto.
Da mesma forma que foi feito com o Windows Server 2008 Enterprise e o
openSUSE 11.3, no momento de alterao das propriedades da placa de rede deve-
se denir umendereo IP xo de forma que essas mquinas estejamna mesma rede
que as instalaes dos sistemas operacionais de servidores acima mencionados.
Nas conguraes das placas de rede das estaes clientes que vo se au-
tenticar usando o Active Directory deve-se informar na rea especca do servidor
DNS (Domain Name System) o endereo IP do servidor Windows Server 2008 En-
terprise, do contrrio essas estaes no conseguiro ser inseridas no domnio do
Active Directory a ser criado e o acesso aos recursos dos servidores Windows no
ser permitido.
Ainda nas propriedades da placa de rede, recomendvel usar um nome
de computador com no mximo 15 caracteres. Isso se faz necessrio para a correta
integrao e acesso entre ambientes Linux e Windows, visto que se trata de uma
restrio de nomes NetBios de computadores na rede. Para hosts de outras platafor-
mas que no a Microsoft o nome de host dever ser limitado a 15 caracteres [Blair,
1998].
40
A licena para o Windows 7 assim como para o Windows Server 2008
Enterprise foi adquirida atravs do site http://technet.microsoft.com entrando com
as credenciais de instrutor Microsoft.
4.3 Instalao dos Servios de Diretrio
Conforme descrito no referencial terico, faz-se necessrio, aps a insta-
lao dos sistemas operacionais de rede, a instalao dos servios de diretrio em
ambas as plataformas, Active Directory para Windows e OpenLDAP para Linux.
Segue nos prximos tpicos a documentao das instalaes desses servios.
4.3.1 Instalao do Active Directory
Nesta documentao ser demonstrada a instalao do Active Directory, a
implementao do protocolo LDAP da Microsoft.
Nesta primeira foram instalados apenas os binrios do Active Directory,
para no prximo captulo ser realizada a sua congurao. Primeiramente foi aces-
sado o Server Manager e selecionada a opo Add Roles como mostra a gura 6.
Na sequncia apenas foi vericado se todas recomendaes foram atendi-
das. Na etapa seguinte selecionou-se a role Active Directory Domain Services e
clicou-se em Next como aparece na gura 7.
Os passos seguintes so apenas informativos e devem ser seguidos cli-
cando em Next at chegar a tela nal de conrmao de instalao, aonde in-
formado que a mesma foi realizada com sucesso, ento clica-se em close como
exibido na gura 8.
41
Figura 7: Tela do Server Manager
Figura 8: Selecionando a opo Active Directory Domain Services
42
Figura 9: Instalao realizada com sucesso
4.3.2 Instalao do OpenLDAP
O OpenLDAP um servio de diretrio open source disponvel nas dis-
tribuies Linux, como por exemplo o openSUSE 11.3.
Sua instalao realizada usando-se o YasT, cujo procedimento ser de-
monstrado a seguir. No servidor openSUSE 11.3, necessrio logar com o usurio
root e abrir o YasT. Na tela que surge, aps selecionar o grupo software e depois
gerenciamento de software, dever aparecer um assistente.
No campo de pesquisa ao digitar LDAP ser exibida uma tela como mostra
a gura 9 onde dever ser selecionado o pacote yast2-ldap-server e aceitas as
instalaes das dependncias. necessrio clicar em aceitar para concluir.
43
Figura 10: Instalao OpenLDAP
44
5 CONFIGURAES NECESSRIAS PARAAAUTEN-
TICAO CRUZADA
Este captulo tem como objetivo demonstrar as conguraes necessrias
para que o ambiente de autenticao cruzada possa ser implantado e opere de
maneira correta e eciente. Esses procedimentos incluem:
Congurao do Active Directory R ;
Congurao do OpenLDAP;
Conguraes dos clientes (Windows 7 R , Ubuntu 10.04 LTS);
Conguraes das ferramentas adotadas (Likewise Open, pGina).
5.1 Autenticao Cruzada Cliente x Servidor (Ubuntu 10.04 LTS x
Windows Server 2008 Enterprise)
Nesta etapa sero dadas as diretrizes para a autenticao cruzada entre a
estao cliente Ubuntu 10.04 LTS e o servidor Windows Server 2008 Enterprise R ,
com o servio de diretrio Active Directory R instalado.
5.1.1 Congurando o Active Directory
A congurao do Active Directory requer uma srie de passos e op-
es. Devido a esse motivo e para proporcionar uma melhor sequncia na leitura
a documentao de sua congurao foi colocada como apndice, denominado:
APNDICE A - Congurao do Active Directory.
45
5.1.2 Congurao da estao cliente Ubuntu 10.04 LTS
Aps a criao e congurao do domnio no Active Directory R , temos
agora que congurar o cliente Ubuntu 10.04 LTS para que o mesmo possa ingressar
no domnio e usar o mecanismo de autenticao da Microsoft R , assim teremos o
logon de uma mquina cliente Linux em um servidor Windows R .
Antes de inserirmos o Ubuntu 10.04 LTS no domno do Active Directory R
alguns pontos devem ser analisados, como:
Domain Name System (DNS)
Primeiramente, para ingressar o cliente Linux no domnio do Active Directory R ,
precisamos garantir que o mesmo seja congurado com o endereo IP do Windows
Server 2008 Enterprise R como seu servidor DNS primrio, em seguida deve-
mos vericar se a estao cliente Linux que desejamos ingressar no domnio est
cadastrada no servio DNS com seu respectivo registro de recurso do tipo A, como
mostra a gura 21.
Usando a linha de comando no Ubuntu 10.04 LTS podemos vericar facil-
mente se o registro dessa mquina est cadastrada no servidor de DNS, bastanto
para isso emitir o comando host seguido do FQDN(Fully Qualied Domain Name)
da mquina em um terminal como demonstrado a seguir:
ubuntu@ubuntu: host ubuntu.interoperabilidade.com
ubuntu.interoperabilidade.com has address 192.168.0.3
Outro ponto referente ao DNS a criao de uma zona reversa j que
muitos servios na plataforma Linux usam esse tipo de zona para resoluo de
nomes. Com o mesmo comando exibido acima podemos vericar se um registro
46
Figura 11: Registro de recurso do Ubuntu 10.04 LTS no DNS
reverso foi criado no servidor de DNS bastando apenas trocar o nome d mquina
pelo seu endereo IP, no nosso caso caria da seguinte forma:
ubuntu@ubuntu: host 192.168.0.3
3.0.168.192.in-addr.arpa domain name pointer ubuntu.interoperabilidade.com
Hostname
importante garantir tambm que FQDN (Fully Qualied Domain Name) da
mquina cliente que ir engressar no domnio tenha correspondncia com registro
criado no servidor DNS. Essa informao armazenada no arquivo de congu-
rao hostname que se encontra em /etc/hostname no Ubuntu 10.04 LTS, e deve
corresponder tambm a entrada armazenada no arquivo hosts em /etc/hosts. Voc
pode vericar o FQDN na mquina Ubuntu 10.04 LTS pela linha de comando us-
ando o comando hostname, por exemplo:
47
ubuntu@ubuntu: hostname -f
ubuntu.interoperabilidade.com
Sincronizao de Tempo
O protocolo Kerberos usado internamente pelo Active Directory R para a
autenticao sensvel ao tempo entre os computadores que desejam ingressar no
domnio. A tolerncia por padro 300 segundos de diferena entre o servidor e
o cliente, no nosso caso entre o Windows Server 2008 Enterprise R e o Ubuntu
10.04 LTS. Se a mquina cliente e o servidor diverem uma diferena maior do que
5 minutos entre seus relgios a autenticao atravs do Active Directory R ir fal-
har. Podemos sincronizar o cliente Ubuntu 10.04 LTS com o servidor Windows
Server 2008 Enterprise R atravs do comando ntpdate seguido do IP do Windows
Server 2008 Enterprise R , como segue:
ubuntu@ubuntu:sudo ntpdate 192.168.0.1
14 Out 20:19:50 ntpdate[4358]: step time server 192.168.0.1 offset -1.457341 sec
Uma vez que todas as condies acima foram atentidas, a mquina cliente
estar pronta para ingressar no domnio do Active Directory R . Para isso iremos
utilizar o software Likewise Open.
5.1.2.1 Instalando o Likewise Open
A instalao bem prtica e pode ser feita tanto pela linha de comando
digitando:
48
Figura 12: Instalao do Likewise Open
ubuntu@ubuntu: sudo apt-get install likewise-open
, ou pela interface grca seguindo o caminho Sistema > Administrao > Geren-
ciador de pacotes Synaptic e no campo de pesquisa digitar Likewise Open como
mostra a gura 22. Com isso ser realizado o download dos pacotes necessrios e
sua instalao ir prosseguir automaticamente.
49
Figura 13: Ingressando o Ubuntu 10.04 LTS no Active Directory
5.1.2.2 Ingressando no Domnio do Active Directory
Aps a instalao, podemos iniciar a ferramenta Likewise Open seguindo
o caminho Sistema -> Administrao -> Active Directory Membership. A janela
Active Directory Membership ser aberta aonde devemos congurar o nome da
mquina e o nome do domnio que queremos ingressar como mostra a gura 23.
Tambm temos a opo de selecionarmos em qual Unidade Organizacional dese-
jamos adicionar a estao cliente. Por padro todas as mquinas so acopladas no
continer computers.
Aps preenchermos com as informaes necessrias sero solicitadas as
credenciais de administrador do domnio, como exbido na gura 24. E em al-
guns instantes podemos visualizar o ingresso com sucesso no domnio do Active
Directory R . A constatao se a operao foi realizada com sucesso, pode ser
50
Figura 14: Tela credenciais de Administrador
vericada atravs da criao do cone computador no continer computers da fer-
ramenta Active Directory Users and Computers, como mostra a gura 25.
5.2 Autenticao Cruzada Cliente x Servidor (Windows 7 x openSUSE
11.3)
Nesta etapa apresentaremos os passos para a autenticao cruzada entre a
estao cliente Windows 7 R e o servidor openSUSE 11.3, que possui o servio de
diretrio OpenLDAP instalado.
5.2.1 Congurando o OpenLDAP
Primeiramente iremos realizar as conguraes no servidor Linux no que
diz respeito ao servio de diretrio que foi instalado anteriormente, a saber o
OpenLDAP.
Iniciamos a congurao do servio de diretrio do OpenLDAP com o
mdulo servidor. Neste mdulo conguramos o servidor LDAP. Para isso clique
em Network Services, no menu do YaST, e depois em LDAP Server. Na tela inicial
51
Figura 15: Estao cliente Ubuntu 10.04 LTS adicionada ao Active Directory
que exibida marcamos como sim a opo Start LDAP Server e selecionamos a
caixa Open Port in Firewall como exibido na gura 26.
clicando em Next seguimos para prxima etapa aonde devemos escolher o
tipo de servidor LDAP que queremos congurar, temos trs opes:
Standalone Server: Um cenrio sem replicao, onde contamos com apenas
um nico servidor LDAP;
Master Server: Ambientes onde temos mais de um servidor LDAP e a repli-
cao acontece a partir do Master Server para o Slave Server, constituindo
assim bases redundantes;
Slave Server: Basicamente consiste de uma rplica de um Master Server,
atuando como uma base de backup.
52
Figura 16: Tela Inicial LDAP Server Conguration
Em nosso cenrio foi selecionado a opo Standalone Server, como podemos ob-
servar na gura 27.
Aps selecionada a opo clicamos em Next e seguimos para a tela TLS
Settings, aqui no foi alterado nenhuma opo, permanecendo como se encontra
por padro, apenas selecione Next e siga para a prxima tela. Em Basic Database
Settings certique-se de que Database Type esteja selecionado com o tipo hdb,
no campo base DN preenchemos com o nome do domnio que no nosso caso
dc=INTEROPERABILIDADE, dc=COM. O campo Administrator DN deve estar
como cn=Administrator e o chekbox Append Base DN marcado. Na sequncia
coloque a senha LDAP no campo LDAP Administrator Password e conrme em
Validate Password. Em Database Directory deixamos o caminho que foi especi-
cado por padro e por ltimo marcamos a opo Use this Database as the default
for OpenLDAP clients, assim todos os clientes LDAP que estabelecerem conexes
53
Figura 17: Select Server Type
com esse servidor iro conectar a essa base por padro. Isso cria um servidor
LDAP com a seguinte congurao como exibida na gura 28.
Dando concluso ao processo teremos a tela do sumrio aonde temos um
resumo de todas as opes que foram adotadas, aqui devemos revisar cada uma
delas e conrmar clicando em Finish caso estejam corretas, do contrrio devemos
usar o boto back e retornar at o ponto que diverge das diretrizes passadas. Com
isso nalizamos a congurao do mdulo servidor.
Com o mdulo servidor congurado passamos em seguida para o mdulo
cliente acessando Yast > Network Services > LDAP Client. A janela LDAP Client
Conguration exibida como mostra a gura 29.
Aqui aonde denimos a primeira fonte de autenticao. Marcamos a
caixa de seleo Use LDAP. Note que os campos Adresses of LDAP Servers e
LDAP Base DN j aparecem preenchidos com seus respectivos valores. Sele-
54
Figura 18: Tela New Database
Figura 19: LDAP Client Conguration
55
Figura 20: Advanced Conguration OpenLDAP
cione Advanced Conguration. V na aba Administration Settings, e perceba que
o campo Conguration Base DN est como na gura 30,
enquanto o campo Administrator DN pode ou no estar vazio. Se estiver,
preencha o Administrator DN com cn=Administrator e selecione Append Base DN
e clique em ok para nalizar.
Agora importante salientarmos a questo de criao de usurios e grupos
no OpenLDAP e suas peculiaridades. No Linux, a cada usurio dado um User
ID (UID) que o identica unicamente. Na maioria dos sistemas o usurio root tm
seu UID (User ID) menor que 1000, e o primeiro usurio real o 1000. Usurios
LDAP podem ser autenticados em qualquer cliente Linux. Por isso os UIDs dos
usurios LDAP devem, para no correr o risco de haver conitos, comear em
10.000. Alm disso os usurios podem pertencer a mais de um grupo, cada um
com seu GID (Group ID), para evitar o mesmo problema por motivos de conito.
56
Para a criao dos usurios e grupos devemos acesssar o YaST -> Secu-
rity and Users -> User and Group Management e ento digitar a senha do usurio
administrator. Clique no boto LDAP Options -> LDAP User and Group Con-
guration, a seguir adicione um novo objeto de congurao de grupo clicando
em New e digite, congurao de grupo por exemplo e clique em OK. As cong-
uraes de grupo so ento mostradas. Note que o primeiro GID 1000, o que
bom pois no entrar em conito com grupos comuns que na maioria dos sis-
temas comeam em 100. Clique em new novamente e ento adicione um objeto
de congurao de usurio chamando-o, por exemplo, de congurao de usurio,
quando suas opes so mostradas note que o UID comea em 1000.
Com isso temos a seguinte congurao de diretrio que contm:
Uma base DN (dc=interoperabilidade,dc=com)
Uma unidade organizacional ldapcong (ou=ldapcong,dc=interoperabilidade,dc=com)
Os objetos de congurao dos usurios e grupos (congurao de usurio,congurao
de grupo).
5.2.2 Congurao da estao cliente Windows 7
Aps a criao e congurao do domnio no OpenLDAP, temos agora que
congurar a estao cliente Windows 7 R para que a mesma possa efetuar logon
no servidor openSUSE 11.3 e usar o seu mecanismo de autenticao.
Para autenticar um sistema Windows R em um servio de diretrio LDAP
instalado em uma plataforma open source como o Linux, precisamos fazer uso de
uma biblioteca denominada pGina, a qual nos da suporte para que a autenticao
seja efetuada.
57
O software pGina um mdulo cujo propsito substituir de forma par-
cial a biblioteca GINA (Graphical Identication and Authentication). A biblioteca
GINA um mdulo que est presente na plataforma Windows R , este mdulo
carregado pelo processo winlogon cando assim responsvel pelos processos de
login, logout e bloqueio de tela nos sistemas operacionais.
A instalao do pGina no sistema implica que este novo mdulo seja car-
regado pelo processo winlogon ao invs de carregar diretamente a biblioteca GINA,
padro dos sistemas Windows R . O propsito principal dessa modicao possi-
bilitar que uma mquina Windows R seja capaz de realizar a autenticao atravs
de um servidor LDAP em plataforma Linux.
A biblioteca pGina foi concebida para funcionar atravs de mdulos. Uma
vez instalada essa biblioteca, pode-se congur-la para que, no processo de login
seja utilizado um mdulo para que a autenticao acontea em um servidor LDAP
por exemplo, ou alternativamente em um servidor MySQL, POP3, ou qualquer
outro mecanismo que possa lidar com a vericao de credenciais.
5.2.2.1 Utilizando o pGina
A instalao da biblioteca pGina deve ser realizada de forma muito cuida-
dosa j que, tratando-se do processo de autenticao da mquina, um erro de in-
stalao, ou do prprio pGina, pode tornar a mquina inacessvel. Por esta razo,
importante ter uma cpia de backup do sistema, ou a possibilidade de poder ini-
ciar no modo de segurana, para poder retroceder este processo de forma que o
encarregado da autenticao de usurios volte a ser o prprio GINA, o padro do
sistemas Windows R .
A pgina web do projeto http://www.pgina.org. Nela voc encontra os
arquivos para download e a documentao dos pacotes e plugins existentes. Em
58
nosso cenrio utilizamos a verso 2.1.0 do pGina que destinada a verses mais
recentes dos sistemas da Microsoft R como o caso do Windows 7 R .
A instalao do mdulo pGina 2.1.0 bem simples e no requer nenhuma
opo alm das selecionadas por padro para seu correto funcionamento. Uma vez
instalado necessrio a adio de um plugin para que a autenticao ocorra atravs
de um servidor LDAP, esse plugin denominado LDAPAuth 1.5.3 e pode ser en-
contrado atravs do endereo http://www.pgina.org/index.php/Plugins:LDAP_Auth,
baixe o plugin e copie ele para a pasta plugins que foi criada na instalao do
pGina.
Uma vez baixado e transferido para a pasta mencionada, devemos abrir
o local onde a instalao foi realizada e clicarmos em congure pGina, na opo
plugin, carregamos o LDAPAuth 1.5.3 como mostra a gura 31.
Figura 21: Congurao pGina
Ao selecionarmos a opo congure ser exibida uma janela como a apre-
sentada na gura 32, onde teremos que preencher com os valores corretos para que
59
Figura 22: Congurao do Plugin
a comunicao do plugin com o servidor LDAP que no nosso caso o openSUSE
11.3 ocorra sem problemas. As opes conguradas em nosso ambiente caram
como segue:
LDAP Server: 192.168.0.2 (IP do openSUSE 11.3)
Port: 389 (Porta de comunicao usada pelo LDAP)
LDAP Method: Map Mode
PrePend: uid=
Append: ou=people, dc=interoperabilidade, dc=com
Com isso a estao cliente est preparada para ser autenticada pelo nosso servidor
LDAP. A gura 33 mostra a nova janela que ser exibida no Windows 7 R para
que a autenticao possa ser realizada atravs do servidor openSUSE 11.3.
60
Figura 23: Nova Tela de Logon do Windows 7 R
61
6 RESULTADOS E DISCUSSO
Este captulo ir abordar os resultados alcanados no trabalho, ou seja,
se a autenticao cruzada foi realizada com sucesso e qual o comportamento dos
sistemas frente interoperabilidade, e em seguida as diculdades encontradas.
6.1 Autenticao Cruzada
Aautenticao cruzada pode ser realizada comsucesso, tanto na plataforma
Windows R com a utilizao do servio de diretrio Active Directory R e sistemas
clientes Linux, quanto em servidores open source com o OpenLDAP e estaes
clientes Windows R .
A associao entre servidores e clientes ocorreu em nveis diferentes de in-
teroperabilidade, com uma integrao maior entre o Ubuntu 10.04 LTS e Windows
Server 2008 Enterprise R , em parte pela grande diferena de recursos disponveis
entre Active Directory R e OpenLDAP e com isso a possibilidade de testes para
aplicao de diretivas nas estaes clientes.
Como exemplo de algumas diretivas conguradas no Active Directory R e
que foram processadas e "entendidas"no cliente Ubuntu 10.04 LTS pode-se citar:
O usurio deve alterar a senha no prximo logon;
Horrios de Logon;
Fazer logon em(congurao que determina emqual estao cliente o usurio
pode efetuar logon);
Conta desabilitada;
O usurio no pode alterar a senha.
62
Figura 24: Tela com a mensagem de senha expirada
Entre as diretivas citadas, uma deles merece um adendo, a "O usurio
deve alterar a senha no prximo logon". Quando congura-se essa diretiva em um
determinado usurio do Active Directory R e tenta-se iniciar o processo de logon
na estao Ubuntu 10.04 LTS digitando usurio e senha, o mesmo primeiramente
informa que sua senha expirou como exibido na gura 34.
Em seguida iniciado um processo onde primeiro solicita-se que o usurio
entre com a senha atual, na tela seguinte exibida a mensagem para inserir a nova
senha desejada e depois conrmar novamente a mesma. Aps feito isso, a seguinte
mensagem mostrada na tela "nenhuma conta de usurio disponvel"como pode-
mos visualizar na gura 35.
O que acontece na realidade, que o Ubuntu 10.04 LTS primeiramente
envia uma diretiva ao servidor Windows Server 2008 Enterprise R e altera a senha
no Active Directory R . Sendo assim, precisa-se aps esse processo entrar nova-
63
Figura 25: Tela nenhuma conta de usurio disponvel
mente com as credenciais do usurio, agora j com a nova senha e efetua-se a
autenticao com sucesso.
Com isso, observa-se que o cliente Ubuntu 10.04 LTS usa a primeira ten-
tativa de logon para na verdade realizar a troca da senha quando esta diretiva est
habilitada no servidor Windows R e aps isso pode-se efetuar o logon normal-
mente.
A ferramenta Likewise Open utilizada neste trabalho para o ingresso de es-
taes Ubuntu 10.04 LTS ao domnio do Active Directory R , demonstrou-se bas-
tante prtica e eciente, alcanando de forma rpida e objetiva o seu propsito.
Diferentemente do software pGina, o Likewise Open no mantem um cache das
credenciais dos usurios. Assim, a alterao de uma senha no servio de diretrio
tem efeito imediato no logon seguinte.
64
importante resaltar tambm que as contas de usurios e grupos cria-
dos no Active Directory R e utilizados para efetuar logon em estaes clientes
Linux, no possuem os atributos que por padro estariam presentes em uma conta
criada nessa plataforma. Para contornar tal fato e estender o schema do Active
Directory R para que o mesmo suporte tais caractersticas e assim esteja em con-
formidade com a RFC 2307, a qual dene quais atributos LDAP so necessrios
para sistemas Unix e Unix-like, como o Ubuntu 10.04 LTS, deve-se instalar o re-
curso presente no Windows Server 2008 Enterprise R , denominado Identity Man-
agement for UNIX.
Com isso pode-se observar uma maior integrao entre os objetos criados
no Active Directory R e seu posterior uso no Ubuntu 10.04 LTS, uma vez que atrib-
utos Unix passam agora a fazer parte das classes de usurios e grupos presentes no
Active Directory R . A gura 36 exibe a forma como deve-se entrar com as in-
formaes para realizar a autenticao entre a estao cliente Ubuntu 10.04 e o
servidor Windows Server 2008 Enterprise R . No campo nome do usurio deve-se
inserir primeiro o nome do domnio seguido de uma barra invertida e o nome do
usurio a ser utilizado.
65
Figura 26: Autenticando no Domnio
Da mesma forma, a autenticao entre o servidor Linux openSUSE 11.3 e
a estao cliente Windows 7 R no servio de diretrio do OpenLDAP, aconteceu
de forma satisfatria e eciente, tendo alguns pontos de diculdades como:
Falta de documentao sobre o assunto e direcionamento para resoluao de
problemas.
Conhecimento de ambas as plataformas (Windows/Linux) para a congu-
rao correta do ambiente.
Diculdades na congurao adequada tanto do software pGina quanto no
plugin LDAPAuth 1.5.3, pois fontes distintas no possuiam um consenso
sobre os parametros a serem setados.
Congurao do servio de diretrio OpenLDAP.
66
Figura 27: Estao cliente Windows autenticada no OpenLDAP
Ao longo do tempo essas diculdades foram sendo sanadas com consultas a livros,
monograas e artigos da rea. A ferramente pGina 2.0 juntamente com o plugin
LDAPAuth 1.5.3 permite uma srie de conguraes nas contas de usurios, o
que permite tambm uma exibilidade maior em escolher e denir o ambiente
de trabalho, dando assim maior liberdade ao utilizador. A gura 37 exibi a tela
da estao cliente Windows 7 R aps ter sido autenticado com uma conta Linux
criada no OpenLDAP e as diversas opes de conguraes do software pGina
2.0.
67
7 CONCLUSES E TRABALHOS FUTUROS
7.1 Concluses
Aimplementao de umambiente de rede heterogneo comas plataformas
Windows e Linux para a autenticao cruzada demonstrou-se extremamente vivel
e benca. Como primeiro resultado teve-se a gerao de uma documentao
onde diretrizes e ressalvas esto documentadas como forma de orientar futuros
leitores que tenham a necessidade de implementar um ambiente misto e precisem
de orientaes para alcanar tais objetivos.
A autenticao cruzada entre as estaes clientes (Ubuntu 10.04 LTS, Win-
dows 7 R ) e os servidores (Windows Server 2008 Enterprise R , openSUSE 11.3)
foi realizada com sucesso, e com isso tem-se novas potencialidades que podem ser
exploradas como, centralizar a autenticao das estaes de trabalho independente
do sistema operacional cliente adotado, Linux ou Windows. Isso gera uma srie de
benefcios como:
Reduo no nmero de senhas para gerenciar e administrar. Pesquisas in-
dicam que 35% das chamadas ao helpdesk so para resetar senhas, au-
mentando os custos da organizao de TI na medida em que o nmero de
repositrios de usurios cresce. Uma grande organizao tem mais de vinte
repositrios de usurios, resultando numa mdia de mais de cinco pares de
logins e senhas por usurio nal caso as integraes no estejam congu-
radas;
Possibilidade de um ponto nico de manipulao dos objetos que servem a
diversos sistemas, plataformas ou ambientes. Esse ponto central pode ser
tanto um servidor Windows com o servio de diretrio do Active Directory,
ou um servidor Linux com o OpenLDAP.
68
Ambientes integrados requerem um nmero menor de servidores, diminu-
indo por conseqncia a necessidade de aquisio de novas licenas, reali-
zao de conguraes e manuteno;
A integrao proposta mantm na rede da empresa a soluo do servio
de diretrio do Active Directory, que j foi um investimento absorvido pela
empresa, visto que o servio de diretrio da Microsoft o lder de instalaes
no mercado. A soluo congurada mantm esse legado da empresa;
A integrao permite ao administrador a exibilidade do uso de qualquer
plataforma tanto para servidores quanto para estaes de trabalho, aumen-
tando assim as solues possveis de serem instaladas na empresa, dando
maior exibilidade ao ambiente.
Em linhas gerais, o desenvolvimento do trabalho e as pesquisas na rea de
interoperabilidade demonstram que a opo por solues em plataforma livre gera
um custo menor devido a no aquisies de licenas, que pode chegar a zero, mas
por outro lado temos um custo de mo de obra na instalao e congurao desse
sistema, uma vez que h uma escassez maior de prossionais especialistas. J para
a plataforma proprietria pode-se considerar o inverso.
Com isso, concludo o objetivo do trabalho gera-se um leque maior de
opes, onde possveis solues de problemas na rea de gerenciamento de identi-
dades podem agora ser analisadas com uma viso maior levando em conta ambas
as plataformas, Window R e Linux.
7.2 Trabalhos Futuros
Como trabalho futuro pode-se apontar a criao de um mecanismo de
replicao entre as bases do servidor LDAP no Linux com o servio de diretrio
69
Figura 28: Sincronizao entre Active Directory e OpenLDAP
da Microsoft R o Active Directory R . Assim torna-se possvel a sincronizao de
senhas, usurios e grupos, e com isso uma maior integrao e interoperabilidade
entre a plataforma proprietria e open source. Introduzindo um ambiente com
tolerncia a falhas onde ambos servidores podero responder a pedidos de autenti-
cao e suas bases estaro consistentes devido replicao. A gura 38 exibi uma
possvel topologia para esse cenrio.
8 REFERNCIAS
BATTISTI, J. Windows Server 2003 Curso Completo. 1. ed. 2003. 1568
p. Axcel Books.
BLAIR, J. D. SAMBA: Integrating UNIX and Windows. 1. ed. 1998.
298 p.
BOSQUE, L.; MACEDO, G. Active Directory e OpenLdap handbook
Disponvel em: http://ndos.codeplex.com. Acesso em: 20 set. 2010.
COOMBS, K. An Introduction to LDAP: Part 1-LDAP Primer. Dispo-
nvel em http://www.novell.com/coolsolutions/feature/15359.html. Consul-
tado em 01/10/2010.
DESMOND, B.; RICHARDS, J.; ALLEN, R.; NORRIS, A. G. L. Design-
ing, Deploying, and Running Active Directory. 4. ed. 2009. 791 p.
FIGUEIREDO, A. Integrando Windows NT e UNIX. Disponvel em
http://www.revista.unicamp.br/infotec/admsis/admsis2-1.html#ref1. Consul-
tado em 01/09/2010.
GEYER, C.; KELLERMANN, G. A.; SILVELLO, J. C. Manual OpenL-
DAP. Disponvel em http://www.inf.ufrgs.br/gppd/disc/inf01008/trabalhos/
sem01-1/t1/openldap/. Consultado em 10/09/2010.
GOMES, C. L.; ARRUDA, F. M. J.; WATTER, L. H.; SZTOLTZ, L; TEIX-
ERA, R. S. Guia do Servidor da Conectiva, Editora Conectiva SA. 2001.
JUNIOR, C. H. F. G. GERI Gerenciamento de Identidade Monograa
(Graduao em Sistemas de Informao) - Faculdade Salesiana Maria Aux-
iliadora, Maca, 2009.
71
KOUTSONIKOLA, V.; VAKALI, A. LDAP: Framework, Practices, and
Trends. IEEE Internet Computing, v. 8, n. 5, p. 66-72, 2004.
LAUREANO, M. A. P. Uma Abordagem para a Proteo de Detectores
de Intruso Baseada em Mquinas Virtuais. Ph. D. Thesis, Pontifcia
Universidade Catlica do Paran, 2004.
MACHADO, E. S.; JUNIOR, F. S. M. Autenticao Integrada Baseada
em Servio de Diretrio LDAP Monograa (Graduao em Sistemas de
Informao) - Universidade de So Paulo, So Paulo, 2006.
MINASI, M. Dominando O Windows Server 2003 - A Biblia. 1. ed. 2003.
1408 p.
MEIRELLES, F. S. 21
a
Mercado Brasileiro de Informtica e Uso nas Em-
presas. 21
a
Pesquisa Anual da FGV-EAESP-CIA, So Paulo, maio 2010.
Disponvel em: <http://www.eaesp.fgvsp.br/subportais/interna/relacionad/
GVciaPesqResumoNoticias2010.pdf>. Acesso em: 19 ago. 2009.
MICROSOFT, C. Introduo infra-estrutura do Active Directory. 1.
ed. 2003. 44 p.
NAGUEL, F. F.; FERNANDES, E. C. LDAP - Lightweight Directory Ac-
cess Protocol
PEREIRA, E. D. V. Integrao dos Sistemas Operativos Windows e Linux
Anlise e Descrio dos Mecanismos de Integrao. Monograa (Bacharel
em Engenharia de Sistemas e Informtica) - Universidade Jean Piaget de
Cabo Verde, Cabo Verde, 2005.
72
POPEK, G. J.; GOLDBERG, R. P. Formal requirements for virtualizable
third generation architectures. Communications of the ACM, v. 17, n. 7,
p. 412, julho 1974.
QUERINO, F. S.; JUNIOR, H. S. F. Autenticao distribuda de sistemas
hbridos e servios de rede baseadas em servios de directrios Dispo-
nvel em: https://www.redes.unb.br/PFG.202004.pdf. Acesso em: 19 ago.
2009.
REINHARDT, A.; MELLO, D.; MARTINS, F.; MACHADO, M.Gerenciamen
to Integrado de Identidade em Ambientes Corporativos, s.d.. Disponvel
emhttp://www.inf.unisinos.br/ paschoal/arqs_gerencia_redes/trabs/grad/Apres
Ger_Identidade.pdf. Consultado em 01/09/2010.
RIGOLETO, F. Implementao de Ambientes Mistos Linux Windows
para Compartilhamento de Recursos e Autenticao de Usurios Mono-
graa (Graduao em Anlise de Sistemas) - Universidade So Francisco,
Itatiba, 2006.
SENA, C. LDAP Um Guia Prtico. 1. ed. 2005. 168 p.
SHERESH, B.; SHERESH, D. Understanding Directory Services. 2. ed.
2002. 567 p.
SMITH, M. C.; HOWES, T. A.; GOOD, G. S. Understanding and Deploy-
ing LDAP Directory Services.. 2. ed. 2004.
WILKINS, D.; DONALD, C.; MICHAEL, N. Windows Interoperability
With Linux in the Enterprise (WINWILE): A Solution to the High Cost
of Licensing, Downtime, and Security Problems. Journal of Computing
Sciences in Colleges, v. 20, n. 2, p. 260-266, 2004.
73
ZAMBALDE, A. L.; PADUA, C.I.P.S.; ALVES, R. M. O documento cien-
tco em Cincia da Computao e Sistemas de Informao. Lavras,
Minas Gerais, Departamento de Cincia da Computao, UFLA, 2008. 74
p.
74
APNDICES
APNDICE A - Congurao do Active Directory
Inicialmente ser demonstrada a congurao do Active Directory
no servidor Windows Server 2008 Enterprise instalado anteriormente.
Para que o Active Directory possa ser congurado corretamente o
servio de DNS (Domain Name System) para resoluo de nomes deve es-
tar disponvel na rede ou ento deve-se congur-lo durante a criao do
domnio, do contrrio o servio de diretrio da Microsoft no funcionar
adequadamente.
Para iniciar o processo de congurao obrigatoriamente deve-se
efetuar o logon no Windows Server 2008 Enterprise com as credenciais de
administrador. Em seguida seleciona-se o menu start e a opo run. Na tela
que se abre digita-se o comando dcpromo e pressiona-se enter. Ser ento
carregado o Active Directory Domain Service Installation Wizard conforme
mostra a gura 10 onde h uma breve explicao sobre a instalao do Active
Directory. Para dar continuidade clica-se em Next e segue-se para a prxima
etapa.
Na tela Operating System Compatibility exibido um alerta sobre
o novo padro de segurana do Windows Server 2008, o qual informa que
ele poder causar um impacto em clientes Windows NT 4.0, clientes no
Microsoft e dispositivos NAS (Network Attached Storage) que no supor-
tam algoritmo de criptograa forte. Caso esteja sendo instalando em um
ambiente de produo preciso avaliar os impactos antes de prosseguir, ve-
ricando se possui alguns dos dispositivos mencionados. Na sequncia ser
carregada a janela conforme mostra a gura 11.
75
Figura 29: Tela inicial de Congurao do Active Directory R
Figura 30: Choose a Deployment Conguration
76
Figura 31: Tela Name the Forest Root Domain
Em Choose a Deployment Conguration h a opo de criar um
Domain Controller para uma oresta existente (Existing forest) ou criar um
novo Domain Controller para uma nova oresta (Create a new domain in a
newforest). Como no cenrio utilizado est sendo criado o primeiro domnio
da oresta, denominado INTEROPERABILIDADE.COM, necessrio se-
lecionar a opo Create a newdomain in a newforest e seguir para a prxima
etapa. A janela conforme mostra a gura 12 ser exibida.
Nesta etapa, denominada Name the Forest Root Domain, denido
o nome do domnio raiz da oresta. Esse nome tambm ser o nome da
oresta. Ao digitar um nome FQDN (Fully Qualied Name), como por
exemplo, INTEROPERABILIDADE.COM e em seguida clicado em Next,
ser carregada a janela conforme mostra a gura 13.
A tela Set Forest Functional Level permite selecionar o nvel fun-
cional da oresta. O nvel funcional da oresta ir fornecer os recursos
disponveis conforme o nvel selecionado, por exemplo, se for selecionado
77
Figura 32: Tela Set Forest Functional Level
o nvel funcional Windows 2000 ter compatibilidade com Domain Con-
trollers comWindows 2000, pormalguns novos recursos do Windows Server
2008 Entreprise no estaro disponveis. Os nveis de orestas disponveis
so:
Windows 2000
Windows Server 2003
Windows Server 2008
No exemplo apresentado ser selecionado o nvel de oresta Win-
dows Server 2008 para que se tenha todas as funcionalidades mais recentes
disponveis e no haver limitao de no ingresso de sistemas legados (Win-
dows server 2000/2003) no domnio, pois em nosso cenrio no se faz ne-
cessrio. Aps selecionar o nvel da oresta e clicar em Next, ser carregada
a janela conforme mostra a gura 14.
78
Figura 33: Tela Set Domain Functional Level
Na opo Set Domain Functional Level necessrio selecionar o
nvel funcional do domnio. O nvel funcional da oresta congurado ante-
riormente engloba vrios domnios dentro de uma mesma oresta, j o nvel
funcional de domnio ir fornecer os recursos disponveis somente a esse
domnio congurado em especco. Os nveis de domnio so:
Windows 2000
Windows Server 2003
Windows Server 2008
Para o ambiente utilizado neste trabalho foi selecionado o nvel do
domnio Windows Server 2008. Selecionando-se o nvel do domnio e em
seguida clicando em Next ser carregada a janela conforme mostra a gura
15.
A tela Additional Domain Controller Options permite incluir op-
es adicionais no Domain Controller. Ao instalar o primeiro Domain Con-
79
Figura 34: Tela Additional Domain Controller Options
troller da oresta o assistente de instalao automaticamente seleciona a
opo Glogal Catalog, permitindo assim que esse Domain Controller atue
como repositrio central para todos os objetos de todos os domnios dessa
oresta. O Glogal Catalog tem a funo de armazenar todos os objetos
dos domnios de uma mesma oresta, atuando como um local central para
realizar pesquisas sobre esses mesmos objetos.
O assistente recomenda que o servio de DNS seja instalado, como
comentado anteriormente extremamente recomendvel instalar o servio
de resoluo de nomes (DNS) ao congurar o Active Directory, uma vez
que ao adotar essa abordagem todos os registros de recursos necessrios ao
correto funcionamento do Active Directory sero criados automaticamente
no DNS.
No ambiente utilizado ser instalado o servio de DNS nesse Do-
main Controller. necessrio escolher a opo e em seguida clicar em
Next. Se houver um ou mais adaptadores de rede que recebe o endereo IP
80
Figura 35: Tela Alerta Congurao IP
dinamicamente ou se tiver somente um adaptador congurado com IPv4 e
IPv6, em que um deles receba o endereo IP dinamicamente, provavelmente
ser exibido um alerta conforme mostra a gura 16.
A opo No, I will assign static IP addresses to all physical network
adapters deve ser selecionada acessando o Control Panel e seguido pelo Net-
work and Sharing Center. Em Tasks na opo Manage network connections
deve ser selecionado Local Area Connection e em seguida Properties, onde
o Internet Protocol Version 6 (TCP/IPv6) deve ser desmarcado.
Em Additional Domain Controller Options escolhendo-se Next para
continuar, ser exibido um alerta informando que a delegao para o DNS
no pode ser criada como mostra a gura 17. Isso ocorre devido a ainda no
existir uma zona de DNS criada no servidor, para que isso no ocorresse,
uma zona direta de nome INTEROPERABILIDADE.COM teria que ser cri-
ada previamente no servidor de DNS, no exibindo assim essa mensagem.
Neste caso essa mensagem pode ser ignorada, porque o servio de
DNS ainda no est instalado e congurado no Domain Controller, o qual
ser feito pelo assistente de instalao do Active Directory automaticamente.
Ser carregada ento a janela conforme mostra a gura 18.
81
Figura 36: Tela Delegao para o DNS
Figura 37: Tela Location for Database, Log Files, and SYSVOL
82
Figura 38: Directory Services Restore Mode Administrator Password
Em Location for Database, Log Files, and SYSVOL deni-se onde
ser armazenado o banco de dados do Active Directory, os arquivos de
log e a pasta SYSVOL. Como boa prtica para uma performance melhor
recomenda-se colocar tais arquivos em discos separados. Neste ambiente
tem-se somente um volume, portanto deixa-se o caminho padro e em se-
guida siga para a prxima etapa. A janela conforme mostra a gura 19 ser
carregada.
Em Directory Services Restore Mode Administrator Password entre
com uma senha, a qual ser utilizada quando esse Domain Controller for
iniciado em Restore Mode, ou seja quando for necessrio realizar algum
reparo ou recuperao no Active Directory obrigatrio que se entre com a
senha setada neste passo.
Dando sequncia tem-se o Summary onde visualiza-se todas as op-
es escolhidas com o assistente de instalao.Onde tambm se encontra a
opo de exportar as conguraes para serem utilizadas em um arquivo de
83
Figura 39: Termino da Congurao
resposta em uma futura instalao, sendo necessrio somente clicar no boto
Export settings e salvar o arquivo em um local seguro.
Nesse momento o assistente de instalao do Active Directory ir
instalar e congurar o servio de DNS, o prprio Active Directory e todas
as demais opes selecionadas e necessrias. Espere at o termino da insta-
lao. Quando for exibida a tela conforme a gura 20 a congurao ter
sido completada com xito.