Escolar Documentos
Profissional Documentos
Cultura Documentos
26
O aumento da complexidade
é o preço da expansão
Migração Windows
para Linux
Qual será o futuro dos
aplicativos de ERP? MEDIALINX
# 102 Maio 2013
A REVISTA DO PROFISSIONAL DE TI
#44 07/08
9 771806 942009
R$ 13,90
€ 7,50
00044
O Código Aberto como
CEZAR TAURION p.34
incentivo à inovação
A REVISTA DO PROFISSIONAL DE TI
CASE ALFRESCO p.26
WWW.LINUXMAGAZINE.COM.BR
SEGURANÇA: DNSSEC p.69
» O que dizem os profissionais
Conheça as vantagens da
de nomes fica protegida
é difícil adotá-la
#44 07/08
R$ 13,90
€ 7,50
00044
9 771806 942009
A REVISTA DO PROFISSIONAL DE TI
GOVERNANÇA COM
A INTEROPERABILIDADE ENTRE SISTEMAS HETEROGÊNEOS DEIXOU DE SER UM PROBLEMA E
PASSOU A SER A SOLUÇÃO DA INFRAESTRUTURA DE TI p.34
SEJA UM BOM GESTOR E UTILIZE AS
MELHORES PRÁTICAS ADOTADAS E
RECOMENDADAS PELOS PROFISSIONAIS
MAIS EXPERIENTES NESSA ÁREA p.36
» O que dizem os profissionais
certificados p.24
WWW.LINUXMAGAZINE.COM.BR
SEGURANÇA p.54
Soluções para acesso remoto com autenticação
de dois fatores
ANDROID p.68
Breve análise do novo tablet da Google, Nexus 10
e suas múltiplas facetas.
ESSENCIAIS p.72
Aprenda a utilizar as mais diversas extensões
para o protocolo legado IMAP4
WWW.LINUXMAGAZINE.COM.BR
Soluções Double-Sided Storage® de Alto Desempenho e Densidade
Otimizado para Processos Intensos de Aplicações Storage
SSG-6047R-E1R72L
!
NovoDouble-Sided Storage®
72x 3.5” SAS2/ SATA3 HDs Hot-swappable
1280W Fontes Redundantes de Nível
Platinum (2 + 1)
2000W (1+1) em breve! (Visão Traseira)
(Visão Frontal)
EDITORIAL
Editores
Flávia Jobstraibizer inata a se manter no que se convencionou chamar de “zona de
fjobs@linuxmagazine.com.br conforto”. É algo que faz parte do instinto de preservação da espé-
Laura Loenert Lopes
llopes@linuxmagazine.com.br cie, e, decerto, tem uma raiz evolucionária marcante, pois serve
Editor de Arte para reduzir gastos desnecessários de energia, o que, por sua vez,
Hunter Lucas Fonseca
hfonseca@linuxnewmedia.com.br aumenta em geral nossas chances de sobrevivência em períodos
Colaboradores de escassez de recursos naturais, reduzindo, de quebra, o risco de
Alan Holt, Falko Benthin, Bruce Byfield, Rich Bowen,
Thomas Drilling, Christian Pape, Trommer Ronny, Peter
exposição desnecessária a perigos desconhecidos. É assim na natu-
Schulik, Kurt Seifried, Zack Brown, Jon “maddog” reza, é assim na nossa vida social e, claro, não é diferente no nosso
Hall, Alexandre Borges, Cezar Taurion, Gilberto
Magalhães, Klaus Knopper, Augusto Campos. modo de lidar com tecnologia.
Tradução
Laura Loenert Lopes
Exemplos não faltam: para quem se habituou a usar o Linux como
Revisão ambiente de trabalho, com todos os seus recursos e facilidades, o
Flávia Jobstraibizer
uso do Windows é o mais gritante deles. O escrevinhador destas
Editores internacionais
Uli Bantle, Andreas Bohle, Jens-Christoph Brendel,
linhas já se pronunciou reiteradas vezes “burro demais” para usar
Hans-Georg Eßer, Markus Feilner, Oliver Frommel, o Windows. Mas podemos ir mais longe: combinações clássicas de
Marcel Hilzinger, Mathias Huber, Anika Kehrer,
Kristian Kißling, Jan Kleinert, Daniel Kottmair, tecnologia, como a associação da plataforma da Microsoft com os
Thomas Leichtenstern, Jörg Luther, Nils Magnus.
processadores de arquitetura x86 --- conhecida pelo jargão Wintel ---,
Anúncios:
Rafael Peregrino da Silva (Brasil) fazem há anos as vezes do feijão com arroz no restaurante da com-
anuncios@linuxmagazine.com.br
Tel.: +55 (0)11 3675-2600 putação, independentemente de essa ser sempre a melhor escolha.
Penny Wilby (Reino Unido e Irlanda)
Do lado do servidor, por outro lado, a regra atualmente é, no geral,
pwilby@linux-magazine.com uma combinação dos processadores da referida arquitetura com o
Amy Phalen (América do Norte)
aphalen@linuxpromagazine.com
Linux --- neste caso, já se fala em Lintel. No mundo da mobilidade,
Hubert Wiest (Outros países) a combinação da vez é entre Linux (na figura da distribuição Li-
hwiest@linuxnewmedia.de
nux do Google, o Android) e os processadores de arquitetura ARM.
Diretor de operações
Claudio Bazzoli Desta feita, o abandono à tal zona de conforto precisa necessa-
cbazzoli@linuxmagazine.com.br
riamente estar aliado a um grande estímulo, seja ele financeiro ou
Na Internet:
www.linuxmagazine.com.br – Brasil social --- neste último caso, o tal do fator “coolness”. E, quando
www.linux-magazin.de – Alemanha
www.linux-magazine.com – Portal Mundial esse estímulo simplesmente não aparece, muitas vezes oportuni-
www.linuxmagazine.com.au – Austrália
www.linux-magazine.es – Espanha
dades espetaculares acabam por ser desperdiçadas. O profissional
www.linux-magazine.pl – Polônia e o gestor de TI, bem como os próprios fabricantes de tecnologia,
www.linux-magazine.co.uk – Reino Unido
www.linuxpromagazine.com – América do Norte deveriam poder se despir de hábitos arraigados e buscar a solução
Apesar de todos os cuidados possíveis terem sido tomados que fosse mais adequada para cada situação, ao invés de teimar
durante a produção desta revista, a editora não é responsável
por eventuais imprecisões nela contidas ou por consequências em usar o velho martelo de sempre, mesmo quando só há parafu-
que advenham de seu uso. A utilização de qualquer material da
revista ocorre por conta e risco do leitor. sos disponíveis. No cenário atual da computação, considerando
Nenhum material pode ser reproduzido em qualquer meio, em a miríade de sistemas disponíveis, nos quais mesmo o hardware
parte ou no todo, sem permissão expressa da editora. Assu-
me-se que qualquer correspondência recebida, tal como car- está se tornando livre, temos que aprender a avaliar caso a caso
tas, emails, faxes, fotografias, artigos e desenhos, sejam for-
necidos para publicação ou licenciamento a terceiros de forma
qual solução entrega a melhor relação custo-benefício, o menor
mundial não-exclusiva pela Linux New Media do Brasil, a me-
nos que explicitamente indicado.
aprisionamento a determinado fornecedor, a maior longevidade
Linux é uma marca registrada de Linus Torvalds. no mercado, as melhores condições de suporte e garantia, além,
Linux Magazine é publicada mensalmente por: claro, da disponibilidade de profissionais para lidar com a solu-
Linux New Media do Brasil Editora Ltda.
Rua São Bento, 500
ção. Ao fazer isso, seremos capazes de identificar algumas pérolas
Conj. 802 – Sé esquecidas sobre a penteadeira da TI, que são capazes de forne-
01010-001 – São Paulo – SP – Brasil
Tel.: +55 (0)11 3675-2600 cer um diferencial competitivo que vai fazer a diferença na hora
Direitos Autorais e Marcas Registradas © 2004 - 2013: de fechar aquele contrato junto ao cliente. Deixar o comodismo
Linux New Media do Brasil Editora Ltda.
Impressão e Acabamento: EGB de lado e correr aquela milha extra são atitudes essenciais para o
Atendimento Assinante sucesso profissional em um terreno de concorrência tão acirra-
www.linuxnewmedia.com.br/atendimento
São Paulo: +55 (0)11 3675-2600 da como é a TI de hoje. Ouça quem tiver ouvidos para ouvir. ■
Rio de Janeiro: +55 (0)21 3512 0888
Belo Horizonte: +55 (0)31 3516 1280
Rafael Peregrino da Silva
ISSN 1806-9428 Impresso no Brasil
Diretor de Redação
CAPA
4 www.linuxmagazine.com.br
Linux Magazine 102 | ÍNDICE
COLUNAS ANDROID
Alexandre Borges 08
Charly Kühnast 10
Kurt Seifried 11
Augusto Campos 14
Klaus Knopper 15
Zack Brown 18
NOTÍCIAS Nexus 10 68
Geral 22 A gigante Google lança um novo dispositivo pronto para combater o
iPad. O Nexus 10 associa um bom hardware à versão mais recente
➧ Twitter implementa autenticação de dois fatores
do Android, tudo isso com um bom preço e um visual matador.
➧ Brasil lidera ranking mundial de ataques com o vírus Conficker
➧ Positivo lança aplicativos para alunos do ensino Fundamental e Médio
ANÁLISE
CORPORATE
Coluna: Jon “maddog” Hall 24
Notícias 30
➧ Komputer promove workshop gratuito de gestão de projetos
➧ HP e Google vão entregar solução para PME entrar na nuvem Extensões de protocolo IMAP 4 70
➧ Ex-executivos da HTC criam nova marca de smartphones Um conjunto de extensões de protocolo mantém o protocolo
➧ Telebras expande rede para melhorar ambiente dos provedores legado IMAP 4 utilizável, o que também ajuda os clientes móveis.
Apresentamos uma mistura saudável de extensões úteis.
TUTORIAL
Auxílio construção 75
Como lidar com pacotes de cluster 61 Máquinas virtuais podem ser fáceis de criar e remover se forem
Adicionar e eliminar software a partir de um cluster em mais gerenciáveis. Possuir as ferramentas certas pode ajudar.
execução pode ser complicado; no entanto, muitos pacotes de
aplicativos podem ser adicionados ou removidos facilmente
com algumas ferramentas e alguns truques simples. SEGURANÇA
Acesso remoto com autenticação de dois fatores 54
Neste artigo, apresentamos uma visão geral das soluções de
autenticação e abordagens potenciais para casos de uso comum que
fogem ao uso de senhas regulares.
SERVIÇOS
Editorial 03
Otimize a organização de dados em disco 64 Emails 06
O Defragfs otimiza arquivos em um sistema e permite Linux.local 78
que vídeos carreguem mais rapidamente e que
grandes arquivos abram em um piscar de olhos. Preview 82
Permissão de escrita
CARTAS
6 www.linuxmagazine.com.br
Coluna do Alexandre
Metasploit –
COLUNA
parte II
Aprenda como uilizar workspaces e procurar por máquinas
vulneráveis com o framework Metasploit.
por Alexandre Borges
N
o mês passado abordamos como instalar mais recentes. Para realizar esta tarefa, basta executar
o Metasploit em um ambiente Ubuntu e, o comando msf > msfupdate.
naquele momento, evitamos utilizar a dis- O Metasploit utiliza um banco de dados PostgreSQL
tribuição BackTrack para que tivéssemos a opor- por padrão (e atualmente é o único suportado). As op-
tunidade de observar os passos envolvidos na con- ções presentes do framework são diversas e, por exemplo,
figuração inicial do framework. A partir de agora podemos executar comandos que nos ajudem a fazer o
não fará grande diferença se o leitor estiver usando levantamento das informações sobre as máquinas nas
o BackTrack ou uma instalação do Metasploit feita quais estamos interessados:
manualmente no Ubuntu.
msf > whois linuxmagazine.com.br
O Metasploit é um framework que nos permite rea- msf > nmap -sS 192.168.1.1
lizar ataques dos mais variados e por isso é importante
conhecer alguns termos: Isso funciona bem mas pode ser muito trabalho-
Exploit: método usado pelo hacker para atacar um so e incômodo gravar os resultados da saída de co-
serviço ou aplicativo da máquina alvo com o intuito de mandos com o nmap. Por este motivo, é possível que
aproveitar-se de uma vulnerabilidade. os resultados dos comandos sejam armazenados no
Payload: código ou comando a ser executado contra nosso próprio banco de dados do Metasploit e, mais espe-
alvo através (ou após) de uma vulnerabilidade explorada. cificamente, em uma área de trabalho ( workspace)
Shellcode: código normalmente escrito em lin- da ferramenta.
guagem Assembly que pode ser executado na má- Para que possamos listar quais workspaces temos,
quina alvo e fornecer ao hacker um Shell interativo. digite o comando msf > workspace``. Por padrão,
Módulos auxiliares: softwares que podem ser usa- sempre teremos o workspace “ default” setado como
dos com finalidades complementares, por exemplo, ambiente principal.
realizar um escaneamento. Antes de prosseguirmos, surgiro que o leitor faça o
Para iniciar o Metasploit, execute o comando: download do ambiente Metasploitable 2 [1], com a
finalidade de acompanhar o tutorial sobre o assunto.
msfconsole
Trata-se de uma máquina virtual (VMware, é claro)
Uma vez dentro do console Metasploit, teremos com uma série de vulnerabilidades que podem ser tes-
acesso à todas as alternativas possíveis para realizar os tadas e exploradas pelo framework do Metasploit. Para
passos de um ataque sem qualquer restrição. É inte- facilitar a vida do leitor, o usuário e senha padrão do
ressante notar que, assim que o comando msfconsole Metasploitable 2 é msfadmin.
é executado, é apresentado um pequeno relatório Caso haja tempo livre, surgiro fortemente ler os do-
com a versão do Metasploit, o número de exploits, cumentos na página da ferramenta [2].
payloads e módulos auxiliares que estão inclusos Com o ambiente Metasploitable 2 no ar, é pos-
nesta versão. É por isto que, habitualmente, costumo sível usar uma variante do nmap para armazenar os
atualizar as definições do framework com os exploits resultados do escaneamento:
8 www.linuxmagazine.com.br
msf > db_nmap - sS 192.168.1.107// mais do que um workspace, poderá criar diversas
(esta seria nossa máquina Metasploitable 2) outros através do comando msf > workspace -a teste.
Depois de o escaneamento ser concluído, os Para alternar entre os workspaces, faça:
resultados armazenados podem ser verificados de msf > workspace teste
muitas formas. Por exemplo, para listar quais hosts msf > workspace
foram escaneados até aqui, execute o comando msf msf > workspace default
> hosts. O resultado será algo como:
Hosts address mac name os_name os_flavor os_sp purpose info comments
192.168.1.107 - 00:0C:29:D9:66:B9 - - - - - - Unknown device
A máquina listada neste resultado possivelmente No mês que vem volto com mais sobre o Me-
tem diversos serviços no ar. Para realizar uma listagem tasploit. Até mais.
deles, execute o comando msf > services. Note que
todos os resultados estão guardados no Metasploit e, Mais informações
quando necessário (e nas colunas futuras) poderemos [1] Metasploitable 2: http://sourceforge.
usá-los da forma que nos for mais conveniente. net/projects/metasploitable/
Caso não seja mais o nosso objetivo guardar tais files/Metasploitable2/
resultados, apague o workspace com o comando [2] Documentos do Metasploitable 2:
msf > workspace -d default e em seguida verifique o https://community.rapid7.com/docs/
DOC-1875Alexandre Borges.
estado dos hosts com msf > hosts.
O resultado do último comando deverá vir vazio
pois apagamos o workspace no qual trabalhávamos. Alexandre Borges (linkedin: br.linkedin.com/in/aleborges) é instrutor e especia-
Como este workspace era o único que tínhamos, lista sênior em sistemas operacionais Unix, Linux, Banco de Dados, Virtualiza-
ção, Cluster, Storage, Servidores, Backup, Desempenho e Segurança, além
automaticamente o Metasploit cria um novo works- de possuir profundo envolvimento com assuntos relacionados ao kernel Linux.
pace para nós. Caso o leitor deseje trabalhar com
Dstat
COLUNA
Q
uantas vezes já escrevi sobre as ferramentas processo que atualmente monopoliza a maior parte
que possuem “top” ou “estatística” em seus da RAM. Na minha área de trabalho isto é repre-
nomes? Parece que inúmeras vezes. Atual- sentado, não surpreendentemente, pelo Firefox. O
mente, o Dstat [1] contempla esses inúmeros +1. plugin --top-io revela o processo que está gerando
Esta ferramenta, inclusa nos repositórios de muitas a carga mais rígida e que é responsável pelas ope-
distribuições, pretende salvar o usuário do problema rações de I/O subjetivamente tidas como lentas.
de usar inúmeras outras ao mesmo tempo, devido O Dstat também permite visualizar coerências
ao envio de muitas ferramentas de relatórios de sis- de uma ótima maneira. Além da CPU, disco e car-
tema para um merecido descanso. ga de rede, o Dstat mostra os processos que cau-
Embora o Dstat careça da falta de parâmetros, sam a maior carga de CPU, I/O e memória em um
chamei-o pela primeira vez sem qualquer um deles. pequeno servidor. Este ponto de vista é muito útil
Os resultados foram linhas por segundo do mais im- porque, se ocorrer uma sobrecarga, ele apontará de
portante sistema de dados já escrito. Mas, se o usuário forma bastante confiável para o local onde o fogo
quiser mergulhar nas profundezas da rede, pode usar começou. Infelizmente, precisamos de uma série de
os switches -tcp e -udp. Usar -N eth1 restringe a saída parâmetros infernais para evocar essa visualização:
para uma única interface. Assim como para a rede,
dstat -cdn -D sda -N eth0
outros parâmetros podem ajudar a lançar luz sob os -C total --top-cpu --top-io
detalhes para todos os outros componentes do sistema. --top-mem -f 5
Isso tudo é muito bom e funciona muito bem, mas
a verdadeira diversão com o Dstat começa quando Se quisermos visualizar os valores graficamente,
olhamos para a lista de plugins. O ambiente da ferra- teremos o prazer de tomar conhecimento da possi-
menta inclui cerca de três dezenas deles, incluindo bilidade de gravar toda a saída em um arquivo se-
um “Hello World” e um plugin “Test”, que podem parado por vírgulas. No entanto, só o tempo dirá se
servir como pontos de partida para extensões próprias. o Dstat realmente não irá nos impedir de escrever
Os plugins cobrem uma gama considerável de sobre as (inúmeras) principais ferramentas estatísticas
tarefas. Nada menos que cinco delas estão relaciona- pela terceira vez, em algum momento no futuro. ■
das com o MySQL, três cobrem o InnoDB e quatro
cobrem o NFS. Outras mostram o comprimento da Mais informações
fila para o Sendmail ou Postfix – ordenada por “en- [1] Dstat: http://dag.wieers.com/home-made/dstat/
tradas”, “ativadas” e “autorizadas” – e muito mais.
10 www.linuxmagazine.com.br
Coluna do Kurt
COLUNA
XML seguro
Problemas de segurança no XML são numerosos, mas podemos tomar
medidas para limitar sua exposição – ou usar um padrão diferente.
por Kurt Seifried
P
ara a coluna deste mês, pretendo escrever sobre um encanamento – todo mundo usa, mas ninguém
XML seguro e como evitar todos os ataques e realmente pensa sobre o assunto até que ele quebre e
problemas que possam ocorrer. Comecei fazen- seja necessário chamar um encanador para consertar.
do uma lista tanto das questões mais conhecidas como Ataques ao XML ocorrem em duas grandes categorias:
das mais obscuras. Depois de listar 20 itens, percebi aqueles contra o parsing/manipulação de camada e
que não teria espaço suficiente para cobrir tudo [1], aqueles contra o software que utiliza os dados.
então optei pelo plano B: em vez de tratar dos proble-
mas, analisei as soluções. Isso funcionou razoavelmente Parsing de XML
bem, até que percebi um pequeno problema: mesmo Como mencionado antes, o XML é um formato
que o leitor use softwares como o novo defusedxml [2] muito complexo. Ele permite que os esquemas se-
e defusedexpat [3] baseado em Python, uma série de jam definidos para documentos XML; por exemplo,
problemas ainda são difíceis de lidar. um documento XML que representa uma ordem
pode ser definido de tal forma que deve conter um
Uma breve história do XML ID do cliente, um ou mais códigos de pedido e um
O XML veio do W3C (World Wide Web Consor- código de opção de desconto. Isso permite um nível
tium), que também nos trouxe o SGML, SOAP e o de lógica muito alto a ser especificado para garantir
conhecido HTML. Dizer que o XML e sua família que os documentos sejam corretos e bem formados.
de padrões relacionados são complicados é uma O XML também permite a assinatura criptográ-
subestimação grosseira – com XML, XML Sche- fica dos dados dentro do arquivo e a criptografia de
ma, RELAX NG, XPath, XSLT, assinaturas XML e dados. Essa criptografia permite que os dados sejam
criptografia XML, para citar apenas alguns. O XML transferidos com segurança de ponta a ponta em
também foi estendido para XHTML, RSS, Atom e sistemas usando XML, independentemente dos sis-
KML, para citar mais alguns padrões. A única boa temas e redes entre eles. A assinatura também pode
notícia que tenho é que o XML e boa parte de sua ser usada para garantir que documentos XML falsos
família de padrões não é Turing completa [4] (ao não sejam injetados (por exemplo, ao executar uma
contrário, por exemplo, do PostScript), mas é pos- loja online que recebe ordens de outras empresas
sível incorporar uma lógica bastante elaborada em via XML, seria possível usar este recurso para au-
arquivos XML que podem causar problemas nos tenticar ordens falsas).
mais diversos parsers. O parsing de XML é tão complicado quanto o
Uma observação: quase ninguém usa XML direta- documento em si. Podemos fazer o parse de um
mente; ele é mais frequentemente usado como um documento XML de uma só vez, mas também é
formato de intercâmbio para mover dados de um possível fazê-lo como um fluxo de dados. Esta abor-
aplicativo no sistema A para outro aplicativo no sis- dagem permite que os sistemas abram uma conexão
tema B. Como tal, muitos sistemas de virtualização, e iniciem a transmissão em XML (por exemplo, or-
por exemplo, usam XML para manifestos/controle dens em tempo real) e também permite o parsing
de arquivos. Em geral, o XML é muito parecido com de grandes documentos (por exemplo, de vários
12 www.linuxmagazine.com.br
cados podem impedir um invasor de realizar ataques é melhor que complicado). Para encontrar uma
de injeção XML com sucesso ou modificar os dados biblioteca para o seu idioma, simplesmente use o
de forma que possam causar problema. Google para encontrar sua linguagem de programa-
Se precisamos assinar ou criptografar documentos ção favorita com termos como “json and validation
XML, é recomendável pensar muito seriamente so- or schema”, não faltarão opções. ■
bre soluções alternativas. Várias grandes bibliotecas
XML não suportam assinatura, e tudo isso é discutí- Mais informações
vel, já que o padrão de criptografia XML comporta
[1] Seu parser de XML irá destruir tudo o
problemas técnicos significativos que, basicamente, que sempre amamos: http://portal.
as mantêm quebradas na maior parte do tempo [6]. sliderocket.com/CJAKM/xml-attacks
O preço da
COLUNA
expansão
Para expandir, determinados produtos e serviços pagam um alto
preço: o aumento de sua complexidade.
por Augusto Campos
U
m dos pontos fortes da expansão do Linux anos atrás se perdeu completamente pelo caminho, e
(e de vários componentes open source que hoje a administração profissional de sistemas envol-
costumam acompanhá-lo) foi a simplici- ve conhecer uma miríade de componentes que até
dade de configuração de servidores para vários dos pouco tempo atrás não existiam nem eram deman-
serviços online mais comuns: web, e-mail, com- dados, mas hoje se tornaram de fato indispensáveis.
partilhamento, proxy, filtro de pacotes etc. Eram Eu aplaudo de pé essa tendência, pela evolução que
poucos componentes, com configurações bastante significa para as plataformas livres.
centralizadas, e que tinham todos os recursos exigi- Mas para mim há um porém: escrevo diariamente
dos – frequentemente eram as suas próprias imple- para algum dos três blogs que mantenho (BR-Linux,
mentações que definiam quais os recursos a exigir. Efetividade e BR-Mac), mas a cada mês a minha
Softwares como Samba, Squid, Postfix e Apache se disponibilidade de tempo para escrever se reduz,
tornaram a referência em seus âmbitos. porque as tarefas de administração das suas infraes-
Mas a forte presença na camada dos servidores levou truturas (que executo com muito prazer) são cada
ao avanço em direção à camada de aplicação, cujo su- vez mais complexas e críticas.
porte conduziu à criação do que ficou conhecido como Para ficar em um exemplo que é de várias cama-
a “plataforma LAMP”: Linux + Apache + MySQL + o das acima, vou mencionar o WordPress: eu o esco-
ambiente de uma linguagem (PHP, Python, Perl etc.). lhi há alguns anos, porque ele era fácil de instalar
A evolução do LAMP permitiu o fortalecimento e atualizar, carregava rapidamente as páginas e,
de diversos aplicativos essenciais para uma série de principalmente, porque na sua configuração padrão
serviços online: gerenciadores de conteúdo (como a interface de administração era simples e rápida
o WordPress ou o MediaWiki), fóruns, sistemas de de carregar, sem pausa entre a ideia e começar a
suporte a portais, webmails, PIMs e outros. Nesse escrevê-la. Mas os anos se passaram, ele inchou
avanço que transforma cada vez mais os aplicativos em recursos, e agora o cenário dele mudou, como
criados para plataforma web em algo bastante próxi- ocorreu com os servidores web.
mo dos seus equivalentes nas plataformas desktop, Não me desagrada a mudança, mas não é a mim
multiplicam-se as demandas nos servidores: vários que ela interessa. A cada dia tenho pensado em buscar
esquemas de cache, aceleradores, serviços de su- alternativas mais leves e simples para esses serviços
porte à aplicativos, virtualização, redes de armaze- (para o WordPress eu já encontrei), e compartilho
namento, distribuição geográfica de conteúdo etc. com vocês este breve desabafo para que outros que
Eles também ficaram mais críticos para a missão passam pela mensa reflexão saibam: vocês não es-
de muitos dos participantes do mercado, e assim, tão sozinhos! ■
os investimentos em sua disponibilidade, escalona-
bilidade e segurança cresceu também. Augusto César Campos é administrador de TI e, desde 1996, mantém o
Tudo isso é bom e desejado, mas aquela relativa site BR-linux.org, que cobre a cena do Software Livre no Brasil e no mundo.
simplicidade de configuração e manutenção de 10
14 www.linuxmagazine.com.br
Coluna do Klaus
Pergunte
COLUNA
ao Klaus!
Klaus Knopper responde às suas perguntas sobre Linux.
Olá Klaus, li recentemente suas dicas menos que haja algo errado com as configurações
sobre a instalação do sistema Knoppix em do dispositivo. Não sei os meandros de quando usar
um disco rígido. Segui as instruções para hd0[1/2/3] ou /dev/sda0[1/2] ou /dev/hda0[1/2], mas,
a instalação da partição swap de 1GB, a partição a partir da versão em CD, o Knoppix é visualiza-
ReiserFS e o Knoppix 7 sem problemas, mas há do em /dev/sda1 (Windows), /dev/sda2 (swap), e /
algo de errado com o gerenciador de boot GRUB. dev/sda3 (Knoppix). Possivelmente há novamente
Ele exibe um menu, mas não responde ao teclado algum problema com a falta de rotinas de suporte
e também não apresenta o boot por padrão no do BIOS em GRUB.
tempo de espera. Alguma ideia de como resolver isso? A versão em
Fiz a instalação em um velho laptop Acer CD do Knoppix 7.0 parece fazer tudo o que preci-
Travelmate 3750 com um processador P3. Ele tem so, então realmente gostaria de fazê-lo funcionar
problemas à medida em que não funciona sem no disco rígido, o que seria mais rápido e salvaria
uma conexão de rede e requer as configurações do várias configurações (por exemplo, para a conexão
CMOS na inicialização. Isso apenas significa que à Internet banda larga). Espero também poder en-
tenho que fazer o boot e, em seguida, definir data/ contrar algum software que receba automaticamente
hora – funcionou bem com o Ubuntu Maverick, data/hora da Internet, embora o NTP não funcione.
embora um pouco lento demais, razão pela qual Ele deve prever que a hora do sistema atual fique
decidi tentar com o Knoppix. pelo menos alguns minutos próximos do “tempo
Embora seja incapaz de fazer o boot do Knoppix real”, e não alguns anos, por conta de uma falha
direto do CD (não posso mudar a ordem do boot na bateria CMOS.
do CMOS – isso não salva as novas configurações), Neil
posso fazer o boot do disquete com um software de
gerenciamento de inicialização e, em seguida, sele- Isso soa ou como um problema entre o GRUB e
cionar fazer o boot a partir do CD; após tudo isso, a o BIOS, ou simplesmente o “suporte ao tecla-
versão em CD do Knoppix 7.0 faz o boot e executa do legado” está desativado no BIOS, e deve
sem problemas. Mais uma vez, é um pouco lento, estar em “on” se o leitor usar um teclado USB. Se o
daí minha tentativa de instalar no HD. seu computador tiver um CMOS falhando e esquecer
Não sei qual é a diferença entre o GRUB usado as configurações durante o boot, isto será suficiente
pelo Ubuntu e o que é instalado pelo Knoppix. para introduzir todos os tipos de problemas.
Minha suspeita é a de que a versão do Knoppix Aliás, ainda utilizo o GRUB versão 1 por conta de
conta com um suporte de teclado do BIOS, en- sua configuração menos complexa, que é conhecido
quanto o GRUB do Ubuntu carrega um módulo por trabalhar bem também em computadores mais
de suporte a teclado. Não tenho ideia por que ele antigos. O GRUB 1 é configurado com um arquivo
não faz o boot por padrão no tempo de espera, a chamado /boot/grub/menu.lst, que contém todos os
16 www.linuxmagazine.com.br
Oi Klaus, poderia recomendar uma plata- que contempla bons tutoriais sobre a construção
forma onde é possível construir um painel de interfaces de usuário. Procurar por “squeak user
de instrumento virtual para o meu barco? interfaces” irá guiá-lo para alguns deles.
Quero medidores para motor e hélice em formato Se o leitor planeja acesso de baixo nível ao hard-
RPM, além de temperatura e pressão do óleo, tem- ware, C++ ou C com chamadas de sistema/kernel
peratura e pressão de refrigeração, nível de com- é provavelmente a escolha mais eficiente, o que
bustível e fluxo, e assim por diante, para cada um exigiria o aprendizado de Gtk [5] ou wxWidgets [6]
deles. Devo usar Java, possivelmente com alguns para a interface do usuário. O wxWidgets é uma
componentes reutilizáveis - beans - ou Tcl/Tk? Co- boa opção se o leitor tiver a intenção de escrever
meçar do zero em C? Ou usar alguma outra coisa? um aplicativo multiplataforma que funcione em
Não sou um programador experiente, mas consigo diferentes sistemas operacionais. n
me virar bem.
Shane
Mais informações
Para a interface de usuário pura, o leitor po- [1] Kernel bug tracker: https://bugzilla.kernel.org/
deria usar o Qt Designer [2] ou o KDevelop
[2] Qt Designer: http://qt-project.org/
[3] e projetar o painel de instrumentos com
doc/qt-4.8/designer-manual.html
poucos cliques do mouse. No entanto, ainda terá que
aprender a linguagem de programação C++ para co- [3] KDevelop: http://www.kdevelop.org/
nectar ações e comandos para os elementos de con- [4] Squeak/Smalltalk: http://www.squeak.org/
trole virtuais, caso contrário, sua interface de usuário
parecerá boa, mas não irá fazer absolutamente nada. [5] Gtk: http://www.gtk.org/
Outra possibilidade seria usar um ambiente de [6] wxWidgets: http://www.wxwidgets.org/
programação gráfico como Squeak/Smalltalk [4],
Estoques NF-e
Vendas
Fornecedores
Clientes
SOFTWARE
ERP – SISTEMA DE GESTÃO
A micro e pequena empresa ganha uma solução de classe mundial de Saiba mais em:
sistemas de gestão ERP. O Kontroller dispensa aquisição de hardware,
licenças de software, técnicos de suporte ou sistema de backup. Garante www.vectory.com.br
alta disponibilidade
Linux Magazine #102 | e oferece
Maio de 2013 fácil acesso via browser. +55 11 3104 17
6652
Coluna do Zack
Crônicas
COLUNA
do kernel
O cronista Zack Brown informa sobre as novidades, a situação,
os dilemas e o desenvolvimento na comunidade do kernel Linux.
por Zack Brown
18 www.linuxmagazine.com.br
criar um projeto diferente só para essa finalidade, ou sistema do kernel que permite aos usuários criar e
até mesmo linká-lo nas fontes do kernel. Ele suge- executar sistemas virtualizados em um sistema Linux
riu que outros projetos poderiam querer modificar em execução. É ótimo! E a kvmtool é a ferramenta do
os termos do DCO, e por isso gostariam de ter uma espaço do usuário que realmente faz o boot das ima-
cópia própria do texto explicativo e alterá-la de acor- gens da KVM para que os usuários possam utilizá-las.
do com suas necessidades. Alan concordou com isso. Em resposta à pergunta de David, Stephen
Essencialmente, qualquer projeto de software livre Rothwell disse que Linus Torvalds não queria incluir
pode desejar fazer o “fork” do DCO, e isso não deve a kvmtool no kernel, portanto Stephen iria removê-
implicar em grandes problemas. la da árvore -next; ele pediu a Ingo Molnár para
Neste ponto, Trevor W. King disse que estava ten- removê-lo de sua árvore tip/auto-latest também.
do problemas para identificar a licença sob a qual o No entanto, Ingo disse que pretende manter a
DCO-1.1 foi lançado. Ele mencionou um comentário kvmtool em sua árvore, porque ele a utilizava para
muito interessante de Linus em 2004 [1], e apontou testes e não tinha encontrado nenhum problema, e
que Linus tinha criado ele mesmo os patches iniciais porque Pekka Enberg estava planejando apresentar
que adicionaram o DCO ao arquivo Documentation/ uma nova versão a Linus, em um futuro próximo, e
SubmittingPatches. Trevor também mencionou um que poderia ser aceita. H. Peter Anvin respondeu:
comunicado de imprensa da Open Source Development “então, por que nós não deixamos Linus aceitá-lo
Labs (OSDL) anunciando a DCO-1.1 [2] e, especifi- ou rejeitá-lo para o merge 3.9, mas, se rejeitado,
camente, a parte onde a OSDL informava: “© 2005 nós o retiramos do linux-next até que as objeções
Open Source Development Labs, Inc. O certificado de de Linus sejam abordadas?”
origem do desenvolvedor 1.1 está licenciado sob uma Stephen não achou que havia muita chance
atribuição de compartilhamento em Creative Com- do patch de Pekka ser aceito, e ressaltou que não
mons (Creative Commons Attribution-ShareAlike 2.5 queria que Ingo removesse a kvmtool de sua própria
License). Se o usuário o modificar deverá usar um árvore, mas apenas da parte que residia em linux-
nome ou título distinto de “Developer’s Certificate of -next. Ele citou Linus, dizendo: “eu ainda não vi
Origin” ou “DCO” ou qualquer outro nome similar”. um argumento convincente para fundi-la. São
Trevor perguntou: “qual é a licença DCO distribuída toneladas de código, não coincide com o modelo
e quem detém os direitos autorais?” Não houve resposta original ‘pequeno simples’, e acho que se sairia
na lista de discussão, mas em um post logo após o ocor- melhor como um projeto separado”.
rido Trevor anunciou que tinha criado um novo reposi- Ingo respondeu que a versão -next da árvore era
tório Git preservando o histórico de commits do DCO idêntica à sua árvore de trabalho, e ele não queria
[3]. Como ele derivou este novo repositório do kernel que houvesse divergência entre elas, embora dissesse
Linux e do projeto Git, ambos os quais licenciados sob que mudaria isso se Linus realmente quisesse. No
a GPL versão 2, ele lançou seu próprio repositório sob a entanto, ele acrescentou que a kvmtool estava melho-
GPL versão 2 também. Trevor disse: “para quem estiver rando bem, teve várias dezenas de colaboradores, e
usando um projeto GPLv2, é possível mesclar o ramo foi muito útil para o desenvolvimento do kernel. Ela
“signed-off-by” diretamente em seus projetos”. ajudou no desenvolvimento da KVM e também foi
Mas acrescentou: “como muitos projetos que não es- usada para testar recursos experimentais do kernel
tão sob a GPLv2 ainda podem querer usar a abordagem sem ter que fazer o reboot de todo o sistema.
DCO/s-o-b, incluí um exemplo de arquivo CONTRIBUTING (e Revelando sua frustração com o debate, Ingo conti-
CONTRIBUTING.md para o GitHub), que está licenciado sob a nuou: “que mal faz o tools/kvm?” E “por favor, não ten-
permissiva licença Creative Commons CC0 1.0 Universal. te danificar código útil valendo-se apenas de algumas
Mescle o ramo ‘contributing’ ou ‘contributing-github’ com partes”. E concluiu: “vamos acabar com este disparate,
seu projeto e edite como desejar”. Luis estava em êxtase IMO simplesmente não é construtivo”. Linus ingres-
sobre isso e imediatamente começou a incorporar o traba- sou na discussão nesse momento. Afirmou que não via
lho de Trevor em seus próprios projetos de software livre. nenhuma boa razão pela qual a kvmtool não devesse
permanecer como projeto autônomo. E ressaltou que
Critério para inclusão de projeto as alegações de Ingo de que a kvmtool era útil para o
Houve um pouco de comoção com a kvmtool recente- desenvolvimento do kernel eram bem verdadeiras, mas
mente, quando David Rientjes perguntou se a kvmtool que isso não era suficiente para fazer o merge no kernel.
jamais seria migrada do linux-next para o kernel ade- Ele também pontuou que a subordinação da
quado. A KVM (Kernel Virtual Machine) é um sub- kvmtool ao kernel apenas tornaria mais difícil para os
20 www.linuxmagazine.com.br
David Woodhouse concordou, acrescentando: “se para os antigos merges completos ao linux-next a cada
quiser usar peças da infraestrutura do kernel, depois duas semanas. Desta forma, o tools/kvm ainda estará
é só pegá-las. Há uma série de projetos que usam as disponível em tip:master (incorporado após integra-
ferramentas de configuração do kernel, por exemplo. ções completas) e ainda existirão os diários (ou mais
Não há nenhuma necessidade de estar no repositório frequentes) delta-merges de tip:master na medida em
do kernel. E para reutilização de código é ainda mais que novos bits ficarem prontos – com o risco ocasional
fácil extrair automaticamente as partes do código kernel da reintegração total ser feita para linux-next”.
em um repositório separado. Veja as árvores ecos-jffs2 Ingo continuou: “não é, obviamente, o melhor, mas
e linux-headers, por exemplo, que acompanham auto- isso é o melhor que pude chegar dadas as limitações”. ■
maticamente a árvore de Linus com uma certa transfor-
mação para torná-las sãs apenas puxando os repositórios Mais informações
relevantes de destino”. [1] Discussão sobre o DCO: http://article.
gmane.org/gmane.linux.kernel/205867/
O debate continuou e foi ficando cada vez mais ca-
loroso. Ingo e Pekka continuaram a insistir que haviam [2] OSDL DCO press release: http://web.
benefícios reais e mensuráveis para a inclusão da kvmtool archive.org/web/20070306195036/ e
na árvore principal, enquanto Linus continuou a insistir http://osdlab.org/newsroom/press_
releases/2004/2004_05_24_dco.html
que os benefícios identificados estavam todos centrados
na conveniência dos desenvolvedores e não no cumpri- [3] Repositório DCO Git: https://github.
mento da sua exigência de haver uma justificativa técnica. com/wking/signed-off-by/
Em última análise, Ingo disse no post final para en-
cerrar a discussão: “então, apenas para chegarmos a uma A lista de discussão Linux-kernel é o núcleo das atividades de desenvol-
conclusão, obviamente Linus está insistindo nisso, por vimento do kernel. Zack Brown consegue se perder nesse oceano de
isso removi o tools/kvm do tip:auto-latest, voltando mensagens e extrair significado! Sua newsletter Kernel Traffic esteve em
atividade de 1999 a 2005.
para os merges diários (onde tip:master era == tip:next)
Conteúdo do kit: 0
1 livro contendo o guia de estudos para a certificação LPI-1 ou 2
0 ,0 ,33
8
Curso preparatório intensivo
$ 65 10
2 provas para certificação LPI-1 ou LPI-2: Exames 101/102 ou Exames 201/202 $
o r R e R ros
u
Para aquisição e mais informações:
https://www.linuxnewmedia.com.br/lm/certificacao_fisl14
P
6 xd mj
e
ou s 21
Linux Magazine #102 | Maio de 2013
➧ Twitter implementa
autenticação de dois fatores
NOTÍCIAS
O Twitter deseja melhorar a segurança de sua platafor- Nas últimas semanas, Josef Blatter, FIFA, BBC, CBS,
ma – o que não é má ideia, após problemas recentes Associated Press, The Guardian e Financial Times fo-
com envio de relatórios falsos a partir de contas ha- ram apenas algumas das vítimas de contas hackeadas.
ckeadas. A autenticação de dois fatores, que o Twitter Um grupo chamado Syrian Electronic Army (Exército
chama de “verificação de login”, deverá tornar mais Eletrônico da Síria) reivindicou a autoria dos ataques,
difícil o sequestro de contas. acusando a mídia ocidental de espalhar informações
Os usuários do Twitter agora podem optar por fazer a erradas sobre a guerra civil na Síria. O ataque à Asso-
verificação de login ao selecionar a caixa “Account secu- ciated Press foi especialmente grave, pois a conta oficial
rity” (“Segurança da conta”) na página de configurações da agência de notícias no Twitter foi usada para enviar
da conta. Assim que for adicionado o número de celular relatórios falsos de explosões na Casa Branca, que su-
à conta e ativada a verificação de login, será necessário postamente teriam ferido o presidente Barack Obama.
digitar um código de seis dígitos enviado por SMS, além O novo mecanismo de autenticação de dois fatores é
da senha, a cada vez que o usuário acessar a plataforma. um passo na direção correta, mas ainda é questionável
Ao usar a autenticação de dois fatores, os usuários podem se a medida iria realmente resolver o problema dos alvos
gerar uma senha temporária para autorizar aplicativos dos últimos ataques. Organizações de notícias tendem a
para o Twitter, além de outros dispositivos. Jim O’Leary, possuir usuários múltiplos acessando a conta do Twitter,
membro da equipe de segurança do Twitter, enfatiza muitas vezes em continentes diferentes. Nestes casos,
que, mesmo que os usuários tenham ativado a verifica- possuir um celular da empresa registrado na conta seria
ção de login, ainda devem usar uma senha forte e que um problema e provavelmente impediria a utilização do
seja difícil de adivinhar. recurso de verificação de login. ■
22 www.linuxmagazine.com.br
Linux Magazine #102 | Maio de 2013 23
Coluna do Maddog
Migração Windows
CORPORATE
para Linux
Pelo progresso do Linux nos últimos 12 anos, o que seria necessário
para mover os usuários do Windows XP para o software livre?
por Jon ‘maddog’ Hall
R
ecentemente notei que a Microsoft fincou uma provavelmente não funcionará mais no Windows, ou
estaca na areia e (mais uma vez) anunciou a então aquela versão do Windows ficará tão antiga e vul-
aposentadoria do Windows XP, desta vez tendo nerável à infecção por vírus que se tornará inutilizável.
como data limite o dia 8 de abril de 2014. Dadas todas Meu amigo terá que seguir em frente, e ele não tem ne-
as outras vezes que a Microsoft anunciou a aposenta- nhuma garantia de que a empresa que fez os aplicativos
doria do Windows XP, suponho que quiseram evitar o proprietários terá portado os drivers e aplicativos para a
dia primeiro de abril. Mas discordo. próxima versão do Windows – ou para qualquer versão
À luz deste anúncio, me perguntava como a comu- do Windows – ou mesmo se ainda existirá como uma
nidade de software livre e aberto poderia influenciar o empresa. Claro, ele pode tentar executar versões ante-
imenso número de clientes do Windows XP que não riores do Windows e aplicativos sob vários emuladores
migraram para outro produto da Microsoft, como o Vis- e máquinas virtuais, porém cedo ou tarde tal tarefa se
ta, o Windows 7 ou Windows 8. Estes usuários teriam tornará um pesadelo de gestão, mesmo que seja apenas
muitas alternativas diferentes da Microsoft para escolher, um sonho pessoal ruim.
mas ficaram com o Windows XP. Como o Windows XP
foi lançado em 2001, isto significa que eles estão usando
a mesma tecnologia de sistema operacional da Micro- A comunidade de
soft que existia quando a Linux Magazine era jovem.
Quando os usuários da Microsoft começaram a pla- software livre e aberto
nejar a mudança para a nova tecnologia da empresa,
atualizando seus (muito caros) sistemas operacionais
precisa colocar um pé
e aplicativos, recebendo novo hardware para executar à frente e consertar
o software Microsoft, pagando licenças cada vez mais
restritivas de atualização, recebendo o treinamento ne- os problemas que
cessário para novas versões do software proprietário e impedem as pessoas de
certificando-se de que seus dados e aplicativos migras-
sem corretamente – este poderia ser o momento para migrarem para esses
sugerir uma migração para o software livre e aberto.
Claro, existem alguns negativistas. Um amigo expli-
sistemas, especialmente
cou que utiliza Linux em seus servidores e Linux em do Windows XP para o
casa, mas precisa do Windows para três coisas: aqueles
dispositivos estranhos que ele usa em sua área de trabalho GNU/Linux; precisamos
(por exemplo, um SIM card de leitura/escrita e aplica-
tivos), os documentos do PowerPoint que ele recebe e
corrigir alguns dos
apresenta, e – é claro! – jogos. Assim, ele “fica com o problemas reais e
Windows” para alguns de seus trabalhos profissionais.
Tenho más notícias para o meu amigo porque um dia, abordar os imaginários.
no futuro, seu SIM card de leitura/escrita e aplicativos
24 www.linuxmagazine.com.br
Reconheço que às vezes sinto inveja de pessoas que também mencionam o Linux ou mostram um simpático
compraram software de desktop que “simplesmente fun- pinguim Tux. Doze anos atrás, o GNU/Linux não era
cionou”. Por outro lado, como o software tornou-se mais considerado uma plataforma de sistema operacional
complexo e crescido, também notei que o software mui- de “missão crítica”. Hoje em dia, as pessoas executam
tas vezes não funcinou mais até que fosse adquirida uma seus aplicativos de “missão crítica” utilizando software
nova cópia. E é nessa hora que volto a apreciar o software livre e aberto. Atualmente as pessoas estão usando soft-
livre e aberto. Este é, no entanto, o tema da edição 150 ware livre (e, pelo menos, o kernel Linux) em muitos
da Linux Pro, então acho que vale a pena parar e pensar lugares onde apenas se tratava de um sonho em 2001,
sobre o quão longe chegamos nos últimos 12 anos. Na- e é por isso que precisamos fazer um grande esforço
quela época muita gente ainda não conseguia nem pro- durante este ano para ampliar esse uso.
nunciar a palavra “Linux” e, se pudessem, ririam do fato A comunidade de software livre e aberto precisa
de ter que usar este “sistema operacional de brinquedo”. colocar um pé à frente e consertar os problemas que
Apenas alguns anos antes as grandes empresas de impedem as pessoas de migrarem para esses sistemas,
banco de dados começaram a portar seus bancos de especialmente do Windows XP para o GNU/Linux;
dados para GNU/Linux. Empresas de sistemas embar- precisamos corrigir alguns dos problemas reais e abor-
cados tinham acabado de começar a usar vários tipos dar os imaginários. Se pudéssemos convencer essas
de software livre e aberto em vez de criar seus próprios pessoas a usar software livre em vez de mudarem para
sistemas operacionais e compiladores. A virtualização outro sistema operacional proprietário e aplicativos
era apenas visível no horizonte (o Xen foi lançado em relacionados, seria bom para toda a comunidade. Te-
2003 e o VMware, em 1999), e as únicas nuvens que mos agora pouco menos de um ano para fazer isso. ■
existiam eram aquelas vistas no céu.
Doze anos atrás, as pessoas ainda estavam lutando Jon ‘maddog’ Hall é presidente da Linux International, instituição
internacional dedicada a promover o Linux e o Software Livre e de
muito para obter drivers de dispositivos. Hoje, existem Código Aberto. Maddog viaja o mundo dando palestras e debatendo
mais caixas e propagandas de hardware que mostram com decisores sobre o uso do Software Livre em âmbito tanto
corporativo quanto comunitário.
não apenas os logotipos da Microsoft e da Apple, como
LPI-1 e 2!
Livros cação
para Cer t i fi
A Linux Magazine oferece estas edições revisadas
e ampliadas dos livros que te preparam para
as Certificações LPIC-1 e 2, com as seguintes
novidades:
O futuro
CORPORATE
dos ERPs
Qual será o futuro dos aplicativos de ERP e como reinventar este
modelo de negócio para atender aos novos padrões da TI.
por Cezar Taurion
E
m um dos recentes eventos que participei demais para se ajustar a dinâmica dos negócios atu-
surgiu um debate interessante sobre o futu- ais. Mesmo com parametrização e customizações,
ro dos ERPs (Enterprise Resource Planning), a velocidade das mudanças nos atuais cenários de
diante das ondas tecnológicas que estão quebrando negócio e a entrada acelerada de novas tecnologias
sobre nós, ou seja, as ondas da Cloud Computing, faz com que o ERP pareça um imenso petroleiro
mobilidade, Social Business e Big Data. Como foi manobrando no oceano.
uma conversa aberta, iniciada no intervalo para o O debate se centrou nesse aspecto. A arquitetura
cafezinho, pudemos levantar algumas ideias inova- atual dos ERPs é adequada ao cenário de negócios
doras e eventualmente disruptoras que, como toda do século XXI? O mundo de 2020 comporta um
disrupção, gera muita reação contrária. Mas, instigar ERP como os de hoje?
é necessário e creio que vale a pena compartilhar Flexibilidade e agilidade tornam-se fatores de
o que foi debatido. vantagem competitiva, e um sistema que demora a
Interessante é que o ERP também teve seu gran- responder passa a ser um problema e não uma so-
de momento. Lembro que há pouco mais de uma lução. Algumas ondas tecnológicas estão transfor-
década as implementações de ERP eram medidas mando o cenário da TI. A computação em nuvem
pela grandiosidade de seus projetos. Falava-se com está comoditizando os servidores, transformando
orgulho dos milhões de dólares que seriam investidos hardware em software e criando novas expectativas
(ou gastos) em sua implementação. Muitas foram sobre como as empresas passam a consumir recursos
muito bem sucedidas e outras, fracassos retumbantes. computacionais. A mobilidade e a consumerização
Havia muita expectativa com seus resultados e deslocam o eixo gravitacional da entrada de novas
cheguei a ouvir, no final da década de 90, um CEO tecnologias da área de TI para os usuários. Os apli-
dizer que após o ERP ele conseguiria “se livrar de cativos móveis exploram novas interfaces intuitivas
sua área de TI”, pois tudo o que ele precisava es- totalmente diferente das interfaces dos ERPs atu-
tava no ERP. Mera ilusão, uma vez que depois da ais, voltadas para teclado e mouse. Além disso, os
implementação dos ERPs, as áreas de TI cresce- recursos específicos dos dispositivos móveis como a
ram mais do que nunca pelo simples fato de que o geolocalização, nos permite inventar a concepção
ERP atende apenas a uma parte das necessidades dos processos. A potencialidade dos recursos dos
de informação das empresas. E esta parte está cada dispositivos móveis passa a ser refletida no projeto
vez menor. do aplicativo. Ao invés de pensarmos no smartpho-
Mas o motivo que levou empresas a adotarem o ne como apenas um meio adicional de entrega de
ERP como espinha dorsal de sua área de TI tem informações, ele passa a ser o cerne do projeto. A
sido, ironicamente, seu “calcanhar de Aquiles”. A exploração dos recursos como acelerômetros, GPS
integração entre processos, um banco de dados cen- etc., passam a orientar os processos que serão im-
tral com visão única da verdade são extremamente plementados no aplicativo. “Mobile centric” torna o
positivos, mas tornam a empresa inflexível e rígida dispositivo móvel no centro da operação e os proces-
26 www.linuxmagazine.com.br
sos giram em torno dele. É uma maneira diferente “computing is not about computers anymore. It is
de projetar sistemas. about living”.
Além disso, os ERPs devem se inserir no contex- A minha tese (pessoal) é que os ERPs se trans-
to do Social Business. Isto implica em que muitos formarão, deixando de ser um aplicativo imenso e
dos processos passam a ser colaborativos e processos monolítico com tudo integrado para se tornarem
lineares e individualizados precisam reinventar-se uma plataforma acessível por meios de APIs. Conti-
para se tornarem “sociais”. Os ERPs devem inte- nua sendo o coração dos processos, mas está aberto
grar-se às plataformas sociais. Social passa a ser o à criação de novos recursos e aplicativos. Passa a
modelo de interface predominante. ser um conjunto federado de módulos, integrados
Este novo contexto possui algumas caracterís- por uma arquitetura SOA. Na concepção de Cloud,
ticas próprias: podemos pensar em um modelo PaaS, onde a base
a) A velocidade de inovação dos aplicativos mó- são os módulos com os recursos essenciais e os adi-
veis extrapola a capacidade de qualquer vendedor tivos escritos pelos usuários e seu ecossistema. Um
de software de atender às demandas. É necessário modelo similar ao adotado pelo force.com.
criar um mecanismo que permite aos usuários desen- Para os atuais fornecedores o modelo de Cloud
volverem seus aplicativos e os conectarem ao ERP. altera de forma radical seu modelo de negócios,
b) A computação em nuvem permite que o ERP baseado em vendas de licença e altos custos de
possa operar fora da própria empresa e com isso manutenção. Não é simples transformar modelos
acaba se tornando mais flexível, moldando-se mais de negócio, mas é uma questão de sobrevivência.
facilmente às variações de demanda do workload. Pela teoria de Darwin, não são os maiores e mais
c) O conceito de Social Business faz com que fortes, mas os mais adaptáveis que sobrevivem.
as redes de conexão entre funcionários e clientes Veremos... ■
se espalhem além dos limites da empresa, criando Cezar Taurion (ctaurion@br.ibm.com) é diretor de novas tecnologias
um novo cenário, mais abrangente. Afinal, este ce- aplicadas da IBM Brasil e editor do primeiro blog da América Latina do
Portal de Tecnologia da IBM developerWorks, em https://www.ibm.com/
nário já estava descrito por Nicholas Negroponte developerworks/mydeveloperworks/blogs/ctaurion/.
em seu livro “Being Digital” de 1995, quando disse
O Intalio|bpms
| é uma plataforma completa, inovadora e de
SOFTWARE
código aberto para gerenciamento e automação de processos
de negócios. Com mais de 1 milhão de downloads, o
Intalio|bpms é a única plataforma que segue 100% dos padrões
e boas práticas de BPM, sendo referência no mercado com
adoção em mais de 2.000 empresas ao redor do mundo, nas
Linux Magazine #102 | Maio de 2012 quais otimiza recursos e maximiza resultados. 27
Coluna do Gilberto
CORPORATE
Prioridades
Chegou o momento da TI priorizar as demandas do CMO (Chief Marketing
Officer) e implementar sistemas de marketing, embora muitas empresas ainda
não tenham percebido isso.
por Gilberto Magalhães
É hora do CIO priorizar as demandas do C.M.O. Tal afir- pode abordar sua empresa nas redes sociais. Os cenários
mação fundamenta-se com as mudanças nos mercados de de promoção, venda e assistência pós-venda são defini-
atuação das empresas, fruto da conquista de poder pelo dos a cada instante. Através das informações de geoloca-
consumidor final, alavancada pelas tecnologias de colabo- lização oriundas do celular de um cliente participante
ração e de mobilidade. de um programa de fidelidade, a empresa oferece um
A Internet sem dúvida revolucionou o relaciona- desconto relâmpago para aquisição de produtos da loja
mento entre empresas e clientes, sendo num primeiro mais próxima da rede. É o marketing contextual e 1:1.
momento um repositório de conteúdo institucional e As redes sociais também revolucionaram a segmen-
de produtos/serviços, evoluindo para um canal transa- tação de mercado. Usuários de redes geram gráficos
cional. Logo surgiram novas regras de marketing que sociais contendo valiosas informações sobre o que eles
permitiram trabalhar o marketing considerando não só gostam, o poder de consumo e de influência nos seus
as oportunidades de atingir um maior número de clien- amigos e seguidores. Ferramentas de busca que consi-
tes potenciais como também os desafios da comparação deram gráficos sociais geram resultados diferentes para
direta com os concorrentes por meio de ferramentas de cada usuário. Isso muda o foco do marketing voltado
busca e sites comparativos de produtos/serviços. para essas ferramentas que passa a considerar uma va-
A receita do eCommerce começou de forma tímida, riedade de perfils de cliente em micromercados.
sobretudo por questões culturais, aquém das expectati- Como usuários de dispositivos móveis e de redes so-
vas de que tudo seria virtual, mas a cada ano esse valor ciais, tanto o CMO quanto o CIO conseguem entender
cresce significativamente, e hoje tem contribuição re- os impactos dessas tecnologias disruptivas. Juntos, eles
levante para os negócios. precisam conhecer as novas soluções tecnológicas que
Com a explosão do uso de dispositivos móveis e das intera- irão ajudar suas empresas a aproveitarem oportunidades
ções via redes sociais, a influência do consumidor está ainda e mitigarem riscos oriundos da evolução tecnológica e
mais fortalecida perante o fornecedor de produtos/serviços. do poder de atuação dos clientes.
Através do email uma pessoa consegue se comunicar Só para citar alguns assuntos de interesse comum temos:
com um destinatário ou uma lista de distribuição; um CRM no modelo SaaS; estratégia para o canal de mobili-
post numa rede social pode atingir milhares de pessoas. dade, que inclui dispositvos e aplicativos móveis, gestão e
Estima-se que 25% dos resultados de pesquisa na web so- segurança do canal de mobilidade, integração com sistemas
bre as Top 20 marcas são links gerados pelos internautas. de retaguarda, análise preditiva do comportamento dos
É natural concluir que empresas bem sucedidas se- usuários, experiência de navegação; integração das infor-
rão aquelas com capacidade de monitorar em tempo mações dos dispositivos móveis e das redes com processos
real as opiniões de seus clientes e do mercado para agir de negócios. Enfim, tudo indica que o CIO e o CMO vão
rapidamente adaptando seus produtos às necessidades trabalhar em equipe durante muitas horas! ■
e desejos dos consumidores, além de ter um posicio- Gilberto Magalhães é gerente de marketing da IBM Brasil e possui 23
anos de carreira com atuações nas áreas técnica, vendas, desenvolvi-
namento adequado para lidar com questões negativas mento de negócios e canais em empresas de software e serviços como:
que porventura possam trazer danos às suas marcas. IBM, Microsoft, Sterling Commerce, Adquira, entre outras. é formado em
Engenharia Eletrônica pela Universidade Federal do Rio de Janeiro com
A análise da experiência do cliente passou a ser contex- Mestrado em Engenharia Elétrica pela UFRJ e especialização em Busi-
ness pela Universidade de Berkeley.
tual e em tempo real. A qualquer momento seu cliente
28 www.linuxmagazine.com.br
Linux Magazine #102 | Maio de 2013 29
➧ Komputer promove workshop
CORPORATE
Palestrante
Thiago Palmeira é PMP, CAPM e trabalha atualmente
como consultor e palestrante da Young|PM Consul-
ting. Foi Gerente de Projetos na Asyst International +
Rhealeza, Siemens IT Solutions, e Siemens Enterprise
Communications, gerenciando projetos em telecomu-
nicações e TI para grande clientes como PRODESP,
Saint-Gobain, Pepsico, Metalfrio, Rayovac e Cosan.
É instrutor de cursos preparatórios para as certifica-
ções CAPM, COBIT, ITIL e ISO20k, e instrutor de
gestão de projetos para cursos preparatórios para cer-
tificação CAPM na Projectlab (referência em gestão
Para notícias sempre atualizadas e com a opinião de quem vive o mercado do Linux e do Software Livre, acesse nosso site:
www.linuxmagazine.com.br
30 www.linuxmagazine.com.br
HP e Google vão entregar foco da empresa será disseminar smartphones para o
solução para PME mercado europeu.
Ambos executivos saíram da HTC quando uma série
entrar na nuvem de funcionários-chave foram demitidos.
A HP apresentou a primeira fase do HP SMB IT in a Uma das estratégias da companhia para se dife-
Box – uma solução de tecnologia “one-stop-shop” para renciar é oferecer suporte aos aparelhos por bastante
clientes de pequenas e médias empresas (PMEs). O tempo após as compras. Não há muitos detalhes so-
anúncio marca a entrada da companhia no programa bre como serão os smartphones nem sobre quando
do Google para parceiros. eles serão lançados, mas espera-se que o conheci-
A solução anunciada utiliza hardware da HP, incluin- mento adquirido pelos executivos provenientes da
do PCs e impressoras, com Google Apps for Business, agora concorrente, seja primordial para que a nova
ferramentas de colaboração e comunicação na nuvem. empresa deslanche rapidamente.
Mais de cinco milhões de empresas atualmente usam “A estrutura dinâmica da Kazam e o foco em mer-
Google Apps for Business, que inclui Gmail, IM, Ca- cados locais significa que podemos reagir rapidamente
lendar, Drive e muito mais. para as evolutivas e divergentes necessidades dos con-
Com o software de gerenciamento da HP e pré- sumidores”, disse Coombes.
configuração mínima, o HP SMB IT in a Box simplifica
o ambiente de TI dos clientes, reduz seus custos Telebras expande rede
operacionais e requisitos de infraestrutura enquanto
aprimora os fluxos de trabalho e a produtividade.
para melhorar ambiente
Essa iniciativa representa a mais recente colabo- dos provedores
ração da HP com a Google. A HP já oferece diver- A Telebras está em uma fase de expansão de sua
sos produtos com base nos sistemas operacionais rede de telecomunicações. Segundo o gerente
Android e Chrome da Google, incluindo o Slate- comercial da companhia, Luiz Nelson Vergueiro,
Book x2, Slate e o Chromebook. a estatal quer a popularização da banda larga
O HP SMB IT in a Box combina produtos como com o PNBL e também ampliar as parcerias com
PCs e impressoras da fabricante com solução de ge- os provedores. Para Luiz, o Brasil caminhou em
renciamento, administração e suporte ao cliente da outro sentido em comparação com o mercado
empresa com as ferramentas de colaboração e a segu- mundial onde as grandes companhias absorveram
rança do Google Apps. os pequenos provedores.
A solução continuará a se expandir para englobar “Temos hoje um número não oficial de aproxi-
todas as tecnologias que as PMEs precisam para madamente 8 mil provedores, sendo que desses,
vencer no mercado. Eventualmente, a solução in- temos apenas 3816 licenciados pela Anatel. Com
cluirá plataformas integradas para revendedores, a diminuição do custo da licença de R$9 mil para
administradores de TI e usuários finais, permitin- R$400 reais a própria Anatel está se estruturando
do fácil acesso a toda a solução, incluindo Google para receber uma enxurrada de pedidos. A estima-
Apps for Business. tiva é que até o final de 2013, cerca de 7 mil licen-
Espera-se que a oferta inicial esteja disponível ças estarão na base da Anatel, que não tem espaço
para determinados revendedores nos Estados Unidos para todo mundo”, afirmou.
em julho, seguida por uma maior disponibilidade O executivo informou ainda que a Telebras irá
em todo o mundo até o final de 2013. descentralizar o atendimento da empresa. Para isso
foi realizado um concurso público no sentido de
Ex-executivos da HTC criam preencher vagas para as unidades regionais que
nova marca de smartphones serão implantadas. “Até o final de 2013 teremos 4 ou
5 unidades regionais para atender o mercado. São
Michael Coombes, ex-chefe de vendas da HTC, Paulo, Belém, Salvador, Rio de Janeiro e Fortaleza
e James Atkins, ex-chefe de marketing da mesma vão ser algumas das cidades que terão um escritório
empresa, anunciaram recentemente o lançamen- da empresa”, disse. ■
to de sua nova empresa: a Kazam, marca própria
de smartphones.
Coombes será o CEO da nova companhia, enquan-
to Atkins continuará responsável pelo marketing. O
M
uita espera e expectativa cercaram o lan- Uma das melhorias mais aguardadas da nova versão
çamento da nova versão do Samba, que do Samba, é a alternativa (gratuita) para controlar
havia sofrido seu último salto de versão um domínio Active Directory, eliminando assim a
em 2003. A popular plataforma de interoperabili- necessidade de um servidor Windows. E pasmem,
dade Samba é utilizada em milhares de servidores isso foi conseguido (e testado exaustivamente) pela
no mundo todo. própria Microsoft. Outras novidades são o servidor
A demora para a atualização de versão não signi- de autenticação Kerberos integrado, servidor seguro
fica que o sistema estava com seu desenvolvimento de Dynamic DNS e uma nova infraestrutura RPC.
paralisado. Pelo contrário, a ferramenta esteve em Outras inúmeras melhorias e aprimoramentos são
constante desenvolvimento, recebendo correções, abordados nesta edição da Linux Magazine, com
melhorias e extensões, até que chegou o momento um completo artigo sobre tudo o que você pode
– de acordo com a própria equipe que mantém o esperar da nova versão.
desenvolvimento do produto – de fechar um marco Seguindo a mesma linha de novidades, não deixe
de desenvolvimento e lançar a nova versão. de ler o artigo que aborda o Samba como controla-
Produtos como o Samba são imprescindíveis nos dor de domínios, um dos mais usados recursos da
dias atuais, onde diariamente somos obrigados a ferramenta. E finalizando esta edição com chave de
conviver harmoniosamente com os mais diferen- ouro, aprenda como integrar o Samba 4 ao Univention
tes tipos de sistemas operacionais em uma mesma Corporate Server (UCS) com o appliance SerNet.
rede. Manter a compatibilidade entre arquivos, Esta edição está tão imperdível quanto a nova
sistemas e serviços em redes heterogêneas deixou versão do Samba! Aproveite! ■
de ser um esforço hercúleo desde que o Samba foi
introduzido nas infraestruturas. Vale lembrar ain- Matérias de capa
da que a migração da versão anterior para a nova
O que há de novo no Samba 4 34
versão é tão simplificada que gerou muitos elogios
da comunidade. Não foram encontrados erros de Samba para domínios 40
qualquer tipo na maioria dos ambientes migrados. Appliances SerNet para o Samba 4 46
Ponto positivo para a equipe de desenvolvimento!
34 www.linuxmagazine.com.br
Samba 4 | CAPA
Samba 4
O que há de novo
no Samba 4
CAPA
Em dezembro de 2012, o mundo do software livre recebeu o primeiro
e muito aguardado lançamento da série Samba 4.x.
por Adam Williams Tauno
O
Samba 4 está em desenvolvi- à tona a nova versão. Várias direções so AD em um momento, mas antes
mento há 10 anos. Durante e ênfases foram tomadas ao longo mencionaremos algumas outras mu-
esse tempo, a série Samba do projeto, incluindo até mesmo danças importantes.
3.x também passou por inúmeros rumores de um fork. No entanto, o Uma delas diz respeito ao projeto
lançamentos e avanços. Este desen- projeto estabeleceu-se com sucesso Samba em si e ao fluxo de trabalho
volvimento paralelo levou a uma em uma direção e um método para utilizado para o desenvolvimento do
confusão sobre a natureza do Samba integrar abordagens divergentes aos Samba. O novo processo de commit
4, e algumas distribuições liberaram muitos problemas técnicos que pre- da equipe do Samba requer que
pacotes samba3 e samba4 que podem cisam ser resolvidos. cada commit seja revisto por dois
ser instalados em paralelo, com ní- No entendimento da estrutura desenvolvedores; uma vez realizado
veis variados de sucesso. atual do software e dos rumos que o commit, todo o pacote de testes é
O Samba 4.x [1] é uma substituição o projeto seguiu, é vital tomar como executado – em cada um dos commits.
e atualização completa para o Samba referência somente o material atual. Este processo garante uma elevada
3. Sem dúvida, ele será utilizado em O uso de documentação mais anti- qualidade do código e deve coletar
paralelo com as instalações Samba ga ou de lista de arquivos de email, quase todas as regressões antes que seja
3.x existentes por algum tempo, mas especialmente aqueles que fazem lançada uma nova versão. Quase todos
não por conta de qualquer deficiência referência ao Samba4 “test” e versões os commits também são monitorados
com o Samba 4. Em quase todos os “alpha”, é fortemente desencorajada. em relação às entradas no Bugzilla,
casos, o Samba 4 pode ser um substi- Mensagens antigas de email e posts que incluem testes de regressão.
tuto para versões mantidas do Samba em blogs servirão apenas para enganar
3.x e continuará a funcionar e prestar o usuário. Diretivas de configuração À primeira vista
os mesmos serviços. O Samba 4 não e sintaxes de comando mudaram sig- Depois de instalar o Samba, o admi-
é o Samba Active Directory Domain nificativamente durante a evolução nistrador verá algumas mudanças.
Controller (Controlador de Domí- do lançamento, então o usuário deve Para membros de domínio tradicio-
nio do Diretório Ativo do Samba); esperar que a documentação mais nais, tais como servidores de arquivos,
ao invés disso, é uma nova versão do antiga esteja equivocada. smbd, nmbd e binários winbind esperados
Samba que fornece serviços novos e A habilidade de participar ple- estão presentes e devem continuar a
melhorados. Portanto, vamos nos re- namente de um domínio do Active ser utilizados para esses aplicativos.
ferir à versão atual do Samba 4.x no Directory (AD) é o diferencial e é Para os servidores que prestam
decorrer deste artigo simplesmente imediatamente o que muitas pes- serviços de controle de domínio, o
como “Samba”. Números de versão soas desejam falar no que diz res- Samba executa um único samba biná-
indicam apenas uma versão do Samba peito ao novo Samba; no entanto, a rio. Como o samba não suporta total-
que não seja a versão atual. integração com o AD não é a única mente ser um membro do domínio,
Parte dessa confusão de versão melhoria importante que a última os serviços apropriados, dependendo
surge a partir do longo tempo de de- versão do Samba traz para os usuá- da função do servidor, devem ser ini-
senvolvimento necessário para trazer rios. Comentaremos sobre o recur- ciados. Uma nova ferramenta samba-
-tool é o principal meio para contro- utilizadas pelo Samba não podem gência do Kerberos é a sincronização
lar um servidor Samba de prestação ser garantidas como consistentes, precisa do cronômetro. Diferenças
de serviços de domínio. A sintaxe é no caso de uma quebra do sistema. entre servidores ou estações de traba-
muito semelhante à utilizada pelo Um banco de dados TDB que- lho de mais do que alguns minutos
comando de rede. brado pode significar um domínio do cronômetro de um controlador
As ferramentas tradicionais de Active Directory corrompido. Se o de domínio apresentarão serviços in-
banco de dados triviais (TDB), bem usuário estiver preso em um sistema disponíveis a partir deste servidor ou
como smbcacls, smbclient, rpclient e sem um sistema de arquivos moder- estação de trabalho. Para servidores,
outros binários, ainda são fornecidas no, a wiki do Samba [2] contempla isso também significa que as biblio-
conforme o esperado, mas a instala- informações sobre uma solução al- tecas e utilitários que trabalham em
ção do Samba 3.x e do Samba 4.x em ternativa, mas a atualização do host Kerberos devem estar disponíveis e
paralelo em um único host pode ser é a opção preferível. estejam configurados corretamente.
perigosa, como compilar o Samba O problema mais comum com as ver-
em um host que já possui o Samba Active Directory sões Kerberos é que os controladores
3 instalado. Se fizer uma instalação O suporte ao Active Directory fun- de domínio do Active Directory po-
paralela, esteja certo de assistir o PATH ciona. A criação de um domínio do dem exigir hashes de criptografia que
para garantir que sejam utilizadas as Active Directory pode ser feita em não estejam disponíveis aos clientes
versões previstas das ferramentas. questão de segundos com o uso de Kerberos mais antigos.
O uso mais básico do Samba é um samba-tool. Esta forma interativa ➧ O Active Directory é um serviço
simplesmente como um servidor de fornecer um domínio requer do de diretório LDAP com esquema e
de arquivos, no qual se destaca o usuário sua zona DNS, realm name e o modelo de segurança próprio. O Acti-
Samba 4. Os internos do servidor modo de DNS preferencial (listagem ve Directory é o Active Directory, in-
de arquivos agora são altamente 1). Agora, quando iniciar o Samba, o dependentemente do usuário utilizar
assíncronos, proporcionando maior usuário terá o Kerberos, DNS, LDAP
rendimento e melhor utilização dos e Active Directory funcionando. Listagem 1: Criação de um novo
recursos do servidor. Outra melho- Embora este processo pareça sim- domínio Active Directory
ria de desempenho relacionada ao ples, a realidade é que o suporte ao 01 sudo ./bin/samba-tool domain
servidor de arquivos é o suporte aos Active Directory é tão complicado provision
protocolos SMB2.1 e SMB3. Estas quanto o próprio Active Directory. 02 Realm [EXAMPLE.COM]:
versões de SMB de nível superior Antes de criar um novo domínio Ac- 03 Domain [EXAMPLE]:
04 Server Role (dc, member,
são suportadas em graus crescen- tive Directory vinculado ao Samba, standalone) [dc]:
tes no Microsoft Windows Vista e o administrador realmente precisa 05 DNS backend (SAMBA_INTERNAL,
clientes maiores. Níveis mais altos aprender as noções básicas do Active BIND9_FLATFILE, BIND9_DLZ,
do protocolo SMB fornecem crip- Directory – um tópico muito além NONE) 01 [SAMBA_INTERNAL]:
06 DNS forwarder IP address (write
tografia, suporte a link simbólico, do escopo deste artigo – e a integra- 07 'none' to disable forwarding)
cópia do lado do servidor e recursos ção do sistema operacional do tipo 08 [192.168.1.46]:
HighAvailability, como multipath Unix subjacente aos servidores de 09 Administrator password:
10 Retype password:
e failover. Um servidor de arquivos domínio do Active Directory forne- 11 Looking up IPv4 addresses
SMB3 deve superar um servidor de ce ainda mais complexidade. Mais 12 ....
arquivos SMB/CIFS de nível inferior. importante ainda, os administradores 13 Fixing provision GUIDs
Antes de passar para o suporte do precisam entender o seguinte: 14 A K erberos configuration
suitable 01for Samba 4 has
Active Directory, note que o servidor ➧ Um Active Directory Domain (Do- been generated at
deve estar usando um sistema de ar- mínio do Active Directory) é um do- 15 /opt/s4/private/krb5.conf
quivos moderno, que possua um bom mínio DNS. O domínio de segurança 16 Once the above files are
suporte para atributos estendidos. Se e DNS são indissociáveis de uma ma- installed, your Samba4
server will 01 be ready to use
estiver usando um sistema de arqui- neira que não era válida para domínios 17 Server Role: active directory
vos ext3 ou ext4 no Linux, deverá Windows NT 4.0 (NT4). Alterar ou 18 domain controller
garantir que o sistema de arquivos criar um domínio do Active Directory 19 Hostname: workstation
esteja montado com a opção user_ quase certamente significa alterar a 20 NetBIOS Domain: EXAMPLE
21 DNS Domain: EXAMPLE.COM
xattr,acl,barrier=1. Se um sistema arquitetura de DNS existente. 22 DOMAIN SID: S-1-5-21-1405516098
de arquivos ext3/4 é montado sem ➧ Um domínio do Active Directory -410140136852-3456372168
o barrier=1, as bases de dados TDB é um domínio Kerberos. Uma exi-
36 www.linuxmagazine.com.br
Samba 4 | CAPA
um controlador de domínio Samba Uma prática comum com domínios um DC em seu domínio existente.
(DC), Windows Server DC, ou uma Samba NT4 era usar o backend ldap- Estes controladores de domínio irão
mistura de ambos. Dúvidas da lista sam como host do gerente de conta do replicar as informações de domínio,
de discussão Samba em relação ao domínio de segurança (SAM) em um oferecendo o mesmo nível de failover
uso do Samba 4 são frequentemente adaptador de fonte de dados OpenL- que um domínio Windows AD DC
apenas sobre o Active Directory. Po- DAP (DSA). Essa possibilidade também completo ofereceria... ou quase. Na
demos quebrar um domínio Samba já não existe mais. O serviço LDAP v4.0.3, alguns pequenos problemas
AD da mesma maneira que é possí- utilizado no Samba é agora o serviço foram encontrados:
vel quebrar qualquer domínio AD. LDAP do Samba. Sites que se valem do ➧ 1. Um controlador de domínio
A wiki do Samba oferece boas ins- OpenLDAP para migrar para o Active Samba AD não replica completa-
truções passo a passo sobre a criação Directory devem migrar pelo menos o mente quando pareado com um
de um AD DC [3]; devemos usá-lo SAM para o servidor LDAP incorpora- controlador de domínio Windows
primordialmente como documen- do ao Samba. O mesmo é verdade se AD somente leitura (RODC).
tação. Para o restante deste artigo, o site utilizar um MIT standalone ou ➧ 2. Informações de DNS não repli-
nos concentraremos em algumas centro de distribuição de chaves Hei- cam de forma confiável entre contro-
das várias dicas e informações não mdal (KDC) – a função KDC deve ser ladores de domínio ao usar o servidor
óbvias presentes na wiki. migrada para o host Samba. Isso não é de DNS incorporado ao Samba.
diferente do que se um controlador de ➧ 3. O volume sysvol, que armazena
Integração AD domínio do Active Directory fosse um as políticas de GPO, não replica
Para proporcionar plena integração servidor Microsoft Windows. automaticamente.
do Active Directory, o próprio Samba Parece que se o Samba assumir ➧ 4. Delegação de privilégio e ACLs
deve integrar-se estreitamente com todas estas funções é algo muito com objetos LDAP passam por dificul-
o DNS, fornecer controladores de contrário ao conceito de uma pilha dades no início, mas esses problemas
serviços no domínio Kerberos e um aberta ou suporte a padrões; e é, e foram resolvidos na versão 4.0.3.
diretório de serviço LDAP consistente o projeto reconhece isso. A perda ➧ 5. Na nossa experiência em um
com o esperado por um cliente do da capacidade de usar um DSA de Samba AD DC, um script especifi-
Active Directory (figura 1). Com o terceiros, como o OpenLDAP, é la- cado usando o parâmetro wins hook,
suporte do domínio NT4 anterior, mentável, mas fornecer um modelo que deve funcionar da mesma forma
o Samba foi capaz de “terceirizar” de domínio confiável e consistente como nas versões anteriores, não pa-
muitas dessas funções para bases de forjado de componentes distintos rece ser invocado.
código existentes que forneceram estes provou ser muito difícil. Um dos ➧ 6. Os clientes do Windows re-
serviços, tais como BIND, OpenL- principais objetivos desta versão do clamam que não podem desativar o
DAP, e MIT ou Heimdal Kerberos. Samba é trabalhar sozinho, o que cache offline no compartilhamento
Com exceção do BIND para DNS, significa que o Samba deve assumir de perfil. (Esta é uma mensagem
a possibilidade de utilizar bases de todos esses papéis. não crítica e não afeta a operação).
código de terceiros não é possível A principal vantagem de um do- As questões 2 e 3 são as mais sig-
para esta finalidade. mínio Active Directory é que todos nificativas e precisam ser abordadas
os componentes (por exemplo, DNS, quando um controlador de domínio
LDAP, KDC) são integrados e po- Samba AD é utilizado.
dem ser ampliados ao longo de vá-
rios controladores de domínio. Com Migração para o Samba
a pena de empurrar as soluções de Se o usuário já possui um domínio
transição para os serviços de rede, do Active Directory usando servidores
o Samba agora fornece as mesmas Microsoft Windows e eles gerencia-
vantagens: integração bem amarrada rem o DNS, então todo o problema
e um esquema bem acordado. de DNS pode ser contornado, a
Um controlador de domínio menos que a intenção seja migrar
Samba AD pode fazer par com outros totalmente para o Samba. Alternati-
controladores de domínio do Samba vamente, podemos usar a integração
AD ou com outros controladores de BIND DLZ, que permite ao Samba
Figura 1 O Active Directory é um con- domínio Windows AD. Podemos criar DC manter um domínio DNS no
junto integrado de serviços. um servidor Samba e promovê-lo a BIND e fornece ao administrador
a mesma capacidade de realizar a 9.7.x, uma versão 9.8.x ou superior é scripts ou GPOs, esses arquivos devem
notificação de atualização baseada altamente recomendável. A função de ser levados do DC de origem para to-
em BIND, transferência de zona, atualização segura e suporte ao Ker- dos os outros DCs. Em um Samba
e assim por diante. A desvantagem beros foi envolvendo partes do BIND DC, essa replicação deve ser realizada
da integração BIND DLZ é que ela rapidamente; mantê-la atualizada utilizando ferramentas como rsync e
acrescenta outro componente para pode ajudar a evitar dores de cabeça. csync. O arquivo de lista de email do
a pilha, embora bastante familiar Uma abordagem recomendada Samba contempla um script para esta
para a maioria dos administradores. para o DNS é usar um domínio ou finalidade [4]. As ACLs aplicadas aos
Ao criar ou migrar um domínio subdomínio separado para a zona arquivos no volume sysvol são funda-
NT4 existente para o Samba, o ser- DNS do Active Directory. Isto facilita mentais para o correto funcionamento
vidor DNS embutido será usado por a migração quando o Active Directory dos clientes. Se manualmente ou por
padrão. Este servidor DNS simples é for adicionado a uma rede existente. tentativa de replicação acabarmos com
adequado para pequenos sites, mas Se o domínio atual é example.com e ACLs incorretas, o samba-tool pode ser
carece do poder e flexibilidade do os servidores DNS determinarem usado para redefini-las para os valores
BIND. Para alterar o padrão de ba- os nomes neste domínio, podemos esperados:
ckend para BIND ao criar ou migrar criar o novo domínio AD como ad.
samba-tool ntacl sysvolreset
um domínio, especifique a opção examplo.com. Em seguida, configure
–dns-backend=BIND9_DLZ. os servidores DNS existentes para Este comando também deve ser
Se um domínio é inicialmente delegar a resolução do domínio aos usado quando o Samba for atualizado
provisionado com o servidor DNS servidores DC DNS. de uma versão para outra. Felizmen-
interno, posteriormente ele pode ser Em um Samba DC que é um te, a replicação do volume sysvol não
migrado para o BIND DLZ usando servidor DNS, podemos adicionar precisa ocorrer em tempo real. Com
o script samba_upgradedns; então, ape- ferramentas como o rsync ou csync, este
[global]
nas configure o módulo BIND DLZ. ... processo pode ser realizado de forma
Com qualquer backend DNS, o dns forwarder = 192.168.1.46 eficiente como um trabalho agendado.
domínio DNS do domínio do Active Uma vez que o domínio for configu-
Directory pode ser gerenciado com à seção global do arquivo smb.conf. Se rado e tanto o DNS como o Kerberos
as ferramentas de gerenciamento de 192.168.1.46 for o servidor DNS exis- tenham sido testados, podemos começar
domínio do Windows. Na verdade, tente, o DC irá encaminhar todas as a reunir as estações de trabalho para o
este é o caso com todos os recursos solicitações para outras várias zonas domínio. Se migrarmos para o domí-
do Samba: o usuário pode gerenciar que não a sua própria para o servidor nio do Active Directory a partir de um
o servidor Samba da mesma maneira DNS existente. Com a delegação no domínio Samba NT, as estações de tra-
que pode gerenciar um servidor Mi- DNS existente e o encaminhamento balho devem manter a participação no
crosoft Windows através do Micro- no AD DNS, o usuário será capaz de domínio; elas vão passar a usar o Active
soft Management Console (MMC). operar uma transição suave enquanto Directory automaticamente.
Administradores familiarizados com implementa a AD. Se começar com
o uso do MMC não chegam a notar
que estão gerenciando uma platafor-
o DNS interno fornecido pelo Sam-
ba, quando tudo estiver funcionando,
Upgrade do NT4
ma que não é da Microsoft. o usuário poderá então considerar a para o AD
Se o usuário migrar ou fornecer migração para o backend DNS do A atualização é quase tão simples
seu domínio inicialmente usando o BIND DLZ. É muito mais fácil iso- quanto o provisionamento de um
servidor de DNS embarcado – que lar problemas se implementarmos o novo domínio. A coisa mais im-
é o caminho mais simples – e de- domínio passo a passo. portante a saber sobre uma atua-
pois decidir que precisa de flexibili- A questão da replicação do sysvol lização para o Active Directory é
dade adicional proporcionada pela é mais tediosa. Na replicação sysvol que ela é sem retorno. Uma vez
integração BIND, poderá migrar o estão os arquivos que representam os que uma estação de trabalho que
domínio DNS usando o script sam- objetos de domínio da Group Policy tenha se unido a um domínio NT
ba_upgradedns fornecido. (Política de Grupo), bem como todos encontrar um domínio AD com o
A principal ressalva da integração os scripts de login. Este volume com- mesmo SID ou nome NetBIOS,
BIND é que o usuário precisa de uma partilhado deve estar presente em todos ela alterna para o modo Active
versão atualizada do BIND. Embora os DCs acessíveis aos clientes. Quan- Directory e nunca mais voltará a
seja possível obter o recurso do BIND do as mudanças são feitas para acessar usar o DC modo NT.
38 www.linuxmagazine.com.br
Samba 4 | CAPA
Portanto, o usuário deve testar a Se o NT4 SAM fornecido for co- estilo NT4 sem algum registro de
atualização do domínio com cuida- erente, o script de migração deve hacking e, mesmo assim, não com-
do, isolado da rede de produção, ou migrar todos os usuários, grupos e pletamente. O Samba pode, pelo
pode acabar comprometido com uma contas do computador. Ao migrar menos, fornecer um caminho para
instância de teste do DC. Clientes de um ldapsam, o usuário provavel- esses sites migrarem para o AD adi-
da Microsoft com o Active Directory mente irá executar algumas incon- cionando Dcs Windows e rebaixando
habilitado, naturalmente, trabalham sistências (por exemplo, nomes de o Samba DC, deixando um domínio
desta forma e não é mandatório usar usuários duplicados, SIDs, ou grupos AD somente Windows, embora seja
um DC Samba AD. não encontrados), que farão com esperado que os administradores des-
Para realizar a atualização, pode- que a migração falhe; felizmente, ses sites reconheçam os benefícios e a
mos usar o suporte de atualização de as mensagens de erro tendem a ser flexibilidade do Samba DC e optem
domínio do samba-tool. A ferramenta auto-explicativas. Se estiver migrando por mantê-lo por perto.
deve ter acesso a uma cópia do ar- de um ldapsam que já existe há muito Agora que o Samba AD está ins-
quivo smb.conf utilizado por um dos tempo, este pode tornar-se aparente talado e funcionando, podemos
DCs, bem como cópias dos arquivos pois o Samba precisa gerenciar todos disparar o MMC em um cliente
TDB. Estes arquivos podem ser trans- os serviços sozinho: o preguiçoso NT4 Windows e começar a gerenciar o
feridos para o servidor de teste, por DC continuará a operar, apesar de domínio (figura 2). Alternativamen-
exemplo, via rsync ou scp. Se o NT4 inúmeras inconsistências. te, muitas operações comuns, como
DC estiver usando ldapsam, o host de Suponha que todos os erros são adicionar um usuário ou entradas
teste também deve ter acesso à DSA, problemas legítimos com o NT4 de DNS, podem ser realizadas com
conforme configurado no arquivo SAM, resolva os problemas lá, e então uma samba-tool (listagem 2).
smb.conf. O script de migração só lê faça uma nova tentativa de migração Uma vez instalado e funcionando,
a partir do ldapsam, por isso nada no até que o processo seja concluído. o Samba armazena as informações de
NT4 SAM existente será modificado: Uma vantagem real que o Samba domínio em um conjunto de arquivos
empresta aos sites que ainda usam LDB. O conteúdo do banco de dados
samba-tool domain classicupgrade
--dbdir=/tmp/x --use-xattrs=yes domínios NT4 é que ele fornece um (SAM), pode ser modificado via samba-
--realm=EXAMPLE /tmp/x/smb.conf caminho de atualização para o Acti- -tool, LDAP ou com o ldbsearch do
ve Directory. Todas as ferramentas Samba, ldbmodify, ldbdel, e outros co-
A opção dbdir especifica a lo- de migração de que estamos cientes mandos correspondentes. Uma vez que
calização dos arquivos TDB do para migrar um domínio NT4 para o domínio esteja instalado, poderemos
controlador de domínio NT4, e um domínio do Active Directory incluir informações adicionais sobre
o realm especifica a zona de DNS não estão mais disponíveis para as
para o novo domínio AD e a loca- versões atuais do Windows Server; Listagem 2: Adicionando um
lização de uma cópia do arquivo os clientes atuais do Windows não usuário usando samba-tool
smb.conf do NT4 DC. irão interoperar com um domínio
01samba-tool user add fbaggins
02--random-password
03--use-username-as-cn
04--surname="Baggins"
05--given-name="Frodo"
06--initials=S
07--mail-address=fbaggins@
example.com
08--company="Hobbiton Inc."
09--script-path=shire.bat
10--profile-path=\\\\mydc.
example.com\\profiles\\
fbaggins
11--home-drive=F
12--home-directory=\\\\
myfileserver.micore.us\\
fbaggins
13--job-title="Goes there and
back again"
Figura 2 Edição de DNS em um Samba DC via MMC.
Mais informações
[1] Samba: http://www.samba.org/
[3] Como configurar o Samba como um controlador de domínio compatível com o Active
Directory: https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO/
40 www.linuxmagazine.com.br
Samba como controlador de domínio | CAPA
CAPA
Poupe dinheiro com o Samba como controlador de domínio em
um domínio legado estilo Windows NT4.
por Stefan Kania
S
e um usuário possuir um domí- para gerenciar. Como a replicação hostname do sistema Linux é usado
nio convencional estilo NT4, para outro servidor não é tão fácil, a como o nome NetBIOS. O parâme-
em vez de um domínio do Ac- implementação de um BDC também tro domain master = yes garante que o
tive Directory, o Samba poderá servir é bastante complicada e incerta. servidor Samba atue como um PDC.
como um controlador de domínio. ➧ O backend ldapsam não está sujeito Se definirmos este valor como no, o
O servidor Samba pode assumir di- a limitações de tamanho, e é possível servidor Samba agiria como um BDC.
ferentes papéis que o administrador configurar qualquer quantidade de O parâmetro domain logons = yes
deve entender claramente: pode ser BDC. No entanto, é definitivamente permite que os usuários façam o
configurado como um controlador necessário existir uma infraestrutura login e deve ser definido para yes
de domínio primário (PDC), um LDAP. Uma observação positiva é que tanto no PDC como no BDC. O
controlador de domínio de backup o backend é tão flexível que até mes- parâmetro os level = 99 define a
(BDC), ou um servidor de arquivos. mo os clientes Linux e OS X podem prioridade do servidor Samba ao
Ao planejar um ambiente Samba, lidar com autenticação centralizada. selecionar o navegador mestre no
o backend passdb é crítico. Três tipos Neste artigo, analisaremos o ba- domínio. Com um valor de 99, o
de backends de banco de dados ar- ckend tdbsam e explicaremos quais servidor Samba conquista o posto de
mazenam informações de usuário: mudanças são necessárias para execu- navegador mestre, atuando sempre
➧ O backend smbpasswd é um arquivo tar um PDC e um BDC, juntamente dessa forma. Depois de completar as
de texto ASCII que contém todas as com um servidor LDAP. entradas no arquivo smb.conf, o usuá-
informações do usuário. Este backend rio deve sempre examinar o arquivo
não deve ser usado por muito tempo, Configurações PDC para erros de sintaxe. Para fazer isso,
pois possui inúmeras desvantagens Toda a configuração do servidor Sam-
(por exemplo, somente permissão de ba reside no arquivo /etc/samba/smb. Listagem 2: Verificação
escrita é possível simultaneamente). conf. Para configurar o Samba como de sintaxe
➧ O backend tdbsam é o padrão após um PDC, o usuário precisa das con- root@samba:~# testparm
a instalação do Samba e é certamente figurações da listagem 1. Além desses Load smb config files from /
suficiente se apenas um PDC estiver parâmetros, pode desejar introduzir etc/samba/smb.conf
rli mit_max: rlimit_max (1024)
configurado com mais de 250 usuários também as primeiras ações. O nome below minimum Windows
NetBIOS do domínio Windows, que limit (16384)
Loaded services file OK.
Listagem 1: Configurações é definido por workgroup = ADMINDOM é Server role: ROLE_DOMAIN_PDC
PDC um parâmetro importante. Press enter to see a dump of
your service definitions
[global] O parâmetro server string = \%h [global]
workgroup = ADMINDOM Samba Linux-Magazine gera um comen- workgroup = ADMINDOM
server string = \%h Samba tário no ambiente de rede dos clien- netbios name = Linux-MAGAZINE
Admin-Magazin server string = \%h Samba
netbios name = Admin-Magazin tes Windows. A variável %h assume o Linux-Magazine
domain master = yes nome NetBIOS do PDC, que a entrada domain logons = Yes
domain logons = yes os level = 99
os level = 99 netbios name = Linux-Magazine define. domain master = yes
Se este parâmetro não for definido, o
42 www.linuxmagazine.com.br
Samba como controlador de domínio | CAPA
Privilégio Significado
SeMachineAccountPrivilege Adiciona hosts ao domínio
SeTakeOwnershipPrivilege Assume a propriedade das entradas de diretório
SeBackupPrivilege Lê os dados independentemente das permissões
SeRestorePrivilege Grava dados independentemente das permissões
SeRemoteShutdownPrivilege Desliga os sistemas remotamente
44 www.linuxmagazine.com.br
Samba como controlador de domínio | CAPA
Listagem 7: Criação de tra como criar um usuário e um ma- O servidor Samba, em seguida,
mais usuários e grupos peamento de grupo. As configurações define as contas necessárias de forma
do usuário podem ser alteradas com autônoma. Depois de ingressar no
root@samba:~# groupadd authors parâmetros quando criadas as contas. domínio, as contas também podem
root@samba:~# net groupmap add
ntgroup="authors" Desta vez, o nome do grupo Linux e ser listadas com getent passwd e pd-
unixgroup=authors type=d o nome do grupo de mapeamento são bedit -L. Aliás, se o usuário quiser
No rid or sid specified,
choosing a RID idênticos e não causarão problemas. reunir clientes Windows 7 no do-
Got RID 1001 Além disso, o RID não é predetermina- mínio, precisará corrigir o registro
Successfully added group authors
to the mapping db as a domain do, mas atribuído automaticamente. O de antemão [2].
group usuário Linux não atribuiu uma senha Depois de criar a conta do clien-
root@samba:~# useradd -g porque, mais tarde, este usuário não te, é possível participar do cliente
domusers -G authors -m -s /bin/
bash skania fará o login no sistema Linux, apenas para o domínio da maneira usu-
root@samba:~# useradd -g em um cliente Windows no domínio. al. A figura 2 mostra este processo.
domusers -G authors -m -s /bin/
bash skania Seguindo esse padrão, agora podemos Um tempo depois de entrar com o
root@samba:~# pdbedit -a -u criar novos grupos e usuários. As as- nome de usuário e senha, veremos
skania -G 513 -c "[U]" -f sociações de grupos de usuários são a mensagem “Welcome to the AD-
"Stefan Kania"
new password: sempre gerenciadas no grupo Linux; MINDOM domain” (Bem-vindo ao
retype new password: o mapeamento de grupo assegura que domínio ADMINDOM). Depois de
Unix username: skania
NT username: os membros também sejam conheci- reiniciar o sistema, os usuários do
Account Flags: [U ] dos no sistema Windows no domínio. Samba podem se logar.
User SID: S-1-5-21-2851015207-2
192045402-886076809-1002
Primary Group SID: S-1-5-21-285 Clientes no domínio Listagem 8: Criação
1015207-2192045402-886076809-51 Para adicionar clientes Windows a
3 de contas
Full Name: Stefan Kania um domínio, uma conta deve existir
Home Directory: \\ para cada cliente Windows no domí- root@samba:/# useradd -g
admin-magazine\skania domcomputer -s /bin/false
HomeDir Drive: nio. Essa conta deve sempre usar o 'win7$'
Logon Script: nome NetBIOS do cliente Windows. root@samba:/# pdbedit -a -m
Profile Path: \\linux-magazine\ A conta pode ser criada manualmente win7 -G 515 -c "[UW]" -p ""
skania\profiles -h""
Domain: ADMINDOM para cada host ou automaticamente Unix username: win7$
Account desc: por um script quando adicionar um NT username:
Workstations: Account Flags: [W ]
Munged dial: cliente ao domínio. Se o usuário qui- User SID: S-1-5-21-2851015207-2
Logon time: 0 ser criar as contas manualmente, deve 192045402-886076809-1009
Logoff time: 9223372036854775807 Primary Group SID: S-1-5-21-285
seconds since the Epoch seguir o procedimento da listagem 8.
1015207-2192045402-886076809-51
Kickoff time: A primeira etapa gera uma conta 5
9223372036854775807 seconds Linux para o cliente, como foi feito an- Full Name:
since the Epoch Home Directory:
Password last set: Fri, 04 Jan teriormente para um usuário. O sinal HomeDir Drive:
2013 11:14:33 CET “$” depois do nome é importante, pois Logon Script:
Password can change: Fri, 04 Profile Path:
Jan 2013 11:14:33 CET distingue uma conta de cliente de uma
Domain: ADMINDOM
Password must change: never conta de usuário. O segundo passo é Account desc:
Last bad password : 0
Bad password count : 0 executar pdbedit para criar a conta do Workstations:
Samba. Definir o grupo RID para 515 e Munged dial:
Logon hours : FFFFFFFFFFFFFFFFF Logon time: 0
FFFFFFFFFFFFFFFFFFFFFFFFF as flags para [UW] informa ao Windows Logoff time: 9223372036854775807
que esta é uma conta de cliente. seconds since the Epoch
Kickoff time:
preparar o domínio, exceto não haver A outra maneira de criar contas de 9223372036854775807 seconds
a necessidade de especificar o RID, clientes é através de um script que é since the Epoch
que é atribuído automaticamente. executado ao entrar em um cliente Password last set: Sat, 05 Jan
2013 13:00:47 CET
Podemos criar todos os outros usuá- para o domínio. O script é inserido Password can change: Sat, 05
rios com pdbedit (como no exemplo na seção [global] do smb.conf: Jan 2013 13:00:47 CET
Password must change: never
com o administrador de domínio). add machine script = /usr/sbin/ Last bad Password : 0
Todos os parâmetros e descrições são useradd Bad password count : 0
-d /var/lib/nobody Logon hours : FFFFFFFFFFFFFFFFF
explicados em detalhes na página man -g domcomputer FFFFFFFFFFFFFFFFFFFFFFFFF
do comando pdbedit. A listagem 7 mos- -s /bin/2 Ptfalse -M %u
Listagem 9: Adicionando
compartilhamento
[homes]
comment = user home directories
read only = no
valid users = %S
force create mode = 0700
security mask = 0700
force directory mode = 0700
directory security mask = 0700
inherit owner = yes
46 www.linuxmagazine.com.br
Samba como controlador de domínio | CAPA
Listagem 13: Alterações grupos aninhados (listagem 12). Todos que o Samba adicione os objetos ao
LDAP estes passos são de responsabilidade LDAP, precisamos adicionar a senha
do administrador de domínio. do administrador LDAP para o arquivo
passdb backend = ldapsam:ldap:// O primeiro passo utiliza o parâmetro secrets.tdb. O comando para isso é
samba.example.net
ldap admin dn = -L para criar um grupo local ao qual smbpasswd -W. O Samba, então, cria-
cn=admin,dc=example,dc=net os grupos de domínio são em seguida rá um objeto LDAP para o domínio
ldap suffix = dc=example,dc=net
ldap group suffix = ou=groups adicionados como membros. A segun- Samba. Deste momento em diante,
ldap machine suffix = ou=hosts da etapa adiciona o grupo domainusers o Samba usará o servidor LDAP para
ldap user suffix = ou=users como membro do localgroup. O terceiro o gerenciamento de usuários.
ldap passwd sync = yes
ldap ssl = no passo verifica o sucesso. Agora, quando
atribuímos direitos para o sistema de ar- O futuro
aparece. Este aviso só é relevante se o quivos do grupo local, todos os membros Após o lançamento da versão 4 do
usuário ainda utilizar o NIS. do grupo domainusers também herdam Samba, em dezembro de 2012, muitas
Se o usuário possuir um domínio na este direito para o sistema de arquivos. coisas mudaram. Além da configuração
rede, em vez do parâmetro winbind se- Como o Linux não suporta o aninha- de controladores de domínio primário
parator, pode usar o parâmetro winbind mento de grupos, getent group ou wbinfo ou de backup, agora também é possível
use default domain = yes. Em seguida, -g não mostra o grupo local. Todas as criar os controladores de domínio do
a parte de domínio do usuário e o nome ações relativas ao grupo precisam do Active Directory, e podemos configurar
do grupo é truncada, e a forma como comando net rpc group. o Samba 4 como um controlador AD
esses nomes são exibidos no sistema é adicional. É possível até mesmo criar
idêntica ao de usuários e grupos locais. Um backend LDAPsam toda uma floresta do Active Directory
Neste caso, é importante asse- Como prometido, olharemos para a sem o uso de um controlador de domí-
gurar que os nomes são únicos e configuração LDAP como backend nio do Windows pela Microsoft com
não existem nem no domínio nem passdb. Este compromisso requer um o servidor LDAP do próprio Samba 4
localmente. Se vários domínios são servidor LDAP funcionando com o que gerencia todos os objetos.
utilizados ou se existe confiança em samba.schema no lugar, porque, além Usuário e gerenciamento de gru-
outros domínios, este parâmetro não de atributos POSIX, também preci- po também podem ser tratados com
pode ser utilizado porque os usuários, samos criar atributos Samba para os as ferramentas de administração do
de outro modo, não estão inequivo- usuários. A grande vantagem de usar Windows Server remoto (Microsoft
camente atribuídos a um domínio. o LDAP é que os usuários e grupos Windows Remote Server Administra-
só precisam ser criados uma vez. tion Tools). O usuário vai precisar de
Aninhamento de grupos Para o gerenciamento de usuário, uma máquina Windows 7 para exe-
No Windows, é comum coletar usuá- podemos então usar a coleção de script cutar as ferramentas, mas o software
rios no controlador de domínio em um smbldap-tools [3] ou fazer coisas grafica- pode ser baixado gratuitamente [5]. ■
grupo e, em seguida, atribuir este grupo mente com o LDAP Account Manager
a um grupo local em um servidor de [4], uma ferramenta baseada na web. Gostou do artigo?
arquivos. Aos grupos locais são então A listagem 13 mostra como modificar Queremos ouvir sua a opinião. Fale
concedidas as permissões do sistema a seção [global] para o uso do LDAP conosco em
cartas@linuxmagazine.com.br
ne.com br
de arquivos. Isto também funciona no PDC e em todas as BDCs.
Este artigo no nosso site:
e:
com o Samba; o procedimento é co- O Samba agora usa o LDAP como http://lnm.com.br/article/8632
rticle 632
nhecido como aninhamento de grupos backend passdb. Para também permitir
(nested groups). Para usá-lo, devemos
possuir um domínio e o Winbind deve Mais informações
ser configurado. As medidas também
[1] Desativando a mensagem de alerta: http://
incluem modificar o arquivo /etc/ns-
www.gtkdb.de/index_7_1240.html
switch.conf da seguinte forma:
[2] Registro de patch: http://wiki.samba.org/index.php/Windows7/
passwd: compat winbind [3] Ferramentas SMB-LDAP: http://sourceforge.
group: compat winbind net/projects/smbldap-tools/
[4] LDAP Account Manager: https://www.ldap-account-manager.org/
Na seção [global] do arquivo smb.
[5] Ferramentas remotas de administração de servidor: http://
conf, adicione winbind nested groups www.microsoft.com/download/en/details.aspx?id=7887/
= yes. Mais tarde, será possível criar
48 www.linuxmagazine.com.br
Appliance SerNet | CAPA
Appliance SerNet
Appliances SerNet
CAPA
para Samba 4
SerNet e Univention agora integram o novo Samba em seus appliances e oferecem aos
administradores uma maneira fácil de configurar e testar um controlador de domínio no Samba 4.
por Thomas Drilling
O
Samba 4 é um marco im- podem fazer isso pois o Univention pessoal, não limitada em termos de
portante para todo o mundo integra componentes do Samba 4 e recursos [6]. A configuração básica
de TI com o novo recurso do Samba 3 em seu Corporate Ser- ncursesbased para UCS, concebida
do Active Directory (AD). Original- ver. Um servidor membro do UCS como um appliance, não deve levar
mente, o Samba fornecia serviços de não oferece nenhum serviço de login mais do que alguns minutos, especial-
arquivo e impressão utilizando o pro- próprio; no entanto, com serviços de mente com o valioso suporte fornecido
tocolo SMB/CIFS em um servidor arquivo ou de impressão baseados em pelo manual do UCS 3.1.
Linux; no entanto, a novidade mais Samba 3, por exemplo, as credenciais Após a configuração básica, é preciso
significativa no Samba 4 refere-se aos UCS são necessárias para efetuar login escolher Master domain controller em
serviços de autenticação. em um servidor membro do UCS. System role para tornar o UCS um con-
Um servidor Linux com Samba 4 trolador de domínio e para as operações
pode oferecer um serviço do Active UCS 3.1 do Samba; o Samba 4 só será instalado
Directory para um domínio do Win- Fora de Bremen, na Alemanha, o em um controlador de domínio UCS
dows sem componentes Microsoft. A Univention foi um dos primeiros a (controlador de domínio principal). Dito
versão 3.1 do Univention Corporate adotar [4] o Samba 4, que por sua isso, a opção Master domain controller se
Server (UCS) [1], que foi lançado em vez foi integrado há mais de um ano refere principalmente à implementação
dezembro de 2012, usa a versão 4.0rc6 em seu UCS baseado no Debian 6. do UCS como um Domain Controller
do Samba 4, que foi desenvolvido co- Após testes extensivos, o Univention na própria infraestrutura do Univention
laborativamente com a equipe Samba garante que o Samba 4 está pronto baseada no UCS; uma solução de ge-
na versão 4.0rc1. para uso em produção. Além do Ac- renciamento de identidade que se ba-
A versão 3 do Samba inclusa no tive Directory para a ferramenta de seia no OpenLDAP Samba 4 também
UCS para serviços de arquivo e im- migração Univention AT Takeover faz isso, mas integra-se ao OpenLDAP.
pressão, onde o UCS é implementa- do Samba 4, a Univention oferece No próximo passo, o instalador UCS
do como um controlador de domínio um Active Directory Connector [5], requer o Fully qualified domain name
NT, é a v3.6.8. A implementação do que permite que os administradores para a etapa Settings subsequente; de-
Samba 4 na atual v0.6 do appliance executem o UCS em paralelo com vemos considerar este nome cuidado-
Samba Sernet [2] é equivalente à ver- os serviços existentes do Microsoft samente; o instalador deriva o nome
são estável do Samba 4.0 [3]. Windows Active Directory, assim de domínio a partir daí diretamente
também suportando uma migração para um domínio do Active Direc-
Estrutura do Samba 4 gradual. Aliás, o UCS 3.1 conta com tory (FQDN menos a parte de host),
Um domínio Samba compreende o kernel Linux 3.2.30 e, juntamente a LDAP base sugerida e o Windows
pelo menos um controlador de do- com o recurso de controlador de do- domain name. Embora o usuário possa
mínio baseado em Samba 4 no qual mínio AD, também lida com outras modificar a base LDAP sugerida e os
os clientes Windows podem partici- tarefas como o Small Business Server. nomes de domínio do Windows, não
par como membros, dado o contexto Se quiser seguir os passos descritos poderá alterar o nome do domínio AD.
de confiança. Na versão Univention, neste artigo, o usuário pode baixar Quando o instalador Univention
servidores membros do UCS também uma versão gratuita do UCS para uso fala sobre o “domínio do Windows”,
50 www.linuxmagazine.com.br
Appliance SerNet | CAPA
nector manualmente. Isto conclui a XFS e ext4). Neste caso, os clientes Win- vel para download com suporte estável
configuração do controlador de do- dows também podem usar as ACLs. ao Samba 4 desde dezembro de 2012 e
mínio AD no UCS a um ponto onde O Samba 4 pode, opcionalmente, for- oferece a possibilidade de configurar
os clientes Windows podem aderir ao necer serviços de arquivo com o seu um controlador de domínio do Acti-
domínio do Active Directory. próprio servidor de arquivos virtual, ve Directory em um servidor Debian
Quando os usuários efetuam o log NTVFS (necessitando de um siste- em poucos passos simples. Na CeBIT
em um domínio NT no modo Samba ma de arquivos com suporte XATTR) deste ano, a SerNet introduziu uma
3, o UCS os autentica diante do serviço ou o servidor de arquivos embarcado versão melhorada do appliance que
de diretório LDAP com base no nome Samba 3, o S3FS. integra o Zarafa e o Opsi. Arquivos
de usuário e senha. O UCS autentica As melhores práticas sugerem se- de esquema AD para suporte Zarafa
clientes com sistemas operacionais parar serviços de arquivo e impressão já estão inclusos na versão 0.6.
Windows (do XP em diante) através dos serviços de autenticação. Se os Administradores do Windows nor-
do protocolo NTLMv2 em domínios serviços de autenticação executarem malmente usam a ferramenta gráfica
Windows NT; no entanto, se o cliente em um controlador de domínio Sam- dcpromo.exe para configurar um con-
Windows no qual o usuário está fazendo ba 4 separado, muitos administradores trolador de domínio ou promover
o login juntar-se a um servidor Samba 4, tenderão, como os desenvolvedores da um servidor padrão do Windows,
um ticket Kerberos é automaticamente Univention, a usar o Samba 3 maduro mas administradores do Samba em
emitido para o cliente, que então o uti- como servidor de arquivos e impressão, geral precisam recorrer à linha de co-
liza para autenticação adicional e que garantindo, entre outras coisas, que a mando. O core do appliance SerNet
constitui a única base para o acesso a alta carga em um servidor de arquivo Samba, no entanto, é um assistente
todos os recursos do domínio. não interfira com o login do serviço. gráfico dcpromo para provisionamento
do Samba 4, que faz parte do processo
Configuração avançada Appliance SerNet de instalação do appliance, mas tam-
Do ponto de vista prático, a configu- bém pode ser inicializado de forma
ração do Samba 4 não está de forma Samba 4 retroativa a qualquer momento para
alguma concluída: na vida cotidiana, O SerNet, fora de Göttingen, na Ale- definir uma nova configuração.
o administrador também precisa con- manha, é um integrador de sistemas O appliance SerNet é baseado no
figurar o serviço de autenticação em com foco em tecnologia livre, seguran- Debian 6 e depende do kernel 3.2.0 a
detalhes, bem como criar perfis de ça e serviços relacionados ao Samba, partir dos backports Debian com su-
computador/usuário, serviços de ar- em particular. O SerNet desenvolve o porte para o Hyper-V da Microsoft. O
quivo e de impressão e, em particular, Samba em colaboração com a equipe appliance usa o servidor de arquivos
cuidar de exportar automaticamente da ferramenta por iniciativa própria e S3FS incorporado, ao invés do NTVFS
os diretórios home dos usuários. Estes a pedido de clientes é também o úni- próprio do Samba 4, que inicia o daemon
detalhes estão além do escopo deste co integrador de sistemas que fornece SMB do Samba 3 dentro do Samba 4,
artigo. Que o UCS fornece suporte membros para a equipe principal de de modo que as ferramentas do Samba
abrangente através da interface de desenvolvimento do Samba. Entre 3 como smbstatus, smbpasswd e smbclient
gerenciamento e variáveis do siste- outras coisas, a equipe de Göttingen ainda funcionam. Este é o comporta-
ma nestes pontos é louvável, mas desenvolveu um appliance Samba ba- mento padrão do Samba 4. Além dis-
esta classificação não faria justiça aos seado em Debian que e fácil de imple- so, o servidor NTP interno no Samba
objetivos dos dois produtos: o UCS mentar e oferece aos administradores 4 sincroniza a hora do sistema, o que
prepara-se para fornecer um servidor uma opção conveniente para testar os é vital para a autenticação Kerberos.
para pequena empresa com suporte recursos suportados pela nova versão A abordagem mais rápida para
do Active Directory para uso em pro- do Samba 4. a instalação automática é executar
dução, enquanto o appliance SerNet A versão 0.1, exibida pela primeira o instalador Debian padrão. A ins-
Samba é puramente uma configura- vez na CeBIT no ano passado, tem talação automática em modo texto
ção de teste do Samba 4. sido disponibilizada oficialmente para sobrescreve o disco inteiro durante o
Os serviços de arquivo fornecidos download desde maio 2012; no entanto, particionamento. Se nenhum servidor
pelo UCS suportam os ACLs para ainda era baseada no preview do Sam- DHCP for encontrado, o instalador
compartilhamentos baseados em CIFS, ba 4. O SerNet migrou seu appliance se oferece para configurar a rede ma-
desde que o sistema de arquivos sub- Samba para o Samba 4 estável logo nualmente, o que é especialmente
jacente no servidor Samba também após o lançamento da versão final. A importante para uso em produção.
suporte isso (que é o caso com ext3, versão 0.6 do appliance já está disponí- Ao final da instalação básica, o siste-
52 www.linuxmagazine.com.br
Appliance SerNet | CAPA
Conclusão
Tanto o SerNet appliance como o Uni-
vention Corporate Server podem ser
configurados com pouco esforço para
fornecer um controlador de domínio
do Active Directory baseado em Linux.
O SerNet appliance é projetado para
instalações de teste e conta com a ver-
são estável mais recente do Samba 4.0.
O UCS do Univention utiliza a versão
4.0rc6 do Samba, que foi desenvolvida
pela Univention em colaboração com
a equipe do Samba. Ele se baseia nas
versões de pré-lançamento anteriores
e foi testado para uso em produção.
Figura 4 No modo de domínio, podemos procurar por objetos no AD com o Uma comparação direta dos produtos
Windows Explorer. não faria sentido, pois o UCS oferece um
pequeno servidor de negócios completo
riormente (figura 3). Uma afiliação voltará para a janela de login local e gerenciável via Internet. O appliance
só irá funcionar de forma confiável quando digitarmos a última letra “r” no SerNet usa o servidor de arquivo em-
e sem nenhuma configuração adi- Administrator, mas se usarmos o formato butido Samba 3, o S3FS, para fornecer
cional se adicionarmos o endereço <domain name>\<administrator> ao invés serviços de arquivo e de impressão,
IP do appliance SerNet Samba ou o disso, o login de domínio irá funcionar. enquanto que o Univention executa
UCS como a configuração do servi- O Windows Explorer agora tam- o Samba 3.6.8 em paralelo para servi-
dor DNS na configuração de IP do bém possui um recurso para Search ços de arquivo. O Univention também
adaptador de rede do cliente. Uma Active Directory (Pesquisar no Active oferece uma ferramenta de migração
rápida revisão do Network and Sha- Directory) em Network (Rede). Po- do AD da Microsoft para o Samba 4 e
ring Center (Centro de Rede e Com- demos usá-lo para pesquisar serviço um Active Directory Connector para
partilhamento) deve confirmar que de diretório para Users (Usuários), cooperação com um controlador de
a afiliação foi realizada com sucesso. Contacts (Contatos), Groups Com- domínio Microsoft existente. ■
Após o reboot, podemos fazer o login puters (Grupos de Computadores),
no domínio como um usuário adminis- Printers (Impressoras) e Shared fol- Gostou do artigo?
trativo. Ao fazê-lo, um pequeno truque ders (Pastas compartilhadas) (figura Queremos ouvir sua
a opinião.
é necessário se a conta “Administrator” 4). A configuração restante pode ser Fale conosco em
também existir localmente. Quando feita com as ferramentas de linha cartas@linuxmagazine.com.br
zine.com br
pressionamos Change user... (Altere o de comando embutidas no Samba Este artigo no nosso
so site:
si
usuário...) para mudar do login local 4 ou com as ferramentas padrão de http://lnm.com.br/article/8589
articl 8589
para o login no domínio, o Windows administração do Windows.
Mais informações
[1] UCS 3.1: http://www.univention.de/en/products/ucs/
[2] SerNet Appliance: http://www.enterprisesamba.org/samba4ad/samba-4-appliance/
[3] Samba 4: http://www.enterprisesamba.org
[4] Samba Early Adopters: http://www.sixmonthmba.com/2010/11/become-an-early-adopter.html
[5] Active Directory connector: http://www.univention.de/en/products/ucs/ucs-components/
microsoft-windows-support/ucs-active-directory-connector/
[6] UCS 3.1 Free for Personal Use edition: http://www.univention.de/en/
download-and-support/free-for-personal-use-edition/
[7] SerNet Appliance release notes: http://ftp.sernet.de/pub/samba4AD/sernet-samba4-appliance/README
Autenticação segurança
A Autenticação
autenticação de usuário trata nhas continuam a ser o método
de descobrir se os usuários de autenticação mais amplamen-
realmente são o que dizem te utilizado. Afinal, praticamente multifatorial
ser. Dado que usuários desavisados qualquer produto de software ofe- A segurança dos processos de auten-
podem cair na armadilha de con- rece este método de graça, como ticação pode ser significativamente
fundir um smartphone com um um procedimento padrão. aumentada por uma combinação de
ponto de Internet, oferecendo ao No entanto, os administradores vários fatores (autenticação multifato-
hacker um vetor fácil para roubar devem ter em mente uma regra de rial). Por exemplo, o cartão de débito
senhas, contar unicamente com ouro para proteção de dados e di- sempre combinou os fatores de “re-
nomes de usuários e senhas para reitos de acesso: quanto maior for conhecimento” e “posse” porque o
acessar informações confidenciais o valor da informação protegida, usuário precisa tanto estar em posse
é algo basicamente irresponsável. mais seguro precisa ser o método do cartão com uma tira magnética ou
A solução pode estar no uso de fa- de autenticação. Muitos dos pro- chip como do PIN associado.
tores adicionais de autenticação. blemas com senhas podem ser evi- Ainda mais seguro é o processo em
Vários métodos de autenticação tados se uma senha dinâmica for que três fatores são usados – a com-
podem ser classificados nos gru- utilizada, em vez de uma senha binação de reconhecimento, posse e
pos “reconhecimento”, “posse” e estática, e se a senha dinâmica for biometria. Por exemplo, o “QTrust 2go
“biometria” (tabela 1). Estes gru- usada apenas uma vez. Talvez não Smart” [1] combina todos os três fato-
pos, também chamados de fatores, seja possível impedir o rastreamento res, com o usuário primeiro digitando
constituem a base de qualquer das senhas, mas as informações de um nome de usuário na tela de login
método de autenticação. Apesar autenticação roubadas desta forma (reconhecimento) e, em seguida, sca-
dos graves inconvenientes, as se- serão inúteis para o invasor. neando um código QR na tela de um
54 www.linuxmagazine.com.br
Autenticação segurança | SEGURANÇA
smartphone, a partir do qual o aplicativo o token de segurança do dispositivo enquanto que os cartões inteligentes
gera uma senha de uso único (posse). para o serviço e, em seguida, ativar o exigem um leitor de cartão adicional.
Para a autenticação final, o usuário certificado salvo fazendo uso de um Geradores de senha de uso único
deve então executar o reconhecimento PIN ou senha. Só então o cliente (tokens OTP) fornecem uma alternativa
de face com a câmera do smartphone VPN, por exemplo, poderá abrir uma para certificados. Os OTPs estão dis-
(característica biométrica) e digitar a conexão com o sistema de destino. poníveis em vários formatos: hardware,
senha de uma só vez na caixa de login. Pendrives especiais (USB sticks) ou software, placas de rede e “como um
cartões inteligentes são normalmente serviço”, geralmente na forma de SMS
Bom o bastante utilizados para o armazenamento de (quadro 2). Tokens OTP fornecem ao
Para a maioria dos requisitos de segu- certificados eletrônicos e senhas. A usuário uma senha de uso único e de
rança, no entanto, a autenticação de vantagem prática de tokens USB so- curta duração para o login.
dois fatores é mais do que suficiente. O bre cartões inteligentes é que a porta Dependendo do fabricante e do
Payment Card Industry Data Security USB na máquina local pode ser usada, método utilizado, é feita uma distin-
Standard (PCI DSS) – um framework
regulatório de conta para o processa- Quadro 2: Sistemas OTP gratuitos
O S/KEY/OPIE é um método de segurança mais antigo que oferece aos sistemas
mento de transações de pagamento
operacionais estilo Unix a autenticação de senha de uso único. A implementação
com cartão de crédito – exige uma OPIE (One-Time Passwords in Everything), ou simplesmente senhas de uso
solução de autenticação de dois fatores único em tudo, [7] inclui um cliente e um servidor de aplicativos e um módulo
para o acesso à rede por administrado- PAM. As OTPs podem ser geradas com antecedência e impressas (por exemplo,
res, funcionários e terceiros externos uma lista TAN) ou geradas em tempo real (on the fly) com geradores S/KEY.
[2]. Muitas soluções de autenticação O Google Authenticator fornece uma solução de autenticação de dois
fatores [8] OATHcompliant e implementação HOTP/TOTP. Este método foi
de dois fatores estão disponíveis no
desenvolvido principalmente para autenticação contra os serviços do próprio
mercado (quadro 1). Qualquer pessoa Google, mas eles também oferecem um módulo PAM para autenticação em
interessada em usar essa solução deve, sistemas Unix. A OpenKubus [9] é uma unidade flash USB com um layout de
portanto, decidir com antecedência hardware aberto que pode gerar senhas de uso único. O OpenKubus fornece
se deseja trabalhar com certificados, bibliotecas para C, Perl e PHP, bem como um servidor e um módulo PAM.
senhas únicas ou ambos. O LinOTP [10] é um sistema de backend para conectar várias soluções de
A autenticação de dois fatores nor- autenticação e fornecedores. A edição de comunidade inclui, entre outras
coisas, um módulo PAM e uma API web e suporta vários tokens OTP. A
malmente utiliza certificados digitais versão Enterprise também permite o acesso a serviços de diretório como o
PKI com base no padrão X.509. Es- Microsoft Active Directory, Novell eDirectory, SQL e OpenLDAP.
tes são normalmente armazenados O Mobile-OTP [11] é uma implementação OTP livre que inclui um MIDlet
em um meio de armazenamento de J2ME no lado do servidor e um script Shell para integração com servidores
certificado de hardware conhecido RADIUS gratuitos (por exemplo, XTRadius). No lado do cliente, muitos tokens
como o token de segurança. Para OTP estão disponíveis gratuitamente para todos os principais sistemas
móveis e plataformas de sistema operacional.
autenticar, o usuário deve conectar
56 www.linuxmagazine.com.br
Autenticação segurança | SEGURANÇA
58 www.linuxmagazine.com.br
Autenticação segurança | SEGURANÇA
Testes mixed-mode
Para os primeiros testes, o usuário
deve ativar o mixed-mode para estar no
lado seguro. Depois, pode continuar
a logar na instalação do Drupal com
o nome de usuário e senha se algo der
errado com a tentativa de integração
Figura 6 O token de demonstração online da Vasco permite aos usuários testar do Mydigipass.com. No decorrer da
o login seguro no Mydigipass.com.
configuração do módulo, é possível
partir de 3 mil dólares americanos (ou Para começar, baixe o arquivo com personalizar os vários estilos de botão
2 mil euros) por ano, mas incluem 500 o plugin [24] e descompacte-o no di- para o login e, se desejado, criar cam-
usuários e 10 mil operações de autenti- retório sites/all/modules/mydigipass pos de dados para as contas de usuário.
cação (Premium), ou 10 mil usuários da instalação Drupal (por exemplo, Finalmente, devemos conectar a
e 250 mil operações de autenticação /var/www/drupal/sites/all/modules/ conta de usuário Drupal com o u-
(Executive) ao ano. mydigipass). Em seguida, inscreva-se suário registrado no Mydigipass. Para
para uma conta de desenvolvedor fazer isso, selecione My Account/
Hardening do Drupal em https://developer.mydigipass.com,
faça o login e então siga para a seção
Edit (Minha Conta/Editar) no Dru-
pal e pressione o botão Connect with
com Mydigipass Sandbox. De lá, clique em Connect MYDIGIPASS.COM (Conectar com
O módulo Mydigipass também pode a test site e digite um identificador MYDIGIPASS.COM). Se tudo der
ser utilizado para fazer o harden o e um nome de exibição para o site; certo, o Drupal informa que “The
popular Drupal CMS adicionando eles podem ser idênticos. user has been successfully linked to
o Mydigipass login API (figura 7). Como Redirect uri, entre com MY DIGIPASS.COM” (O usuário foi
O guia a seguir explica a instalação http://<Your-Domain>/ mydigipass/ associado com sucesso ao MY DIGI-
e configuração baseada no Drupal
6.27. A principal exigência é que o
servidor web possa acessar o serviço
Mydigipass.com com uma conexão
HTTPS de saída. Se o servidor web
estiver atrás de um firewall, será pre-
ciso abrir a porta 443/TCP do servidor
web para o domínio mydigipass.com.
Em nosso laboratório, o plugin só
funcionou corretamente com “Clean
URLs” habilitadas no Drupal. Clean
URLs criam URLs legíveis, sem ca-
racteres especiais. O administrador
do Drupal pode ativá-las clicando
em Administer/Clean URLs/Enabled.
Como o servidor web também deve
suportar esse recurso, o administrador Figura 7 Configurar o plugin Mydigipass é simples se usarmos o módulo
deve habilitar o módulo de reescrita de configuração do Drupal. Um modo especial permite testar a
mod_rewrite no servidor web Apache. configuração imediatamente, sem que haja o bloqueio do CMS.
60 www.linuxmagazine.com.br
Gerenciamento de cluster | TUTORIAL
Gerenciamento de cluster
TUTORIAL
pacotes de cluster
Adicionar e eliminar software a partir de um cluster em execução pode ser complicado;
no entanto, muitos pacotes de aplicativos podem ser adicionados ou removidos
facilmente com algumas ferramentas e alguns truques simples.
por Douglas Eadline
I
nstalar e configurar um cluster ➧ NFS Root – Cada nó faz o boot global compartilhado também é pos-
HPC não é tão difícil como cos- e instala tudo como NFS root, exceto sível. O NFS é utilizado em pequenos
tumava ser; algumas ferramentas para coisas que mudam para cada e médios clusters para compartilhar
fornecem recursos agradáveis que nó (por exemplo, /etc, /var). Este esses diretórios. Em clusters maiores,
permitem a praticamente qualquer sistema pode ser executado com alguns tipos de sistemas de arquivos
pessoa obter sucesso em pouco tem- menos disco ou com o disco cheio. paralelos podem ser necessários. Em
po. Uma questão que vale a pena Um exemplo é o oneSIS [2]. qualquer caso, sempre existe um me-
considerar, no entanto, é a facili- ➧ RAM Disk – Um disco RAM canismo para compartilhar arquivos
dade com que podemos mudar as será criado em cada nó que man- em todo o cluster.
coisas, uma vez que o cluster esteja tém uma imagem do sistema em O método mais simples é instalar
em funcionamento. Por exemplo, execução. O sistema de disco RAM os pacotes em /opt. Esta abordagem
se um usuário receber um cluster pode ser criado em modo híbrido, possui a vantagem de “instalar uma
configurado e, em seguida, apa- no qual alguns arquivos estão dis- vez e estar disponível em todos os
recer alguém e dizer: “preciso de poníveis através do NFS, e ele pode lugares”, embora tenhamos que
um pacote XYZ construído com a ser executado com menos disco ou enfrentar alguns problemas com os
biblioteca EFG versão 1.23”, existirá com o disco cheio. Um exemplo é o arquivos de log; no entanto, em ge-
a possibilidade de reprovisionar as Warewulf [3]. (Uma boa descrição ral, este método irá funcionar com a
coisas a fim de atender tal necessi- do Warewulf pode ser encontrada na maioria dos aplicativos de software.
dade, ou haveria uma maneira fácil série HPC Admin do Warewulf [4]). A questão principal com a qual
de adicionar e remover software de Independentemente do sistema os administradores devem lidar é
um cluster em execução que seja de provisionamento, o objetivo é a biblioteca de vínculo dinâmico.
minimamente invasiva? fazer alterações sem a necessida- Como os pacotes não estão insta-
A resposta é “sim”. Antes de des- de de reiniciar os nós. Nem todas lados no caminho padrão /usr/lib
crevermos como podemos organizar as mudanças podem ser feitas sem e não desejamos copiar entradas
um cluster para ser mais maleável, reiniciar nós (ou seja, mudando o de pacotes em /etc/ld.so.conf/ nos
alguma menção sobre provisiona- provisionamento subjacente); no en- nós, precisamos de uma forma de
mento de pacotes será útil. Três tanto, muitos pacotes de aplicativos gerenciar o local para as bibliotecas.
métodos básicos são oferecidos por podem ser adicionados ou removidos Claro, fazer a vinculação estática
vários conjuntos de ferramentas: sem muita dificuldade se algumas completa é uma possibilidade, e
➧ Image Based – Uma imagem de medidas simples forem tomadas. usar o LD_LIBRARY_PATH é outra, mas
nó de disco é propagada para os nós ambas as soluções impõem algumas
na inicialização. Diferentes “rolls” Dump em /opt exigências extras sobre os usuários, o
(imagens) podem ser construídos Em quase todos os clusters HPC, os que, no final das contas, volta para
para diferentes pacotes. Um exemplo usuários possuem um /home compar- o administrador de sistemas para
são os Rocks Clusters [1]. tilhado globalmente, e um /opt path suportar quaisquer problemas. O
método preferido é instalar pacotes que obtemos uma maneira de adi- fig para restringir os hosts de receber
que “simplesmente funcionam”. cionar e remover pacotes facilmente esta variável. Da mesma forma, o ar-
A solução é muito simples. Pri- do cluster, precisamos informar aos quivo sshd_conf precisa da seguinte
meiro, crie /opt/etc/ld.so.conf.d/ usuários sobre como usá-los. linha adicionada:
para que todos os pacotes posicionem
SendEnv LOADEDMODULES NOMODULES
seus caminhos de biblioteca em ar-
quivos conf, como fariam em /etc/
Módulos de Uma vez que o serviço SSHD seja
ld.so.conf.d/. Em seguida, é neces- ambiente global reiniciado, as futuras sessões SSH irão
sário fazer uma pequena inclusão em Em um artigo da Admin HPC, des- transmitir as duas variáveis para logins
/opt/etc/ld.so.conf para todos os nós crevemos o pacote de módulos de SSH remotos. Antes que o login remo-
(ou seja, precisa ser parte da etapa de ambiente [5]. (Recentemente obser- to possa usar os módulos, ele deve ser
provisionamento do nó, por isso está lá vamos que alguns outros autores da carregado. Este passo pode ser realizado
após o boot do nó). A linha adicional é: Admin HPC também têm coberto pela inclusão de um pequeno pedaço
o mesmo tema [6]). O uso dos mó- de código ao script .bashrc do usuário,
include /opt/etc/ld.so.conf.d/*.conf
dulos de ambiente [7] fornece fácil como mostrado na listagem 1.
Esta nova linha informa ao gerenciamento de várias versões e Como pode ser visto a partir des-
ldconfig que deve procurar em /opt/ pacotes em um ambiente HPC di- te código, se NOMODULES for definido,
etc/ld.so.conf.d/ por caminhos de nâmico. Um dos problemas, no en- nada é feito, e nenhum módulo é
biblioteca adicionais. Se um pacote tanto, é como manter os módulos de carregado. Se não for definido, cada
é adicionado ou removido, tudo o ambiente quando utilizamos outros módulo listado em LOADEDMODULES é
que precisa acontecer é um ldconfig nós. Se usarmos o SSH para fazer login carregado. Note que esta configu-
global em todos os nós para atualizar nos nós, então teremos uma maneira ração assume o pacote do módu-
os caminhos da biblioteca. Esta fácil de manter (ou não manter) o lo e os arquivos do módulo ficam
etapa pode ser facilmente concluída módulo de ambiente. disponíveis para o nó. Considere o
com uma ferramenta como a pdsh. Com um pouco de configuração, exemplo da listagem 2, na qual os
Assim, instalar um pacote global no o protocolo SSH permite a passagem dois módulos são carregados (fftw
cluster é tão simples como instalá- de variáveis de ambiente. Além disso, e mpich2) antes de efetuar login em
lo em /opt, com uma entrada em os módulos atualmente carregados outro nó (n0, neste caso). No pri-
/opt/etc/ld.so.conf.d/ e execução são armazenados em uma variável meiro login, os módulos são carre-
em um ldconfig global. de ambiente chamada LOADEDMODULES. gados no nó remoto. No segundo
Se, por exemplo, possuirmos a Por exemplo, se carregarmos dois login, com NOMODULES configurado,
versão atual do Open MPI instalada módulos (ftw e mpich2) e, em segui- nenhum módulo está disponível:
e um usuário quiser experimentar da, olharmos para o nosso ambiente, conforme observamos, um pressu-
as bibliotecas PetSc com uma nova encontraremos: posto importante é a disponibilidade
versão, poderá facilmente instalar e dos arquivos de módulo para todos
LOADEDMODULES=
compilar tudo em /opt e terá o usuá- fftw/3.3.2/gnu4:mpich2/1.4.1p1/gnu4
rio executando o novo código sem
reiniciar nós ou instruindo-os sobre Neste ponto, tudo o que preci- Listagem 2: Definição
as nuances da LD_LIBRARY_PATH. Agora samos fazer é inclui-lo em todas de NOMODULES
as sessões de cluster SSH, e então 01 $ module list
Listagem 1: Carregamento podemos recarregar o módulo de 02 Currently Loaded Modulefiles:
ambiente. Para passar uma variável 03 1) fftw/3.3.2/gnu4 2) 01
de módulos mpich2/1.4.1p1/gnu4
de ambiente via ssh, tanto o arquivo 04 $ ssh n0
01 if [ ‑z $NOMODULES ] ; then
02 LOADED=`echo ‑n /etc/ssh/ssh_config como o /etc/ssh/ 05 $ module list
$LOADEDMODULES|sed 's/:/ /g'` sshd_config precisam ser alterados. 06 Currently Loaded Modulefiles:
03 for I in $LOADED Para começar, o arquivo /etc/ssh/ 07 1) fftw/3.3.2/gnu4 2) 01
04 do mpich2/1.4.1p1/gnu4
ssh_config precisa ter a seguinte linha 08 $ exit
05 if [ $I != "" ] ; then
06 module load $I adicionada a ele: 09 $ export NOMODULES=1
07 fi 10 $ ssh n0
08 done AcceptEnv LOADEDMODULES NOMODULES 11 $ module list
09 else export LOADEDMODULES="" 12 No Modulefiles Currently
10 fi Tenha em mente que poderá usar Loaded.
a opção de host no arquivo ssh_con‑
62 www.linuxmagazine.com.br
Gerenciamento de cluster | TUTORIAL
os nós. Ao colocar os arquivos de que um ldconfig local é feito por no entanto, a instalação e reins-
módulo no NFS compartilhado quase todos os RPMs). talação é simples, conveniente,
/opt, todos os nós podem encontrar Claro, construir boas RPMs e compreende todo o cluster. n
os arquivos de módulo em um só leva algum tempo, mas uma vez
lugar, e eles podem ser adicionados que tenhamos o “esqueleto” bási- Gostou do artigo?
ou removidos sem alterar a imagem co, não será tão difícil arrastá-las Queremos ouvir sua opinião.
Fale conosco em:
em execução no nó. para os passos configure/make/ins- cartas@linuxmagazine.com.br
tall para vários pacotes. Uma vez Este artigo no nosso site:
Em direção ao que o usuário possua boas RPMs
de cluster para seus aplivativos,
http://lnm.com.br/article/8579
cluster RPM
O ingrediente final para esta receita Mais informações
é encapsular ambas as ideias em
[1] Rocks Clusters: http://www.rocksclusters.org/wordpress/
pacotes RPM; ou seja, um RPM
vai instalar um pacote em /opt, [2] oneSIS: http://onesis.org/
fazer a entrada em /opt/ld.so. [3] Warewulf: http://warewulf.lbl.gov/trac/
conf.d, e instalar um arquivo de
módulo. Dessa forma, com exce- [4] Gerenciamento de cluster Warewulf: http://www.admin‑magazine.com/
HPC/Articles/Warewulf‑Cluster‑Manager‑Master‑and‑Compute‑Nodes/
ção de um ldconfig global, todo
o pacote poderia ser instalado [5] Gerenciamento do ambiente de módulos : http://
www.admin‑magazine.com/HPC/Articles/
no cluster inteiro em uma única Managing‑the‑Build‑Environmentwith‑Environment‑Modules/
etapa. Se o pdsh (ou similar) fo-
rem necessários como parte do [6] Módulos de ambiente Lmod: http://www.admin‑magazine.com/
HPC/Articles/Lmod‑Alternative‑Environment‑Modules/
processo de instalação do RPM,
o ldconfig global poderia ser fei- [7] Módulos de ambiente: http://modules.sourceforge.net/
to pelos RPMs (da mesma forma
Disponível no site
www.LinuxMagazine.com.br
Desfragmentação
Otimize a organização
TUTORIAL
de dados em disco
O Defragfs otimiza arquivos em um sistema e permite que vídeos carreguem mais
rapidamente e que grandes arquivos abram em um piscar de olhos.
por Erik Bärwaldt
E
m época de conteúdo di- Este movimento leva tempo e livres para um espaço contíguo no
gital, coleções de dados continua a aumentar em discos for- disco rígido, o sistema de arquivos
em domicílios residenciais temente fragmentados. Os dados do mantém os dados a serem escritos
estão crescendo rapidamente. Ao usuário não são a única contribuição na memória RAM por um período
considerarmos que, apenas poucos para a fragmentação, o próprio siste- de tempo até que o tamanho final
anos atrás, discos rígidos com al- ma operacional incentiva a grande seja determinado. Além disso, os
gumas centenas de gigabytes eram divisão: usuários avançados que gos- sistemas de arquivos reservam gru-
perfeitamente suficientes, hoje, tam de experimentar e muitas vezes pos de blocos livres no disco rígido
a capacidade de armazenamento testar softwares também contribuem para armazenar por completo o
em disco de vários terabytes é co- para a fragmentação através da insta- volume de novos arquivos.
mumente utilizada. O sistema de lação de novos programas para, em Mesmo tais mecanismos pen-
arquivos Linux ext2, ext3 e ext4 e seguida, excluí-los. sados para o futuro não podem li-
não precisa de muita atenção, mas, Partições nas quais mais da me- dar plenamente com o problema.
ao longo do tempo, após inúmeras tade da capacidade é utilizada irão
escritas e exclusões, os dados se fragmentar os dados mais fortemen- Quadro 1: Teoria
tornam fragmentados. Isto diminui te, já que o sistema precisa espalhar Um disco de computador precisa de pelo
não só o disco rígido em si, como arquivos maiores por um número menos uma partição, que contnha um
também todo o sistema – por vezes maior de áreas por conta da falta sistema de arquivos. Grandes discos de
de maneira notável. Assim, os usuá- de espaço livre. Em última análise, várias centenas de gigabytes de capa-
cidade costumam ter várias partições,
rios avançados, mesmo no Linux, ferramentas geralmente úteis como que por sua vez separam perfeitamente
são aconselhados a ocasionalmente BleachBit [1] ou Rpmorphan [2] o sistema operacional e os dados.
reorganizar os dados. podem agravar a situação, sob certas Em cada partição, o sistema de
arquivos é responsável pela estru-
circunstâncias, removendo arquivos
Fragmentado que não são mais necessários: elimi-
tura dos dados, que são organiza-
das em blocos no disco rígido. Em
A fragmentação é algo que afeta nações entre segmentos alocados discos rígidos menores, um bloco
principalmente arquivos maiores geram blocos livres não contíguos. possui 512 bytes.
Há relativamente pouco tempo,
que não cabem completamente os fabricantes começaram a oferecer
no espaço livre do disco rígido por Prevenção unidades de formato avançado (AFD)
conta de uma falta de espaço contí- Para minimizar a desfragmentação com um tamanho de bloco de 4KB.
Estas unidades possuem capacida-
guo suficientemente grande; assim, de arquivos, sistemas de arquivos
des muito altas de armazenamento
um arquivo irá residir em diferentes comuns, como ext2 e seus suces- – de centenas de gigabytes até um
segmentos (quadro 1). Quando um sores ext3 e ext4 incluem alguns certo número de terabytes. Para
arquivo é lido, as cabeças de leitura se mecanismos para neutralizar o sistemas operacionais mais antigos,
eles fornecem eletrônica que emula
mudam para uma nova posição várias efeito. Por exemplo, na tentativa um tamanho de bloco de 512 bytes.
vezes para recolher os fragmentos. de copiar completamente os dados
64 www.linuxmagazine.com.br
Desfragmentação | TUTORIAL
Figura 1 O Linux utiliza ferramentas padrão para fornecer informações significativas sobre o sistema de arquivos.
Como para muitos problemas, o Para determinar o grau de frag- que pode parecer um valor elevado
Linux inclui soluções padrão para mentação, primeiro é preciso ins- o assuste: a desfragmentação não
as quais outros sistemas operacio- talar o pacote e2fsprogs, se isto já vale a pena no Linux até que o va-
nais requerem software adicional não for feito durante a configura- lor aumente para mais de 20% dos
e, muitas vezes, caro. A fragmen- ção inicial. As ferramentas inclu- blocos não contíguos (figura 1). Se
tação não é uma exceção, com o ídas neste pacote fornecem dados quiser detalhes mais precisos sobre
Linux oferecendo uma série de importantes sobre os sistemas de o grau de fragmentação, também é
maneiras para resolver o problema. arquivos ext2/3/4. Certifique-se possível usar o comando:
Antes de iniciar o que poderia ser de desmontar a partição antes.
# dumpe2fs <devicefile>
uma execução de desfragmentação Para fazer isso, se necessário, use
bastante demorada – dependendo o comando: para uma descrição detalhada. A
do tamanho da partição – devemos ferramenta primeiro lista infor-
$ umount <devicefile>
primeiro verificar se o disco em mações sobre o tipo de sistema de
questão é afetado pelo problema. e execute o seguinte comando arquivos e, em seguida, os grupos
Baixo fluxo de dados em um siste- com privilégios administrativos de blocos individuais e seus res-
ma não indica, necessariamente, em um terminal: pectivos dados.
um disco fragmentado. Com os Na lista de grupos, observe a li-
# e2fsck ‑fn <devicefile>
novos discos rígidos da AFD, em nha free blocks:. Se só encontrar
particular, uma partição configu- Quando verificarmos a partição, uma área aqui, é porque está tudo
rada incorretamente pode levar à veremos uma saída que mostra a por- OK. Mas se encontrar vários blocos
perda significativa de velocidade, centagem de blocos não contíguos livres, os dados contidos neste grupo
mesmo sem dados fragmentados. na última linha. Não deixe que o estão parcialmente fragmentados.
Quanto mais blocos a ferramenta
disponibiliza, mais grupos de blo-
cos serão afetados, e mais forte-
mente os dados da partição serão
fragmentados (figura 2).
Arquivos grandes
Salvar e apagar arquivos grandes
com frequência, como arquivos
multimídia, muitas vezes abre bu-
racos nas estruturas de dados. Se
os dados de um filme de alta re-
solução forem distribuídos entre
seções espaçadas, a imagem pode
conter artefatos ou será possível
experimentar uma reprodução ir-
regular. Nestes casos, faz sentido
Figura 2 Aqui, o sistema de arquivos apenas fez a divisão de alguns dados. verificar a consistência do arquivo.
Figura 3 O sistema de arquivos muitas vezes quebra grandes arquivos multimídia em pedaços menores, que, em
seguida, são armazenados em diferentes lugares sob determinadas circunstâncias.
Para isso, torne-se root e execute lizado o armazenamento em massa comando lidam com este problema
o comando: em uma interface USB 2.0 como – e, destes, apenas um impressionou
um meio de backup. em nosso laboratório: o Defragfs
# filefrag <file>
Existem diferentes métodos para [3]. Para começar, descompacte a
O Filefrag então examina o arquivo reunir os arquivos: se o usuário pequena ferramenta em uma pasta.
e retorna informações mais detalhadas possuir tempo de sobra para gastar, Apesar de seu pequeno tamanho de
sob o seu respectivo estado (figura 3). copie os dados da partição afetada pouco menos de 9KB, o script Perl
O número de extensões, isto é, blocos para outro disco, exclua os dados fornece um recurso surpreendente:
de arquivo não contíguos, revela o originais e, em seguida, restaure ele não apenas desfragmenta os di-
grau de fragmentação. Quanto mais os arquivos copiados para o disco retórios e partições, como também
extensões o software determina, pior original. Isto irá assegurar áreas de fornece informações detalhadas sobre
é a divisão do arquivo afetado. dados contíguas. A desvantagem o sucesso das ações. Para evitar ter
deste método é a enorme quantida- que especificar o caminho comple-
Limpeza de de tempo que leva para coletas to quando a ferramenta é chamada,
Existem diferentes métodos para de dados grandes – especialmente copie o programa para o diretório
reunir os arquivos: se o usuário tiver se for usado armazenamento em /usr/local/bin. Em seguida, inicie
tempo de sobra para gastar, poderá massa com uma interface USB 2.0 a ferramenta com privilégios de
copiar os dados da partição afetada como meio de backup. administrador usando o comando:
para outro disco, excluir os dados Como o grau de fragmentação de
# defragfs <directoryname> ‑a
originais e, em seguida, restaurar os um disco rígido no Linux é muitas
arquivos copiados para o disco ori- vezes no intervalo percentual de um O Defragfs agora determina auto-
ginal. Isto irá assegurar áreas contí- dígito, mesmo após o uso por alguns maticamente os valores apropriados e
guas de dados. A desvantagem deste anos, a comunidade de desenvolvedo- mescla os arquivos individuais. Como
método é a enorme quantidade de res não tem prestado muita atenção o script copia os arquivos anteriores e
tempo que leva para coletas grandes à manutenção de dados no passado. posteriores, certifique-se que haja espa-
de dados – especialmente se for uti- Apenas alguns programas de linha de ço suficiente no diretório em questão.
66 www.linuxmagazine.com.br
Desfragmentação | TUTORIAL
Google Nexus 10
Nexus 10
ANDROID
O
Nexus 10, novo tablet da Na parte frontal estão localizadas
gigante de Redmond, é a câmera, que possui a resolução de com um processador dual-core
produzido pela Samsung 1.9MP, o sensor de luminosidade do Exynos 5250 com 2 núcleos Cortex
e é a nova menina dos olhos da ambiente e um led de notificações. A-15 de 1.7GHz e possui 2GB de
corporação, que surpreende a cada A parte de trás do tablet abriga a memória RAM. São comercializa-
novo lançamento. Com uma estru- câmera principal de 5MP, seu res- das versões com 16GB ou 32GB de
tura emborrachada cinza escuro, o pectivo flash e um microfone. As espaço em disco, no entanto não
tablet é arredondado, não escorrega portas micro USB, entradas para são expansíveis através de cartões
facilmente das mãos e possui alto fones de ouvido e porta HDMI estão SD. A duração da bateria é bas-
falantes bem localizados, evitando localizadas na lateral do aparelho. tante razoável, evitando a recarga
assim o problema presente em ou- Em geral, a carcaça do apare- diária necessária em alguns tablets
tros tablets de que o modo de pegar lho é muito bem feita (figura 2). comercializados atualmente. Não
o aparelho obstrui a saída de som A tela é capacitiva, multitoque e é possível utilizar o 3G através de
(figura 1). Com uma espessura de composta da robusta tecnologia cartões SIM, no entanto é possí-
8,9mm e um peso de 603gr, o Nexus resistente à arranhões Corning vel utilizar modems 3G através
10 é mais leve e menor do que o Ne- Gorilla Glass 2, com a resolução da porta micro USB do aparelho.
xus 7, o que garante, naturalmente, HD (High Definition) de 2560x1600 Como recursos básicos, Bluetoo-
maior mobilidade ao equipamento. pixels e 16.7 milhões de cores (fi- th e NFC estão disponíveis, as-
sim como acelerômetro, bússola,
giroscópio, barômetro e GPS. O
Android presente no aparelho é o
4.2 Jelly Bean.
Pequenos problemas
Aparentemente, o Nexus 10 não é
perfeito. Alguns problemas de ini-
cialização foram observados por uma
boa soma de usuários. O Android
Jelly Bean do aparelho é puro, sem
personalizações da Samsung ou mes-
mo do Google. Sendo assim, pode
ser necessária a instalação de alguns
aplicativos adicionais para melhorar
a usabilidade do aparelho.
Um outro aspecto negativo do
Figura 1 Visual agradável, leveza e qualidade no acabamento são os primeiros aparelho, é sua lentidão para carre-
atrativos do dispositivo. gar a bateria. Frente à outros dispo-
68 www.linuxmagazine.com.br
Google Nexus 10 | ANDROID
Desempenho
O aplicativo para benchmark e análise
Figura 4 Nexus 10 durante
de desempenho AnTuTu apresentou a execução do jogo
a pontuação de 13630 pontos, o que é Steampunk Racing 3D.
Figura 2 O corpo emborrachado do
aparelho não tira sua beleza. considerado excelente diante de outros
aparelhos da mesma categoria. Já no aparelho. As respostas dos botões
sitivos da mesma linha, o Nexus 10 Vellamo Mobile Benchmark, que faz virtuais são rápidas e a tela mos-
leva em média 3 vezes mais tempo testes ainda mais precisos no que tange trou o poder de sua sensibilidade
para carregar sua bateria até 100%. à aceleração 3D, CPU e desempenho e precisão durante o jogo (figura 4).
A falta de slots de expansão para do processador, 1841 pontos foram ob-
cartões SD adicionais são outra re- tidos no quesito desempenho, sendo Conclusão
clamação dos usuários, assim como uma pontuação bastante alta para um O Nexus 10 já é considerado o tablet
a limitação do player de video, que aparelho desta complexidade. que pode brigar no mesmo patamar
só executa filmes no formato MP4 Testamos ainda a edição de videos com o iPad. Mais leve, mais rápido e
(ou então filmes da Internet). em aplicativos comuns, encontrados mais barato, o aparelho sem dúvida é
na loja do Google, e o Nexus 10 se um concorrente de peso para o queri-
Compartilhamento mostrou tão competente quanto um dinho da Apple. A Anatel homologou
O compartilhamento do dispositivo, desktop. A edição ocorreu sem tra- este mês o aparelho para trabalhar com
que proporciona o uso do aparelho vamentos e a reprodução do video a rede de telefonia e dados brasileira, o
por vários usuários, é um dos recursos (embora em formatos limitados) que abriu caminho para as vendas do
oferecidos pelo Android Jelly Bean ocorreu normalmente. aparelho no Brasil, ainda que não haja
do Nexus 10. Cada perfil de usuário Para os fãs de games, uma ótima uma previsão efetiva para o início das
poderá ser personalizado de acordo notícia: instalamos os mais recentes vendas. A previsão é de que o preço do
com suas preferências pessoais, tor- jogos disponíveis no Google Play e Nexus 10 seja por volta de R$1200,00.
nando a usabilidade do dispositivo o resultado foi surpreendente: ne- Fora do Brasil, o dispositivo já está sen-
em uma experiência única para nhum travamento (exceto quando do vendido por cerca de US$399,00.
cada um. tratava-se de algum tipo de conexão Vamos aguardar! ■
A personalização ainda vai além: necessária com a Internet), delay
cada usuário poderá definir seus ou problema de qualquer tipo foi Gostou do artigo?
g
próprios atalhos na tela inicial do encontrado na jogabilidade do Queremos ouvir sua
ua opinião.
Fale conosco em:
cartas@linuxmagazine.com.br
zine.com br
Este artigo no nosso
so site:
s e:
http://lnm.com.br/article/8643
artic 864
O autor
Flávia Jobstraibizer (fjobs@li-
nuxnewmedia.com.br, twitter: @
flaviajobs) é gerente de projetos
e analista de sistemas. Trabalha
com TI desde 1998 tendo atuado
em multinacionais e empresas de
diversos segmentos, trabalhando
com tecnologias livres e proprie-
tárias. Atualmente é editora-che-
fe das revistas Linux Magazine,
Figura 3 A nova versão da tecnologia Gorilla Glass torna a tela ainda mais resistente. Admin Magazine e c’t.
Extensões IMAP
Extensões de
ANÁLISE
protocolo IMAP 4
Um conjunto de extensões de protocolo mantém o legado IMAP 4 utilizável, o que também ajuda os
clientes móveis. Apresentamos uma mistura saudável de extensões úteis.
por Patrick Ben Koetter e Kristian Kissling
Demanda crescente
Q
uando a primeira versão Algumas destas extensões são tam-
do Internet Message Para adaptar o IMAP 4 às exigên- bém parte do perfil do Lemonade
Access Protocol 4 (IMAP cias modernas e especialmente de (licença para aprimorar o acesso
4) apareceu, em 1994, os telefones clientes móveis, o Network Working à rede orientado por mensagem
celulares pareciam mais com Group of the Internet Engineering para diversos ambientes). Sob
tijolos do que com telefones Task Force enriqueceu o protoco- este guarda-chuva, a RFC 4550
propriamente ditos – e não era lo IMAP com uma série de RFCs [2] reuniu mais de 20 extensões
possível ir muito além disso. com extensões que oferecem no- do protocolo IMAP explicitamen-
Os dados digitais corriam pela vos recursos ao IMAP, mas sem te para melhorar a comunicação
Internet através de modems em incomodar clientes e servidores com os clientes móveis.
doses homeopáticas. O Universal que utilizam versões mais antigas. Embora seja possível que ne-
Mobile Telecommunications Muitas das extensões de proto- nhum servidor tenha implemen-
System (Sistema Universal de colo ainda estão na fase de pro- tado as extensões mais exóticas,
Telecomunicações Móveis ou posta; a wiki IMAP não ofi cial os administradores estão surpresos
UMTS) e clientes de email móveis [1] contempla uma lista bastante de que precisem habilitar outras
sequer existiam e o email ganhava abrangente (figura 1) se o usuário extensões no servidor por não se-
terreno timidamente. estiver interessado em saber mais. rem parte integrante do protocolo
(tabela 1). Neste artigo, apresen-
tamos uma seleção de extensões
comumente usadas e explicamos
brevemente sua utilidade. Mais
detalhes estão disponíveis nas
RFCs relacionadas, que muitas
vezes possuem dezenas de páginas.
Descobertas:
CAPABILITY
O comando CAPABILITY [3] não é
uma extensão, mas um recursoim-
portante do IMAP 4. O cliente a
utiliza para descobrir quais exten-
sões o servidor suporta. O servidor
Figura 1 Esta matriz tenta esclarecer quais servidores IMAP implementam retorna uma longa linha que lista
quais melhorias. as capacidades como palavras-
70 www.linuxmagazine.com.br
Extensões IMAP | ANÁLISE
-chave. Se o ID do comando [4] ocasionalmente responder com sequência para o DONE. Se o cliente
é habilitado no lado do servidor, EXISTS (por exemplo, se for alterado não consegue terminar o coman-
o cliente tem permissão para en- o tamanho das caixas de correio), do IDLE enviando DONE, o servidor
viar informações sobre si mesmo o cliente não pode contar com pode jogá-lo fora, assumindo um
para o servidor, como o número este comportamento e terá que tempo limite definido. Assim, a
de versão e nome. No entanto, a solicitá-lo de qualquer maneira. RFC recomenda que os clientes
RFC dispõe que servidor e cliente Se o servidor retorna IDLE [5] enviem outro IDLE aos 29 minutos
não devem usar esta informação como um recurso, o cliente pode para evitar este problema.
para tentar contornar os erros; permitir que ele envie mensagens
em vez disso, eles devem ajudar o não solicitadas sobre o novo email, Pré-filtrado: NOTIFY
postmaster a identificar erros e a enquanto o cliente estiver no O IDLE tem a desvantagem de não
notificar o fornecedor do software. modo IDLE. Para permitir isso, o controlar nem limitar quais coman-
cliente envia um comando IDLE dos o servidor envia e como ele
Observador para o servidor, que responde com
um pedido de continuação ( +).
responde a determinados eventos.
Como o idle também só funciona
silencioso: IDLE Enquanto existir o status IDLE, o para uma única caixa de email, o
De acordo com o protocolo servidor pode enviar mensagens servidor e o cliente configuram
IMAP 4, o cliente deve informar sem sequência numérica (não outra conexão TCP para cada con-
ativamente ao servidor por um novo tagueadas), tais como EXISTS sulta de caixa adicional. O NOTIFY
email disponível, ou por alguém ou EXPUNGE. O cliente em si não [6], no entanto, coloca o cliente
que tenha excluído mensagens pode enviar quaisquer comandos no comando. Ele estende o IDLE,
existentes, apesar de fazer mais próprios neste momento. deixando que o cliente determine
sentido ao servidor notificar o A relação master/slave termi- as caixas de email a partir das quais
cliente quando um novo email na assim que o cliente envia um deseja receber mensagens. Isso
chega, já que tais pedidos sob DONE. Neste caso, o servidor envia torna o NOTIFY uma caixa de email
demanda acabam por salvar quaisquer linhas não tagueadas IDLE múltipla, ao mesmo tempo
recursos. Embora o servidor possa e responde com um número de em que simplifica a comunicação.
Cliente Servidor Explicação
* OK IMAP4rev1 Service Ready Servidor recebe cliente
a001 login mrc Cliente faz o log
secret Client logs in
a001 OK LOGIN completed Servidor reconhece
a002 select inbox Cliente escolhe Inbox como pasta ativa
* 18 EXISTS 18 mensagens encontradas
* FLAGS (\Answered \Flagged \Deleted \Seen \Draft) Flags definidas
* 2 RECENT 2 mensagens urgentes (por exemplo, “novo email”)
* OK [UNSEEN 17] Message 17 is Mensagem 17 está como não lida; todas
the first unseen message as mensagens antigas foram lidas
a002 OK [READ-WRITE] SELECT completed Cliente pode ter feito alterações ao email
a003 fetch 12 full Cliente solicita informações sobre a mensagem 12
* 12 FETCH (FLAGS (\Seen) O email foi lido
INTERNALDATE “17-Jul-1996 02:44:25 -0700” Entregue em 17 de julho de 1996
RFC822.SIZE 4286 Mais que 4KB
ENVELOPE (“Wed, 17 Jul 1996 02:23:25 -0700 (PDT)” Cabeçalho do email:
“IMAP4rev1 WG mtg summary and minutes” Data
((“Terry Gray” NIL “gray” “cac.washington.edu”)) Assunto
((“Terry Gray” NIL “gray” “cac.washington.edu”)) De
((“Terry Gray” NIL “gray” “cac.washington.edu”)) Remetente
((NIL NIL “imap” “cac.washington.edu”)) Responder para
((“John Klensin” NIL “KLENSIN” “MIT.EDU”)) Para
NIL NIL CC
Tabela 1 Quando um cliente se comunica com um servidor IMAP 4* (nota: *da Wikipedia alemã para IMAP)
O cliente usa NOTIFY SET para do comando CONDSTORE. Este, por O uso do comando SELECT no
especificar tanto as caixas de email sua vez, verifica a caixa de email lado do cliente elimina a neces-
como o tipo de informação que para as mudanças de estado que sidade de conexões simultâneas
deseja receber. O servidor, em se- ocorrem quando um usuário está para o servidor, que só existem para
guida, envia um conjunto de atri- usando diferentes clientes de email evitar resyncs. O QRESYNC beneficia
butos – juntamente com a resposta ou quando vários usuários compar- especialmente os dispositivos mó-
FETCH – para o cliente, que agora tilham uma caixa de email. Se um veis, porque eles muitas vezes têm
torna-se um observador passivo. usuário no cliente A altera o status de recuperar os dados com mais
O efeito NOTIFY continua até que de um email para “não lida”, tam- frequência por conta da fraca co-
o cliente envie um novo comando bém queremos que o cliente B se bertura de rede. Não admira que
NOTIFY ou até que uma das entida- dê conta disso; o cliente precisa vas- esta extensão seja uma das exten-
des feche a conexão IMAP. Como culhar a caixa de email novamente sões Lemonade mencionadas an-
alguns clientes móveis só desejam (ressincronização) para fazer isso. teriormente. Para usar o QRESYNC, o
atualizações para mensagens que Embora o CONDSTORE identifique servidor precisa retornar ENABLE [8]
correspondem a um determinado essas mudanças e resolva conflitos como um recurso. A extensão ENABLE
padrão de busca, o NOTIFY RFC tam- causados por acesso simultâneo de permite que os clientes habilitem
bém define atributos adicionais vários clientes, o Thunderbird e ou- um recurso especial de forma ex-
para a opção UPDATE, que entra em tros clientes de email precisam en- plícita. No caso do QRESYNC, o RFC
vigor neste caso. viar os comandos UID FETCH e SEARCH, requer que os clientes tenham en-
neste caso. Em contraste, o QRESYNC viado previamente um alvo ENABLE
Sincronizado: permite um resync, incluindo o QRESYNC para o servidor.
rastreamento de arquivos excluídos
QRESYNC de uma só vez. A resposta VANISHED No movimento: MOVE
A extensão QRESYNC [7] ressincroni- introduzida para isto (e substituin-
za rapidamente com uma caixa de do EXPUNGED) descobre se o email foi Antes do IETF emitir uma RFC
email do usuário. É uma extensão excluído de forma eficiente. útil [9] com duas declarações –
MOVE e UID MOVE, tornando possível
mover mensagens de email entre
caixas de correio – a única opção
era combinar vários comandos
independentes (COPY, STORE, e EX-
PUNGE) para obter o mesmo efeito.
Esta implementação foi consi-
derada abaixo da ideal por várias
razões: se a comunicação quebrar
entre as três etapas, os processos
move tornam-se estanques. Este
efeito também confunde os usuá-
rios, pois os clientes continuam a
mostrar as mensagens neste esta-
do intermediário. Além disso, em
caixas de email compartilhadas,
a terceira etapa pode mudar não
apenas as mensagens selecionadas,
mas também, inadvertidamente, as
mensagens marcadas para exclu-
são por terceiros. O MOVE resolve
estes problemas, enquanto o UID
MOVE move mensagens em função
Figura 2 Os conteúdos das caixas de email podem ser baixados de forma de identificadores únicos. Para um
direcionada, como mostrado aqui no Thunderbird, e também cliente descobrir se um servidor
restaurados e buscados localmente, se necessário. suporta este recurso, o servidor
72 www.linuxmagazine.com.br
Extensões IMAP | ANÁLISE
precisa responder à requisição (figura 2). Ambas as extensões têm apaga mensagens que possuem o
CAPABILITY com MOVE. de processar os termos a serem parâmetro \Delete definido e um
classifi cados de acordo com os identificador único (UID) que
Pesquisa rápida: requisitos do I18NLEVEL=1, que é
parte de uma RFC [12] que regula
aparece na sequência do conjunto
da caixa de email selecionada. Ela
ESEARCH a manipulação de conjuntos de se revela particularmente adequada
O padrão IMAP já inclui duas caracteres internacionais. quando um cliente que está apenas
funções de pesquisa na forma de O servidor anuncia a capacidade temporariamente conectado se
SEARCH, que procura mensagens de de ordenação retornando SORT ressincroniza com o servidor.
email com base em seus Message como resposta, e isso também Se a extensão UID EXPUNGE é
Sequence Numbers (MSNs) e UID produz o algoritmo de segmentação usada em vez de EXPUNGE, o cliente
SEARCH, que usa o identificador úni- para o recurso THREAD . Uma não mais acidentalmente apaga
co. Uma desvantagem, no entanto, resposta do servidor poderia ser mensagens de outros usuários que
é que não se pode limitar o número THREAD=ORDEREDSUBJECT, que é o mais foram marcados para exclusão
de resultados retornados. simples dos dois algoritmos de enquanto estava offline. Neste
O ESEARCH [10], por outro lado, segmentação disponíveis que a RFC caso, o segundo critério não se
oferece várias opções de resultado apresenta como “the poor man’s aplica, pois os UIDs das mensagens
para o buscador. Assim, podemos threading”. O algoritmo primeiro excluídas não pertencem à caixa de
limitar os resultados da pesquisa ordena o email por assunto e, em email. Este comportamento torna-
para um valor mínimo e máximo ou seguida, dada a mesma linha no se relevante quando os usuários
retornar apenas um certo número assunto, por tipo de data de entrega, compartilham caixas de email
de resultados. Até mesmo encontrar onde ORDEREDSUBJECT então converte ou tanto para usuários de clientes
todos os resultados é mais rápido, essas mensagens em threads. móveis como fixos.
porque os resultados da pesquisa são Claro, isso pode causar problemas
retornados como um conjunto de se alguém responder à thread mas
sequência, que é compacto e eco- alterar a linha do assunto. Neste Difícil: LIST-
nomiza largura de banda. Além do caso, o algoritmo REFERENCES está
mais, este conjunto pode ser usado gravado. É muito mais sofisticado
EXTENDED
em um comando subsequente. que ORDEREDSUBJECT e precisa de seis Tradicionalmente, os comandos
etapas principais para criar uma LIST e LSUB mostram o conteúdo
Figura 2 Este servidor IMAP 4 revela suas capacidades indicando que, entre outras coisas, suporta o NAMESPACE,
bem como o IDLE e o ID.
complementada com uma varieda- Tudo permitido: ACL postmasters podem usá-los para
de de opções e padrões de busca. Caixas de email especificadas com atribuir ou negar certos direitos
A nova sintaxe é descendentemen- NAMESPACE geralmente também pos- em todos os sentidos, garantindo
te compatível e é usada somente suem direitos de acesso diferentes. assim, por exemplo, que os usuá-
se a primeira ou segunda palavra As Access Control Lists para caixas rios só possam gerenciar caixas de
depois do comando inicia-se com de email e a extensão ACL [16] email próprias. ■
um parênteses, ou se o comando permitem que o administrador
LIST tiver mais de dois parâmetros. visualize e modifique os direitos Mais informações
Caso contrário, o comando LIST usando comandos IMAP. A RFC [1] List of Imap extensions:
tradicional serve como um fallback. associada, a partir de 1997, acabou http://imapwiki.org/Specs
sendo extinta; assim, a RFC 4314
[2] Lemonade RFC: https://
Nomes reais: [17] acompanhou a definição de
novos direitos de acesso e adicionou
tools.ietf.org/html/rfc4550
74 www.linuxmagazine.com.br
Foreman e Puppet | ANÁLISE
Foreman e Puppet
Auxílio construção
ANÁLISE
Máquinas virtuais podem ser fáceis de criar e remover se forem mais
gerenciáveis. Possuir as ferramentas certas pode ajudar.
por Sebastian Saemann
A
comunidade de código aberto nha para a máquina master do Puppet de programação. Em outras palavras,
oferece dois projetos para tarefas quando o Puppet é executado. Com temos muitas oportunidades para fazer
administrativas de rotina que se base nos dados recolhidos, a master manifestos flexíveis e modulares. Se
complementam perfeitamente: Puppet pode gerar um catálogo dinâmico do levarmos isso um passo adiante, po-
e Foreman. O Puppet [1] é um conjun- manifesto predefinido. Por sua vez, o demos garantir que a configuração do
to de ferramentas de gerenciamento catálogo é executado no agente, que Apache seja feita incluindo quaisquer
de código aberto com um framework emite os comandos corretos com base hosts virtuais e que o servidor web seja
escrito em Ruby para a gestão e con- nas informações do Facter. reiniciado no momento do boot e após
figuração de servidores, enquanto o O Facter coleta muitos dados so- as alterações na configuração do Apa-
Foreman [2] é uma ferramenta de bre o sistema operacional, hardware, che. Tanto o apache::service como o
gerenciamento de ciclo de vida. software, rede, e assim por diante. Se apache::config exigem a classe apache::
precisar de mais informações, é pos- install para serem executados. A clas-
Puppet sível definir dados personalizados. Por se apache::install só instala o pacote
O Puppet oferece aos adminstrado- exemplo, se desejar instalar o Apache2 httpd ou apache2. Um conjunto lógico
res uma abordagem de instalação e como um servidor web, um trecho do e contíguo de classes é referido como
configuração de software adicional manifesto se pareceria com isto: um módulo (listagem 2).
que é relativamente independente package { "apache2" : Depois de adaptar o manifesto para
do sistema operacional básico. Os ensure => "installed", atender às suas necessidades, é possível
}
sistemas operacionais suportados são configurar servidores novos ou adicio-
as distribuições Linux mais popula- No Debian, o Puppet selecionaria nais, ou mesmo depois de reinstalar o
res, Unix, e agora também Windows. o provedor para o pacote e em seguida servidor, para o estado de destino defi-
Um ambiente Puppet típico com- executaria o comando Apt-get install nido. O Puppet também possui uma
preende uma máquina master (servi- apache2. No Red Hat, o gerenciador de
dor) e um ou mais agentes (clientes). pacotes Yum substituiria o Apt. Listagem 1: Distinção de
A comunicação entre o mestre e o No entanto, executar yum install caso
agente é garantida com certificados apache2 levaria a uma mensagem de 01 **case $operatingsystem {
SSL auto-assinados. A máquina master erro, pois o pacote no RHEL não 02 ** ** ** **/(Debian|Ubuntu)/: {
03 ** ** ** ** ** **$apache_
armazena um manifesto que descre- é chamado apache mas httpd. Para package_name = 'apache2'
ve a função e o estado de destino do projetar este manifesto para vários 04 ** ** ** **}
05 ** ** ** **/
cliente. Um estado de destino seria, sistemas operacionais, mais dados (RedHat|CentOS|Fedora)/: {
por exemplo, “servidor web com usuá- são necessários. Os dados podem 06 ** ** ** ** ** **$apache_
package_name = 'httpd'
rios PHP e locais com chaves SSH”. ser utilizados no manifesto como 07 ** ** ** **}
O manifesto pode ser escrito em variáveis para decisões (listagem 1). 08 ** **}
uma linguagem de domínio especí- O Puppet DSL oferece herança, 09
10 package { $webserver_package_
fico (DSL). Além disso, o Facter [3] classes, módulos, arrays, variáveis, parâ- name :
é executado no cliente. Ele coleta metros, templates e escopos de forma 11 ensure => "installed",
12 }
informações sobre o sistema e encami- muito parecida com uma linguagem
76 www.linuxmagazine.com.br
Foreman e Puppet | ANÁLISE
nível e é então semeada via Kickstart Economia de tempo as vhosts também foram criadas, e
(Fedora, RHEL) ou Preseed (Debian, A instalação e integração da infraestru- a informação foi comunicada pelo
Ubuntu) com as respostas de instala- tura existente depende de uma visão ge- módulo haproxy para o balanceador
ção predefinidas. Além do Kickstart ral de todos os componentes e, muitas de carga e configurado ao mesmo
e Preseed, outras técnicas podem ser vezes leva algum tempo. No entanto, tempo. O servidor pode, assim, en-
utilizadas, tais como JumpStart. depois de serem instalados todos os trar em produção sem atrasos.
➧ PuppetCA: Graças a este recurso, componentes e recursos, o Foreman O administrador pode então tentar
o Foreman pode assinar os certificados e o Puppet podem economizar tempo. um login SSH ao servidor para certifi-
Puppet SSL entre mestre e agente. De- Se o usuário precisar de um novo apli- car-se de que tudo está funcionando. O
pois de instalar o sistema operacional, cativo de servidor Debian, por exemplo, login SSH usa a chave SSH do servidor
o Puppet pode ser executado sem in- um administrador pode fazer login no e seu hostname pois o Foreman criou as
tervenção manual para implementar Foreman usando credenciais do Active entradas de DNS e o Puppet instalou a
a configuração do manifesto Puppet. Directory e preencher o formulário para chave SSH do administrador. Ao todo,
Recursos com Smart Proxy incluem: criar um novo host. Isto envolve escolher o processo não deve levar mais do que
➧ ENC: o Puppet fornece um clas- um hostname, o sistema operacional, 5 a 10 minutos, incluindo a instalação.
sificador de nó externo. Ele executa e os módulos do Puppet. O próximo O exemplo descrito neste artigo
um script que lê e apresenta a atribui- endereço IP livre é sugerido com base mostra claramente o valor deste tipo
ção de classe a partir de outra fonte de na atribuição de domínio. Os módulos de solução: os benefícios em termos
dados. Utilizando a interface web no do Puppet podem ser ssh, apache2, php de tempo, bem como a integralidade
Foreman, podemos criar um host e ou haproxy. Depois de ter confirmado da configuração são impressionan-
atribuir classes classes do Puppet a ele. o formulário, uma entrada que instala tes. Com uma configuração manual,
➧ CMDB: o Foreman também pode o servidor com o endereço MAC atri- erros vão acontecer, e até mesmo os
ser usado como uma base de dados de buído e o Debian Linux é gerada no mais simples podem causar proble-
gerenciamento de configuração, elimi- servidor PXE/TFTP. O servidor DHCP mas mais cedo ou mais tarde.
nando assim a necessidade de manu- já definiu uma concessão estática para O Foreman está em desenvolvi-
tenção de um inventário separado. O o servidor e irá atribuir o endereço IP mento ativo e acaba de ser atualizado
inventário geralmente toma a forma de quando o servidor assim demandar. O para a versão 1.1. Esta versão imple-
dados do Facter. A falta de informações servidor é inicializado e instalado pelo menta algumas características muito
ou de adicionais pode ser facilmente Preseed. Em seguida, os preparativos aguardadas, como classes parametri-
mapeada com dados personalizados. para a primeira execução do Puppet são zadas, suporte para Puppet 3, locais e
➧ Recursos de computação: o Fo- concluídos na máquina Puppet mestre. organizações, e outras melhorias. ■
reman pode provisionar máquinas Podemos estender o script aqui para
físicas e também virtuais em nuvens adicionar o servidor ao sistema de mo- Mais informações
privadas ou públicas. Em vez de um nitoramento. Depois de um reboot, o [1] Image tool for U-Boot
servidor bare-metal (executado sobre Foreman sabe que o servidor foi insta- environment: http://
o hardware), ele em seguida imple- lado e altera o registro de inicialização free-electrons.com/
menta diretamente, por exemplo, PXE para que o servidor faça o boot blog/mkenvimage-uboot-
binary-env-generator/
uma instância AWS EC2 na nuvem a partir do disco, ao invés da imagem
da Amazon. VMware ou OpenStack de instalação. Depois disso, o daemon [1] Puppet: https://
puppetlabs.com/
também são suportados. puppetd é executado e imediatamente
➧ Relatórios: o relatório de um agen- dispara a execução do Puppet. O agen- [2] Foreman: http://
te Puppet é normalmente enviado te Puppet requer do Puppet master theforeman.org/
para a máquina Puppet master, e o o manifesto e o executa. O relatório [3] Facter: https://
relatório pode ser enviado para o Fo- sobre a instalação bem sucedida das puppetlabs.com/puppet/
reman para visualização e estatísticas. classes Puppet é retornado ao Fore- related-projects/facter/
➧ Auditoria: o recurso de auditoria man, de modo que o administrador
permite visualizar as alterações por pode acompanhar o status do servidor
Gostou do artigo?
o?
colegas ou clientes. através da interface web.
Queremos ouvir sua opinião.
p nião.
➧ LDAP: a autenticação de usuário Qualquer erro seria visto lá imedia- Fale conosco em
Foreman pode endereçar um LDAP ou tamente. Os módulos Puppet teriam cartas@linuxmagazine.com.br
com.br
Active Directory existente e usar uma comunicado ao servidor para instalar Este artigo no nosso
o site:
site
http://lnm.com.br/article/8580
ticle 80
autoridade de autenticação central. o Apache2 com o módulo PHP; todos
O maior diretório de empresas que oferecem produtos, soluções e Redes e Telefonia / PBX = 2
Integrador de Soluções = 3
serviços em Linux e Software Livre, organizado por Estado. Sentiu
Literatura / Editora = 4
falta do nome de sua empresa aqui? Entre em contato com a gente: Fornecedor de Software = 5
11 3675-2600 ou anuncios@linuxmagazine.com.br Consultoria / Treinamento = 6
78 www.linuxmagazine.com.br
Linux.local | SERVIÇOS
Supermicro 02
Senac 07
http://www.bitsouthamerica.
BITS 2013 14 a 16 de maio Porto Alegre, RS
com.br/
Unodata 09
Impacta 13
Uol Cloud 23
https://www.linuxnewmedia.
Forum Analytics 16 de julho São Paulo, SP
com.br/fan/ Central Server 29
Fisl 81
IBM 84
A LINUX MAGAZINE
MAGA
AZINE TEM UM
U PRESENTE PARA VOCÊ!
Veja o regulamento
da promoção no site:
http://www.linuxmagazine.com.br/hotsite/mochila_natal
http://w
ww
ww
80 www.linuxmagazine.com.br
Assunto | SEÇÃO
NOME DA SEÇÃO
Segurança
Na próxima edição da Linux
Magazine voltamos ao universo
da segurança, assunto que é
constante e primordialmente
necessário. Aprenda como criar
e coloque à prova suas regras de
segurança com a ferramenta
OpenSCAP, descubra potenciais
vulnerabilidades que podem
tornar-se porta de entrada para
ataques do tipo SQL Injection
e ainda saiba como aumentar a
segurança do seu sistema através
da ferramenta GRsecurity.
Edição imperdível! ■
82 www.linuxmagazine.com.br
Você é refém da Operadora de Telecom?
Altos custos de conectividade impedem sua empresa de ter
links redundantes.