AUGUSTO CAMPOS p.14 MADDOG p.24 CEZAR TAURION p.

26
O aumento da complexidade
é o preço da expansão
Migração Windows
para Linux
Qual será o futuro dos
aplicativos de ERP? MEDIALINX
# 102 Maio 2013

A REVISTA DO PROFISSIONAL DE TI
#44 07/08

9 771806 942009
R$ 13,90
€ 7,50

00044
O Código Aberto como
CEZAR TAURION p.34
incentivo à inovação

» Java, Ruby e Rails: conheça o JRuby on Rails p.74

» Becape de bancos de dados com a Libferris p.46

Iniciada em Porto Alegre a temporada
de seminários Linux Park de 2008

» LPI nível 2: Servidores NIS e DHCP p.52

» Relatórios do Squid com o SARG p.60
LINUX PARK 2008 p.28

VEJA TAMBÉM NESTA EDIÇÃO:

» Benchmarks do GCC 4.3? p.58

RECOMENDADAS PELOS PROFISSIONAIS
GOVERNANÇA COM

MAIS EXPERIENTES NESSA ÁREA p.36

SEJA UM BOM GESTOR E UTILIZE AS
MELHORES PRÁTICAS ADOTADAS E
A Construcap agilizou seus
projetos com o Alfresco

A REVISTA DO PROFISSIONAL DE TI
CASE ALFRESCO p.26

WWW.LINUXMAGAZINE.COM.BR
SEGURANÇA: DNSSEC p.69
» O que dizem os profissionais

» Cobit, CMMI, ITIL. Quais as

» Novidades do ITIL v3. p.44

Com o DNSSEC, a resolução

melhores práticas? p.36

Conheça as vantagens da
de nomes fica protegida

Protocol, e veja por que

nova versão do Internet
» ITIL na prática p.39

REDES: IPV6 p.64

de ataques. Mas seu
certificados p.24

preço vale a pena?

é difícil adotá-la

SAMBA CASE ALFRESCO p.26

A Construcap agilizou seus
projetos com o Alfresco
LINUX PARK 2008 p.28
Iniciada em Porto Alegre a temporada
de seminários Linux Park de 2008
CEZAR TAURION p.34
O Código Aberto como
incentivo à inovação

#44 07/08
R$ 13,90
€ 7,50
00044

9 771806 942009

A REVISTA DO PROFISSIONAL DE TI

GOVERNANÇA COM
A INTEROPERABILIDADE ENTRE SISTEMAS HETEROGÊNEOS DEIXOU DE SER UM PROBLEMA E
PASSOU A SER A SOLUÇÃO DA INFRAESTRUTURA DE TI p.34
SEJA UM BOM GESTOR E UTILIZE AS
MELHORES PRÁTICAS ADOTADAS E
RECOMENDADAS PELOS PROFISSIONAIS
MAIS EXPERIENTES NESSA ÁREA p.36
» O que dizem os profissionais
certificados p.24

» Confira as novidades e melhorias do novo Samba 4 p.35

» Cobit, CMMI, ITIL. Quais as
melhores práticas? p.36
» ITIL na prática p.39
» Novidades do ITIL v3. p.44

SEGURANÇA: DNSSEC p.69 VEJA TAMBÉM NESTA EDIÇÃO:

Com o DNSSEC, a resolução » Relatórios do Squid com o SARG p.60
de nomes fica protegida
» Java, Ruby e Rails: conheça o JRuby on Rails p.74
de ataques. Mas seu
preço vale a pena? » Benchmarks do GCC 4.3? p.58
» Becape de bancos de dados com a Libferris p.46
REDES: IPV6 p.64

» Poupe dinheiro utilizando Samba como controlador de domínio p.41

Conheça as vantagens da » LPI nível 2: Servidores NIS e DHCP p.52
nova versão do Internet
Protocol, e veja por que
é difícil adotá-la

WWW.LINUXMAGAZINE.COM.BR

» Appliances SerNet para Samba 4 p.49

SEGURANÇA p.54
Soluções para acesso remoto com autenticação
de dois fatores

ANDROID p.68
Breve análise do novo tablet da Google, Nexus 10
e suas múltiplas facetas.

ESSENCIAIS p.72
Aprenda a utilizar as mais diversas extensões
para o protocolo legado IMAP4

VEJA TAMBÉM NESTA EDIÇÃO:

» Como lidar com pacotes de cluster p.61
» Otimize a organização de dados em disco com Defragfs p.64
00102 #10205/13
» Gerenciamento de máquinas virtuais com Foreman e Puppet p.75 R$ 14,90
€ 7,50
9 771806 942009

WWW.LINUXMAGAZINE.COM.BR
 Soluções Double-Sided Storage® de Alto Desempenho e Densidade
Otimizado para Processos Intensos de Aplicações Storage

Discos de alta densidade com máxi-

• Sistemas com Dois Sockets que suportam os mais ma capacidade de armazenamento
recentes produtos Mono e Dual processados da
Os SuperStorages® da Supermicro fornecem maior capa-
familia Intel® Xeon® E5-2600 cidade e desempenho em um espaco mínimo, ideal para
• Suporta até 288TB em 4Us uso Corporativo, em Data Centers e em ambientes de
• Modelos com IT/Mode HBA ou RAID via Hardware Cloud Computing. Com a arquitetura Double-Sided Stor-
com capacidade de RAID 0, 1, 5, 6, 10, 50, 60 age®, os discos podem ser usados interna e externamente
• Portas JBOD para cascateamento com capacidade tanto na frente quanto no verso do chassis do servidor
de expansão para até 240 discos obtendo máxima densidade de armazenamento. Com dis-
• Conectividade de alto desempenho tanto com 4 GbE cos hot-swappable, fontes de alta e ventiladores
LAN ou Dual 10GBase-T ideal para NAS e IP-SAN de resfriamento, esses sistemas são de alto desempenho e
• Fontes redundantes 80-Plus Platinum fácil manutenção. Prontos para uso com as mais recentes
(com até 95% de Digital Power Supplies® tecnologias de CPU e interconnects, os SuperStorage® tem
os melhores níveis de desempenho do mercado.

SSG-6037R-E1R16N SSG-6027R-E1R12N SSG-2027R-E1R24N SSG-6047R-E1R24N SSG-6047R-E1R36N

SSG-6037R-E1R16L SSG-6027R-E1R12L SSG-2027R-E1R24L SSG-6047R-E1R24L SSG-6047R-E1R36L
SSG-6027R-E1R12T SSG-2027R-AR24

SSG-6047R-E1R72L
!
NovoDouble-Sided Storage®
72x 3.5” SAS2/ SATA3 HDs Hot-swappable
1280W Fontes Redundantes de Nível
Platinum (2 + 1)
2000W (1+1) em breve! (Visão Traseira)
(Visão Frontal)

Super Micro Computer, Inc.

Rua Funchal, 418. Vila Olímpia
www.supermicro.com/Brazil São Paulo, 04551-060
© Super Micro Computer, Inc. subject to change without notice.
Intel, the Intel logo, Xeon, and Xeon Inside are trademarks or [011] 3521-7121
registered trademarks of Intel Corporation in the U.S. and/or other countries.
All other brands and names are the property of their respective owners. * Email: comercial-br@supermicro.com
Expediente editorial
Diretor Geral
Rafael Peregrino da Silva
Zona de conforto
rperegrino@linuxmagazine.com.br Uma das características básicas do ser humano é a predisposição

EDITORIAL
Editores
Flávia Jobstraibizer inata a se manter no que se convencionou chamar de “zona de
fjobs@linuxmagazine.com.br conforto”. É algo que faz parte do instinto de preservação da espé-
Laura Loenert Lopes
llopes@linuxmagazine.com.br cie, e, decerto, tem uma raiz evolucionária marcante, pois serve
Editor de Arte para reduzir gastos desnecessários de energia, o que, por sua vez,
Hunter Lucas Fonseca
hfonseca@linuxnewmedia.com.br aumenta em geral nossas chances de sobrevivência em períodos
Colaboradores de escassez de recursos naturais, reduzindo, de quebra, o risco de
Alan Holt, Falko Benthin, Bruce Byfield, Rich Bowen,
Thomas Drilling, Christian Pape, Trommer Ronny, Peter
exposição desnecessária a perigos desconhecidos. É assim na natu-
Schulik, Kurt Seifried, Zack Brown, Jon “maddog” reza, é assim na nossa vida social e, claro, não é diferente no nosso
Hall, Alexandre Borges, Cezar Taurion, Gilberto
Magalhães, Klaus Knopper, Augusto Campos. modo de lidar com tecnologia.
Tradução
Laura Loenert Lopes
Exemplos não faltam: para quem se habituou a usar o Linux como
Revisão ambiente de trabalho, com todos os seus recursos e facilidades, o
Flávia Jobstraibizer
uso do Windows é o mais gritante deles. O escrevinhador destas
Editores internacionais
Uli Bantle, Andreas Bohle, Jens-Christoph Brendel,
linhas já se pronunciou reiteradas vezes “burro demais” para usar
Hans-Georg Eßer, Markus Feilner, Oliver Frommel, o Windows. Mas podemos ir mais longe: combinações clássicas de
Marcel Hilzinger, Mathias Huber, Anika Kehrer,
Kristian Kißling, Jan Kleinert, Daniel Kottmair, tecnologia, como a associação da plataforma da Microsoft com os
Thomas Leichtenstern, Jörg Luther, Nils Magnus.
processadores de arquitetura x86 --- conhecida pelo jargão Wintel ---,
Anúncios:
Rafael Peregrino da Silva (Brasil) fazem há anos as vezes do feijão com arroz no restaurante da com-
anuncios@linuxmagazine.com.br
Tel.: +55 (0)11 3675-2600 putação, independentemente de essa ser sempre a melhor escolha.
Penny Wilby (Reino Unido e Irlanda)
Do lado do servidor, por outro lado, a regra atualmente é, no geral,
pwilby@linux-magazine.com uma combinação dos processadores da referida arquitetura com o
Amy Phalen (América do Norte)
aphalen@linuxpromagazine.com
Linux --- neste caso, já se fala em Lintel. No mundo da mobilidade,
Hubert Wiest (Outros países) a combinação da vez é entre Linux (na figura da distribuição Li-
hwiest@linuxnewmedia.de
nux do Google, o Android) e os processadores de arquitetura ARM.
Diretor de operações
Claudio Bazzoli Desta feita, o abandono à tal zona de conforto precisa necessa-
cbazzoli@linuxmagazine.com.br
riamente estar aliado a um grande estímulo, seja ele financeiro ou
Na Internet:
www.linuxmagazine.com.br – Brasil social --- neste último caso, o tal do fator “coolness”. E, quando
www.linux-magazin.de – Alemanha
www.linux-magazine.com – Portal Mundial esse estímulo simplesmente não aparece, muitas vezes oportuni-
www.linuxmagazine.com.au – Austrália
www.linux-magazine.es – Espanha
dades espetaculares acabam por ser desperdiçadas. O profissional
www.linux-magazine.pl – Polônia e o gestor de TI, bem como os próprios fabricantes de tecnologia,
www.linux-magazine.co.uk – Reino Unido
www.linuxpromagazine.com – América do Norte deveriam poder se despir de hábitos arraigados e buscar a solução
Apesar de todos os cuidados possíveis terem sido tomados que fosse mais adequada para cada situação, ao invés de teimar
durante a produção desta revista, a editora não é responsável
por eventuais imprecisões nela contidas ou por consequências em usar o velho martelo de sempre, mesmo quando só há parafu-
que advenham de seu uso. A utilização de qualquer material da
revista ocorre por conta e risco do leitor. sos disponíveis. No cenário atual da computação, considerando
Nenhum material pode ser reproduzido em qualquer meio, em a miríade de sistemas disponíveis, nos quais mesmo o hardware
parte ou no todo, sem permissão expressa da editora. Assu-
me-se que qualquer correspondência recebida, tal como car- está se tornando livre, temos que aprender a avaliar caso a caso
tas, emails, faxes, fotografias, artigos e desenhos, sejam for-
necidos para publicação ou licenciamento a terceiros de forma
qual solução entrega a melhor relação custo-benefício, o menor
mundial não-exclusiva pela Linux New Media do Brasil, a me-
nos que explicitamente indicado.
aprisionamento a determinado fornecedor, a maior longevidade
Linux é uma marca registrada de Linus Torvalds. no mercado, as melhores condições de suporte e garantia, além,
Linux Magazine é publicada mensalmente por: claro, da disponibilidade de profissionais para lidar com a solu-
Linux New Media do Brasil Editora Ltda.
Rua São Bento, 500
ção. Ao fazer isso, seremos capazes de identificar algumas pérolas
Conj. 802 – Sé esquecidas sobre a penteadeira da TI, que são capazes de forne-
01010-001 – São Paulo – SP – Brasil
Tel.: +55 (0)11 3675-2600 cer um diferencial competitivo que vai fazer a diferença na hora
Direitos Autorais e Marcas Registradas © 2004 - 2013: de fechar aquele contrato junto ao cliente. Deixar o comodismo
Linux New Media do Brasil Editora Ltda.
Impressão e Acabamento: EGB de lado e correr aquela milha extra são atitudes essenciais para o
Atendimento Assinante sucesso profissional em um terreno de concorrência tão acirra-
www.linuxnewmedia.com.br/atendimento
São Paulo: +55 (0)11 3675-2600 da como é a TI de hoje. Ouça quem tiver ouvidos para ouvir. ■
Rio de Janeiro: +55 (0)21 3512 0888
Belo Horizonte: +55 (0)31 3516 1280
Rafael Peregrino da Silva
ISSN 1806-9428 Impresso no Brasil
Diretor de Redação

Linux Magazine #102 | Maio de 2013 3

ÍNDICE

CAPA

Vai dar Samba 34

Muito aguardada, a nova versão do Samba traz aprimoramentos e melhorias
significativamente superiores a qualquer um de seus equivalentes comerciais.

O que há de novo no Samba 4 36

Em dezembro de 2012, o mundo do software livre recebeu o
primeiro e muito aguardado lançamento da série Samba 4.x.

Samba para domínios 41

Poupe dinheiro com o Samba como controlador de domínio em
um domínio legado estilo Windows NT4.

Appliances SerNet para Samba 4 49

SerNet e Univention agora integram o novo Samba em seus
appliances, e oferecem aos administradores uma maneira fácil de
configurar e testar um controlador de domínio no Samba 4.

4 www.linuxmagazine.com.br
 Linux Magazine 102 | ÍNDICE

COLUNAS ANDROID
Alexandre Borges 08
Charly Kühnast 10
Kurt Seifried 11
Augusto Campos 14
Klaus Knopper 15
Zack Brown 18

NOTÍCIAS Nexus 10 68
Geral 22 A gigante Google lança um novo dispositivo pronto para combater o
iPad. O Nexus 10 associa um bom hardware à versão mais recente
➧ Twitter implementa autenticação de dois fatores
do Android, tudo isso com um bom preço e um visual matador.
➧ Brasil lidera ranking mundial de ataques com o vírus Conficker
➧ Positivo lança aplicativos para alunos do ensino Fundamental e Médio
ANÁLISE
CORPORATE
Coluna: Jon “maddog” Hall 24

Coluna: Cezar Taurion 26

Coluna: Gilberto Magalhães 28

Notícias
➧ Komputer promove workshop gratuito de gestão de projetos
➧ HP e Google vão entregar solução para PME entrar na nuvem
➧ Ex-executivos da HTC criam nova marca de smartphones
➧ Telebras expande rede para melhorar ambiente dos provedores
TUTORIAL
30
Extensões de protocolo IMAP 4 70
Um conjunto de extensões de protocolo mantém o protocolo
legado IMAP 4 utilizável, o que também ajuda os clientes móveis.
Apresentamos uma mistura saudável de extensões úteis.

Como lidar com pacotes de cluster
Adicionar e eliminar software a partir de um cluster em
execução pode ser complicado; no entanto, muitos pacotes de
aplicativos podem ser adicionados ou removidos facilmente
com algumas ferramentas e alguns truques simples.
Auxílio construção 75
61 Máquinas virtuais podem ser fáceis de criar e remover se forem
mais gerenciáveis. Possuir as ferramentas certas pode ajudar.
SEGURANÇA
Acesso remoto com autenticação de dois fatores 54
Neste artigo, apresentamos uma visão geral das soluções de
autenticação e abordagens potenciais para casos de uso comum que
fogem ao uso de senhas regulares.

SERVIÇOS
Editorial 03
Otimize a organização de dados em disco 64 Emails 06
O Defragfs otimiza arquivos em um sistema e permite Linux.local 78
que vídeos carreguem mais rapidamente e que
grandes arquivos abram em um piscar de olhos. Preview 82

Linux Magazine #102 | Abril de 2013 5

 Emails para a redação

Permissão de escrita
CARTAS

Utilizar meu próprio dispositivo Segurança

Recentemente a empresa onde trabalho decidiu
adotar o método BYOD para permitir aos
funcionários que utilizem seus próprios aparelhos
de celular, tablets e notebooks na infraestrutura da
empresa. Gostaria de entender como funciona o
monitoramento do uso de meus próprios dispositivos
e a separação entre os dados pessoais e empresariais.
Jackson dos Santos
Resposta
Jackson, os seus dispositivos não precisam necessariamente
passar por um monitoramento, caso sua preocupação
esteja relacionada à privacidade das suas informações.
A empresa provavelmente deve ter criado um tipo de
perfil de acesso dos dispositivos dos colaboradores dentro
de sua infraestrutura, e para tal, cada dispositivo deve
ser identificado e suas atividades serão registradas de
acordo com o acesso. Alguns artigos interessantes que
você pode consultar sobre o assunto estão presentes na
página sobre BYOD da HP [1] e também os incríveis
artigos do nosso colunista Cezar Taurion, presentes
em seu blog, no site da IBM [2]. ■
Gostaria de saber quais edições da Linux Magazine
abordam o tema segurança e saber se existe
alguma previsão de novas edições ainda este ano.
Allan Silas Junqueira
Resposta
Caro Allan, no portal da Linux Magazine você
poderá encontrar em formato digital as edições
anteriores da revista e que tratam do tema
segurança. Pretendemos lançar mais edições
sobre o tema ainda este ano, como por exemplo
a edição 106 da revista que irá abordar o tema
Criptografia. Fique de olho! ■
Mais informações
[1] BYOD na HP: http://h17007.www1.hp.com/
br/pt/solutions/technology/BYOD/
[2] Blog do Cezar Taurion: https://www.ibm.com/
developerworks/community/blogs/ctaurion/

Escreva para nós! ✉

Sempre queremos sua opinião sobre a Linux Magazine e nossos artigos. Envie seus emails para
cartas@linuxmagazine.com.br e compartilhe suas dúvidas, opiniões, sugestões e críticas. Infelizmente, devido ao
volume de emails, não podemos garantir que seu email seja publicado, mas é certo que ele será lido e analisado.

6 www.linuxmagazine.com.br
 Coluna do Alexandre
Metasploit –
COLUNA
parte II
Aprenda como uilizar workspaces e procurar por máquinas
vulneráveis com o framework Metasploit.
por Alexandre Borges
N
o mês passado abordamos como instalar
o Metasploit em um ambiente Ubuntu e,
naquele momento, evitamos utilizar a dis-
tribuição BackTrack para que tivéssemos a opor-
tunidade de observar os passos envolvidos na con-
figuração inicial do framework. A partir de agora
não fará grande diferença se o leitor estiver usando
o BackTrack ou uma instalação do Metasploit feita
manualmente no Ubuntu.
O Metasploit é um framework que nos permite rea-
lizar ataques dos mais variados e por isso é importante
conhecer alguns termos:
Exploit: método usado pelo hacker para atacar um
serviço ou aplicativo da máquina alvo com o intuito de
aproveitar-se de uma vulnerabilidade.
Payload: código ou comando a ser executado contra nosso
alvo através (ou após) de uma vulnerabilidade explorada.
Shellcode: código normalmente escrito em lin-
guagem Assembly que pode ser executado na má-
quina alvo e fornecer ao hacker um Shell interativo.
Módulos auxiliares: softwares que podem ser usa-
dos com finalidades complementares, por exemplo,
realizar um escaneamento.
Para iniciar o Metasploit, execute o comando:
msfconsole
Uma vez dentro do console Metasploit, teremos
acesso à todas as alternativas possíveis para realizar os
passos de um ataque sem qualquer restrição. É inte-
ressante notar que, assim que o comando msfconsole
é executado, é apresentado um pequeno relatório
com a versão do Metasploit, o número de exploits,
payloads e módulos auxiliares que estão inclusos
nesta versão. É por isto que, habitualmente, costumo
atualizar as definições do framework com os exploits
8 www.linuxmagazine.com.br
mais recentes. Para realizar esta tarefa, basta executar
o comando msf > msfupdate.
O Metasploit utiliza um banco de dados PostgreSQL
por padrão (e atualmente é o único suportado). As op-
ções presentes do framework são diversas e, por exemplo,
podemos executar comandos que nos ajudem a fazer o
levantamento das informações sobre as máquinas nas
quais estamos interessados:
msf > whois linuxmagazine.com.br
msf > nmap -sS 192.168.1.1
Isso funciona bem mas pode ser muito trabalho-
so e incômodo gravar os resultados da saída de co-
mandos com o nmap. Por este motivo, é possível que
os resultados dos comandos sejam armazenados no
próprio banco de dados do Metasploit e, mais espe-
cificamente, em uma área de trabalho ( workspace)
da ferramenta.
Para que possamos listar quais workspaces temos,
digite o comando msf > workspace``. Por padrão,
sempre teremos o workspace “ default” setado como
ambiente principal.
Antes de prosseguirmos, surgiro que o leitor faça o
download do ambiente Metasploitable 2 [1], com a
finalidade de acompanhar o tutorial sobre o assunto.
Trata-se de uma máquina virtual (VMware, é claro)
com uma série de vulnerabilidades que podem ser tes-
tadas e exploradas pelo framework do Metasploit. Para
facilitar a vida do leitor, o usuário e senha padrão do
Metasploitable 2 é msfadmin.
Caso haja tempo livre, surgiro fortemente ler os do-
cumentos na página da ferramenta [2].
Com o ambiente Metasploitable 2 no ar, é pos-
sível usar uma variante do nmap para armazenar os
resultados do escaneamento:
msf > db_nmap - sS 192.168.1.107// mais do que um workspace, poderá criar diversas
(esta seria nossa máquina Metasploitable 2) outros através do comando msf > workspace -a teste.
Depois de o escaneamento ser concluído, os Para alternar entre os workspaces, faça:
resultados armazenados podem ser verificados de msf > workspace teste
muitas formas. Por exemplo, para listar quais hosts msf > workspace
foram escaneados até aqui, execute o comando msf msf > workspace default
> hosts. O resultado será algo como:

Hosts address mac name os_name os_flavor os_sp purpose info comments
192.168.1.107 - 00:0C:29:D9:66:B9 - - - - - - Unknown device

A máquina listada neste resultado possivelmente
tem diversos serviços no ar. Para realizar uma listagem
deles, execute o comando msf > services. Note que
todos os resultados estão guardados no Metasploit e,
quando necessário (e nas colunas futuras) poderemos
usá-los da forma que nos for mais conveniente.
Caso não seja mais o nosso objetivo guardar tais
resultados, apague o workspace com o comando
msf > workspace -d default e em seguida verifique o
estado dos hosts com msf > hosts.
O resultado do último comando deverá vir vazio
pois apagamos o workspace no qual trabalhávamos.
Como este workspace era o único que tínhamos,
automaticamente o Metasploit cria um novo works-
pace para nós. Caso o leitor deseje trabalhar com
No mês que vem volto com mais sobre o Me-
tasploit. Até mais.
Mais informações
[1] Metasploitable 2: http://sourceforge.
net/projects/metasploitable/
files/Metasploitable2/
[2] Documentos do Metasploitable 2:
https://community.rapid7.com/docs/
DOC-1875Alexandre Borges.
Alexandre Borges (linkedin: br.linkedin.com/in/aleborges) é instrutor e especia-
lista sênior em sistemas operacionais Unix, Linux, Banco de Dados, Virtualiza-
ção, Cluster, Storage, Servidores, Backup, Desempenho e Segurança, além
de possuir profundo envolvimento com assuntos relacionados ao kernel Linux.

Linux Magazine #102| Maio de 2013 9

 Coluna do Charly
Dstat
COLUNA
Preocupações ocasionais sobre o estado do sistema são parte
da vida diária do administrador, mas é possível gerenciá-lo
com apenas uma multiferramenta– ao menos por enquanto.
por Charly Kühnast
Q
uantas vezes já escrevi sobre as ferramentas
que possuem “top” ou “estatística” em seus
nomes? Parece que inúmeras vezes. Atual-
mente, o Dstat [1] contempla esses inúmeros +1.
Esta ferramenta, inclusa nos repositórios de muitas
distribuições, pretende salvar o usuário do problema
de usar inúmeras outras ao mesmo tempo, devido
ao envio de muitas ferramentas de relatórios de sis-
tema para um merecido descanso.
Embora o Dstat careça da falta de parâmetros,
chamei-o pela primeira vez sem qualquer um deles.
Os resultados foram linhas por segundo do mais im-
portante sistema de dados já escrito. Mas, se o usuário
quiser mergulhar nas profundezas da rede, pode usar
os switches -tcp e -udp. Usar -N eth1 restringe a saída
para uma única interface. Assim como para a rede,
outros parâmetros podem ajudar a lançar luz sob os
detalhes para todos os outros componentes do sistema.
Isso tudo é muito bom e funciona muito bem, mas
a verdadeira diversão com o Dstat começa quando
olhamos para a lista de plugins. O ambiente da ferra-
menta inclui cerca de três dezenas deles, incluindo
um “Hello World” e um plugin “Test”, que podem
servir como pontos de partida para extensões próprias.
Os plugins cobrem uma gama considerável de
tarefas. Nada menos que cinco delas estão relaciona-
das com o MySQL, três cobrem o InnoDB e quatro
cobrem o NFS. Outras mostram o comprimento da
fila para o Sendmail ou Postfix – ordenada por “en-
tradas”, “ativadas” e “autorizadas” – e muito mais.
Os favoritos da lista
Meus favoritos são os plugins principais. Eles mos-
tram os processos que se destacam de uma certa ma-
neira. Por exemplo, o dstat --top-mem aponta para o
10
processo que atualmente monopoliza a maior parte
da RAM. Na minha área de trabalho isto é repre-
sentado, não surpreendentemente, pelo Firefox. O
plugin --top-io revela o processo que está gerando
a carga mais rígida e que é responsável pelas ope-
rações de I/O subjetivamente tidas como lentas.
O Dstat também permite visualizar coerências
de uma ótima maneira. Além da CPU, disco e car-
ga de rede, o Dstat mostra os processos que cau-
sam a maior carga de CPU, I/O e memória em um
pequeno servidor. Este ponto de vista é muito útil
porque, se ocorrer uma sobrecarga, ele apontará de
forma bastante confiável para o local onde o fogo
começou. Infelizmente, precisamos de uma série de
parâmetros infernais para evocar essa visualização:
dstat -cdn -D sda -N eth0
-C total --top-cpu --top-io
--top-mem -f 5
Se quisermos visualizar os valores graficamente,
teremos o prazer de tomar conhecimento da possi-
bilidade de gravar toda a saída em um arquivo se-
parado por vírgulas. No entanto, só o tempo dirá se
o Dstat realmente não irá nos impedir de escrever
sobre as (inúmeras) principais ferramentas estatísticas
pela terceira vez, em algum momento no futuro. ■
Mais informações
[1] Dstat: http://dag.wieers.com/home-made/dstat/
Charly Kühnast é administrador de sistemas Unix no data center de
Moers, Alemanha. Suas tarefas incluem segurança e disponibilidade de
firewalls e DMZ. Ele divide seu tempo livre nos setores quente, molhado
e oriental, nos quais se diverte com culinária, aquários de água doce e
aprendizado de japonês, respectivamente.
www.linuxmagazine.com.br
 Coluna do Kurt
XML seguro
Problemas de segurança no XML são numerosos, mas podemos tomar
medidas para limitar sua exposição – ou usar um padrão diferente.
por Kurt Seifried
P
ara a coluna deste mês, pretendo escrever sobre
XML seguro e como evitar todos os ataques e
problemas que possam ocorrer. Comecei fazen-
do uma lista tanto das questões mais conhecidas como
das mais obscuras. Depois de listar 20 itens, percebi
que não teria espaço suficiente para cobrir tudo [1],
então optei pelo plano B: em vez de tratar dos proble-
mas, analisei as soluções. Isso funcionou razoavelmente
bem, até que percebi um pequeno problema: mesmo
que o leitor use softwares como o novo defusedxml [2]
e defusedexpat [3] baseado em Python, uma série de
problemas ainda são difíceis de lidar.
Uma breve história do XML
O XML veio do W3C (World Wide Web Consor-
tium), que também nos trouxe o SGML, SOAP e o
conhecido HTML. Dizer que o XML e sua família
de padrões relacionados são complicados é uma
subestimação grosseira – com XML, XML Sche-
ma, RELAX NG, XPath, XSLT, assinaturas XML e
criptografia XML, para citar apenas alguns. O XML
também foi estendido para XHTML, RSS, Atom e
KML, para citar mais alguns padrões. A única boa
notícia que tenho é que o XML e boa parte de sua
família de padrões não é Turing completa [4] (ao
contrário, por exemplo, do PostScript), mas é pos-
sível incorporar uma lógica bastante elaborada em
arquivos XML que podem causar problemas nos
mais diversos parsers.
Uma observação: quase ninguém usa XML direta-
mente; ele é mais frequentemente usado como um
formato de intercâmbio para mover dados de um
aplicativo no sistema A para outro aplicativo no sis-
tema B. Como tal, muitos sistemas de virtualização,
por exemplo, usam XML para manifestos/controle
de arquivos. Em geral, o XML é muito parecido com
Linux Magazine #102 | Maio de 2013
COLUNA
um encanamento – todo mundo usa, mas ninguém
realmente pensa sobre o assunto até que ele quebre e
seja necessário chamar um encanador para consertar.
Ataques ao XML ocorrem em duas grandes categorias:
aqueles contra o parsing/manipulação de camada e
aqueles contra o software que utiliza os dados.
Parsing de XML
Como mencionado antes, o XML é um formato
muito complexo. Ele permite que os esquemas se-
jam definidos para documentos XML; por exemplo,
um documento XML que representa uma ordem
pode ser definido de tal forma que deve conter um
ID do cliente, um ou mais códigos de pedido e um
código de opção de desconto. Isso permite um nível
de lógica muito alto a ser especificado para garantir
que os documentos sejam corretos e bem formados.
O XML também permite a assinatura criptográ-
fica dos dados dentro do arquivo e a criptografia de
dados. Essa criptografia permite que os dados sejam
transferidos com segurança de ponta a ponta em
sistemas usando XML, independentemente dos sis-
temas e redes entre eles. A assinatura também pode
ser usada para garantir que documentos XML falsos
não sejam injetados (por exemplo, ao executar uma
loja online que recebe ordens de outras empresas
via XML, seria possível usar este recurso para au-
tenticar ordens falsas).
O parsing de XML é tão complicado quanto o
documento em si. Podemos fazer o parse de um
documento XML de uma só vez, mas também é
possível fazê-lo como um fluxo de dados. Esta abor-
dagem permite que os sistemas abram uma conexão
e iniciem a transmissão em XML (por exemplo, or-
dens em tempo real) e também permite o parsing
de grandes documentos (por exemplo, de vários
11
 gigabytes) sem comprometer completamente o com a camada de parsing; por exemplo, a injeção de
sistema. Uma pequena lista de ataques contra os dados XML [5] (como a inserção de um caractere
parsers XML inclui: “>” e, em seguida, mais dados) pode permitir que
➧ Expansão de entidade interna um invasor modifique ou insira registros adicionais
➧ Expansão de entidade externa ao documento XML.
➧ Elementos não determinísticos Esta abordagem permite que um invasor defina o
➧ Elementos de escolha do XML preço de uma ordem para zero ou altere o número de
➧ Referências de entidade em modelos de conteúdo itens a serem incluídos nela após o pagamento ter sido
➧ Expansão de modelos de conteúdo feito. Com o uso de uma entidade externa, um invasor
➧ Problemas gerais de expressões regulares pode fazer com que um sistema inclua os dados fal-
➧ Outros tipos de referências externas sos. Em suma, é preciso ter certeza de que a camada
Os documentos XML podem conter entidades que de parsing não fará nada estúpido ou modificará os
são então expandidas. Por exemplo, em um relató- dados de maneiras inesperadas, o que é basicamente
rio de vendas, uma descrição de produto que pode impossível, sendo o parsing de XML tão complicado.
ser incluída é então referenciada em várias ordens
que incluem o produto. Entidades externas também Como usar o XML com segurança
podem ser incluídas para que seja possível incluir Provavelmente o passo mais importante e eficaz
outros documentos XML, por exemplo. O software de garantir a integridade do XML é usar um parser
DocBook faz isso, permitindo que o usuário crie um XML bem mantido como o libxml2 ou expat. Muitas
arquivo XML por capítulo de um livro e, em seguida, bibliotecas de parsing de XML estão disponíveis, e
tenha um único arquivo XML principal que inclui a maioria delas são terríveis. O próximo passo é de-
referências a todos os capítulos. sativar todos os recursos XML desnecessários, como
Podemos abusar de ambos os recursos: criar uma os de expansão de entidade. Depois de ter feito isso,
grande string de texto rotulada como “a”; criar uma podemos criar esquemas para os dados XML que pre-
segunda string composta por 10 cópias de “a” e cha- cisamos processar. Esquemas devidamente especifi-
mar isso de “b”; repetidamente, se necessário. Quan-
do o arquivo é processado, a string original do texto object array int
será ampliada 10 vezes na memória em cada etapa. {} [] digit
Se fizer isso algumas vezes, um arquivo XML de 100 { members } [ elements ] digit1-9 digits
bytes poderia facilmente consumir gigabytes de me- members elements -digit
mória quando ocorrer o parse. Para lidar com essas pair value -digit1-9 digits
situações, parsers XML começaram tanto a desabilitar pair members value elements frac
por completo a expansão de entidades como a impor pair char .digits
limites sobre a rapidez com que a memória pode ser string : value < Any Unicode character except
consumida (em geral, a expansão da entidade só deve " or \ or control character>
resultar em um crescimento linear, não em crescimen- string \" exp
to quadrático ou exponencial, pelo uso de memória). "" \\ e digits
A expansão de entidade externa pode ser usada para
" chars " \/ digits
conexão com sistemas externos via HTTP e vários ou-
tros protocolos; assim, ao alimentarmos um documen- value \b digit
to XML em um servidor, podemos fazer com que o string \f digit digits
servidor se conecte a outros servidores web – muitos number \n e
deles (milhares de vezes). Como podemos também object \r e
incluir uma variedade de recursos, como esquemas e array \t e+
definições de tipo de documento dentro de arquivos true \u<four hex digits> e
XML, mesmo desativar a expansão de entidade não false number E
irá impedir todas as vias de exploração. null int E+
chars int frac E-
Manipulação de dados XML char int exp
Geralmente, todas as regras sobre confiar nas entradas char chars int frac exp
fornecidas pelo usuário se aplicam à manipulação de
dados XML. Além disso, precisamos nos preocupar Tabela 1 Tipos de dados e padrões básicos JSON.

12 www.linuxmagazine.com.br
cados podem impedir um invasor de realizar ataques
de injeção XML com sucesso ou modificar os dados
de forma que possam causar problema.
Se precisamos assinar ou criptografar documentos
XML, é recomendável pensar muito seriamente so-
bre soluções alternativas. Várias grandes bibliotecas
XML não suportam assinatura, e tudo isso é discutí-
vel, já que o padrão de criptografia XML comporta
problemas técnicos significativos que, basicamente,
as mantêm quebradas na maior parte do tempo [6].
Alternativa XML: JSON
Se não podemos realmente garantir o XML, o que
devemos fazer? Se for preciso aceitar os dados for-
necidos pelo usuário, recomendo fortemente o
JSON [7]. A definição básica para o JSON (tabela
1) encaixa-se literalmente na parte de trás de um
cartão de visita. Embora o JSON seja certamente
mais limitado nos tipos de dados que pode repre-
sentar, em geral oferece o suficiente para satisfa-
zer a maioria das pessoas. A validação JSON pode
também ser realizada utilizando qualquer número
de bibliotecas de terceiros, a maioria das quais são
relativamente simples (e, em segurança, simples
Linux Magazine #102 | Maio de 2013
é melhor que complicado). Para encontrar uma
biblioteca para o seu idioma, simplesmente use o
Google para encontrar sua linguagem de programa-
ção favorita com termos como “json and validation
or schema”, não faltarão opções. ■
Mais informações
[1] Seu parser de XML irá destruir tudo o
que sempre amamos: http://portal.
sliderocket.com/CJAKM/xml-attacks
[2] Python defused XML: https://
bitbucket.org/tiran/defusedxml
[3] Python defused expat: https://
bitbucket.org/tiran/defusedexpat
[4] Turing completeness: http://en.wikipedia.
org/wiki/Turing_completeness
[5] Teste de injeção XML (OWASPDV-008):
https://www.owasp.org/index.php/Testing_
for_XML_Injection_(OWASP-DV-008)
[6] XML Encryption is Insecure: http://aktuell.
ruhr-uni-bochum.de/pm2011/pm00330.html.en
[7] JSON: http://www.json.org/
13
 Coluna do Augusto
O preço da
COLUNA
expansão
Para expandir, determinados produtos e serviços pagam um alto
preço: o aumento de sua complexidade.
por Augusto Campos
U
m dos pontos fortes da expansão do Linux
(e de vários componentes open source que
costumam acompanhá-lo) foi a simplici-
dade de configuração de servidores para vários dos
serviços online mais comuns: web, e-mail, com-
partilhamento, proxy, filtro de pacotes etc. Eram
poucos componentes, com configurações bastante
centralizadas, e que tinham todos os recursos exigi-
dos – frequentemente eram as suas próprias imple-
mentações que definiam quais os recursos a exigir.
Softwares como Samba, Squid, Postfix e Apache se
tornaram a referência em seus âmbitos.
Mas a forte presença na camada dos servidores levou
ao avanço em direção à camada de aplicação, cujo su-
porte conduziu à criação do que ficou conhecido como
a “plataforma LAMP”: Linux + Apache + MySQL + o
ambiente de uma linguagem (PHP, Python, Perl etc.).
A evolução do LAMP permitiu o fortalecimento
de diversos aplicativos essenciais para uma série de
serviços online: gerenciadores de conteúdo (como
o WordPress ou o MediaWiki), fóruns, sistemas de
suporte a portais, webmails, PIMs e outros. Nesse
avanço que transforma cada vez mais os aplicativos
criados para plataforma web em algo bastante próxi-
mo dos seus equivalentes nas plataformas desktop,
multiplicam-se as demandas nos servidores: vários
esquemas de cache, aceleradores, serviços de su-
porte à aplicativos, virtualização, redes de armaze-
namento, distribuição geográfica de conteúdo etc.
Eles também ficaram mais críticos para a missão
de muitos dos participantes do mercado, e assim,
os investimentos em sua disponibilidade, escalona-
bilidade e segurança cresceu também.
Tudo isso é bom e desejado, mas aquela relativa
simplicidade de configuração e manutenção de 10
14
anos atrás se perdeu completamente pelo caminho, e
hoje a administração profissional de sistemas envol-
ve conhecer uma miríade de componentes que até
pouco tempo atrás não existiam nem eram deman-
dados, mas hoje se tornaram de fato indispensáveis.
Eu aplaudo de pé essa tendência, pela evolução que
significa para as plataformas livres.
Mas para mim há um porém: escrevo diariamente
para algum dos três blogs que mantenho (BR-Linux,
Efetividade e BR-Mac), mas a cada mês a minha
disponibilidade de tempo para escrever se reduz,
porque as tarefas de administração das suas infraes-
truturas (que executo com muito prazer) são cada
vez mais complexas e críticas.
Para ficar em um exemplo que é de várias cama-
das acima, vou mencionar o WordPress: eu o esco-
lhi há alguns anos, porque ele era fácil de instalar
e atualizar, carregava rapidamente as páginas e,
principalmente, porque na sua configuração padrão
a interface de administração era simples e rápida
de carregar, sem pausa entre a ideia e começar a
escrevê-la. Mas os anos se passaram, ele inchou
em recursos, e agora o cenário dele mudou, como
ocorreu com os servidores web.
Não me desagrada a mudança, mas não é a mim
que ela interessa. A cada dia tenho pensado em buscar
alternativas mais leves e simples para esses serviços
(para o WordPress eu já encontrei), e compartilho
com vocês este breve desabafo para que outros que
passam pela mensa reflexão saibam: vocês não es-
tão sozinhos! ■
Augusto César Campos é administrador de TI e, desde 1996, mantém o
site BR-linux.org, que cobre a cena do Software Livre no Brasil e no mundo.
www.linuxmagazine.com.br
 Coluna do Klaus
Pergunte
ao Klaus!
Klaus Knopper responde às suas perguntas sobre Linux.
Olá Klaus, li recentemente suas dicas
sobre a instalação do sistema Knoppix em
um disco rígido. Segui as instruções para
a instalação da partição swap de 1GB, a partição
ReiserFS e o Knoppix 7 sem problemas, mas há
algo de errado com o gerenciador de boot GRUB.
Ele exibe um menu, mas não responde ao teclado
e também não apresenta o boot por padrão no
tempo de espera.
Fiz a instalação em um velho laptop Acer
Travelmate 3750 com um processador P3. Ele tem
problemas à medida em que não funciona sem
uma conexão de rede e requer as configurações do
CMOS na inicialização. Isso apenas significa que
tenho que fazer o boot e, em seguida, definir data/
hora – funcionou bem com o Ubuntu Maverick,
embora um pouco lento demais, razão pela qual
decidi tentar com o Knoppix.
Embora seja incapaz de fazer o boot do Knoppix
direto do CD (não posso mudar a ordem do boot
do CMOS – isso não salva as novas configurações),
posso fazer o boot do disquete com um software de
gerenciamento de inicialização e, em seguida, sele-
cionar fazer o boot a partir do CD; após tudo isso, a
versão em CD do Knoppix 7.0 faz o boot e executa
sem problemas. Mais uma vez, é um pouco lento,
daí minha tentativa de instalar no HD.
Não sei qual é a diferença entre o GRUB usado
pelo Ubuntu e o que é instalado pelo Knoppix.
Minha suspeita é a de que a versão do Knoppix
conta com um suporte de teclado do BIOS, en-
quanto o GRUB do Ubuntu carrega um módulo
de suporte a teclado. Não tenho ideia por que ele
não faz o boot por padrão no tempo de espera, a
Linux Magazine #102 | Maio de 2013
COLUNA
menos que haja algo errado com as configurações
do dispositivo. Não sei os meandros de quando usar
hd0[1/2/3] ou /dev/sda0[1/2] ou /dev/hda0[1/2], mas,
a partir da versão em CD, o Knoppix é visualiza-
do em /dev/sda1 (Windows), /dev/sda2 (swap), e /
dev/sda3 (Knoppix). Possivelmente há novamente
algum problema com a falta de rotinas de suporte
do BIOS em GRUB.
Alguma ideia de como resolver isso? A versão em
CD do Knoppix 7.0 parece fazer tudo o que preci-
so, então realmente gostaria de fazê-lo funcionar
no disco rígido, o que seria mais rápido e salvaria
várias configurações (por exemplo, para a conexão
à Internet banda larga). Espero também poder en-
contrar algum software que receba automaticamente
data/hora da Internet, embora o NTP não funcione.
Ele deve prever que a hora do sistema atual fique
pelo menos alguns minutos próximos do “tempo
real”, e não alguns anos, por conta de uma falha
na bateria CMOS.
Neil
Isso soa ou como um problema entre o GRUB e
o BIOS, ou simplesmente o “suporte ao tecla-
do legado” está desativado no BIOS, e deve
estar em “on” se o leitor usar um teclado USB. Se o
seu computador tiver um CMOS falhando e esquecer
as configurações durante o boot, isto será suficiente
para introduzir todos os tipos de problemas.
Aliás, ainda utilizo o GRUB versão 1 por conta de
sua configuração menos complexa, que é conhecido
por trabalhar bem também em computadores mais
antigos. O GRUB 1 é configurado com um arquivo
chamado /boot/grub/menu.lst, que contém todos os
15
 discos rígidos e as configurações do kernel e é lido
pelo GRUB usando um driver de sistema de arqui-
vos interno e o BIOS para acessar o dispositivo, que
pode novamente tornar-se problemático quando o
BIOS estiver falhando.
Uma alternativa seria a instalação do Knoppix
no disco rígido em modo “flash disk”, que usa um
bootloader muito simples chamado “ syslinux”, o que
é compatível com o isolinux para o boot. Basta usar
o instalador flash-knoppix em uma partição FAT32.
Começar a partir da versão 7.0.5 do Knoppix (na
qual o novo instalador era ainda experimental), pode
reparticionar o drive do instalador para uma partição
FAT32 para o sistema base e uma partição ReiserFS
adicional para explorar extensões e configurações
pessoais escritas pelo usuário.
Outro método, evitando a instalação no disco rígido,
poderia ser o seguinte:
1. Insira o disquete de boot especial, como antes,
que redireciona o controle de boot para o CD-ROM.
2. Em vez de iniciar o CD Knoppix completo di-
retamente, insira a imagem variante bootonly, que
contém apenas o kernel, e procure por outro dis-
positivo de boot.
3. Insira um disco flash USB instalador do flash-
knoppix também.
4. Reinicie.
Seu disquete iniciará o CD, que irá procurar um
diretório chamado KNOPPIX contendo os arquivos da
base (que ele vai encontrar no disco flash USB in-
serido) e, de lá, o Knoppix executará muito rápido a
partir do USB, mesmo se o seu computador não for
capaz de fazer o boot a partir do USB diretamente.
Uma vez que for executado, será possível remover
com segurança tanto o disquete quanto o DVD.
Oi Klaus! Obrigado pelo Knoppix, é
uma distribuição muito boa! Mas novos
lançamentos (após 2010) não funcionam
corretamente com o touchpad do meu Sony Vaio
VGN-CS. Por exemplo, eu tenho os seguintes
resultados:
Knoppix 6.3 (rel. 2010-02-09)
LXDE OK
Knoppix 6.7.0 (rel. 2011-08-07)
LXDE ERR
Gnome ERR
KDE OK?!
Em outras distribuições a seta para a esquerda não
vai funcionar, também; a seta para a direita às vezes
funciona como a seta para a esquerda; o cursor move-se
16
sob os retângulos de seleção do desktop; às vezes, nada
funciona. Por outro lado, um item pode não funcio
nar 10 vezes e na 11ª tentativa ele acaba funcionando.
Às vezes funciona com o kernel de 64 bits (so-
mente o kernel, todo o software é de 32 bits), e às
vezes não! Fiquei surpreso ao descobrir que no
Ubuntu 12.04 funcionou e no Kubuntu 12.04 não.
Às vezes, no log do kernel vejo “sync perdido” (lost
sync), apesar de tudo estar funcionando bem. Às
vezes o X.org grava um aviso ou erro, mas tudo
está funcionando bem. Às vezes não vejo nenhuma
mensagem, mas o touchpad não funciona. Qual é
o problema? Por favor, me ajude. Desejo atualizar
minha distribuição.
Andy
Isso soa definitivamente como um problema
de interrupção, e pode muito bem ser
relacionado ao kernel: kernels mais recentes
detectam mais hardware que os mais antigos, o que
interrompe a alocação rápida de legados inferiores;
ou, pode causar a alocação errada de MSI, ou ainda
interrupções APIC para dispositivos que não lidam
com eles de forma confiável.
Não existe uma regra geral sobre como evitar
isso. O leitor pode tentar o cheatcode boot irqmask
para remapear certas interrupções conhecidas por
falhar muitas vezes:
knoppix pci=irqmask=0x0e98
Às vezes, evitar o Advanced Programmable Interrupt
Controller (APIC) pode salvar o seu dia:
knoppix noapic
ou
knoppix nolapic
Outra opção é simplesmente interromper o tem-
porizador:
knoppix nolapic_timer
E também pode ser o Advanced Configuration and
Power Interface (ACPI):
knoppix acpi=noirq
No entanto, se o leitor ou outros usuários enfren-
tarem um problema após uma atualização do kernel,
comuniquem o fato ao bugtracker do kernel [1]. As
possibilidades são de que a equipe do kernel irá en-
contrar e reparar o problema em uma versão futura
do kernel, depois de algumas pesquisas a respeito.
www.linuxmagazine.com.br
 Oi Klaus, poderia recomendar uma plata-
forma onde é possível construir um painel
de instrumento virtual para o meu barco?
Quero medidores para motor e hélice em formato
RPM, além de temperatura e pressão do óleo, tem-
peratura e pressão de refrigeração, nível de com-
bustível e fluxo, e assim por diante, para cada um
deles. Devo usar Java, possivelmente com alguns
componentes reutilizáveis - beans - ou Tcl/Tk? Co-
meçar do zero em C? Ou usar alguma outra coisa?
Não sou um programador experiente, mas consigo
me virar bem.
Shane
Para a interface de usuário pura, o leitor po-
deria usar o Qt Designer [2] ou o KDevelop
[3] e projetar o painel de instrumentos com
poucos cliques do mouse. No entanto, ainda terá que
aprender a linguagem de programação C++ para co-
nectar ações e comandos para os elementos de con-
trole virtuais, caso contrário, sua interface de usuário
parecerá boa, mas não irá fazer absolutamente nada.
Outra possibilidade seria usar um ambiente de
programação gráfico como Squeak/Smalltalk [4],
Agora você tem o controle sobre
o desempenho do seu negócio
sempre à sua mão.
Compras
Estoques
Fornecedores
ERP – SISTEMA DE GESTÃO
A micro e pequena empresa ganha uma solução de classe mundial de
sistemas de gestão ERP. O Kontroller dispensa aquisição de hardware,
licenças de software, técnicos de suporte ou sistema de backup. Garante
alta disponibilidade
Linux Magazine #102 | e oferece
Maio de 2013 fácil acesso via browser.
que contempla bons tutoriais sobre a construção
de interfaces de usuário. Procurar por “squeak user
interfaces” irá guiá-lo para alguns deles.
Se o leitor planeja acesso de baixo nível ao hard-
ware, C++ ou C com chamadas de sistema/kernel
é provavelmente a escolha mais eficiente, o que
exigiria o aprendizado de Gtk [5] ou wxWidgets [6]
para a interface do usuário. O wxWidgets é uma
boa opção se o leitor tiver a intenção de escrever
um aplicativo multiplataforma que funcione em
diferentes sistemas operacionais. n
Mais informações
[1] Kernel bug tracker: https://bugzilla.kernel.org/
[2] Qt Designer: http://qt-project.org/
doc/qt-4.8/designer-manual.html
[3] KDevelop: http://www.kdevelop.org/
[4] Squeak/Smalltalk: http://www.squeak.org/
[5] Gtk: http://www.gtk.org/
[6] wxWidgets: http://www.wxwidgets.org/
Finanças
NF-e
Vendas
Clientes
SOFTWARE
Saiba mais em:
www.vectory.com.br
+55 11 3104 17
6652
 Coluna do Zack
Crônicas
COLUNA
do kernel
O cronista Zack Brown informa sobre as novidades, a situação,
os dilemas e o desenvolvimento na comunidade do kernel Linux.
por Zack Brown
Rastreamento de patch
defensivo para todos
Luis R. Rodriguez assinalou que a tag “signed-off-by”
tornou-se popular com vários projetos de software livre.
Originalmente, a tag “signed-off-by” para submissões de
patch foi criada em resposta à ação judicial da SCO, que
visava (entre outros) Linus Torvalds, e pedia uma prova
de que o Linux não incorporaria código derivado do
Unix System V, que pertencia à SCO. Na época, dada
a natureza hierárquica do desenvolvimento do Linux,
os patches seriam peneirados através de listas de discus-
são, testadores, grupos, mantenedores oficiais e outros,
antes de finalmente chegar na caixa de entrada de Linus
para ser aplicado à árvore do kernel. Nada mais que boa
vontade asseguraria que o código apresentado a Linus
seria de fato da pessoa que originalmente o submeteu.
Em última análise, Linus possui uma abordagem algo-
rítmica para o desenvolvimento. O desenvolvimento do
kernel é, essencialmente, um processo em execução em
um sistema muito estranho. O desafio de direitos autorais
representava erros de memória (out-of-memory errors)
e problemas de desempenho na transferência de dados
e, talvez, tenha chegado perto de quebrar totalmente o
sistema. Em outras palavras, era necessária uma quan-
tidade enorme de trabalho para refutar as alegações da
SCO. A tag “signed-off-by” é a resposta algorítmica de
Linus para essa questão toda. Na verdade, a tag é apenas
a parte mais visível do que veio a se tornar um proces-
so oficial de “Certificado de origem do desenvolvedor”
(“Developer’s Certificate of Origin” – DCO).
O DCO é mantido em Documentation/SubmittingPa-
tches e possui um número de versão próprio (atualmente
em 1.1). De acordo com o DCO-1.1, sempre que um patch
entra no sistema de desenvolvimento (isto é, quando
alguém o submete), todos que o revisam adicionam o
18
“signed-off-by” identificando-se como uma das pessoas da
cadeia de revisão e certificação que não incluiu nenhum
código que possa violar os termos da GPL.
Graças ao DCO-1.1, no futuro, qualquer pedaço de
código identificado como uma possível violação de di-
reitos autorais em um processo judicial passará por um
caminho relativamente fácil de identificar as pessoas
envolvidas na submissão do referido código, de ma-
neira que possam prestar contas sobre como chegaram
a fazê-lo. Assim, a tarefa de esclarecer as origens do
kernel pode ser distribuída de forma eficiente para os
contribuidores envolvidos, em vez de ser direcionada
somente à Linus. (Outras pessoas se ofereceram para
assumir boa parte desse peso, mas isso é uma outra his-
tória). Luis, em um email recente, observou que a tag
“signed-off-by” tornou-se popular com outros projetos
de código aberto, mas afirmou que nem todo mun-
do possuía um claro entendimento da especificação
completa do DCO-1.1. O Linux a utilizava, logo, ela
foi recebida positivamente, mas sem necessariamente
ter sido assimilada a melhor forma de lhe dar valor.
Luis sugeriu que o DCO-1.1 deveria ser extraído de
Documentation/Submitting-Patches e ter um projeto
autônomo separado, para que outros projetos de soft-
ware livre pudessem ter uma maneira fácil de encon-
trar e se referir a ele. Algumas pessoas consideraram a
sugestão. Alan Cox pensou que seria melhor deixar o
documento na árvore do kernel apropriada, de onde
Luis poderia cortar e colar para qualquer outro lugar, se
isso fosse útil para todos. Ele ressaltou: “há uma razão
para que os advogados copiem documentos em outros
documentos ao invés de fazer uma conexão dinâmica
tardia – ter a certeza de que o que se referencia é o
texto exato válido para cada caso”.
Jiri Slaby concordou que copiar o texto para ou-
tros projetos de código aberto seria melhor do que
www.linuxmagazine.com.br
criar um projeto diferente só para essa finalidade, ou
até mesmo linká-lo nas fontes do kernel. Ele suge-
riu que outros projetos poderiam querer modificar
os termos do DCO, e por isso gostariam de ter uma
cópia própria do texto explicativo e alterá-la de acor-
do com suas necessidades. Alan concordou com isso.
Essencialmente, qualquer projeto de software livre
pode desejar fazer o “fork” do DCO, e isso não deve
implicar em grandes problemas.
Neste ponto, Trevor W. King disse que estava ten-
do problemas para identificar a licença sob a qual o
DCO-1.1 foi lançado. Ele mencionou um comentário
muito interessante de Linus em 2004 [1], e apontou
que Linus tinha criado ele mesmo os patches iniciais
que adicionaram o DCO ao arquivo Documentation/
SubmittingPatches. Trevor também mencionou um
comunicado de imprensa da Open Source Development
Labs (OSDL) anunciando a DCO-1.1 [2] e, especifi-
camente, a parte onde a OSDL informava: “© 2005
Open Source Development Labs, Inc. O certificado de
origem do desenvolvedor 1.1 está licenciado sob uma
atribuição de compartilhamento em Creative Com-
mons (Creative Commons Attribution-ShareAlike 2.5
License). Se o usuário o modificar deverá usar um
nome ou título distinto de “Developer’s Certificate of
Origin” ou “DCO” ou qualquer outro nome similar”.
Trevor perguntou: “qual é a licença DCO distribuída
e quem detém os direitos autorais?” Não houve resposta
na lista de discussão, mas em um post logo após o ocor-
rido Trevor anunciou que tinha criado um novo reposi-
tório Git preservando o histórico de commits do DCO
[3]. Como ele derivou este novo repositório do kernel
Linux e do projeto Git, ambos os quais licenciados sob
a GPL versão 2, ele lançou seu próprio repositório sob a
GPL versão 2 também. Trevor disse: “para quem estiver
usando um projeto GPLv2, é possível mesclar o ramo
“signed-off-by” diretamente em seus projetos”.
Mas acrescentou: “como muitos projetos que não es-
tão sob a GPLv2 ainda podem querer usar a abordagem
DCO/s-o-b, incluí um exemplo de arquivo CONTRIBUTING (e
CONTRIBUTING.md para o GitHub), que está licenciado sob a
permissiva licença Creative Commons CC0 1.0 Universal.
Mescle o ramo ‘contributing’ ou ‘contributing-github’ com
seu projeto e edite como desejar”. Luis estava em êxtase
sobre isso e imediatamente começou a incorporar o traba-
lho de Trevor em seus próprios projetos de software livre.
Critério para inclusão de projeto
Houve um pouco de comoção com a kvmtool recente-
mente, quando David Rientjes perguntou se a kvmtool
jamais seria migrada do linux-next para o kernel ade-
quado. A KVM (Kernel Virtual Machine) é um sub-
Linux Magazine #102 | Maio de 2013
sistema do kernel que permite aos usuários criar e
executar sistemas virtualizados em um sistema Linux
em execução. É ótimo! E a kvmtool é a ferramenta do
espaço do usuário que realmente faz o boot das ima-
gens da KVM para que os usuários possam utilizá-las.
Em resposta à pergunta de David, Stephen
Rothwell disse que Linus Torvalds não queria incluir
a kvmtool no kernel, portanto Stephen iria removê-
la da árvore -next; ele pediu a Ingo Molnár para
removê-lo de sua árvore tip/auto-latest também.
No entanto, Ingo disse que pretende manter a
kvmtool em sua árvore, porque ele a utilizava para
testes e não tinha encontrado nenhum problema, e
porque Pekka Enberg estava planejando apresentar
uma nova versão a Linus, em um futuro próximo, e
que poderia ser aceita. H. Peter Anvin respondeu:
“então, por que nós não deixamos Linus aceitá-lo
ou rejeitá-lo para o merge 3.9, mas, se rejeitado,
nós o retiramos do linux-next até que as objeções
de Linus sejam abordadas?”
Stephen não achou que havia muita chance
do patch de Pekka ser aceito, e ressaltou que não
queria que Ingo removesse a kvmtool de sua própria
árvore, mas apenas da parte que residia em linux-
-next. Ele citou Linus, dizendo: “eu ainda não vi
um argumento convincente para fundi-la. São
toneladas de código, não coincide com o modelo
original ‘pequeno simples’, e acho que se sairia
melhor como um projeto separado”.
Ingo respondeu que a versão -next da árvore era
idêntica à sua árvore de trabalho, e ele não queria
que houvesse divergência entre elas, embora dissesse
que mudaria isso se Linus realmente quisesse. No
entanto, ele acrescentou que a kvmtool estava melho-
rando bem, teve várias dezenas de colaboradores, e
foi muito útil para o desenvolvimento do kernel. Ela
ajudou no desenvolvimento da KVM e também foi
usada para testar recursos experimentais do kernel
sem ter que fazer o reboot de todo o sistema.
Revelando sua frustração com o debate, Ingo conti-
nuou: “que mal faz o tools/kvm?” E “por favor, não ten-
te danificar código útil valendo-se apenas de algumas
partes”. E concluiu: “vamos acabar com este disparate,
IMO simplesmente não é construtivo”. Linus ingres-
sou na discussão nesse momento. Afirmou que não via
nenhuma boa razão pela qual a kvmtool não devesse
permanecer como projeto autônomo. E ressaltou que
as alegações de Ingo de que a kvmtool era útil para o
desenvolvimento do kernel eram bem verdadeiras, mas
que isso não era suficiente para fazer o merge no kernel.
Ele também pontuou que a subordinação da
kvmtool ao kernel apenas tornaria mais difícil para os
19
 usuários a acessarem. Em vez de apenas acessá-la, os
usuários teriam que buscar toda a fonte do kernel na
árvore, com a kvmtool dentro. Linus concluiu, “deixe-
-me dizer muito claramente: não vou fazer o merge da
kvmtool. Não se trata de “código útil”. Muito menos
de melhorar o projeto. Ambos parecem melhores fora
do kernel, onde não há aquela amarração artificial e
realmente prejudicial. Em outras palavras, não vejo
qualquer vantagem em fundir a kvmtool com o kernel.
Acho que o merge seria um erro e só serviria para
amarrar dois projetos que simplesmente não devem
ser amarrados”.
Pekka respondeu: “Linus está absolutamente cor-
reto sobre a questão da árvore do kernel não ser uma
boa opção para o usuário casual. No entanto, é uma
compensação para tornar mais fácil o desenvolvi-
mento do tools/kvm, especialmente quando é preciso
tocar no código tanto do kernel como do espaço do
usuário. E ressaltou: “apoiamos a KVM no ARMv8
antes mesmo do código no kernel ter chegado à linha
principal de desenvolvimento. As pessoas implemen-
taram drivers vhost no lock-step. A maioria dos con-
tribuidores também são desenvolvedores do kernel.
E nós, na verdade, temos uma base de código limpa
que é acessível a qualquer um que sabe o estilo de
codificação do kernel”.
Linus respondeu que essas coisas não se qualifi-
cavam como justificativas para fundir o código no
kernel versus manter a kvmtool como um projeto au-
tônomo. A conveniência dos desenvolvedores sim-
plesmente não era uma razão para fazer o merge do
código, disse ele. E acrescentou: “a única coisa que
o lock-step faz é gerar o tipo de dependência que eu
absolutamente detesto, onde uma versão da kvmtools
segue junto com uma versão do kernel. Isso é uma
enorme desvantagem (e nós realmente vimos sinais
disso na ferramenta perf também, onde as versões
antigas das ferramentas foram quebradas porque
as pessoas que trabalham com elas ficaram muito
tempo no lock-step com o kernel utilizado nelas”.
Linus perguntou o que estava impedindo a kvmtool
de ser apenas um projeto autônomo. Pekka respon-
deu que o código da kvmtool era muito dependente
do kernel para ser retirado. Se fosse extraído em um
projeto separado, não seria até mesmo construído
corretamente. Pekka disse também que em termos
de ambiente de desenvolvimento, a lista de discussão
e o fluxo de trabalho de desenvolvimento do kernel
representavam toda a infraestrutura para recriar a
kvmtool como um projeto separado.
Mas, Linus respondeu: “percebe que nenhum dos
seus argumentos tocou na 'razão pela qual Linus de-
20
veria fazer o merge da árvore'? Tudo o que disse foi
sobre como é mais conveniente para você e para o
Ingo, e não sobre por que deveria ser melhor para
todos os demais interessados”.
Ele acrescentou: “você não se preocupou sequer
de tentar torná-lo um projeto externo, por isso não
o compila dessa forma. Você é a única pessoa traba-
lhando nele, de modo a ser conveniente para você a
questão principal. Argumentos como esse me fazem
não querer fundi-lo, porque são unicamente argu-
mentos para você continuar a trabalhar da maneira
que vem trabalhando, e não argumentos sobre por
que o projeto faria sentido se mesclado ao repositório
principal do kernel”. Linus também disse que não se
importava se Pekka e Ingo continuassem trabalhan-
do da maneira que vinham fazendo até então. Eles
não precisavam interromper seus fluxos de trabalho
ou processo de desenvolvimento em absoluto, mas
ele simplesmente não iria fundir o código. “Não
há nenhuma razão para que a kvmtool não possa ser
externa da mesma forma como funcionam todos os
outros projetos de virtualização”, disse.
Eles ficaram indo e vindo sobre a mesma questão por
um tempo. O argumento de Pekka era essencialmente
que os desenvolvedores poderiam trabalhar melhor e
mais rapidamente se o código estivesse no kernel, e o
argumento de Linus era que o código só entraria na
árvore oficial se pertencesse a ela por razões técnicas,
e não pela conveniência dos desenvolvedores.
Em um ponto, Theodore Ts'o uniu-se à discussão,
dizendo: “concordo plenamente com Linus aqui; na
verdade, a principal razão pela qual é importante man-
ter as ferramentas de espaço do usuário fora do kernel é
que ele nos mantém cuidadosos em relação ao design
da interface. Por exemplo, considero isso um recurso
que quando estendemos as estruturas de dados do sis-
tema de arquivos para ext4, elas têm que ser feitas em
dois locais; uma vez no kernel, e outra na versão e2fs-
progs do ext2_fs.h. Sim, pode ser mais conveniente se
nós empurrarmos todos os e2fsprogs no kernel, então
não teríamos que editar o ext2_fs.h em dois locais,
mas, quando fossem feitas alterações na ext2_fs.h, se-
ria necessário ter muito cuidado para não quebrar a
compatibilidade com versões anteriores, e pensar com
muito cuidado sobre problemas de compatibilidade
em versões futuras. Se houver sempre um grande nú-
mero de mudanças de interface no kernel/espaço do
usuário, isso aumentará as chances de erros. É melhor
que esses erros sejam detectados precocemente, e se
as mudanças precisarem ser feitas em dois locais, isso
aumentaria as chances de que tais erros pudessem ser
observados mais cedo do que tarde demais”.
www.linuxmagazine.com.br
 David Woodhouse concordou, acrescentando: “se
quiser usar peças da infraestrutura do kernel, depois
é só pegá-las. Há uma série de projetos que usam as
ferramentas de configuração do kernel, por exemplo.
Não há nenhuma necessidade de estar no repositório
do kernel. E para reutilização de código é ainda mais
fácil extrair automaticamente as partes do código kernel
em um repositório separado. Veja as árvores ecos-jffs2
e linux-headers, por exemplo, que acompanham auto-
maticamente a árvore de Linus com uma certa transfor-
mação para torná-las sãs apenas puxando os repositórios
relevantes de destino”.
O debate continuou e foi ficando cada vez mais ca-
loroso. Ingo e Pekka continuaram a insistir que haviam
benefícios reais e mensuráveis para a inclusão da kvmtool
na árvore principal, enquanto Linus continuou a insistir
que os benefícios identificados estavam todos centrados
na conveniência dos desenvolvedores e não no cumpri-
mento da sua exigência de haver uma justificativa técnica.
Em última análise, Ingo disse no post final para en-
cerrar a discussão: “então, apenas para chegarmos a uma
conclusão, obviamente Linus está insistindo nisso, por
isso removi o tools/kvm do tip:auto-latest, voltando
para os merges diários (onde tip:master era == tip:next)
A certificação LPI cada vez mais próxima de você!
Adquira já o seu kit de certificação LPI, faça o curso intensivo e as provas no fisl14
e garanta a sua vaga entre os especialistas Linux mais procurados do mercado!
Kit de certificação LPI-1
Conteúdo do kit:
1 livro contendo o guia de estudos para a certificação LPI-1 ou 2
Curso preparatório intensivo
2 provas para certificação LPI-1 ou LPI-2: Exames 101/102 ou Exames 201/202
Para aquisição e mais informações:
https://www.linuxnewmedia.com.br/lm/certificacao_fisl14
Linux Magazine #102 | Maio de 2013
para os antigos merges completos ao linux-next a cada
duas semanas. Desta forma, o tools/kvm ainda estará
disponível em tip:master (incorporado após integra-
ções completas) e ainda existirão os diários (ou mais
frequentes) delta-merges de tip:master na medida em
que novos bits ficarem prontos – com o risco ocasional
da reintegração total ser feita para linux-next”.
Ingo continuou: “não é, obviamente, o melhor, mas
isso é o melhor que pude chegar dadas as limitações”. ■
Mais informações
[1] Discussão sobre o DCO: http://article.
gmane.org/gmane.linux.kernel/205867/
[2] OSDL DCO press release: http://web.
archive.org/web/20070306195036/ e
http://osdlab.org/newsroom/press_
releases/2004/2004_05_24_dco.html
[3] Repositório DCO Git: https://github.
com/wking/signed-off-by/
A lista de discussão Linux-kernel é o núcleo das atividades de desenvol-
vimento do kernel. Zack Brown consegue se perder nesse oceano de
mensagens e extrair significado! Sua newsletter Kernel Traffic esteve em
atividade de 1999 a 2005.
Kit de certificação LPI-2
0
0 ,0 ,33
8
$ 65 10
$
o r R e R ros
u
P
6 xd mj
e
ou s 21
 ➧ Twitter implementa
autenticação de dois fatores
NOTÍCIAS
O Twitter deseja melhorar a segurança de sua platafor-
ma – o que não é má ideia, após problemas recentes
com envio de relatórios falsos a partir de contas ha-
ckeadas. A autenticação de dois fatores, que o Twitter
chama de “verificação de login”, deverá tornar mais
difícil o sequestro de contas.
Os usuários do Twitter agora podem optar por fazer a
verificação de login ao selecionar a caixa “Account secu-
rity” (“Segurança da conta”) na página de configurações
da conta. Assim que for adicionado o número de celular
à conta e ativada a verificação de login, será necessário
digitar um código de seis dígitos enviado por SMS, além
da senha, a cada vez que o usuário acessar a plataforma.
Ao usar a autenticação de dois fatores, os usuários podem
gerar uma senha temporária para autorizar aplicativos
para o Twitter, além de outros dispositivos. Jim O’Leary,
membro da equipe de segurança do Twitter, enfatiza
que, mesmo que os usuários tenham ativado a verifica-
ção de login, ainda devem usar uma senha forte e que
seja difícil de adivinhar.
➧ Brasil lidera ranking mundial de
ataques com o vírus Conficker
O Brasil é líder mundial em infecções causadas pelo
vírus Conficker. A afirmação é da empresa de segu-
rança F-Secure, que realizou um estudo com relação
ao primeiro trimestre do ano e mostrou que o País
respondeu por 26% dos ataques.
O Conficker, também conhecido como Downaup, foi
desenvolvido para atacar computadores com sistema
operacional Windows. Ele é um worm, ou seja, tem
a capacidade de se replicar e também desabilitar ser-
viços do sistema operacional, como atualizações au-
tomáticas de segurança, firewall e relatório de erros,
além de bloquear o acesso a sites de soluções antivírus.
Por deixar a máquina mais vulnerável, PCs contami-
nados com o Conficker são mais propensos a sofrerem
ataques de outros malwares.
O segundo país que contribuiu para a disseminação
do vírus foi o Emirados Árabes, com 11%, seguido pela
França, com 7%. Também fazem parte da lista a Es-
panha (6%), Itália (4%) e Japão (4%).
Os dados do estudo foram coletados por meio dos sis-
temas de vigilância na nuvem da F-Secure, durante o
período de janeiro a março de 2013. ■
22
Nas últimas semanas, Josef Blatter, FIFA, BBC, CBS,
Associated Press, The Guardian e Financial Times fo-
ram apenas algumas das vítimas de contas hackeadas.
Um grupo chamado Syrian Electronic Army (Exército
Eletrônico da Síria) reivindicou a autoria dos ataques,
acusando a mídia ocidental de espalhar informações
erradas sobre a guerra civil na Síria. O ataque à Asso-
ciated Press foi especialmente grave, pois a conta oficial
da agência de notícias no Twitter foi usada para enviar
relatórios falsos de explosões na Casa Branca, que su-
postamente teriam ferido o presidente Barack Obama.
O novo mecanismo de autenticação de dois fatores é
um passo na direção correta, mas ainda é questionável
se a medida iria realmente resolver o problema dos alvos
dos últimos ataques. Organizações de notícias tendem a
possuir usuários múltiplos acessando a conta do Twitter,
muitas vezes em continentes diferentes. Nestes casos,
possuir um celular da empresa registrado na conta seria
um problema e provavelmente impediria a utilização do
recurso de verificação de login. ■
➧ Positivo lança aplicativos para alunos
do ensino Fundamental e Médio
A Positivo Informática, através de seu depar-
tamento de produtos educacionais, lançou uma
biblioteca de aplicativos para alunos do ensino
Fundamental e Médio. De acordo com a empre-
sa, o objetivo desta biblioteca é ajudar alunos e
professores a usarem a tecnologia como recurso a
favor da educação.
Os aplicativos possuem conteúdos digitais de
diversas áreas do conhecimento e são organizados
em lições apresentadas através de diversas ferra-
mentas educacionais, como vídeos, animações, si-
mulados e atividades interativas. Compatíveis com
os sistemas iOS, Windows ou Android, os primei-
ros aplicativos disponíveis são “Ciências – Ensino
Fundamental – Anos Finais”, “Biologia – Ensino
Médio” e “Dicionário Aurélio”.
Os aplicativos de Ciências e Biologia estão dis-
poníveis apenas para escolas, necessitam de login
e senha da Positivo Informática para instalar cada
licença em seu dispositivo de destino. Já o apli-
cativo do Dicionário Aurélio está à venda para o
consumidor final na loja Google Play. ■
www.linuxmagazine.com.br
Linux Magazine #102 | Maio de 2013 23
 Coluna do Maddog

Migração Windows
CORPORATE

para Linux
Pelo progresso do Linux nos últimos 12 anos, o que seria necessário
para mover os usuários do Windows XP para o software livre?
por Jon ‘maddog’ Hall

R
ecentemente notei que a Microsoft fincou uma provavelmente não funcionará mais no Windows, ou
estaca na areia e (mais uma vez) anunciou a então aquela versão do Windows ficará tão antiga e vul-
aposentadoria do Windows XP, desta vez tendo nerável à infecção por vírus que se tornará inutilizável.
como data limite o dia 8 de abril de 2014. Dadas todas Meu amigo terá que seguir em frente, e ele não tem ne-
as outras vezes que a Microsoft anunciou a aposenta- nhuma garantia de que a empresa que fez os aplicativos
doria do Windows XP, suponho que quiseram evitar o proprietários terá portado os drivers e aplicativos para a
dia primeiro de abril. Mas discordo. próxima versão do Windows – ou para qualquer versão
À luz deste anúncio, me perguntava como a comu- do Windows – ou mesmo se ainda existirá como uma
nidade de software livre e aberto poderia influenciar o empresa. Claro, ele pode tentar executar versões ante-
imenso número de clientes do Windows XP que não riores do Windows e aplicativos sob vários emuladores
migraram para outro produto da Microsoft, como o Vis- e máquinas virtuais, porém cedo ou tarde tal tarefa se
ta, o Windows 7 ou Windows 8. Estes usuários teriam tornará um pesadelo de gestão, mesmo que seja apenas
muitas alternativas diferentes da Microsoft para escolher, um sonho pessoal ruim.
mas ficaram com o Windows XP. Como o Windows XP
foi lançado em 2001, isto significa que eles estão usando
a mesma tecnologia de sistema operacional da Micro- A comunidade de
soft que existia quando a Linux Magazine era jovem.
Quando os usuários da Microsoft começaram a pla- software livre e aberto
nejar a mudança para a nova tecnologia da empresa,
atualizando seus (muito caros) sistemas operacionais
precisa colocar um pé
e aplicativos, recebendo novo hardware para executar à frente e consertar
o software Microsoft, pagando licenças cada vez mais
restritivas de atualização, recebendo o treinamento ne- os problemas que
cessário para novas versões do software proprietário e impedem as pessoas de
certificando-se de que seus dados e aplicativos migras-
sem corretamente – este poderia ser o momento para migrarem para esses
sugerir uma migração para o software livre e aberto.
Claro, existem alguns negativistas. Um amigo expli-
sistemas, especialmente
cou que utiliza Linux em seus servidores e Linux em do Windows XP para o
casa, mas precisa do Windows para três coisas: aqueles
dispositivos estranhos que ele usa em sua área de trabalho GNU/Linux; precisamos
(por exemplo, um SIM card de leitura/escrita e aplica-
tivos), os documentos do PowerPoint que ele recebe e
corrigir alguns dos
apresenta, e – é claro! – jogos. Assim, ele “fica com o problemas reais e
Windows” para alguns de seus trabalhos profissionais.
Tenho más notícias para o meu amigo porque um dia, abordar os imaginários.
no futuro, seu SIM card de leitura/escrita e aplicativos

24 www.linuxmagazine.com.br
 Reconheço que às vezes sinto inveja de pessoas que
compraram software de desktop que “simplesmente fun-
cionou”. Por outro lado, como o software tornou-se mais
complexo e crescido, também notei que o software mui-
tas vezes não funcinou mais até que fosse adquirida uma
nova cópia. E é nessa hora que volto a apreciar o software
livre e aberto. Este é, no entanto, o tema da edição 150
da Linux Pro, então acho que vale a pena parar e pensar
sobre o quão longe chegamos nos últimos 12 anos. Na-
quela época muita gente ainda não conseguia nem pro-
nunciar a palavra “Linux” e, se pudessem, ririam do fato
de ter que usar este “sistema operacional de brinquedo”.
Apenas alguns anos antes as grandes empresas de
banco de dados começaram a portar seus bancos de
dados para GNU/Linux. Empresas de sistemas embar-
cados tinham acabado de começar a usar vários tipos
de software livre e aberto em vez de criar seus próprios
sistemas operacionais e compiladores. A virtualização
era apenas visível no horizonte (o Xen foi lançado em
2003 e o VMware, em 1999), e as únicas nuvens que
existiam eram aquelas vistas no céu.
Doze anos atrás, as pessoas ainda estavam lutando
muito para obter drivers de dispositivos. Hoje, existem
mais caixas e propagandas de hardware que mostram
não apenas os logotipos da Microsoft e da Apple, como
também mencionam o Linux ou mostram um simpático
pinguim Tux. Doze anos atrás, o GNU/Linux não era
considerado uma plataforma de sistema operacional
de “missão crítica”. Hoje em dia, as pessoas executam
seus aplicativos de “missão crítica” utilizando software
livre e aberto. Atualmente as pessoas estão usando soft-
ware livre (e, pelo menos, o kernel Linux) em muitos
lugares onde apenas se tratava de um sonho em 2001,
e é por isso que precisamos fazer um grande esforço
durante este ano para ampliar esse uso.
A comunidade de software livre e aberto precisa
colocar um pé à frente e consertar os problemas que
impedem as pessoas de migrarem para esses sistemas,
especialmente do Windows XP para o GNU/Linux;
precisamos corrigir alguns dos problemas reais e abor-
dar os imaginários. Se pudéssemos convencer essas
pessoas a usar software livre em vez de mudarem para
outro sistema operacional proprietário e aplicativos
relacionados, seria bom para toda a comunidade. Te-
mos agora pouco menos de um ano para fazer isso. ■
Jon ‘maddog’ Hall é presidente da Linux International, instituição
internacional dedicada a promover o Linux e o Software Livre e de
Código Aberto. Maddog viaja o mundo dando palestras e debatendo
com decisores sobre o uso do Software Livre em âmbito tanto
corporativo quanto comunitário.

LPI-1 e 2!
Livros cação
para Cer t i fi
A Linux Magazine oferece estas edições revisadas
e ampliadas dos livros que te preparam para
as Certificações LPIC-1 e 2, com as seguintes
novidades:

• Exercícios em todos os tópicos

• Todo conteúdo ampliado para a nova versão

da prova, atualizada em agosto/2012.

Garanta já os seus pelo site da Linux Magazine

www.linuxmagazine.com.br

Linux Magazine #102 | Maio de 2013 25

 Coluna do Taurion
O futuro
CORPORATE
dos ERPs
Qual será o futuro dos aplicativos de ERP e como reinventar este
modelo de negócio para atender aos novos padrões da TI.
por Cezar Taurion
E
m um dos recentes eventos que participei
surgiu um debate interessante sobre o futu-
ro dos ERPs (Enterprise Resource Planning),
diante das ondas tecnológicas que estão quebrando
sobre nós, ou seja, as ondas da Cloud Computing,
mobilidade, Social Business e Big Data. Como foi
uma conversa aberta, iniciada no intervalo para o
cafezinho, pudemos levantar algumas ideias inova-
doras e eventualmente disruptoras que, como toda
disrupção, gera muita reação contrária. Mas, instigar
é necessário e creio que vale a pena compartilhar
o que foi debatido.
Interessante é que o ERP também teve seu gran-
de momento. Lembro que há pouco mais de uma
década as implementações de ERP eram medidas
pela grandiosidade de seus projetos. Falava-se com
orgulho dos milhões de dólares que seriam investidos
(ou gastos) em sua implementação. Muitas foram
muito bem sucedidas e outras, fracassos retumbantes.
Havia muita expectativa com seus resultados e
cheguei a ouvir, no final da década de 90, um CEO
dizer que após o ERP ele conseguiria “se livrar de
sua área de TI”, pois tudo o que ele precisava es-
tava no ERP. Mera ilusão, uma vez que depois da
implementação dos ERPs, as áreas de TI cresce-
ram mais do que nunca pelo simples fato de que o
ERP atende apenas a uma parte das necessidades
de informação das empresas. E esta parte está cada
vez menor.
Mas o motivo que levou empresas a adotarem o
ERP como espinha dorsal de sua área de TI tem
sido, ironicamente, seu “calcanhar de Aquiles”. A
integração entre processos, um banco de dados cen-
tral com visão única da verdade são extremamente
positivos, mas tornam a empresa inflexível e rígida
26
demais para se ajustar a dinâmica dos negócios atu-
ais. Mesmo com parametrização e customizações,
a velocidade das mudanças nos atuais cenários de
negócio e a entrada acelerada de novas tecnologias
faz com que o ERP pareça um imenso petroleiro
manobrando no oceano.
O debate se centrou nesse aspecto. A arquitetura
atual dos ERPs é adequada ao cenário de negócios
do século XXI? O mundo de 2020 comporta um
ERP como os de hoje?
Flexibilidade e agilidade tornam-se fatores de
vantagem competitiva, e um sistema que demora a
responder passa a ser um problema e não uma so-
lução. Algumas ondas tecnológicas estão transfor-
mando o cenário da TI. A computação em nuvem
está comoditizando os servidores, transformando
hardware em software e criando novas expectativas
sobre como as empresas passam a consumir recursos
computacionais. A mobilidade e a consumerização
deslocam o eixo gravitacional da entrada de novas
tecnologias da área de TI para os usuários. Os apli-
cativos móveis exploram novas interfaces intuitivas
totalmente diferente das interfaces dos ERPs atu-
ais, voltadas para teclado e mouse. Além disso, os
recursos específicos dos dispositivos móveis como a
geolocalização, nos permite inventar a concepção
dos processos. A potencialidade dos recursos dos
dispositivos móveis passa a ser refletida no projeto
do aplicativo. Ao invés de pensarmos no smartpho-
ne como apenas um meio adicional de entrega de
informações, ele passa a ser o cerne do projeto. A
exploração dos recursos como acelerômetros, GPS
etc., passam a orientar os processos que serão im-
plementados no aplicativo. “Mobile centric” torna o
dispositivo móvel no centro da operação e os proces-
www.linuxmagazine.com.br
sos giram em torno dele. É uma maneira diferente
de projetar sistemas.
Além disso, os ERPs devem se inserir no contex-
to do Social Business. Isto implica em que muitos
dos processos passam a ser colaborativos e processos
lineares e individualizados precisam reinventar-se
para se tornarem “sociais”. Os ERPs devem inte-
grar-se às plataformas sociais. Social passa a ser o
modelo de interface predominante.
Este novo contexto possui algumas caracterís-
ticas próprias:
a) A velocidade de inovação dos aplicativos mó-
veis extrapola a capacidade de qualquer vendedor
de software de atender às demandas. É necessário
criar um mecanismo que permite aos usuários desen-
volverem seus aplicativos e os conectarem ao ERP.
b) A computação em nuvem permite que o ERP
possa operar fora da própria empresa e com isso
acaba se tornando mais flexível, moldando-se mais
facilmente às variações de demanda do workload.
c) O conceito de Social Business faz com que
as redes de conexão entre funcionários e clientes
se espalhem além dos limites da empresa, criando
um novo cenário, mais abrangente. Afinal, este ce-
nário já estava descrito por Nicholas Negroponte
em seu livro “Being Digital” de 1995, quando disse
Agora você tem o controle sobre
o desempenho do seu negócio
sempre à sua mão.
Solução completa hospedada
em nuvem (Cloud Computing)
SOFTWARE
Linux Magazine #102 | Maio de 2012
“computing is not about computers anymore. It is
about living”.
A minha tese (pessoal) é que os ERPs se trans-
formarão, deixando de ser um aplicativo imenso e
monolítico com tudo integrado para se tornarem
uma plataforma acessível por meios de APIs. Conti-
nua sendo o coração dos processos, mas está aberto
à criação de novos recursos e aplicativos. Passa a
ser um conjunto federado de módulos, integrados
por uma arquitetura SOA. Na concepção de Cloud,
podemos pensar em um modelo PaaS, onde a base
são os módulos com os recursos essenciais e os adi-
tivos escritos pelos usuários e seu ecossistema. Um
modelo similar ao adotado pelo force.com.
Para os atuais fornecedores o modelo de Cloud
altera de forma radical seu modelo de negócios,
baseado em vendas de licença e altos custos de
manutenção. Não é simples transformar modelos
de negócio, mas é uma questão de sobrevivência.
Pela teoria de Darwin, não são os maiores e mais
fortes, mas os mais adaptáveis que sobrevivem.
Veremos... ■
Cezar Taurion (ctaurion@br.ibm.com) é diretor de novas tecnologias
aplicadas da IBM Brasil e editor do primeiro blog da América Latina do
Portal de Tecnologia da IBM developerWorks, em https://www.ibm.com/
developerworks/mydeveloperworks/blogs/ctaurion/.
Saiba mais em:
www.vectory.com.br
+55 11 3104 6652
O Intalio|bpms
| é uma plataforma completa, inovadora e de
código aberto para gerenciamento e automação de processos
de negócios. Com mais de 1 milhão de downloads, o
Intalio|bpms é a única plataforma que segue 100% dos padrões
e boas práticas de BPM, sendo referência no mercado com
adoção em mais de 2.000 empresas ao redor do mundo, nas
quais otimiza recursos e maximiza resultados. 27
 Coluna do Gilberto
CORPORATE
Prioridades
Chegou o momento da TI priorizar as demandas do CMO (Chief Marketing
Officer) e implementar sistemas de marketing, embora muitas empresas ainda
não tenham percebido isso.
por Gilberto Magalhães
É hora do CIO priorizar as demandas do C.M.O. Tal afir-
mação fundamenta-se com as mudanças nos mercados de
atuação das empresas, fruto da conquista de poder pelo
consumidor final, alavancada pelas tecnologias de colabo-
ração e de mobilidade.
A Internet sem dúvida revolucionou o relaciona-
mento entre empresas e clientes, sendo num primeiro
momento um repositório de conteúdo institucional e
de produtos/serviços, evoluindo para um canal transa-
cional. Logo surgiram novas regras de marketing que
permitiram trabalhar o marketing considerando não só
as oportunidades de atingir um maior número de clien-
tes potenciais como também os desafios da comparação
direta com os concorrentes por meio de ferramentas de
busca e sites comparativos de produtos/serviços.
A receita do eCommerce começou de forma tímida,
sobretudo por questões culturais, aquém das expectati-
vas de que tudo seria virtual, mas a cada ano esse valor
cresce significativamente, e hoje tem contribuição re-
levante para os negócios.
Com a explosão do uso de dispositivos móveis e das intera-
ções via redes sociais, a influência do consumidor está ainda
mais fortalecida perante o fornecedor de produtos/serviços.
Através do email uma pessoa consegue se comunicar
com um destinatário ou uma lista de distribuição; um
post numa rede social pode atingir milhares de pessoas.
Estima-se que 25% dos resultados de pesquisa na web so-
bre as Top 20 marcas são links gerados pelos internautas.
É natural concluir que empresas bem sucedidas se-
rão aquelas com capacidade de monitorar em tempo
real as opiniões de seus clientes e do mercado para agir
rapidamente adaptando seus produtos às necessidades
e desejos dos consumidores, além de ter um posicio-
namento adequado para lidar com questões negativas
que porventura possam trazer danos às suas marcas.
A análise da experiência do cliente passou a ser contex-
tual e em tempo real. A qualquer momento seu cliente
28
pode abordar sua empresa nas redes sociais. Os cenários
de promoção, venda e assistência pós-venda são defini-
dos a cada instante. Através das informações de geoloca-
lização oriundas do celular de um cliente participante
de um programa de fidelidade, a empresa oferece um
desconto relâmpago para aquisição de produtos da loja
mais próxima da rede. É o marketing contextual e 1:1.
As redes sociais também revolucionaram a segmen-
tação de mercado. Usuários de redes geram gráficos
sociais contendo valiosas informações sobre o que eles
gostam, o poder de consumo e de influência nos seus
amigos e seguidores. Ferramentas de busca que consi-
deram gráficos sociais geram resultados diferentes para
cada usuário. Isso muda o foco do marketing voltado
para essas ferramentas que passa a considerar uma va-
riedade de perfils de cliente em micromercados.
Como usuários de dispositivos móveis e de redes so-
ciais, tanto o CMO quanto o CIO conseguem entender
os impactos dessas tecnologias disruptivas. Juntos, eles
precisam conhecer as novas soluções tecnológicas que
irão ajudar suas empresas a aproveitarem oportunidades
e mitigarem riscos oriundos da evolução tecnológica e
do poder de atuação dos clientes.
Só para citar alguns assuntos de interesse comum temos:
CRM no modelo SaaS; estratégia para o canal de mobili-
dade, que inclui dispositvos e aplicativos móveis, gestão e
segurança do canal de mobilidade, integração com sistemas
de retaguarda, análise preditiva do comportamento dos
usuários, experiência de navegação; integração das infor-
mações dos dispositivos móveis e das redes com processos
de negócios. Enfim, tudo indica que o CIO e o CMO vão
trabalhar em equipe durante muitas horas! ■
Gilberto Magalhães é gerente de marketing da IBM Brasil e possui 23
anos de carreira com atuações nas áreas técnica, vendas, desenvolvi-
mento de negócios e canais em empresas de software e serviços como:
IBM, Microsoft, Sterling Commerce, Adquira, entre outras. é formado em
Engenharia Eletrônica pela Universidade Federal do Rio de Janeiro com
Mestrado em Engenharia Elétrica pela UFRJ e especialização em Busi-
ness pela Universidade de Berkeley.
www.linuxmagazine.com.br
Linux Magazine #102 | Maio de 2013 29
 ➧ Komputer promove workshop
CORPORATE

gratuito de gestão de projetos

Gestão de projetos é um tema atual e discutido nos de projetos e única distribuidora oficial de materiais
mais diversos segmentos do mercado. Pensando nisso, Rita Mulcahy no Brasil).
a Komputer, consultoria especializada em SUSE Li- Além disso, é certificado como PMP (Project Ma-
nux e centro de treinamento em TI, está oferecendo nagement Professional) desde dezembro de 2012,
um workshop gratuito a esse respeito. CAPM (Certified Associate in Project Management)
desde outubro de 2008, ITIL (2009), ISO20k (2009)
Agenda do workshop e COBIT (2011). É pós-graduado em gestão de pro-
- Atual momento da gestão de projetos jetos pela BSP (Business School São Paulo), possui
- Panorama mundial extensão em gestão de projetos pela ESPM (Escola
- Benefícios da gestão de projetos Superior em Propaganda e Marketing) e é formado
- O que é um projeto? em administração de empresas pela UNIP.
- O que é gerenciamento de projetos?
- O que é PMBoK? Quando
- O PMI – Project Management Institute Dia 19/06/2013, às 19:00 horas
- As certificações do PMI
- Gestão de portfólios Onde
- Gestão de programas Komputer Linux S.A.
- Gestão de projetos X gestão de operações Avenida do Café, 238 - São Paulo/SP (Próximo ao
- Papel do gerente de projetos metrô Conceição)
- Fatores ambientais Confirmações deverão ser enviadas por e-mail
- Ciclo de vida de projetos para gisele@komputer.com.br.
- Partes interessadas As vagas para o workshop são limitadas!
- Aplicações práticas da gestão de projetos
- Treinamentos
- Dúvidas
- Encerramento

Palestrante
Thiago Palmeira é PMP, CAPM e trabalha atualmente
como consultor e palestrante da Young|PM Consul-
ting. Foi Gerente de Projetos na Asyst International +
Rhealeza, Siemens IT Solutions, e Siemens Enterprise
Communications, gerenciando projetos em telecomu-
nicações e TI para grande clientes como PRODESP,
Saint-Gobain, Pepsico, Metalfrio, Rayovac e Cosan.
É instrutor de cursos preparatórios para as certifica-
ções CAPM, COBIT, ITIL e ISO20k, e instrutor de
gestão de projetos para cursos preparatórios para cer-
tificação CAPM na Projectlab (referência em gestão

Para notícias sempre atualizadas e com a opinião de quem vive o mercado do Linux e do Software Livre, acesse nosso site:
www.linuxmagazine.com.br

30 www.linuxmagazine.com.br
HP e Google vão entregar
solução para PME
entrar na nuvem
A HP apresentou a primeira fase do HP SMB IT in a
Box – uma solução de tecnologia “one-stop-shop” para
clientes de pequenas e médias empresas (PMEs). O
anúncio marca a entrada da companhia no programa
do Google para parceiros.
A solução anunciada utiliza hardware da HP, incluin-
do PCs e impressoras, com Google Apps for Business,
ferramentas de colaboração e comunicação na nuvem.
Mais de cinco milhões de empresas atualmente usam
Google Apps for Business, que inclui Gmail, IM, Ca-
lendar, Drive e muito mais.
Com o software de gerenciamento da HP e pré-
configuração mínima, o HP SMB IT in a Box simplifica
o ambiente de TI dos clientes, reduz seus custos
operacionais e requisitos de infraestrutura enquanto
aprimora os fluxos de trabalho e a produtividade.
Essa iniciativa representa a mais recente colabo-
ração da HP com a Google. A HP já oferece diver-
sos produtos com base nos sistemas operacionais
Android e Chrome da Google, incluindo o Slate-
Book x2, Slate e o Chromebook.
O HP SMB IT in a Box combina produtos como
PCs e impressoras da fabricante com solução de ge-
renciamento, administração e suporte ao cliente da
empresa com as ferramentas de colaboração e a segu-
rança do Google Apps.
A solução continuará a se expandir para englobar
todas as tecnologias que as PMEs precisam para
vencer no mercado. Eventualmente, a solução in-
cluirá plataformas integradas para revendedores,
administradores de TI e usuários finais, permitin-
do fácil acesso a toda a solução, incluindo Google
Apps for Business.
Espera-se que a oferta inicial esteja disponível
para determinados revendedores nos Estados Unidos
em julho, seguida por uma maior disponibilidade
em todo o mundo até o final de 2013.
Ex-executivos da HTC criam
nova marca de smartphones
Michael Coombes, ex-chefe de vendas da HTC,
e James Atkins, ex-chefe de marketing da mesma
empresa, anunciaram recentemente o lançamen-
to de sua nova empresa: a Kazam, marca própria
de smartphones.
Coombes será o CEO da nova companhia, enquan-
to Atkins continuará responsável pelo marketing. O
Linux Magazine #102 | Maio de 2013
foco da empresa será disseminar smartphones para o
mercado europeu.
Ambos executivos saíram da HTC quando uma série
de funcionários-chave foram demitidos.
Uma das estratégias da companhia para se dife-
renciar é oferecer suporte aos aparelhos por bastante
tempo após as compras. Não há muitos detalhes so-
bre como serão os smartphones nem sobre quando
eles serão lançados, mas espera-se que o conheci-
mento adquirido pelos executivos provenientes da
agora concorrente, seja primordial para que a nova
empresa deslanche rapidamente.
“A estrutura dinâmica da Kazam e o foco em mer-
cados locais significa que podemos reagir rapidamente
para as evolutivas e divergentes necessidades dos con-
sumidores”, disse Coombes.
Telebras expande rede
para melhorar ambiente
dos provedores
A Telebras está em uma fase de expansão de sua
rede de telecomunicações. Segundo o gerente
comercial da companhia, Luiz Nelson Vergueiro,
a estatal quer a popularização da banda larga
com o PNBL e também ampliar as parcerias com
os provedores. Para Luiz, o Brasil caminhou em
outro sentido em comparação com o mercado
mundial onde as grandes companhias absorveram
os pequenos provedores.
“Temos hoje um número não oficial de aproxi-
madamente 8 mil provedores, sendo que desses,
temos apenas 3816 licenciados pela Anatel. Com
a diminuição do custo da licença de R$9 mil para
R$400 reais a própria Anatel está se estruturando
para receber uma enxurrada de pedidos. A estima-
tiva é que até o final de 2013, cerca de 7 mil licen-
ças estarão na base da Anatel, que não tem espaço
para todo mundo”, afirmou.
O executivo informou ainda que a Telebras irá
descentralizar o atendimento da empresa. Para isso
foi realizado um concurso público no sentido de
preencher vagas para as unidades regionais que
serão implantadas. “Até o final de 2013 teremos 4 ou
5 unidades regionais para atender o mercado. São
Paulo, Belém, Salvador, Rio de Janeiro e Fortaleza
vão ser algumas das cidades que terão um escritório
da empresa”, disse. ■
31
32 www.linuxmagazine.com.br
 qualidade

Linux Magazine #102 | Maio de 2013 33

 Samba 4
Vai dar Samba
CAPA
Muito aguardada, a nova versão do Samba traz aprimoramentos e melhorias
significativamente superiores a qualquer um de seus equivalentes comerciais.
por Flávia Jobstraibizer
M
uita espera e expectativa cercaram o lan-
çamento da nova versão do Samba, que
havia sofrido seu último salto de versão
em 2003. A popular plataforma de interoperabili-
dade Samba é utilizada em milhares de servidores
no mundo todo.
A demora para a atualização de versão não signi-
fica que o sistema estava com seu desenvolvimento
paralisado. Pelo contrário, a ferramenta esteve em
constante desenvolvimento, recebendo correções,
melhorias e extensões, até que chegou o momento
– de acordo com a própria equipe que mantém o
desenvolvimento do produto – de fechar um marco
de desenvolvimento e lançar a nova versão.
Produtos como o Samba são imprescindíveis nos
dias atuais, onde diariamente somos obrigados a
conviver harmoniosamente com os mais diferen-
tes tipos de sistemas operacionais em uma mesma
rede. Manter a compatibilidade entre arquivos,
sistemas e serviços em redes heterogêneas deixou
de ser um esforço hercúleo desde que o Samba foi
introduzido nas infraestruturas. Vale lembrar ain-
da que a migração da versão anterior para a nova
versão é tão simplificada que gerou muitos elogios
da comunidade. Não foram encontrados erros de
qualquer tipo na maioria dos ambientes migrados.
Ponto positivo para a equipe de desenvolvimento!
34
Uma das melhorias mais aguardadas da nova versão
do Samba, é a alternativa (gratuita) para controlar
um domínio Active Directory, eliminando assim a
necessidade de um servidor Windows. E pasmem,
isso foi conseguido (e testado exaustivamente) pela
própria Microsoft. Outras novidades são o servidor
de autenticação Kerberos integrado, servidor seguro
de Dynamic DNS e uma nova infraestrutura RPC.
Outras inúmeras melhorias e aprimoramentos são
abordados nesta edição da Linux Magazine, com
um completo artigo sobre tudo o que você pode
esperar da nova versão.
Seguindo a mesma linha de novidades, não deixe
de ler o artigo que aborda o Samba como controla-
dor de domínios, um dos mais usados recursos da
ferramenta. E finalizando esta edição com chave de
ouro, aprenda como integrar o Samba 4 ao Univention
Corporate Server (UCS) com o appliance SerNet.
Esta edição está tão imperdível quanto a nova
versão do Samba! Aproveite! ■
Matérias de capa
O que há de novo no Samba 4 34
Samba para domínios 40
Appliances SerNet para o Samba 4 46
www.linuxmagazine.com.br

Samba 4
O que há de novo
no Samba 4
Em dezembro de 2012, o mundo do software livre recebeu o primeiro
e muito aguardado lançamento da série Samba 4.x.
por Adam Williams Tauno
O
Samba 4 está em desenvolvi-
mento há 10 anos. Durante
esse tempo, a série Samba
3.x também passou por inúmeros
lançamentos e avanços. Este desen-
volvimento paralelo levou a uma
confusão sobre a natureza do Samba
4, e algumas distribuições liberaram
pacotes samba3 e samba4 que podem
ser instalados em paralelo, com ní-
veis variados de sucesso.
O Samba 4.x [1] é uma substituição
e atualização completa para o Samba
3. Sem dúvida, ele será utilizado em
paralelo com as instalações Samba
3.x existentes por algum tempo, mas
não por conta de qualquer deficiência
com o Samba 4. Em quase todos os
casos, o Samba 4 pode ser um substi-
tuto para versões mantidas do Samba
3.x e continuará a funcionar e prestar
os mesmos serviços. O Samba 4 não
é o Samba Active Directory Domain
Controller (Controlador de Domí-
nio do Diretório Ativo do Samba);
ao invés disso, é uma nova versão do
Samba que fornece serviços novos e
melhorados. Portanto, vamos nos re-
ferir à versão atual do Samba 4.x no
decorrer deste artigo simplesmente
como “Samba”. Números de versão
indicam apenas uma versão do Samba
que não seja a versão atual.
Parte dessa confusão de versão
surge a partir do longo tempo de de-
senvolvimento necessário para trazer
Linux Magazine #102 | Maio de 2013
à tona a nova versão. Várias direções
e ênfases foram tomadas ao longo
do projeto, incluindo até mesmo
rumores de um fork. No entanto, o
projeto estabeleceu-se com sucesso
em uma direção e um método para
integrar abordagens divergentes aos
muitos problemas técnicos que pre-
cisam ser resolvidos.
No entendimento da estrutura
atual do software e dos rumos que
o projeto seguiu, é vital tomar como
referência somente o material atual.
O uso de documentação mais anti-
ga ou de lista de arquivos de email,
especialmente aqueles que fazem
referência ao Samba4 “test” e versões
“alpha”, é fortemente desencorajada.
Mensagens antigas de email e posts
em blogs servirão apenas para enganar
o usuário. Diretivas de configuração
e sintaxes de comando mudaram sig-
nificativamente durante a evolução
do lançamento, então o usuário deve
esperar que a documentação mais
antiga esteja equivocada.
A habilidade de participar ple-
namente de um domínio do Active
Directory (AD) é o diferencial e é
imediatamente o que muitas pes-
soas desejam falar no que diz res-
peito ao novo Samba; no entanto, a
integração com o AD não é a única
melhoria importante que a última
versão do Samba traz para os usuá-
rios. Comentaremos sobre o recur-
Samba 4 | CAPA
CAPA
so AD em um momento, mas antes
mencionaremos algumas outras mu-
danças importantes.
Uma delas diz respeito ao projeto
Samba em si e ao fluxo de trabalho
utilizado para o desenvolvimento do
Samba. O novo processo de commit
da equipe do Samba requer que
cada commit seja revisto por dois
desenvolvedores; uma vez realizado
o commit, todo o pacote de testes é
executado – em cada um dos commits.
Este processo garante uma elevada
qualidade do código e deve coletar
quase todas as regressões antes que seja
lançada uma nova versão. Quase todos
os commits também são monitorados
em relação às entradas no Bugzilla,
que incluem testes de regressão.
À primeira vista
Depois de instalar o Samba, o admi-
nistrador verá algumas mudanças.
Para membros de domínio tradicio-
nais, tais como servidores de arquivos,
smbd, nmbd e binários winbind esperados
estão presentes e devem continuar a
ser utilizados para esses aplicativos.
Para os servidores que prestam
serviços de controle de domínio, o
Samba executa um único samba biná-
rio. Como o samba não suporta total-
mente ser um membro do domínio,
os serviços apropriados, dependendo
da função do servidor, devem ser ini-
ciados. Uma nova ferramenta samba-
35
 CAPA | Samba 4
-tool é o principal meio para contro-
lar um servidor Samba de prestação
de serviços de domínio. A sintaxe é
muito semelhante à utilizada pelo
comando de rede.
As ferramentas tradicionais de
banco de dados triviais (TDB), bem
como smbcacls, smbclient, rpclient e
outros binários, ainda são fornecidas
conforme o esperado, mas a instala-
ção do Samba 3.x e do Samba 4.x em
paralelo em um único host pode ser
perigosa, como compilar o Samba
em um host que já possui o Samba
3 instalado. Se fizer uma instalação
paralela, esteja certo de assistir o PATH
para garantir que sejam utilizadas as
versões previstas das ferramentas.
O uso mais básico do Samba é
simplesmente como um servidor
de arquivos, no qual se destaca o
Samba 4. Os internos do servidor
de arquivos agora são altamente
assíncronos, proporcionando maior
rendimento e melhor utilização dos
recursos do servidor. Outra melho-
ria de desempenho relacionada ao
servidor de arquivos é o suporte aos
protocolos SMB2.1 e SMB3. Estas
versões de SMB de nível superior
são suportadas em graus crescen-
tes no Microsoft Windows Vista e
clientes maiores. Níveis mais altos
do protocolo SMB fornecem crip-
tografia, suporte a link simbólico,
cópia do lado do servidor e recursos
HighAvailability, como multipath
e failover. Um servidor de arquivos
SMB3 deve superar um servidor de
arquivos SMB/CIFS de nível inferior.
Antes de passar para o suporte do
Active Directory, note que o servidor
deve estar usando um sistema de ar-
quivos moderno, que possua um bom
suporte para atributos estendidos. Se
estiver usando um sistema de arqui-
vos ext3 ou ext4 no Linux, deverá
garantir que o sistema de arquivos
esteja montado com a opção user_
xattr,acl,barrier=1. Se um sistema
de arquivos ext3/4 é montado sem
o barrier=1, as bases de dados TDB
36
utilizadas pelo Samba não podem
ser garantidas como consistentes,
no caso de uma quebra do sistema.
Um banco de dados TDB que-
brado pode significar um domínio
Active Directory corrompido. Se o
usuário estiver preso em um sistema
sem um sistema de arquivos moder-
no, a wiki do Samba [2] contempla
informações sobre uma solução al-
ternativa, mas a atualização do host
é a opção preferível.
Active Directory
O suporte ao Active Directory fun-
ciona. A criação de um domínio do
Active Directory pode ser feita em
questão de segundos com o uso de
um samba-tool. Esta forma interativa
de fornecer um domínio requer do
usuário sua zona DNS, realm name e o
modo de DNS preferencial (listagem
1). Agora, quando iniciar o Samba, o
usuário terá o Kerberos, DNS, LDAP
e Active Directory funcionando.
Embora este processo pareça sim-
ples, a realidade é que o suporte ao
Active Directory é tão complicado
quanto o próprio Active Directory.
Antes de criar um novo domínio Ac-
tive Directory vinculado ao Samba,
o administrador realmente precisa
aprender as noções básicas do Active
Directory – um tópico muito além
do escopo deste artigo – e a integra-
ção do sistema operacional do tipo
Unix subjacente aos servidores de
domínio do Active Directory forne-
ce ainda mais complexidade. Mais
importante ainda, os administradores
precisam entender o seguinte:
➧ Um Active Directory Domain (Do-
mínio do Active Directory) é um do-
mínio DNS. O domínio de segurança
e DNS são indissociáveis de uma ma-
neira que não era válida para domínios
Windows NT 4.0 (NT4). Alterar ou
criar um domínio do Active Directory
quase certamente significa alterar a
arquitetura de DNS existente.
➧ Um domínio do Active Directory
é um domínio Kerberos. Uma exi-
gência do Kerberos é a sincronização
precisa do cronômetro. Diferenças
entre servidores ou estações de traba-
lho de mais do que alguns minutos
do cronômetro de um controlador
de domínio apresentarão serviços in-
disponíveis a partir deste servidor ou
estação de trabalho. Para servidores,
isso também significa que as biblio-
tecas e utilitários que trabalham em
Kerberos devem estar disponíveis e
estejam configurados corretamente.
O problema mais comum com as ver-
sões Kerberos é que os controladores
de domínio do Active Directory po-
dem exigir hashes de criptografia que
não estejam disponíveis aos clientes
Kerberos mais antigos.
➧ O Active Directory é um serviço
de diretório LDAP com esquema e
modelo de segurança próprio. O Acti-
ve Directory é o Active Directory, in-
dependentemente do usuário utilizar
Listagem 1: Criação de um novo
domínio Active Directory
01 sudo ./bin/samba-tool domain
provision
02 Realm [EXAMPLE.COM]:
03 Domain [EXAMPLE]:
04 Server Role (dc, member,
standalone) [dc]:
05 DNS backend (SAMBA_INTERNAL,
BIND9_FLATFILE, BIND9_DLZ,
NONE) 01 [SAMBA_INTERNAL]:
06 DNS forwarder IP address (write
07 'none' to disable forwarding)
08 [192.168.1.46]:
09 Administrator password:
10 Retype password:
11 Looking up IPv4 addresses
12 ....
13 Fixing provision GUIDs
14 A K erberos configuration
suitable 01for Samba 4 has
been generated at
15 /opt/s4/private/krb5.conf
16 Once the above files are
installed, your Samba4
server will 01 be ready to use
17 Server Role: active directory
18 domain controller
19 Hostname: workstation
20 NetBIOS Domain: EXAMPLE
21 DNS Domain: EXAMPLE.COM
22 DOMAIN SID: S-1-5-21-1405516098
-410140136852-3456372168
www.linuxmagazine.com.br

um controlador de domínio Samba
(DC), Windows Server DC, ou uma
mistura de ambos. Dúvidas da lista
de discussão Samba em relação ao
uso do Samba 4 são frequentemente
apenas sobre o Active Directory. Po-
demos quebrar um domínio Samba
AD da mesma maneira que é possí-
vel quebrar qualquer domínio AD.
A wiki do Samba oferece boas ins-
truções passo a passo sobre a criação
de um AD DC [3]; devemos usá-lo
primordialmente como documen-
tação. Para o restante deste artigo,
nos concentraremos em algumas
das várias dicas e informações não
óbvias presentes na wiki.
Integração AD
Para proporcionar plena integração
do Active Directory, o próprio Samba
deve integrar-se estreitamente com
o DNS, fornecer controladores de
serviços no domínio Kerberos e um
diretório de serviço LDAP consistente
com o esperado por um cliente do
Active Directory (figura 1). Com o
suporte do domínio NT4 anterior,
o Samba foi capaz de “terceirizar”
muitas dessas funções para bases de
código existentes que forneceram estes
serviços, tais como BIND, OpenL-
DAP, e MIT ou Heimdal Kerberos.
Com exceção do BIND para DNS,
a possibilidade de utilizar bases de
código de terceiros não é possível
para esta finalidade.
Figura 1 O Active Directory é um con-
junto integrado de serviços.
Linux Magazine #102 | Maio de 2013
Uma prática comum com domínios
Samba NT4 era usar o backend ldap-
sam como host do gerente de conta do
domínio de segurança (SAM) em um
adaptador de fonte de dados OpenL-
DAP (DSA). Essa possibilidade também
já não existe mais. O serviço LDAP
utilizado no Samba é agora o serviço
LDAP do Samba. Sites que se valem do
OpenLDAP para migrar para o Active
Directory devem migrar pelo menos o
SAM para o servidor LDAP incorpora-
do ao Samba. O mesmo é verdade se
o site utilizar um MIT standalone ou
centro de distribuição de chaves Hei-
mdal (KDC) – a função KDC deve ser
migrada para o host Samba. Isso não é
diferente do que se um controlador de
domínio do Active Directory fosse um
servidor Microsoft Windows.
Parece que se o Samba assumir
todas estas funções é algo muito
contrário ao conceito de uma pilha
aberta ou suporte a padrões; e é, e
o projeto reconhece isso. A perda
da capacidade de usar um DSA de
terceiros, como o OpenLDAP, é la-
mentável, mas fornecer um modelo
de domínio confiável e consistente
forjado de componentes distintos
provou ser muito difícil. Um dos
principais objetivos desta versão do
Samba é trabalhar sozinho, o que
significa que o Samba deve assumir
todos esses papéis.
A principal vantagem de um do-
mínio Active Directory é que todos
os componentes (por exemplo, DNS,
LDAP, KDC) são integrados e po-
dem ser ampliados ao longo de vá-
rios controladores de domínio. Com
a pena de empurrar as soluções de
transição para os serviços de rede,
o Samba agora fornece as mesmas
vantagens: integração bem amarrada
e um esquema bem acordado.
Um controlador de domínio
Samba AD pode fazer par com outros
controladores de domínio do Samba
AD ou com outros controladores de
domínio Windows AD. Podemos criar
um servidor Samba e promovê-lo a
Samba 4 | CAPA
um DC em seu domínio existente.
Estes controladores de domínio irão
replicar as informações de domínio,
oferecendo o mesmo nível de failover
que um domínio Windows AD DC
completo ofereceria... ou quase. Na
v4.0.3, alguns pequenos problemas
foram encontrados:
➧ 1. Um controlador de domínio
Samba AD não replica completa-
mente quando pareado com um
controlador de domínio Windows
AD somente leitura (RODC).
➧ 2. Informações de DNS não repli-
cam de forma confiável entre contro-
ladores de domínio ao usar o servidor
de DNS incorporado ao Samba.
➧ 3. O volume sysvol, que armazena
as políticas de GPO, não replica
automaticamente.
➧ 4. Delegação de privilégio e ACLs
com objetos LDAP passam por dificul-
dades no início, mas esses problemas
foram resolvidos na versão 4.0.3.
➧ 5. Na nossa experiência em um
Samba AD DC, um script especifi-
cado usando o parâmetro wins hook,
que deve funcionar da mesma forma
como nas versões anteriores, não pa-
rece ser invocado.
➧ 6. Os clientes do Windows re-
clamam que não podem desativar o
cache offline no compartilhamento
de perfil. (Esta é uma mensagem
não crítica e não afeta a operação).
As questões 2 e 3 são as mais sig-
nificativas e precisam ser abordadas
quando um controlador de domínio
Samba AD é utilizado.
Migração para o Samba
Se o usuário já possui um domínio
do Active Directory usando servidores
Microsoft Windows e eles gerencia-
rem o DNS, então todo o problema
de DNS pode ser contornado, a
menos que a intenção seja migrar
totalmente para o Samba. Alternati-
vamente, podemos usar a integração
BIND DLZ, que permite ao Samba
DC manter um domínio DNS no
BIND e fornece ao administrador
37
 CAPA | Samba 4
a mesma capacidade de realizar a
notificação de atualização baseada
em BIND, transferência de zona,
e assim por diante. A desvantagem
da integração BIND DLZ é que ela
acrescenta outro componente para
a pilha, embora bastante familiar
para a maioria dos administradores.
Ao criar ou migrar um domínio
NT4 existente para o Samba, o ser-
vidor DNS embutido será usado por
padrão. Este servidor DNS simples é
adequado para pequenos sites, mas
carece do poder e flexibilidade do
BIND. Para alterar o padrão de ba-
ckend para BIND ao criar ou migrar
um domínio, especifique a opção
–dns-backend=BIND9_DLZ.
Se um domínio é inicialmente
provisionado com o servidor DNS
interno, posteriormente ele pode ser
migrado para o BIND DLZ usando
o script samba_upgradedns; então, ape-
nas configure o módulo BIND DLZ.
Com qualquer backend DNS, o
domínio DNS do domínio do Active
Directory pode ser gerenciado com
as ferramentas de gerenciamento de
domínio do Windows. Na verdade,
este é o caso com todos os recursos
do Samba: o usuário pode gerenciar
o servidor Samba da mesma maneira
que pode gerenciar um servidor Mi-
crosoft Windows através do Micro-
soft Management Console (MMC).
Administradores familiarizados com
o uso do MMC não chegam a notar
que estão gerenciando uma platafor-
ma que não é da Microsoft.
Se o usuário migrar ou fornecer
seu domínio inicialmente usando o
servidor de DNS embarcado – que
é o caminho mais simples – e de-
pois decidir que precisa de flexibili-
dade adicional proporcionada pela
integração BIND, poderá migrar o
domínio DNS usando o script sam-
ba_upgradedns fornecido.
A principal ressalva da integração
BIND é que o usuário precisa de uma
versão atualizada do BIND. Embora
seja possível obter o recurso do BIND
38
9.7.x, uma versão 9.8.x ou superior é
altamente recomendável. A função de
atualização segura e suporte ao Ker-
beros foi envolvendo partes do BIND
rapidamente; mantê-la atualizada
pode ajudar a evitar dores de cabeça.
Uma abordagem recomendada
para o DNS é usar um domínio ou
subdomínio separado para a zona
DNS do Active Directory. Isto facilita
a migração quando o Active Directory
for adicionado a uma rede existente.
Se o domínio atual é example.com e
os servidores DNS determinarem
os nomes neste domínio, podemos
criar o novo domínio AD como ad.
examplo.com. Em seguida, configure
os servidores DNS existentes para
delegar a resolução do domínio aos
servidores DC DNS.
Em um Samba DC que é um
servidor DNS, podemos adicionar
[global]
...
dns forwarder = 192.168.1.46
à seção global do arquivo smb.conf. Se
192.168.1.46 for o servidor DNS exis-
tente, o DC irá encaminhar todas as
solicitações para outras várias zonas
que não a sua própria para o servidor
DNS existente. Com a delegação no
DNS existente e o encaminhamento
no AD DNS, o usuário será capaz de
operar uma transição suave enquanto
implementa a AD. Se começar com
o DNS interno fornecido pelo Sam-
ba, quando tudo estiver funcionando,
o usuário poderá então considerar a
migração para o backend DNS do
BIND DLZ. É muito mais fácil iso-
lar problemas se implementarmos o
domínio passo a passo.
A questão da replicação do sysvol
é mais tediosa. Na replicação sysvol
estão os arquivos que representam os
objetos de domínio da Group Policy
(Política de Grupo), bem como todos
os scripts de login. Este volume com-
partilhado deve estar presente em todos
os DCs acessíveis aos clientes. Quan-
do as mudanças são feitas para acessar
scripts ou GPOs, esses arquivos devem
ser levados do DC de origem para to-
dos os outros DCs. Em um Samba
DC, essa replicação deve ser realizada
utilizando ferramentas como rsync e
csync. O arquivo de lista de email do
Samba contempla um script para esta
finalidade [4]. As ACLs aplicadas aos
arquivos no volume sysvol são funda-
mentais para o correto funcionamento
dos clientes. Se manualmente ou por
tentativa de replicação acabarmos com
ACLs incorretas, o samba-tool pode ser
usado para redefini-las para os valores
esperados:
samba-tool ntacl sysvolreset
Este comando também deve ser
usado quando o Samba for atualizado
de uma versão para outra. Felizmen-
te, a replicação do volume sysvol não
precisa ocorrer em tempo real. Com
ferramentas como o rsync ou csync, este
processo pode ser realizado de forma
eficiente como um trabalho agendado.
Uma vez que o domínio for configu-
rado e tanto o DNS como o Kerberos
tenham sido testados, podemos começar
a reunir as estações de trabalho para o
domínio. Se migrarmos para o domí-
nio do Active Directory a partir de um
domínio Samba NT, as estações de tra-
balho devem manter a participação no
domínio; elas vão passar a usar o Active
Directory automaticamente.
Upgrade do NT4
para o AD
A atualização é quase tão simples
quanto o provisionamento de um
novo domínio. A coisa mais im-
portante a saber sobre uma atua-
lização para o Active Directory é
que ela é sem retorno. Uma vez
que uma estação de trabalho que
tenha se unido a um domínio NT
encontrar um domínio AD com o
mesmo SID ou nome NetBIOS,
ela alterna para o modo Active
Directory e nunca mais voltará a
usar o DC modo NT.
www.linuxmagazine.com.br

Portanto, o usuário deve testar a
atualização do domínio com cuida-
do, isolado da rede de produção, ou
pode acabar comprometido com uma
instância de teste do DC. Clientes
da Microsoft com o Active Directory
habilitado, naturalmente, trabalham
desta forma e não é mandatório usar
um DC Samba AD.
Para realizar a atualização, pode-
mos usar o suporte de atualização de
domínio do samba-tool. A ferramenta
deve ter acesso a uma cópia do ar-
quivo smb.conf utilizado por um dos
DCs, bem como cópias dos arquivos
TDB. Estes arquivos podem ser trans-
feridos para o servidor de teste, por
exemplo, via rsync ou scp. Se o NT4
DC estiver usando ldapsam, o host de
teste também deve ter acesso à DSA,
conforme configurado no arquivo
smb.conf. O script de migração só lê
a partir do ldapsam, por isso nada no
NT4 SAM existente será modificado:
samba-tool domain classicupgrade
--dbdir=/tmp/x --use-xattrs=yes
--realm=EXAMPLE /tmp/x/smb.conf
A opção dbdir especifica a lo-
calização dos arquivos TDB do
controlador de domínio NT4, e
o realm especifica a zona de DNS
para o novo domínio AD e a loca-
lização de uma cópia do arquivo
smb.conf do NT4 DC.
Figura 2 Edição de DNS em um Samba DC via MMC.
Linux Magazine #102 | Maio de 2013
Se o NT4 SAM fornecido for co-
erente, o script de migração deve
migrar todos os usuários, grupos e
contas do computador. Ao migrar
de um ldapsam, o usuário provavel-
mente irá executar algumas incon-
sistências (por exemplo, nomes de
usuários duplicados, SIDs, ou grupos
não encontrados), que farão com
que a migração falhe; felizmente,
as mensagens de erro tendem a ser
auto-explicativas. Se estiver migrando
de um ldapsam que já existe há muito
tempo, este pode tornar-se aparente
pois o Samba precisa gerenciar todos
os serviços sozinho: o preguiçoso NT4
DC continuará a operar, apesar de
inúmeras inconsistências.
Suponha que todos os erros são
problemas legítimos com o NT4
SAM, resolva os problemas lá, e então
faça uma nova tentativa de migração
até que o processo seja concluído.
Uma vantagem real que o Samba
empresta aos sites que ainda usam
domínios NT4 é que ele fornece um
caminho de atualização para o Acti-
ve Directory. Todas as ferramentas
de migração de que estamos cientes
para migrar um domínio NT4 para
um domínio do Active Directory
não estão mais disponíveis para as
versões atuais do Windows Server;
os clientes atuais do Windows não
irão interoperar com um domínio
Samba 4 | CAPA
estilo NT4 sem algum registro de
hacking e, mesmo assim, não com-
pletamente. O Samba pode, pelo
menos, fornecer um caminho para
esses sites migrarem para o AD adi-
cionando Dcs Windows e rebaixando
o Samba DC, deixando um domínio
AD somente Windows, embora seja
esperado que os administradores des-
ses sites reconheçam os benefícios e a
flexibilidade do Samba DC e optem
por mantê-lo por perto.
Agora que o Samba AD está ins-
talado e funcionando, podemos
disparar o MMC em um cliente
Windows e começar a gerenciar o
domínio (figura 2). Alternativamen-
te, muitas operações comuns, como
adicionar um usuário ou entradas
de DNS, podem ser realizadas com
uma samba-tool (listagem 2).
Uma vez instalado e funcionando,
o Samba armazena as informações de
domínio em um conjunto de arquivos
LDB. O conteúdo do banco de dados
(SAM), pode ser modificado via samba-
-tool, LDAP ou com o ldbsearch do
Samba, ldbmodify, ldbdel, e outros co-
mandos correspondentes. Uma vez que
o domínio esteja instalado, poderemos
incluir informações adicionais sobre
Listagem 2: Adicionando um
usuário usando samba-tool
01samba-tool user add fbaggins
02--random-password
03--use-username-as-cn
04--surname="Baggins"
05--given-name="Frodo"
06--initials=S
07--mail-address=fbaggins@
example.com
08--company="Hobbiton Inc."
09--script-path=shire.bat
10--profile-path=\\\\mydc.
example.com\\profiles\\
fbaggins
11--home-drive=F
12--home-directory=\\\\
myfileserver.micore.us\\
fbaggins
13--job-title="Goes there and
back again"
39
 CAPA | Samba 4
os usuários, como números de telefo-
ne. Podemos gerar arquivos LDIF para
importar usando ferramentas LDAP
ou LDB ou diretamente via LDAP
usando qualquer vínculo Python que
suporte o Kerberos Generic Security
Services API (GSSAPI).
O Winbind e outros serviços nos
servidores membros do domínio (não
DCs) Samba 3 ou Samba 4 funcionam
da mesma forma como anteriormente.
Apenas lembre-se de executar smbd,
nmbd e windbind em servidores mem-
bros – e não o serviço samba unificado.
Marcação de tempo
Após estações de trabalho e servidores
de domínio ingressarem no domínio,
o usuário vai notar que o cronômetro
dispara. Ocasionalmente, poderá per-
der o acesso por conta das exigências de
sincronização de tempo do Kerberos,
portanto verifique se as configurações
do Samba e do NTP correspondem e
se ambas possuem acesso adequado
ao diretório especificado:
# Check the configuration of Samba
$ testparm --parameter-name=
"ntp signd socket directory"
/opt/s4/var/ntp
# Check configuration of NTP
$ cat /etc/ntp.conf
...
ntpsigndsocket /opt/s4/lib/ntp/
restrict default mssntp
# Change permissions of target
folder
$ chown ntp /opt/s4/lib/ntp
Os clientes de domínio da Microsoft
não irão sincronizar com o tempo de
serviço NTP padrão pois exigem que
cada um que tenha sido assinado por
Mais informações
[1] Samba: http://www.samba.org/
[2] Samba wiki: https://wiki.samba.org/index.php/Samba_4_OS_Requirements# File_System_Support/
[3] Como configurar o Samba como um controlador de domínio compatível com o Active
Directory: https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO/
[4] Replicação sysvol no Samba 4: https://lists.samba.org/archive/samba/2012-August/168907.html
40
um DC de confiança; portanto, deve-
mos instalar uma versão do servidor
NTP nos DCs que suporte a assinatura
de pacotes (ou seja, qualquer versão
do ntpd após v4.2.6, desde que compi-
lado com a flag --enable-ntp-signd).
A versão do NTP que acompanha o
RHEL6/CentOS6 e Ubuntu 11.04 é
muito antiga e não suporta assinatura.
Desde que o usuário possua uma
versão adequada do NTP instalado,
agora será preciso configurar o Samba
e o NTP para se comunicar uns com
os outros. Isso ocorre via socket de sis-
tema de arquivos. O Samba criará um
socket para que o NTP possa submeter
respostas temporizadas para serem as-
sinadas. O NTP, então, responderá ao
cliente com essas respostas assinadas.
O local padrão do socket criado
por Samba é <prefix>/var/ntp/, onde
<prefix> é o prefixo de instalação da
compilação ou pacote Samba. Alter-
nativamente, podemos especificar
o local usando a diretiva ntp signd
socket directory na seção global do
arquivo smb.conf. No arquivo ntp.
conf, ntpsigndsocket é usado para
indicar o mesmo diretório.
O aspecto mais confuso desta con-
figuração, tanto no Samba como no
NTP, é que essas diretivas de con-
figuração não indicam um arquivo,
e sim uma pasta onde um socket
de sistema de arquivos chamado so-
cket é criado e, em seguida, deverá
ser encontrado. Quando o usuário
reiniciar o Samba, deve visualizar
o socket no diretório especificado,
e o Samba escutando neste socket:
$ sudo ls -l /opt/s4/var/ntp/
socket
srwxrwxrwx 1 root root 0 Feb 12
14:42
/opt/s4/var/ntp/socket
$ sudo fuser -u /opt/s4/var/ntp/
socket
/opt/s4/var/ntp/socket: 1124(root)
A saída do utilitário fuser verifi-
ca que o socket criado automatica-
mente está aberto pelo processo 1124
(Samba). Em um cliente Windows,
é fundamental que o comando:
w32tm /resync /rediscover
seja concluído com êxito; devemos ver
a mensagem: “the command completed
successfully” (o comando foi concluí-
do com êxito). Se este comando não
completar, a assinatura de tempo não
será configurada, e o usuário estará em
risco de que o cronômetro dispare de-
sativando partes do domínio. Com a
sincronização de tempo, agora temos
um domínio Active Directory total-
mente funcional e estável instalado e
funcionando – cortesia do código GPL.
Conclusão
O Samba 4 faz mais do que apenas
fornecer serviços de rede melhorados.
O Samba 4 integra-se totalmente com
o Active Directory, e é possível migrar
um domínio do Active Directory para o
Samba 4 ou usar o Samba 4 para obter
um caminho de atualização confiável
do NT4 para o Active Directory. ■
Gostou do artigo?
Queremos ouvir sua a opinião. Fale
conosco em
cartas@linuxmagazine.com.br
ne.com br
Este artigo no nosso site:
e:
http://lnm.com.br/article/8572
rticle 572
www.linuxmagazine.com.br

Samba como controlador de domínio
Samba para domínios
Poupe dinheiro com o Samba como controlador de domínio em
um domínio legado estilo Windows NT4.
por Stefan Kania
S
e um usuário possuir um domí-
nio convencional estilo NT4,
em vez de um domínio do Ac-
tive Directory, o Samba poderá servir
como um controlador de domínio.
O servidor Samba pode assumir di-
ferentes papéis que o administrador
deve entender claramente: pode ser
configurado como um controlador
de domínio primário (PDC), um
controlador de domínio de backup
(BDC), ou um servidor de arquivos.
Ao planejar um ambiente Samba,
o backend passdb é crítico. Três tipos
de backends de banco de dados ar-
mazenam informações de usuário:
➧ O backend smbpasswd é um arquivo
de texto ASCII que contém todas as
informações do usuário. Este backend
não deve ser usado por muito tempo,
pois possui inúmeras desvantagens
(por exemplo, somente permissão de
escrita é possível simultaneamente).
➧ O backend tdbsam é o padrão após
a instalação do Samba e é certamente
suficiente se apenas um PDC estiver
configurado com mais de 250 usuários
Listagem 1: Configurações
PDC
[global]
workgroup = ADMINDOM
server string = \%h Samba
Admin-Magazin
netbios name = Admin-Magazin
domain master = yes
domain logons = yes
os level = 99
Linux Magazine #102 | Maio de 2013
para gerenciar. Como a replicação
para outro servidor não é tão fácil, a
implementação de um BDC também
é bastante complicada e incerta.
➧ O backend ldapsam não está sujeito
a limitações de tamanho, e é possível
configurar qualquer quantidade de
BDC. No entanto, é definitivamente
necessário existir uma infraestrutura
LDAP. Uma observação positiva é que
o backend é tão flexível que até mes-
mo os clientes Linux e OS X podem
lidar com autenticação centralizada.
Neste artigo, analisaremos o ba-
ckend tdbsam e explicaremos quais
mudanças são necessárias para execu-
tar um PDC e um BDC, juntamente
com um servidor LDAP.
Configurações PDC
Toda a configuração do servidor Sam-
ba reside no arquivo /etc/samba/smb.
conf. Para configurar o Samba como
um PDC, o usuário precisa das con-
figurações da listagem 1. Além desses
parâmetros, pode desejar introduzir
também as primeiras ações. O nome
NetBIOS do domínio Windows, que
é definido por workgroup = ADMINDOM é
um parâmetro importante.
O parâmetro server string = \%h
Samba Linux-Magazine gera um comen-
tário no ambiente de rede dos clien-
tes Windows. A variável %h assume o
nome NetBIOS do PDC, que a entrada
netbios name = Linux-Magazine define.
Se este parâmetro não for definido, o
Samba como controlador de domínio | CAPA
CAPA
hostname do sistema Linux é usado
como o nome NetBIOS. O parâme-
tro domain master = yes garante que o
servidor Samba atue como um PDC.
Se definirmos este valor como no, o
servidor Samba agiria como um BDC.
O parâmetro domain logons = yes
permite que os usuários façam o
login e deve ser definido para yes
tanto no PDC como no BDC. O
parâmetro os level = 99 define a
prioridade do servidor Samba ao
selecionar o navegador mestre no
domínio. Com um valor de 99, o
servidor Samba conquista o posto de
navegador mestre, atuando sempre
dessa forma. Depois de completar as
entradas no arquivo smb.conf, o usuá-
rio deve sempre examinar o arquivo
para erros de sintaxe. Para fazer isso,
Listagem 2: Verificação
de sintaxe
root@samba:~# testparm
Load smb config files from /
etc/samba/smb.conf
rli mit_max: rlimit_max (1024)
below minimum Windows
limit (16384)
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of
your service definitions
[global]
workgroup = ADMINDOM
netbios name = Linux-MAGAZINE
server string = \%h Samba
Linux-Magazine
domain logons = Yes
os level = 99
domain master = yes
41
 CAPA | Samba como controlador de domínio
execute o comando testparm como
mostrado na listagem 2.
O processo na listagem 2 mostra
todos os parâmetros, bem como quais-
quer erros de sintaxe. A mensagem
referente a rlimit_max:... indica que
o valor de 1024 é muito baixo e foi
substituído por algo maior. Embora
possamos simplesmente ignorar esta
mensagem, é possível também nos li-
vrarmos dela permanentemente [1]. A
saída do testparm mostra que o servidor
Samba assumiu a função do PDC.
Isto conclui a configuração básica
do PDC. A próxima etapa envolve a
criação de condições para a operação
como um controlador de domínio.
Além da opção de adicionar os parâ-
metros diretamente ao arquivo smb.
conf com um editor, o Samba também
inclui a ferramenta SWAT, baseada
na web. Se utilizarmos a ferramenta,
toda a configuração poderá ser feita
em uma interface online.
Se tivermos o pacote samba-doc
instalado, além do SWAT, a ajuda
estará disponível para cada parâ-
metro. O SWAT inclui seu pró-
prio servidor web, mas não pode
ser iniciado de forma autônoma.
O SWAT depende do xinetd para
iniciar, o que implica a necessida-
de de um arquivo de configuração
adequado armazenado no diretório
/etc/xinetd.d (listagem 3).
Para combinar com o ambiente pró-
prio ou para removê-lo da configuração,
o usuário precisa adaptar o parâmetro
only_from. Este parâmetro controla o
acesso ao SWAT. Depois de reiniciar o
xinetd, é possível acessar o SWAT em
http://IP-de-Samba-Server: 901. A figu-
ra 1 mostra a seção global do smb.conf.
Criação de grupos
No mundo Windows, certos grupos
são necessários para gerenciar um
domínio. A tabela 1 mostra uma visão
geral de todos os grupos existentes. Três
grupos devem ser criados. O grupo
Domain Computers (Computadores
do Domínio) não é estritamente neces-
42
Figura 1 Visualização dos parâmetros globais no SWAT.
sário, mas será preciso para gerenciar
contas de máquinas no Samba poste-
riormente. A informação importante
sobre grupos não é o nome, mas o
RID (identificador relativo).
O RID torna o grupo exclusivo no
domínio e está sempre anexado ao
SID do domínio para cada objeto.
O SID para um domínio pode ser
visto com o comando net getlo-
calsid. Os grupos Domain Admins
(Administradores do Domínio) e Do-
main Users (Usuários do Domínio)
são particularmente importantes,
porque são adicionados aos grupos
locais apropriados no cliente mais
tarde, quando um cliente for adicio-
nado ao domínio. O RID é utilizado
para esta associação.
As três primeiras linhas da tabela 1
são os grupos necessários para o do-
mínio. A segunda parte apresenta os
grupos internos, que são grupos locais
no sistema Windows que são válidos
apenas em um único sistema. Precisa-
mos criar esses grupos seja o servidor
Samba um membro de um domínio
do Windows ou do Active Directory.
Para criar estes grupos, é essencial
Listagem 3: Configuração
SWAT
service swat
{
port = 901
socket_type = stream
wait = no
only_from = 192.168.123.2
user = root
server = /usr/sbin/swat
log_on_failure += USERID
disable = no
Listagem 4: Mapeamentos
de grupo
root@samba:~# groupadd domadmins
root@samba:~# net groupmap add
ntgroup="Domainadmins" rid=512
unixgroup=domadmins type=d
Successfully added group
Domainadmins to the mapping db
as a domain group
root@samba:~# net groupmap list
verbose
Domainadmins
SID : S-1-5-21-2851015207-21920
45402-886076809-512
Unix gid : 1001
Unix group: domadmins
Group type: Domain Group
Comment : Domain Unix group
www.linuxmagazine.com.br

Listagem 5: Mapeamentos RID Exigido
exigidos 512 Sim
root@samba:~# net groupmap list 513 Sim
verbose
Domaincomputer 514 Sim
SID : S-1-5-21-2851015207-21920
45402-886076809-515 515 Não
Unix gid : 1004
Unix group: domcomputer 516 Não
Group type: Domain Group 517 Não
Comment : Domain Unix group
Domainadmins 518 Não
SID : S-1-5-21-2851015207-21920
45402-886076809-512 519 Não
Unix gid : 1001
Unix group: domadmins 520 Não
Group type: Domain Group
Comment : Domain Unix group 544 Não
Domainusers
SID : S-1-5-21-2851015207-21920 545 Não
45402-886076809-513 546 Não
Unix gid : 1002
Unix group: domusers 547 Não
Group type: Domain Group
Comment : Domain Unix group 548 Não
Domainguests
SID : S-1-5-21-2851015207-21920 549 Não
45402-886076809-514
Unix gid : 1003 550 Não
Unix group: domguests
Group type: Domain Group 551 Não
Comment : Domain Unix group 552 Não
553 Não
configurar e iniciar winbind.
Mapeamentos de grupo sempre Tabela 1 Grupos do Samba.
existem para os grupos de domínio,
e um mapeamento de grupo sempre seguida, precisamos criar todos os ou-
aponta para um grupo Linux existente, tros grupos necessários, que sempre
estabelecendo uma conexão entre o incluem Domainusers, Domainguests
mundo Linux e Windows. A criação e Domaincomputers com os RIDs cor-
de um mapeamento de grupo, portan- respondentes (os resultados são mostra-
to, é composta por duas etapas: criar dos na listagem 5). Só então podemos
o grupo Linux e fazer o mapeamen- avançar para estabelecer o domínio.
to. A listagem 4 mostra o processo de Posteriormente, é possível criar mais
criação de um mapeamento para o mapeamentos de grupo (por exemplo,
grupo de DomainAdmins. grupos globais de atribuição de direi-
A primeira etapa cria um grupo tos sobre sistemas Windows). Como
Linux. O GID atribuído aqui não é o sistema determina RIDs automati-
importante. O mapeamento de gru- camente, não é preciso especificá-los.
po é adicionado na segunda etapa.
Aqui, um RID de 512 foi atribuído ao Configuração de
grupo para identificar claramente o
grupo de administrador de domínio
um administrador
no sistema Windows. Finalmente, Nada funciona em um domínio Win-
podemos exibir a lista de todos os dows sem o administrador do domínio,
mapeamentos de grupos digitando: que, por sua vez, requer certos privilé-
gios que confere certos direitos sobre
groupmap list verbose
o sistema, tais como o de adicionar
que mostra que o grupo SID é cons- clientes ao domínio. Uma visão geral
tituído pelo domínio SID e RID. Em de todos os privilégios é mostrada na
Linux Magazine #102 | Maio de 2013
Samba como controlador de domínio | CAPA
Nome do Grupo
Domainadmins
Domainusers
Domainguests
Domain Computers
Domain Controllers
Domain Certificate Admins
Domain Schema Admins
Domain Enterprise Admins
Domain Policy Admins
Administrators
Users
Guests
Power Users
Account Operators
Server Operators
Print Operators
Backup Operators
Replicators
RAS Servers
tabela 2. A lista de privilégios também
podem ser vista com o comando:
rpcclient localhost -U% -c enumprivs
no servidor Samba.
Por um lado, o administrador de
domínio precisa, pelo menos, de
SeMachineAccountPrivilege; por outro
lado, apenas um membro do grupo
Domain Administrators (Adminis-
tradores de Domínio) pode conce-
der privilégios. Isso significa que os
administradores de domínio devem
atribuir a si mesmos este privilégio.
A listagem 6 mostra como um ad-
ministrador de domínio faria isso.
O primeiro passo cria o usuário
Linux correspondente; devemos
sempre ter um usuário Linux para
um usuário Samba, como acontece
com os mapeamentos de grupo. Se
ao administrador é dada uma senha
Linux dependerá da necessidade de
se fazer login no sistema Linux mais
43
 CAPA | Samba como controlador de domínio

Listagem 6: Atribuição É importante especificar -G 512

de privilégios para o grupo Domainadmins como
grupo principal. As flags [UX] estipu-
root@samba:~# useradd -g domadmins -G users -m -s /bin/bash lam que o usuário (U) e senha nunca
administrator
root@samba:~# passwd administrator expiram (X). A terceira etapa,
Enter new UNIX password:
Retype new UNIX password: su - administrator
passwd: password updated successfully
root@samba:~# pdbedit -a -u administrator -G 512 -c "[UX]" permite assumir a identidade do ad-
new password:
retype new password: ministrador de usuário, em seguida
Unix username: administrator SeMachineAccountPrivilege é atribuída
NT username: a este usuário. Agora temos um admi-
Account Flags: [U ]
User SID: S-1-5-21-2851015207-2192045402-886076809-1000 nistrador de domínio que pode adicio-
Primary Group SID: S-1-5-21-2851015207-2192045402-886076809-512 nar clientes ao domínio mais tarde.
Full Name:
Home Directory: \\linux-magazine\administrator
HomeDir Drive:
Logon Script: Configuração de
Profile Path: \\linux-magazine\administrator\profile
Domain: ADMINDOM usuários no domínio
Account desc: Depois que todos os pré-requisitos
Workstations:
Munged dial: para o funcionamento de um domínio
Logon time: 0 forem atendidos, podemos começar
Logoff time: 9223372036854775807 seconds since the Epoch
Kickoff time: 9223372036854775807 seconds since the Epoch a definir os grupos e usuários. Para
Password last set: Thu, 03 Jan 2013 13:07:54 CET grupos, os administradores precisam
Password can change: Thu, 03 Jan 2013 13:07:54 CET considerar o seguinte:
Password must change: never
Last bad password : 0 ➧ O grupo será utilizado apenas para
Bad password count : 0 concessão de privilégios neste host? Se
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
root@samba:~# su - administrator assim for, só é necessário criar um gru-
administrator@samba:/root$ net rpc rights grant ADMINDOM\\ po Linux para manter usuários Linux.
administrator ➧ O grupo será utilizado para reu-
SeMachineAccountPrivilege -S localhost
Enter administrator's password: nir usuários e, em seguida, definir
Successfully granted rights. as permissões em outro servidor de
administrator@samba:/root$ net rpc rights list ADMINDOM\\
administrator arquivos no domínio? Não importa
Enter administrator's password: se é um outro servidor Samba ou um
SeMachineAccountPrivilege
servidor Windows, o usuário deve criar
um mapeamento de grupo. Todos os
tarde. Se isso não for desejado, uma criado com o comando: outros mapeamentos de grupos po-
senha Linux não é necessária. Na pdbedit -a -u administrator -G 512 dem ser criados, como os grupos de
segunda etapa, o usuário Samba é -c "[UX]" domínio que foram configurados para

Privilégio Significado
SeMachineAccountPrivilege Adiciona hosts ao domínio
SeTakeOwnershipPrivilege Assume a propriedade das entradas de diretório
SeBackupPrivilege Lê os dados independentemente das permissões
SeRestorePrivilege Grava dados independentemente das permissões
SeRemoteShutdownPrivilege Desliga os sistemas remotamente

SePrintOperatorPrivilege Gerenciador de impressão do servidor

SeAddUsersPrivilege Adiciona usuários e grupos e os gerencia

SeDiskOperatorPrivilege Atribui direitos para ações do Windows

Tabela 2 Visão geral dos privilégios.

44 www.linuxmagazine.com.br

Listagem 7: Criação de
mais usuários e grupos
root@samba:~# groupadd authors
root@samba:~# net groupmap add
ntgroup="authors"
unixgroup=authors type=d
No rid or sid specified,
choosing a RID
Got RID 1001
Successfully added group authors
to the mapping db as a domain
group
root@samba:~# useradd -g
domusers -G authors -m -s /bin/
bash skania
root@samba:~# useradd -g
domusers -G authors -m -s /bin/
bash skania
root@samba:~# pdbedit -a -u
skania -G 513 -c "[U]" -f
"Stefan Kania"
new password:
retype new password:
Unix username: skania
NT username:
Account Flags: [U ]
User SID: S-1-5-21-2851015207-2
192045402-886076809-1002
Primary Group SID: S-1-5-21-285
1015207-2192045402-886076809-51
3 de contas
Full Name: Stefan Kania
Home Directory: \\
admin-magazine\skania
HomeDir Drive:
Logon Script:
Profile Path: \\linux-magazine\
skania\profiles
Domain: ADMINDOM
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: 9223372036854775807
seconds since the Epoch
Kickoff time:
9223372036854775807 seconds
since the Epoch
Password last set: Fri, 04 Jan
2013 11:14:33 CET
Password can change: Fri, 04
Jan 2013 11:14:33 CET
Password must change: never
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFF
preparar o domínio, exceto não haver
a necessidade de especificar o RID,
que é atribuído automaticamente.
Podemos criar todos os outros usuá-
rios com pdbedit (como no exemplo
com o administrador de domínio).
Todos os parâmetros e descrições são
explicados em detalhes na página man
do comando pdbedit. A listagem 7 mos-
Linux Magazine #102 | Maio de 2013
tra como criar um usuário e um ma-
peamento de grupo. As configurações
do usuário podem ser alteradas com
parâmetros quando criadas as contas.
Desta vez, o nome do grupo Linux e
o nome do grupo de mapeamento são
idênticos e não causarão problemas.
Além disso, o RID não é predetermina-
do, mas atribuído automaticamente. O
usuário Linux não atribuiu uma senha
porque, mais tarde, este usuário não
fará o login no sistema Linux, apenas
em um cliente Windows no domínio.
Seguindo esse padrão, agora podemos
criar novos grupos e usuários. As as-
sociações de grupos de usuários são
sempre gerenciadas no grupo Linux;
o mapeamento de grupo assegura que
os membros também sejam conheci-
dos no sistema Windows no domínio.
Clientes no domínio
Para adicionar clientes Windows a
um domínio, uma conta deve existir
para cada cliente Windows no domí-
nio. Essa conta deve sempre usar o
nome NetBIOS do cliente Windows.
A conta pode ser criada manualmente
para cada host ou automaticamente
por um script quando adicionar um
cliente ao domínio. Se o usuário qui-
ser criar as contas manualmente, deve
seguir o procedimento da listagem 8.
A primeira etapa gera uma conta
Linux para o cliente, como foi feito an-
teriormente para um usuário. O sinal
“$” depois do nome é importante, pois
distingue uma conta de cliente de uma
conta de usuário. O segundo passo é
executar pdbedit para criar a conta do
Samba. Definir o grupo RID para 515 e
as flags para [UW] informa ao Windows
que esta é uma conta de cliente.
A outra maneira de criar contas de
clientes é através de um script que é
executado ao entrar em um cliente
para o domínio. O script é inserido
na seção [global] do smb.conf:
add machine script = /usr/sbin/
useradd
-d /var/lib/nobody
-g domcomputer
-s /bin/2 Ptfalse -M %u
Samba como controlador de domínio | CAPA
O servidor Samba, em seguida,
define as contas necessárias de forma
autônoma. Depois de ingressar no
domínio, as contas também podem
ser listadas com getent passwd e pd-
bedit -L. Aliás, se o usuário quiser
reunir clientes Windows 7 no do-
mínio, precisará corrigir o registro
de antemão [2].
Depois de criar a conta do clien-
te, é possível participar do cliente
para o domínio da maneira usu-
al. A figura 2 mostra este processo.
Um tempo depois de entrar com o
nome de usuário e senha, veremos
a mensagem “Welcome to the AD-
MINDOM domain” (Bem-vindo ao
domínio ADMINDOM). Depois de
reiniciar o sistema, os usuários do
Samba podem se logar.
Listagem 8: Criação
root@samba:/# useradd -g
domcomputer -s /bin/false
'win7$'
root@samba:/# pdbedit -a -m
win7 -G 515 -c "[UW]" -p ""
-h""
Unix username: win7$
NT username:
Account Flags: [W ]
User SID: S-1-5-21-2851015207-2
192045402-886076809-1009
Primary Group SID: S-1-5-21-285
1015207-2192045402-886076809-51
5
Full Name:
Home Directory:
HomeDir Drive:
Logon Script:
Profile Path:
Domain: ADMINDOM
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: 9223372036854775807
seconds since the Epoch
Kickoff time:
9223372036854775807 seconds
since the Epoch
Password last set: Sat, 05 Jan
2013 13:00:47 CET
Password can change: Sat, 05
Jan 2013 13:00:47 CET
Password must change: never
Last bad Password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFF
45
 CAPA | Samba como controlador de domínio
Figura 2 Adicionando um cliente ao domínio.
Diretórios home
gerenciados
centralmente
Um compartilhamento especial do
Samba para gerenciar diretórios de
usuário cria automaticamente um
diretório home no servidor para cada
usuário. Além disso, é possível especi-
ficar a letra do drive, sob a qual o dire-
tório do usuário aparece no Explorer.
Primeiro, temos que adicionar o com-
partilhamento ao smb.conf. O nome deve
ser [homes] de forma que o Samba possa
atribuir diretórios home. Como podemos
ver na listagem 9, nenhum caminho para
um diretório específico é determinado
para o compartilhamento. Isto porque
o Samba determina a informação do
usuário de forma independente e, em
seguida, compartilha o caminho para o
usuário. No exemplo, outros parâmetros
são usados para garantir que apenas o
novo proprietário tenha direito a novas
entradas e que elas não possam atribuir
direitos a others.
Para visualizar as propriedades
da conta de usuário, podemos em
seguida digitar:
pdbedit -v -L user
O parâmetro Home Directory já apon-
ta para o compartilhamento relevante
no servidor. A única coisa que falta
46
é o parâmetro para Home Drive, que
podemos usar para definir a letra do
drive para o diretório do usuário. Esse
parâmetro é definido pelo comando
pdbedit -D "H:" user
Agora, quando os usuários fizerem
login no domínio de um cliente, o
Explorer leva-os automaticamente
para o diretório home e exibe o con-
teúdo do diretório.
Perfis de roaming
Além do gerenciamento centralizado
de diretórios, o gerenciamento dos
perfis de roaming é outra tarefa impor-
tante no gerenciamento de usuários.
Para gerenciarmos os perfis de usuá-
rio centralmente, devemos primeiro
verificar se o sistema de arquivos no
qual residem os perfis suporta listas de
controle de acesso (ACLs). Perfis de
roaming não funcionam sem elas. No
SUSE, todos os sistemas de arquivos
criados pelo instalador possuem ACLs
ativadas. No Debian e no Ubuntu, é
preciso definir o parâmetro no arquivo
/etc/fstab, usando:
UUID=
ea1552d5-9756-4b13-9b1d-7e197e16e
4b8/
ext3 errors=remount-ro,acl 0 1
e remontar o sistema de arquivos com:
Listagem 9: Adicionando
compartilhamento
[homes]
comment = user home directories
read only = no
valid users = %S
force create mode = 0700
security mask = 0700
force directory mode = 0700
directory security mask = 0700
inherit owner = yes
root@samba:~# mount -o remount,rw /
O usuário então deve ser capaz de
ver as ACLs ativadas após digitar mount.
Faz sentido montar todos os sis-
temas de arquivos que precisam ser
acessados via Windows com a opção
acl; neste caso, um cliente Windo-
ws pode posteriormente alterar os
direitos do sistema de arquivos no
domínio usando o Explorer. Quando
criar um diretório para o comparti-
lhamento de perfil, certifique-se de
definir os direitos de modo que o
grupo possua todos os direitos; caso
contrário, não será possível criar o
diretório para o perfil quando o u-
suário se conectar pela primeira vez.
Agora tudo que precisamos é de um
compartilhamento dos perfis e uma
modificação dos usuários. O trecho
a seguir mostra a configuração de
entrada para o compartilhamento
no arquivo smb.conf:
[profile]
comment = profile dir for users
path = /profile
browsable = no
read only = no
profile acls = yes
O parâmetro profile acls = yes é
importante neste compartilhamento; o
Windows precisa definir ACLs específi-
cas ao criar o diretório de perfil para ser
capaz de controlar o acesso exclusivo
ao perfil. Se usarmos agora o comando:
pdbedit
-p '\\linux-magazine\profile\user' user
para modificar a entrada no banco de
dados, os usuários poderão armaze-
nar seus perfis de forma centralizada.
Novos usuários são automaticamente
www.linuxmagazine.com.br

Listagem 10: Políticas
de conta
root@samba:/# pdbedit -P
"maximum password age" -C
7776000
account policy "maximum password
age" description: Maximum
password age, in seconds
(default: -1 => never expire
passwords)
account policy "maximum password
age" value was: 4294967295
account policy "maximum password
age" value is now: 7776000
root@samba:/# pdbedit -P "min
password length" -C 5
account policy "min password
length" description: Minimal
password length (default: 5)
account policy "min password
length" value was: 5
account policy "min password
length" value is now: 5
root@samba:/# pdbedit -P
"password history" -C 20
account policy "password
history" description: Length of
Password History Entries
(default: 0 => off)
account policy "password
history" value was: 0
account policy "password
history" value is now: 20
root@samba:/# pdbedit -P "bad
lockout attempt" -C 3
account policy "bad lockout
attempt" description: Lockout
users after bad logon attempts
(default: 0 => off)
account policy "bad lockout
attempt" value was: 0
account policy "bad lockout
attempt" value is now: 3
root@samba:/# pdbedit -P
"lockout duration" -C 180
account policy "lockout
duration" description: Lockout
duration in minutes (default:
30, -1 => forever)
account policy "lockout
duration" value was: 30
account policy "lockout
duration" value is now: 180
atribuídos ao perfil de diretório cor-
reto graças ao parâmetro -p.
Assim como no Windows, po-
demos definir políticas de conta
em um domínio Samba para au-
mentar a segurança da senha. As
políticas aqui precisam ser edita-
das, novamente usando o comando
pdbedit (a listagem 10 apresenta as
mudanças para os valores). Claro,
também podemos usar scripts de
logon em um domínio Samba.
Linux Magazine #102 | Maio de 2013
Listagem 11:
Compatilhamento Netlogon
[NETLOGON]
comment = Netlogon share
path = /netlogon
readonly = yes
write list = administrator
browsable = no
Para fazer isso, crie um arquivo de
lote no estilo habitual do Windows
com os comandos apropriados. Faz
sentido criar o arquivo de lote no
Windows para ter a certeza de que
temos a codificação de fim de linha
correta. Então precisamos criar um
compartilhamento como na listagem
11 e copiar o arquivo de lote para o
compartilhamento.
O compartilhamento é somente
leitura; somente o administrador do
domínio possui permissão de gravação
explícita, mas os usuários devem ler
e executar direitos para o diretório e
os arquivos de lote. Atribuir o script
de lote para os usuários pode ser feito
de duas maneiras. No primeiro caso,
podemos usar o mesmo script para
todos os usuários; configurar isso na
seção [global] usando o parâmetro
logon script = <scriptname>.bat - com
o nome do arquivo porém sem um
caminho, pois o script de logon irá
fazer uma busca relativa ao compar-
tilhamento Netlogon.
A segunda abordagem é oferecer
a cada usuário um script de logon se-
parado. O comando pdbedit faz isso:
pdbedit -S '\\linux-magazine\
netlogon\
<scriptname>.bat' <user>
mas, desta vez, o caminho completo
é necessário.
O Winbind é um serviço autôno-
mo, mas é parte do Samba. Uma vez
que o winbind é usado, o usuário pre-
cisará interromper definitivamente
o Name Service Caching Daemon
(nscd), pois os dois serviços não se
misturam. No Debian e no Ubuntu,
o Winbind é um pacote separado.
Para configurar o Winbind, modifi-
Samba como controlador de domínio | CAPA
que a seção [global] no smb.conf da
seguinte forma:
[global]
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
Os parâmetros idmap uid e gid idmap
servem para mapear os IDs de usuá-
rio e grupo que pertencem a usuários
Windows para Linux IDs. Graças aos
parâmetros winbind enum users e win-
bind enum groups, os usuários e grupos
são, então, visíveis no sistema quan-
do digitamos getent passwd e getent
group e podem ser usado para atribuir
direitos sobre o sistema Linux.
Coberturas
Normalmente, os usuários e grupos
que o winbind integra a partir de um
sistema Windows ou de outro servi-
dor Samba são mostrados na forma
de <domain>/<user>.
No entanto, no Linux, não podemos
usar a barra invertida (/) desta forma,
porque é o separador de caminho.
Assim, faz sentido substituir a barra
usando o parâmetro winbind separator
= +. Quando, em seguida, executamos
o testparm para verificar a sintaxe, o
aviso ‘winbind separator = +’ might
cause problems with group membership
(o ‘winbind separator = +’ pode causar
problemas com os membros do grupo)
Listagem 12: Aninhamento
de grupos
root@samba:~# net rpc group add
localgroup
-L -Uadministrator
Enter administrator's password:
Added alias 'localgroup'.
root@samba:~# net rpc group
addmem localgroup
domainusers -Uadministrator
Enter administrator's password:
root@samba:~# net rpc group
members localgroup
-Uadministrator
Enter administrator's password:
ADMINDOM\Domainusers
47
 CAPA | Samba como controlador de domínio
Listagem 13: Alterações
LDAP
passdb backend = ldapsam:ldap://
samba.example.net
ldap admin dn =
cn=admin,dc=example,dc=net
ldap suffix = dc=example,dc=net
ldap group suffix = ou=groups
ldap machine suffix = ou=hosts
ldap user suffix = ou=users
ldap passwd sync = yes
ldap ssl = no
aparece. Este aviso só é relevante se o
usuário ainda utilizar o NIS.
Se o usuário possuir um domínio na
rede, em vez do parâmetro winbind se-
parator, pode usar o parâmetro winbind
use default domain = yes. Em seguida,
a parte de domínio do usuário e o nome
do grupo é truncada, e a forma como
esses nomes são exibidos no sistema é
idêntica ao de usuários e grupos locais.
Neste caso, é importante asse-
gurar que os nomes são únicos e
não existem nem no domínio nem
localmente. Se vários domínios são
utilizados ou se existe confiança em
outros domínios, este parâmetro não
pode ser utilizado porque os usuários,
de outro modo, não estão inequivo-
camente atribuídos a um domínio.
Aninhamento de grupos
No Windows, é comum coletar usuá-
rios no controlador de domínio em um
grupo e, em seguida, atribuir este grupo
a um grupo local em um servidor de
arquivos. Aos grupos locais são então
concedidas as permissões do sistema
de arquivos. Isto também funciona
com o Samba; o procedimento é co-
nhecido como aninhamento de grupos
(nested groups). Para usá-lo, devemos
possuir um domínio e o Winbind deve
ser configurado. As medidas também
incluem modificar o arquivo /etc/ns-
switch.conf da seguinte forma:
passwd: compat winbind
group: compat winbind
Na seção [global] do arquivo smb.
conf, adicione winbind nested groups
= yes. Mais tarde, será possível criar
48
grupos aninhados (listagem 12). Todos que o Samba adicione os objetos ao
estes passos são de responsabilidade LDAP, precisamos adicionar a senha
do administrador de domínio. do administrador LDAP para o arquivo
O primeiro passo utiliza o parâmetro secrets.tdb. O comando para isso é
-L para criar um grupo local ao qual smbpasswd -W. O Samba, então, cria-
os grupos de domínio são em seguida rá um objeto LDAP para o domínio
adicionados como membros. A segun- Samba. Deste momento em diante,
da etapa adiciona o grupo domainusers o Samba usará o servidor LDAP para
como membro do localgroup. O terceiro o gerenciamento de usuários.
passo verifica o sucesso. Agora, quando
atribuímos direitos para o sistema de ar- O futuro
quivos do grupo local, todos os membros Após o lançamento da versão 4 do
do grupo domainusers também herdam Samba, em dezembro de 2012, muitas
este direito para o sistema de arquivos. coisas mudaram. Além da configuração
Como o Linux não suporta o aninha- de controladores de domínio primário
mento de grupos, getent group ou wbinfo ou de backup, agora também é possível
-g não mostra o grupo local. Todas as criar os controladores de domínio do
ações relativas ao grupo precisam do Active Directory, e podemos configurar
comando net rpc group. o Samba 4 como um controlador AD
adicional. É possível até mesmo criar
Um backend LDAPsam toda uma floresta do Active Directory
Como prometido, olharemos para a sem o uso de um controlador de domí-
configuração LDAP como backend nio do Windows pela Microsoft com
passdb. Este compromisso requer um o servidor LDAP do próprio Samba 4
servidor LDAP funcionando com o que gerencia todos os objetos.
samba.schema no lugar, porque, além Usuário e gerenciamento de gru-
de atributos POSIX, também preci- po também podem ser tratados com
samos criar atributos Samba para os as ferramentas de administração do
usuários. A grande vantagem de usar Windows Server remoto (Microsoft
o LDAP é que os usuários e grupos Windows Remote Server Administra-
só precisam ser criados uma vez. tion Tools). O usuário vai precisar de
Para o gerenciamento de usuário, uma máquina Windows 7 para exe-
podemos então usar a coleção de script cutar as ferramentas, mas o software
smbldap-tools [3] ou fazer coisas grafica- pode ser baixado gratuitamente [5]. ■
mente com o LDAP Account Manager
[4], uma ferramenta baseada na web. Gostou do artigo?
A listagem 13 mostra como modificar Queremos ouvir sua a opinião. Fale
a seção [global] para o uso do LDAP conosco em
cartas@linuxmagazine.com.br
ne.com br
no PDC e em todas as BDCs.
Este artigo no nosso site:
e:
O Samba agora usa o LDAP como http://lnm.com.br/article/8632
rticle 632
backend passdb. Para também permitir
Mais informações
[1] Desativando a mensagem de alerta: http://
www.gtkdb.de/index_7_1240.html
[2] Registro de patch: http://wiki.samba.org/index.php/Windows7/
[3] Ferramentas SMB-LDAP: http://sourceforge.
net/projects/smbldap-tools/
[4] LDAP Account Manager: https://www.ldap-account-manager.org/
[5] Ferramentas remotas de administração de servidor: http://
www.microsoft.com/download/en/details.aspx?id=7887/
www.linuxmagazine.com.br

Appliance SerNet
Appliances SerNet
para Samba 4
SerNet e Univention agora integram o novo Samba em seus appliances e oferecem aos
administradores uma maneira fácil de configurar e testar um controlador de domínio no Samba 4.
por Thomas Drilling
O
Samba 4 é um marco im-
portante para todo o mundo
de TI com o novo recurso
do Active Directory (AD). Original-
mente, o Samba fornecia serviços de
arquivo e impressão utilizando o pro-
tocolo SMB/CIFS em um servidor
Linux; no entanto, a novidade mais
significativa no Samba 4 refere-se aos
serviços de autenticação.
Um servidor Linux com Samba 4
pode oferecer um serviço do Active
Directory para um domínio do Win-
dows sem componentes Microsoft. A
versão 3.1 do Univention Corporate
Server (UCS) [1], que foi lançado em
dezembro de 2012, usa a versão 4.0rc6
do Samba 4, que foi desenvolvido co-
laborativamente com a equipe Samba
na versão 4.0rc1.
A versão 3 do Samba inclusa no
UCS para serviços de arquivo e im-
pressão, onde o UCS é implementa-
do como um controlador de domínio
NT, é a v3.6.8. A implementação do
Samba 4 na atual v0.6 do appliance
Samba Sernet [2] é equivalente à ver-
são estável do Samba 4.0 [3].
Estrutura do Samba 4
Um domínio Samba compreende
pelo menos um controlador de do-
mínio baseado em Samba 4 no qual
os clientes Windows podem partici-
par como membros, dado o contexto
de confiança. Na versão Univention,
servidores membros do UCS também
Linux Magazine #102 | Maio de 2013
podem fazer isso pois o Univention
integra componentes do Samba 4 e
do Samba 3 em seu Corporate Ser-
ver. Um servidor membro do UCS
não oferece nenhum serviço de login
próprio; no entanto, com serviços de
arquivo ou de impressão baseados em
Samba 3, por exemplo, as credenciais
UCS são necessárias para efetuar login
em um servidor membro do UCS.
UCS 3.1
Fora de Bremen, na Alemanha, o
Univention foi um dos primeiros a
adotar [4] o Samba 4, que por sua
vez foi integrado há mais de um ano
em seu UCS baseado no Debian 6.
Após testes extensivos, o Univention
garante que o Samba 4 está pronto
para uso em produção. Além do Ac-
tive Directory para a ferramenta de
migração Univention AT Takeover
do Samba 4, a Univention oferece
um Active Directory Connector [5],
que permite que os administradores
executem o UCS em paralelo com
os serviços existentes do Microsoft
Windows Active Directory, assim
também suportando uma migração
gradual. Aliás, o UCS 3.1 conta com
o kernel Linux 3.2.30 e, juntamente
com o recurso de controlador de do-
mínio AD, também lida com outras
tarefas como o Small Business Server.
Se quiser seguir os passos descritos
neste artigo, o usuário pode baixar
uma versão gratuita do UCS para uso
Appliance SerNet | CAPA
CAPA
pessoal, não limitada em termos de
recursos [6]. A configuração básica
ncursesbased para UCS, concebida
como um appliance, não deve levar
mais do que alguns minutos, especial-
mente com o valioso suporte fornecido
pelo manual do UCS 3.1.
Após a configuração básica, é preciso
escolher Master domain controller em
System role para tornar o UCS um con-
trolador de domínio e para as operações
do Samba; o Samba 4 só será instalado
em um controlador de domínio UCS
(controlador de domínio principal). Dito
isso, a opção Master domain controller se
refere principalmente à implementação
do UCS como um Domain Controller
na própria infraestrutura do Univention
baseada no UCS; uma solução de ge-
renciamento de identidade que se ba-
seia no OpenLDAP Samba 4 também
faz isso, mas integra-se ao OpenLDAP.
No próximo passo, o instalador UCS
requer o Fully qualified domain name
para a etapa Settings subsequente; de-
vemos considerar este nome cuidado-
samente; o instalador deriva o nome
de domínio a partir daí diretamente
para um domínio do Active Direc-
tory (FQDN menos a parte de host),
a LDAP base sugerida e o Windows
domain name. Embora o usuário possa
modificar a base LDAP sugerida e os
nomes de domínio do Windows, não
poderá alterar o nome do domínio AD.
Quando o instalador Univention
fala sobre o “domínio do Windows”,
49
 CAPA | Appliance SerNet

domaincontroller compatível com o NT

(Samba 3). Ambos os componentes
podem ser adaptados instalando os
pacotes univention-samba (Samba 3)
ou univention-samba4 (Samba 4), mas
precisaremos executar:
univention-run-join-scripts

para uma instalação retroativa. Em

servidores membros do UCS, o com-
ponente Installer atende pelo nome
de Windows memberserver (Samba
3/Samba 4); mas também pode ser
instalado selecionando os pacotes
univention-samba e winbind. O tercei-
ro componente de software, o Active
Directory Connector, é projetado para
permitir a sincronização unidirecional
Figura 1 Depois de selecionar o componente de software adequado, o UCS ou bidirecional do UCS com um do-
torna-se o controlador de domínio, mesmo que o instalador peça mínio AD executando em um servidor
por um nome de domínio e salve sua entrada. Microsoft Windows nativo (figura 1).
O Univention também recomenda a
isso significa o nome do sistema Net- volume LVM. Depois de configurar o ativação do pacote de assinatura NTP
BIOS do computador (quadro 1). Ele gerenciador de boot, na próxima etapa em todos os controladores de domínio
armazena esse valor na variável de podemos personalizar a configuração do Samba porque a sincronização pre-
domínio windows/domain no UCS da rede. Além de uma configuração cisa do tempo é essencial para a correta
Configuration Registry (UCR), inde- estática IPv4, que é recomendada para autenticação via Kerberos.
pendentemente de o administrador ambientes de produção, é possível O UCS mantém e usa dois serviços
ter escolhido um dos componentes entrar com um DNS transitório; isto de diretório no modo Active Direc-
de software para operação no Samba também é recomendado diante dos tory. Como as contas de usuário do
3 ou Samba 4 na última etapa de insta- aos ainda não totalmente resolvidos Samba no Samba 4 são gerenciadas
lação (Software). Além disso, o nome problemas de DNS do Samba. exclusivamente pelo Samba, o serviço
NetBIOS é também utilizado como o Depois de configurar a rede, a interno univention-S4-connector cuida
nome do grupo no modo de domínio. próxima tarefa é configurar o UCS da sincronização entre o serviço de
No próximo passo, o assistente de como um controlador de domínio de diretório baseado em OpenLDAP
instalação automaticamente cuida do forma explícita na etapa Software. Para no UCS e no Samba.
particionamento, embora o particiona- a operação no Samba 4, vamos preci- As informações de status podem
mento manual seja possível. Por padrão, sar do componente domaincontroller ser encontradas no arquivo /var/
o UCS utiliza uma pequena partição compatível com o Active Directory log/univention/connector-s4.log. Por
de boot de 500MB e atribui o espaço (Samba 4). Alternativamente ou adicio- exemplo, se usarmos as ferramentas de
disponível restante para um grupo de nalmente disponível é o componente administração remotas do Windows
para criar um usuário no Active Di-
Quadro 1: Herança NetBIOS rectory (Samba 4), o usuário é auto-
Ao contrário do nome de domínio AD, o nome do computador NetBIOS é restrito maticamente criado no OpenLDAP. A
a um comprimento máximo de 15 caracteres. O NetBIOS é um protocolo de propósito, o univention-s4-connector é
rede usado nos sistemas Windows para resolução de nome e de comunicação
de rede que é mapeado no Samba 3 pelo daemon nmbd. No mundo Univention, o instalado automaticamente pelo Uni-
nome NetBIOS de um sistema UCS é também o nome do computador UCS por vention Installer quando selecionamos
padrão. O usuário pode configurar um nome NetBIOS diferente como um alias, os recursos Master domain controller
se necessário, usando a variável UCR samba/netbios/name. A propósito, um and Backup domain controller do siste-
ambiente AD nativo não fornece serviços NetBIOS. Embora eles ainda estejam
ativados no Univention em um ambiente AD Samba 4, podemos alterar isso ma. Se instalarmos os pacotes Samba
modificando a variável UCR samba4/service/nmb. manualmente, também precisaremos
instalar o pacote univention-s4-con-

50 www.linuxmagazine.com.br

nector manualmente. Isto conclui a
configuração do controlador de do-
mínio AD no UCS a um ponto onde
os clientes Windows podem aderir ao
domínio do Active Directory.
Quando os usuários efetuam o log
em um domínio NT no modo Samba
3, o UCS os autentica diante do serviço
de diretório LDAP com base no nome
de usuário e senha. O UCS autentica
clientes com sistemas operacionais
Windows (do XP em diante) através
do protocolo NTLMv2 em domínios
Windows NT; no entanto, se o cliente
Windows no qual o usuário está fazendo
o login juntar-se a um servidor Samba 4,
um ticket Kerberos é automaticamente
emitido para o cliente, que então o uti-
liza para autenticação adicional e que
constitui a única base para o acesso a
todos os recursos do domínio.
Configuração avançada Appliance SerNet
Do ponto de vista prático, a configu-
ração do Samba 4 não está de forma Samba 4
alguma concluída: na vida cotidiana,
o administrador também precisa con-
figurar o serviço de autenticação em
detalhes, bem como criar perfis de
computador/usuário, serviços de ar-
quivo e de impressão e, em particular,
cuidar de exportar automaticamente
os diretórios home dos usuários. Estes
detalhes estão além do escopo deste
artigo. Que o UCS fornece suporte
abrangente através da interface de
gerenciamento e variáveis do siste-
ma nestes pontos é louvável, mas
esta classificação não faria justiça aos
objetivos dos dois produtos: o UCS
prepara-se para fornecer um servidor
para pequena empresa com suporte
do Active Directory para uso em pro-
dução, enquanto o appliance SerNet
Samba é puramente uma configura-
ção de teste do Samba 4.
Os serviços de arquivo fornecidos
pelo UCS suportam os ACLs para
compartilhamentos baseados em CIFS,
desde que o sistema de arquivos sub-
jacente no servidor Samba também
suporte isso (que é o caso com ext3,
Linux Magazine #102 | Maio de 2013
XFS e ext4). Neste caso, os clientes Win-
dows também podem usar as ACLs.
O Samba 4 pode, opcionalmente, for-
necer serviços de arquivo com o seu
próprio servidor de arquivos virtual,
NTVFS (necessitando de um siste-
ma de arquivos com suporte XATTR)
ou o servidor de arquivos embarcado
Samba 3, o S3FS.
As melhores práticas sugerem se-
parar serviços de arquivo e impressão
dos serviços de autenticação. Se os
serviços de autenticação executarem
em um controlador de domínio Sam-
ba 4 separado, muitos administradores
tenderão, como os desenvolvedores da
Univention, a usar o Samba 3 maduro
como servidor de arquivos e impressão,
garantindo, entre outras coisas, que a
alta carga em um servidor de arquivo
não interfira com o login do serviço.
O SerNet, fora de Göttingen, na Ale-
manha, é um integrador de sistemas
com foco em tecnologia livre, seguran-
ça e serviços relacionados ao Samba,
em particular. O SerNet desenvolve o
Samba em colaboração com a equipe
da ferramenta por iniciativa própria e
a pedido de clientes é também o úni-
co integrador de sistemas que fornece
membros para a equipe principal de
desenvolvimento do Samba. Entre
outras coisas, a equipe de Göttingen
desenvolveu um appliance Samba ba-
seado em Debian que e fácil de imple-
mentar e oferece aos administradores
uma opção conveniente para testar os
recursos suportados pela nova versão
do Samba 4.
A versão 0.1, exibida pela primeira
vez na CeBIT no ano passado, tem
sido disponibilizada oficialmente para
download desde maio 2012; no entanto,
ainda era baseada no preview do Sam-
ba 4. O SerNet migrou seu appliance
Samba para o Samba 4 estável logo
após o lançamento da versão final. A
versão 0.6 do appliance já está disponí-
Appliance SerNet | CAPA
vel para download com suporte estável
ao Samba 4 desde dezembro de 2012 e
oferece a possibilidade de configurar
um controlador de domínio do Acti-
ve Directory em um servidor Debian
em poucos passos simples. Na CeBIT
deste ano, a SerNet introduziu uma
versão melhorada do appliance que
integra o Zarafa e o Opsi. Arquivos
de esquema AD para suporte Zarafa
já estão inclusos na versão 0.6.
Administradores do Windows nor-
malmente usam a ferramenta gráfica
dcpromo.exe para configurar um con-
trolador de domínio ou promover
um servidor padrão do Windows,
mas administradores do Samba em
geral precisam recorrer à linha de co-
mando. O core do appliance SerNet
Samba, no entanto, é um assistente
gráfico dcpromo para provisionamento
do Samba 4, que faz parte do processo
de instalação do appliance, mas tam-
bém pode ser inicializado de forma
retroativa a qualquer momento para
definir uma nova configuração.
O appliance SerNet é baseado no
Debian 6 e depende do kernel 3.2.0 a
partir dos backports Debian com su-
porte para o Hyper-V da Microsoft. O
appliance usa o servidor de arquivos
S3FS incorporado, ao invés do NTVFS
próprio do Samba 4, que inicia o daemon
SMB do Samba 3 dentro do Samba 4,
de modo que as ferramentas do Samba
3 como smbstatus, smbpasswd e smbclient
ainda funcionam. Este é o comporta-
mento padrão do Samba 4. Além dis-
so, o servidor NTP interno no Samba
4 sincroniza a hora do sistema, o que
é vital para a autenticação Kerberos.
A abordagem mais rápida para
a instalação automática é executar
o instalador Debian padrão. A ins-
talação automática em modo texto
sobrescreve o disco inteiro durante o
particionamento. Se nenhum servidor
DHCP for encontrado, o instalador
se oferece para configurar a rede ma-
nualmente, o que é especialmente
importante para uso em produção.
Ao final da instalação básica, o siste-
51
 CAPA | Appliance SerNet
Figura 2 No final, o dcpromo gera uma visão geral das configurações selecionadas.
ma cria a conta de usuário sernet no
appliance e o configura por padrão
para um login automático após o
reboot. Alternativamente, é possível
também definirmos uma senha indi-
vidual. A senha de root pertence ao
usuário root e deve ser alterada após
o primeiro login.
Em seguida, o instalador inicia o
script dcpromo para configurar o con-
trolador de domínio do Active Direc-
tory. A ferramenta pode ser iniciada
de forma retroativa, bastando para
isso clicarmos no ícone do desktop
para iniciar uma reconfiguração com-
pleta do Active Directory. Nas três
Figura 3 Uma vez que o controlador de domínio Samba está sendo execu-
tado, os clientes Windows adequados podem juntar-se ao contexto
de confiança do domínio.
52
primeiras etapas, o script solicitará o
hostname do controlador de domí-
nio (DC, por padrão) e o domínio
completo, a partir da qual o nome
de domínio AD é obtido através da
remoção do hostname. Além disso,
o dcpromo deriva de um nome Net-
BIOS proposto pelo realm.
Então o dcpromo solicitará uma senha
para a conta de administrador, Admi-
nistrator. Depois disso, o script então se
oferece para configurar um redirecio-
namento de DNS para consultas que
não podem ser respondidas pelo DNS
interno do Samba 4. Além do servidor
NTP, o Samba 4 inclui também um
serviço de DNS interno. No entanto,
de acordo com especialistas SerNet, este
não tem sido sempre confiável. Para
concluir a configuração, o dcpromo lista
as configurações para o controlador de
domínio, o que resultará na interrup-
ção de todos os serviços Samba ativos,
em caso de reconfiguração (figura 2).
O script configura todos os serviços
Samba necessários com os dados se-
lecionados. Na conclusão, o dcpromo
produz os principais parâmetros de
domínio – domínio NetBIOS, domí-
nio DNS e domínio SID – e reinicia o
serviço Samba. Embora isto conclua a
configuração do controlador de domí-
nio e os clientes do Windows 7/usuários
possam agora juntar-se ao domínio,
o script dcpromo oferece a opção de
instalar extensões de esquema Zarafa
AD na próxima etapa. Qualquer um
que planeje implementar o groupware
Zarafa na máquina Samba 4 desejará
aproveitar esta oportunidade para per-
mitir que os usuários Zarafa possam
autenticar-se no AD mais tarde.
Afiliação
Agora que o controlador de domínio
está pronto para uso, o administrador
pode juntar-se ao contexto de confian-
ça do domínio com um cliente apro-
priado do Windows. Para ingressar no
domínio AD, só é necessário fazer o
login como qualquer domínio nativo
da Microsoft. Para fazer isso, acesse
Control Panel/System and Security/
System (Painel de Controle/Sistema e
Segurança/Sistema), pressione Chan-
ge settings (Alterar configurações) na
seção Computer name, domain, and
workgroup settings (Nome do computa-
dor, domínio e configurações de grupo
de trabalho), selecione Change again
(Alterar novamente) e digite o FQDN
do domínio AD desejado (realm).
Se o realm é acessível para o sis-
tema, com base na configuração de
rede escolhida, uma caixa de diálogo
de logon aparece para o domínio,
e podemos acessá-la com a conta
de administrador configurada ante-
www.linuxmagazine.com.br
 Appliance SerNet | CAPA

Figura 4 No modo de domínio, podemos procurar por objetos no AD com o
Windows Explorer.
riormente (figura 3). Uma afiliação
só irá funcionar de forma confiável
e sem nenhuma configuração adi-
cional se adicionarmos o endereço
IP do appliance SerNet Samba ou o
UCS como a configuração do servi-
dor DNS na configuração de IP do
adaptador de rede do cliente. Uma
rápida revisão do Network and Sha-
ring Center (Centro de Rede e Com-
partilhamento) deve confirmar que
a afiliação foi realizada com sucesso.
Após o reboot, podemos fazer o login
no domínio como um usuário adminis-
trativo. Ao fazê-lo, um pequeno truque
é necessário se a conta “Administrator”
também existir localmente. Quando
pressionamos Change user... (Altere o
usuário...) para mudar do login local
para o login no domínio, o Windows
voltará para a janela de login local
quando digitarmos a última letra “r” no
Administrator, mas se usarmos o formato
<domain name>\<administrator> ao invés
disso, o login de domínio irá funcionar.
O Windows Explorer agora tam-
bém possui um recurso para Search
Active Directory (Pesquisar no Active
Directory) em Network (Rede). Po-
demos usá-lo para pesquisar serviço
de diretório para Users (Usuários),
Contacts (Contatos), Groups Com-
puters (Grupos de Computadores),
Printers (Impressoras) e Shared fol-
ders (Pastas compartilhadas) (figura
4). A configuração restante pode ser
feita com as ferramentas de linha
de comando embutidas no Samba
4 ou com as ferramentas padrão de
administração do Windows.
Conclusão
Tanto o SerNet appliance como o Uni-
vention Corporate Server podem ser
configurados com pouco esforço para
fornecer um controlador de domínio
do Active Directory baseado em Linux.
O SerNet appliance é projetado para
instalações de teste e conta com a ver-
são estável mais recente do Samba 4.0.
O UCS do Univention utiliza a versão
4.0rc6 do Samba, que foi desenvolvida
pela Univention em colaboração com
a equipe do Samba. Ele se baseia nas
versões de pré-lançamento anteriores
e foi testado para uso em produção.
Uma comparação direta dos produtos
não faria sentido, pois o UCS oferece um
pequeno servidor de negócios completo
e gerenciável via Internet. O appliance
SerNet usa o servidor de arquivo em-
butido Samba 3, o S3FS, para fornecer
serviços de arquivo e de impressão,
enquanto que o Univention executa
o Samba 3.6.8 em paralelo para servi-
ços de arquivo. O Univention também
oferece uma ferramenta de migração
do AD da Microsoft para o Samba 4 e
um Active Directory Connector para
cooperação com um controlador de
domínio Microsoft existente. ■
Gostou do artigo?
Queremos ouvir sua
a opinião.
Fale conosco em
cartas@linuxmagazine.com.br
zine.com br
Este artigo no nosso
so site:
si
http://lnm.com.br/article/8589
articl 8589

Mais informações
[1] UCS 3.1: http://www.univention.de/en/products/ucs/
[2] SerNet Appliance: http://www.enterprisesamba.org/samba4ad/samba-4-appliance/
[3] Samba 4: http://www.enterprisesamba.org
[4] Samba Early Adopters: http://www.sixmonthmba.com/2010/11/become-an-early-adopter.html
[5] Active Directory connector: http://www.univention.de/en/products/ucs/ucs-components/
microsoft-windows-support/ucs-active-directory-connector/
[6] UCS 3.1 Free for Personal Use edition: http://www.univention.de/en/
download-and-support/free-for-personal-use-edition/
[7] SerNet Appliance release notes: http://ftp.sernet.de/pub/samba4AD/sernet-samba4-appliance/README

Linux Magazine #102 | Maio de 2013 53

 SEGURANÇA | Autenticação segurança

Autenticação segurança

Acesso remoto com

SEGURANÇA

autenticação de dois fatores

Neste artigo, apresentamos uma visão geral das soluções de autenticação e abordagens
potenciais para casos de uso comum que fogem ao uso de senhas regulares.
por Thomas Zeller

A Autenticação
autenticação de usuário trata
de descobrir se os usuários
realmente são o que dizem
ser. Dado que usuários desavisados
podem cair na armadilha de con-
fundir um smartphone com um
ponto de Internet, oferecendo ao
hacker um vetor fácil para roubar
senhas, contar unicamente com
nomes de usuários e senhas para
acessar informações confidenciais
é algo basicamente irresponsável.
A solução pode estar no uso de fa-
tores adicionais de autenticação.
Vários métodos de autenticação
podem ser classificados nos gru-
pos “reconhecimento”, “posse” e
“biometria” (tabela 1). Estes gru-
pos, também chamados de fatores,
constituem a base de qualquer
método de autenticação. Apesar
dos graves inconvenientes, as se-
nhas continuam a ser o método
de autenticação mais amplamen-
te utilizado. Afinal, praticamente
qualquer produto de software ofe-
rece este método de graça, como
um procedimento padrão.
No entanto, os administradores
devem ter em mente uma regra de
ouro para proteção de dados e di-
reitos de acesso: quanto maior for
o valor da informação protegida,
mais seguro precisa ser o método
de autenticação. Muitos dos pro-
blemas com senhas podem ser evi-
tados se uma senha dinâmica for
utilizada, em vez de uma senha
estática, e se a senha dinâmica for
usada apenas uma vez. Talvez não
seja possível impedir o rastreamento
das senhas, mas as informações de
autenticação roubadas desta forma
serão inúteis para o invasor.
multifatorial
A segurança dos processos de auten-
ticação pode ser significativamente
aumentada por uma combinação de
vários fatores (autenticação multifato-
rial). Por exemplo, o cartão de débito
sempre combinou os fatores de “re-
conhecimento” e “posse” porque o
usuário precisa tanto estar em posse
do cartão com uma tira magnética ou
chip como do PIN associado.
Ainda mais seguro é o processo em
que três fatores são usados – a com-
binação de reconhecimento, posse e
biometria. Por exemplo, o “QTrust 2go
Smart” [1] combina todos os três fato-
res, com o usuário primeiro digitando
um nome de usuário na tela de login
(reconhecimento) e, em seguida, sca-
neando um código QR na tela de um

Fator Exemplos Vantagens Desvantagens

Reconhecimento Senha, PIN, resposta à Baixo custo, fácil A segurança depende da qualidade;
pergunta de segurança. de gerenciar. pode ser farejado, adivinhado,
esquecido ou revelado.
Posse Certificado, lista TAN, Geralmente único e Alto custo de aquisição e gerenciamento;
cartão com chip, token por isso não pode pode ser passado adiante.
de senha única. ser copiado.
Biometria Impressão digital, Fácil de usar, não pode Fatores biométricos estão sujeitos a
reconhecimento de ser passado adiante. alterações – por exemplo, desgastes na
voz ou facial, DNA. impressão digital ou alterações de voz
de acordo com a idade; podem violar
a legislação de proteção de dados.

Tabela 1 Métodos de autenticação.

54 www.linuxmagazine.com.br
 Autenticação segurança | SEGURANÇA

Quadro 1: Soluções comerciais de autenticação de dois fatores

A Vasco é uma fabricante belga de suprimentos e soluções de autenticação de dois fatores (por exemplo, o token
eBay/PayPal GO 3, conhecido como “chave de segurança”). No centro da autenticação de dois fatores está o servidor
Identikey, que – na versão básica – compreende uma interface RADIUS e vários plugins web para Windows Terminal
Services, Citrix, Outlook Web Access, e assim por diante. Do lado cliente, a Vasco fornece tokens com senha de uso
único (OTP) de vários designs sob a marca DIGIPASS – por exemplo, como tokens de hardware, tokens móveis, ou
como um aplicativo SIM. O último está disponível sob o nome DIGIPASS Nano como um filme fino contendo um chip
(figura 1). O filme é então inserido com o cartão SIM no celular e, assim, atualiza-o para um token de hardware.
A RSA Security [3] é uma subsidiária da EMC e é provavelmente a fabricante de soluções OTP mais conhecida
internacionalmente com o produto “SecurID”. A fabricante ganhou notoriedade em março de 2011, quando a
empresa perdeu dados importantes para um hacker; exatamente qual material foi perdido nunca chegou a ser
anunciado oficialmente. No entanto, a empresa substituiu 40 milhões de tokens de hardware globalmente, sugerindo
que o algoritmo utilizado para calcular as senhas de uso único havia sido roubado.
A SafeNet [4] é uma fabricante americana de soluções de segurança que adquiriu as suas soluções de criptografia das
empresas Aladdin e Rainbow em 2004 e 2009, respectivamente. A SafeNet oferece soluções certificadas baseadas em PKI
e autenticadores OTP. A SMS Passcode e a Denmark PASSCODE A/S [5] oferecem autenticação de senha de uso único
com base em mensagens de texto. A Zyxel [6], fabricante tailandesa de equipamentos de rede, possui uma solução de
autenticação de dois fatores em sua carteira de serviços. Ela fornece acesso VPN para os próprios ZyWALLs da empresa.

smartphone, a partir do qual o aplicativo
gera uma senha de uso único (posse).
Para a autenticação final, o usuário
deve então executar o reconhecimento
de face com a câmera do smartphone
(característica biométrica) e digitar a
senha de uma só vez na caixa de login.
Bom o bastante
Para a maioria dos requisitos de segu-
rança, no entanto, a autenticação de
dois fatores é mais do que suficiente. O
Payment Card Industry Data Security
Standard (PCI DSS) – um framework
regulatório de conta para o processa-
mento de transações de pagamento
com cartão de crédito – exige uma
solução de autenticação de dois fatores
para o acesso à rede por administrado-
res, funcionários e terceiros externos
[2]. Muitas soluções de autenticação
de dois fatores estão disponíveis no
mercado (quadro 1). Qualquer pessoa
interessada em usar essa solução deve,
portanto, decidir com antecedência
se deseja trabalhar com certificados,
senhas únicas ou ambos.
A autenticação de dois fatores nor-
malmente utiliza certificados digitais
PKI com base no padrão X.509. Es-
tes são normalmente armazenados
em um meio de armazenamento de
certificado de hardware conhecido
como o token de segurança. Para
autenticar, o usuário deve conectar
o token de segurança do dispositivo enquanto que os cartões inteligentes
para o serviço e, em seguida, ativar o exigem um leitor de cartão adicional.
certificado salvo fazendo uso de um Geradores de senha de uso único
PIN ou senha. Só então o cliente (tokens OTP) fornecem uma alternativa
VPN, por exemplo, poderá abrir uma para certificados. Os OTPs estão dis-
conexão com o sistema de destino. poníveis em vários formatos: hardware,
Pendrives especiais (USB sticks) ou software, placas de rede e “como um
cartões inteligentes são normalmente serviço”, geralmente na forma de SMS
utilizados para o armazenamento de (quadro 2). Tokens OTP fornecem ao
certificados eletrônicos e senhas. A usuário uma senha de uso único e de
vantagem prática de tokens USB so- curta duração para o login.
bre cartões inteligentes é que a porta Dependendo do fabricante e do
USB na máquina local pode ser usada, método utilizado, é feita uma distin-
Quadro 2: Sistemas OTP gratuitos
O S/KEY/OPIE é um método de segurança mais antigo que oferece aos sistemas
operacionais estilo Unix a autenticação de senha de uso único. A implementação
OPIE (One-Time Passwords in Everything), ou simplesmente senhas de uso
único em tudo, [7] inclui um cliente e um servidor de aplicativos e um módulo
PAM. As OTPs podem ser geradas com antecedência e impressas (por exemplo,
uma lista TAN) ou geradas em tempo real (on the fly) com geradores S/KEY.
O Google Authenticator fornece uma solução de autenticação de dois
fatores [8] OATHcompliant e implementação HOTP/TOTP. Este método foi
desenvolvido principalmente para autenticação contra os serviços do próprio
Google, mas eles também oferecem um módulo PAM para autenticação em
sistemas Unix. A OpenKubus [9] é uma unidade flash USB com um layout de
hardware aberto que pode gerar senhas de uso único. O OpenKubus fornece
bibliotecas para C, Perl e PHP, bem como um servidor e um módulo PAM.
O LinOTP [10] é um sistema de backend para conectar várias soluções de
autenticação e fornecedores. A edição de comunidade inclui, entre outras
coisas, um módulo PAM e uma API web e suporta vários tokens OTP. A
versão Enterprise também permite o acesso a serviços de diretório como o
Microsoft Active Directory, Novell eDirectory, SQL e OpenLDAP.
O Mobile-OTP [11] é uma implementação OTP livre que inclui um MIDlet
J2ME no lado do servidor e um script Shell para integração com servidores
RADIUS gratuitos (por exemplo, XTRadius). No lado do cliente, muitos tokens
OTP estão disponíveis gratuitamente para todos os principais sistemas
móveis e plataformas de sistema operacional.

Linux Magazine #102 | Maio de 2013 55

 SEGURANÇA | Autenticação segurança
ção entre tokens baseados em tempo
ou tempo sincronizado, TOTP (algo-
ritmo de senha de uso único baseado
em tempo, conforme definido na
RFC 6238 [12]), e tokens baseados em
eventos, HOTP (algoritmo de senha
de uso único, via RFC 4226 [13]). Ba-
seado em hardware, tokens baseados
em tempo são geralmente mais caros,
pois requerem um cronômetro preciso
como contador, o qual deve ser ins-
talado adicionalmente ao hardware.
Modelo cliente/servidor
Todos os sistemas OTP apoiam-se no
modelo cliente/servidor. O frontend é
o cliente na forma de tokens OTP; o
backend é um sistema de servidor que
verifica as senhas de uso único e infor-
mações de autenticação dos usuários e,
em seguida, as repassa para o aplicativo
adequado através de uma interface. A
interface universal é muitas vezes o pro-
tocolo RADIUS (Remote Authentication
Dial-In User Service), que a maioria dos
aplicativos pode manipular. Claro que
o backend pode ser um aplicativo de
nuvem, ao invés de um serviço dedi-
cado executando em um servidor. O
exemplo mais conhecido desse tipo de
autenticação de dois fatores é, provavel-
mente, o Google Authenticator.
Soluções de autenticação de dois
fatores não são, em princípio, limitadas
a cenários específicos. Em aplicações
práticas, no entanto, seu uso tem se
mostrado valioso em duas áreas em
particular: a autenticação de conexões
Figura 1 Digipass Nano é uma película
que pode ser colocada com
o cartão SIM, transformando
o aparelho em um token de
hardware OTP.
56
Figura 2 O Google ofereceu a autenticação de dois fatores para os serviços
da empresa por algum tempo.
de acesso remoto e aplicativos web.
Especialmente em aplicativos web, o
uso de autenticação de dois fatores é
quase inevitável porque, ao contrário
de conexões VPN e SSH, certifica-
dos do lado cliente quase nunca são
usados para garantir a autenticação
do cliente pelo servidor.
No caso mais simples, uma senha
farejada é tudo o que é preciso para
assumir a conta – por exemplo, via
ataque do tipo man-in-the-middle,
ataque de repetição, ou sniffing de
rede clássico. Além disso, o número
de aplicativos web está crescendo
tão rápido que um usuário interme-
diário já utiliza de 10 a 15 deles todos
os dias. Basta pensar sobre as muitas
redes sociais, webmail, aplicativos
bancários, e portais de informação e
de e-commerce visitados diariamente.
Proteção de
serviços do Google
O Google desenvolveu o Authenticator
principalmente para adicionar forte au-
tenticação no acesso aos seus aplicativos.
Este método de autenticação, também
conhecido como “verificação em duas
etapas”, pode, alternativamente, depen-
der de uma chamada de voz (figura 2)
ou SMS. O aplicativo Authenticator,
no entanto, também pode autenticar
serviços que não são oferecidos pelo
Google, como descreveremos mais tarde.
Para ativar a autenticação em uma
conta do Google, acesse https://ac-
counts.google.com/SmsAuthConfig e
digite o número de telefone do smar-
tphone. O Google envia um link para
o número, que então permite baixar o
aplicativo Google Authenticator. Em
seguida, nas configurações da conta
do Google, selecione o dispositivo,
como iPhone, por exemplo, no qual
tenha sido instalado o aplicativo. No
aplicativo, clique no sinal “+” e es-
colha o comando Scan Barcode (de
digitalização de código de barras).
Agora, escaneie o código de barras
exibido na conta do Google e digite
o código exibido no aplicativo para
concluir a configuração em duas
etapas (figura 3). Para estar no lado
seguro, devemos imprimir os códigos
de substituição [14], que podem ser
usados para efetuar login na conta do
Google, se o usuário perder o celular.
Figura 3 Ao digitalizar um código QR
na tela, o aplicativo Google
Authenticator é associado à
conta de usuário.
www.linuxmagazine.com.br

Figura 4 O Google ofereceu a autenticação de dois fatores para os serviços
da empresa Dropbox por algum tempo.
Dropbox com Google Proteção de servidores
Authenticator SSH com OTP
Menos pessoas estão cientes de que
o Dropbox recentemente introduziu
suporte para autenticação usando o
Google Authenticator. A ativação do
recurso é semelhante a configurar a
conta Google. Para começar, faça o
login na conta do Dropbox no na-
vegador e selecione a guia Security
(Segurança). Em Account sign in box,
clique em Change na linha Two-step
verification. Um assistente irá guiá-lo
através do processo de verificação em
duas etapas, via aplicativo ou mensa-
gens de texto. Se estiver verificando
com um aplicativo, selecione Authen-
ticate with Google Authenticator app;
em seguida, novamente no aplicati-
vo, toque no sinal “+” e digitalize o
código QR disponível na tela.
Após digitar a senha de acesso único,
a autenticação de dois fatores é ativada
(figura 4) e o Dropbox mostra alguns
códigos de substituição para impressão.
Linux Magazine #102 | Maio de 2013
Logins de servidores SSH podem ser
bem protegidos com ferramentas em-
butidas. O pré-requisito é que o admi-
nistrador defina a diretiva PasswordAu-
thentication para No no sshd_config
e depois implemente chaves RSA/DSA
protegidas por senha para todos os
usuários. Alternativamente, a auten-
ticação em um servidor OpenSSH
também pode ser protegida usando
o método de senha única S/KEY.
O S/KEY já foi substituído pelo
OPIE [15], acrescentando a opção
de gerar listas de senhas com senhas
únicas antecipadamente, que são então
usadas como listas TAN no e-banking.
Alternativamente, senhas de uso
único podem ser geradas sob deman-
da usando um gerador de OTP – por
exemplo, com Opiekey [16] em um
smartphone Android.
Hoje, uma abordagem muito mais
simples e elegante é a que consiste em
Autenticação segurança | SEGURANÇA
garantir sessões com o Google Authen-
ticator [17]. O Google Authenticator
Project é liberado sob a licença Apache
2.0 e está disponível gratuitamente. Um
módulo PAM está disponível para o
servidor; o cliente Google Authentica-
tor executa em dispositivos Android,
iOS e BlackBerry e pode ser instalado
facilmente a partir das lojas de aplica-
tivos correspondentes.
No lado do servidor, instalar o
módulo PAM do Google Authen-
ticator em um servidor Ubuntu é
bastante simples porque um pacote
pronto para instalar está disponível
diretamente a partir dos repositórios:
sudo apt-get install
libpam-google-authenticator
Também podemos baixar o código
fonte [18] e compilá-lo para a plata-
forma. Uma vez que o módulo PAM
esteja instalado, podemos fazer logon
no console como o usuário que estará
assinando mais tarde com o Google Au-
thenticator e digite google-autenticador.
O programa vai exibir um código
QR, uma chave secreta, um código de
verificação, e cinco códigos de emer-
gência no terminal. É recomendável
ao usuário imprimir os códigos de
emergência e mantê-los em um lugar
seguro. Com as senhas de uso único,
também é possível fazer logon no servi-
dor SSH com o Google Authenticator
caso o smartphone não esteja à mão.
Ataques de força bruta
No aplicativo Google Authenticator do
telefone, toque no sinal “+” na parte
inferior e selecione o comando Scan
Barcode (digitalizar código de barras).
Alternativamente, também é possível
adicionar a conta manualmente. Para
fazer isso, digite o nome da conta no
formato user@host, juntamente com a
chave privada correspondente.
As perguntas que se seguem, adi-
cionalmente, servem para aumentar a
segurança da conta. Devemos proibir o
uso de tokens de autenticação múltiplos
e permitir até três tentativas de login
57
 SEGURANÇA | Autenticação segurança
por 30 segundos para evitar ataques
de força bruta. Por fim, ainda será ne-
cessário ativar o Google Authenticator
na configuração do PAM e modificar a
configuração do SSH. Para fazer isso,
abra o /etc/pam.d/sshd em um editor
e adicione:
auth required
pam_google_authenticator.so
e salve o arquivo. Em etc/ssh/sshd_
config, altere o valor do Challenge-
ResponseAuthentication para yes e rei-
nicie o daemon SSH. Quando fizermos
login no servidor via SSH no futuro,
este irá solicitar, como de costume, o
nome de usuário e senha, bem como
o código de verificação do Google
Authenticator, conforme exibido no
smartphone.
PayPal e Facebook
O PayPal já ofereceu há algum tempo
a possibilidade de fazer o aumento
de segurança do processo de registro
com autenticação de dois fatores. Os
clientes que utilizam este recurso re-
ceberam, no passado, um token de
hardware (Vasco GO 3) do PayPal.
Se quiser fazer o harden do proces-
so de login da conta PayPal, agora
Figura 5 O aplicativo de nuvem Mydigipass.com enriquece aplicativos web
com a autenticação de dois fatores.
58
Quadro 3: API OAuth
O Mydigipass.com fornece uma interface padronizada na forma da API OAuth
2.0 [20], que suporta acesso autenticado para aplicativos web. O protocolo
OAuth é comumente utilizado em aplicativos onde é possível efetuar login em
um serviço com as credenciais de login de outro serviço (por exemplo, com um
Windows LiveID ou uma conta Google ou Facebook).
Para a implementação do OAuth em aplicativos web, a Vasco oferece uma
extensa documentação online, uma “sandbox”, e uma demonstração de
token online [21] no Developer Portal [22] (figura 6). Para acessar o
Developer Portal, primeiro é necessário fazer o registro com o Mydigipass.com.
Com as credenciais de acesso oferecidas, podemos fazer login no portal do
desenvolvedor. Além de informações detalhadas sobre preços e documentação,
o portal do desenvolvedor contém também imagens, vídeos e dados informativos
para os usuários, que podem baixar User Activation Kits compactados.
a única opção é fazer o sign up para configurações de segurança durante
a mensagem de texto de segurança o processo de ativação.
no site [19]. Para cada processo de
login, o PayPal envia uma senha de
uso único por mensagem de texto
O fator nuvem do
para o número de celular cadastrado. Mydigipass.com
Se um usuário não pode acessar o Os administradores sempre aprecia-
telefone celular, o PayPal oferece a ram a capacidade de fazer o harden,
possibilidade de definir as perguntas e por exemplo, do login de adminis-
respostas de segurança como um me- trador para aplicativos web, blogs ou
canismo de fallback. O Facebook agora sistemas de gerenciamento de con-
também pode garantir o processo de teúdo, por meio de uma solução de
login com uma senha de uso único. autenticação de dois fatores. A auten-
No entanto, os usuários devem possuir ticação em nuvem Mydigipass.com,
o aplicativo do Facebook instalado no da Vasco, é ideal para isso (figura 5).
smartphone e associá-lo à conta nas Uma vantagem desta solução é que
o administrador não precisa instalar e
operar qualquer software de backend,
pois este é fornecido na nuvem pela
empresa (quadro 3).
O frontend é um token de software
OTP para smartphones iOS, Android ou
BlackBerry; alternativamente, software
cliente com suporte Java está disponível
para telefones móveis. Além disso, é pos-
sível integrar tokens de hardware, que a
Vasco distribui em feiras de TI. Como
primeiro passo, os usuários devem se
registrar [23] e instalar o token de soft-
ware livre através das respectivas lojas
de aplicativos. O software cliente Java
é transferido para o smartphone através
de um link para download. Para sites de
comunidades menores com uma URL,
até 100 usuários e 1.000 transações de
autenticação por ano, o “Starter Edi-
tion” do Mydigipass.com é totalmente
gratuito. Pacotes maiores começam a
www.linuxmagazine.com.br

Figura 6 O token de demonstração online da Vasco permite aos usuários testar
o login seguro no Mydigipass.com.
partir de 3 mil dólares americanos (ou
2 mil euros) por ano, mas incluem 500
usuários e 10 mil operações de autenti-
cação (Premium), ou 10 mil usuários
e 250 mil operações de autenticação
(Executive) ao ano.
Hardening do Drupal
com Mydigipass
O módulo Mydigipass também pode
ser utilizado para fazer o harden o
popular Drupal CMS adicionando
o Mydigipass login API (figura 7).
O guia a seguir explica a instalação
e configuração baseada no Drupal
6.27. A principal exigência é que o
servidor web possa acessar o serviço
Mydigipass.com com uma conexão
HTTPS de saída. Se o servidor web
estiver atrás de um firewall, será pre-
ciso abrir a porta 443/TCP do servidor
web para o domínio mydigipass.com.
Em nosso laboratório, o plugin só
funcionou corretamente com “Clean
URLs” habilitadas no Drupal. Clean
URLs criam URLs legíveis, sem ca-
racteres especiais. O administrador
do Drupal pode ativá-las clicando
em Administer/Clean URLs/Enabled.
Como o servidor web também deve
suportar esse recurso, o administrador
deve habilitar o módulo de reescrita
mod_rewrite no servidor web Apache.
Linux Magazine #102 | Maio de 2013
Para começar, baixe o arquivo com
o plugin [24] e descompacte-o no di-
retório sites/all/modules/mydigipass
da instalação Drupal (por exemplo,
/var/www/drupal/sites/all/modules/
mydigipass). Em seguida, inscreva-se
para uma conta de desenvolvedor
em https://developer.mydigipass.com,
faça o login e então siga para a seção
Sandbox. De lá, clique em Connect
a test site e digite um identificador
e um nome de exibição para o site;
eles podem ser idênticos.
Como Redirect uri, entre com
http://<Your-Domain>/ mydigipass/
Figura 7 Configurar o plugin Mydigipass é simples se usarmos o módulo
de configuração do Drupal. Um modo especial permite testar a
configuração imediatamente, sem que haja o bloqueio do CMS.
Autenticação segurança | SEGURANÇA
callback. Após a criação do site, o
client_id e client_secret aparecem no
portal. Insira estes valores nos campos
apropriados do módulo Mydigipass no
Drupal (Administer/MYDIGIPASS.
COM). Selecione a opção Sandbox/
developer em Environment para ha-
bilitar a integração Mydigipass.com.
Testes mixed-mode
Para os primeiros testes, o usuário
deve ativar o mixed-mode para estar no
lado seguro. Depois, pode continuar
a logar na instalação do Drupal com
o nome de usuário e senha se algo der
errado com a tentativa de integração
do Mydigipass.com. No decorrer da
configuração do módulo, é possível
personalizar os vários estilos de botão
para o login e, se desejado, criar cam-
pos de dados para as contas de usuário.
Finalmente, devemos conectar a
conta de usuário Drupal com o u-
suário registrado no Mydigipass. Para
fazer isso, selecione My Account/
Edit (Minha Conta/Editar) no Dru-
pal e pressione o botão Connect with
MYDIGIPASS.COM (Conectar com
MYDIGIPASS.COM). Se tudo der
certo, o Drupal informa que “The
user has been successfully linked to
MY DIGIPASS.COM” (O usuário foi
associado com sucesso ao MY DIGI-
59
 SEGURANÇA | Autenticação segurança

Quadro 4: Reservas Gostou do artigo?

Mydigipass Queremos ouvir sua opinião.
No GitHub [25], a Vasco fornece Fale conosco em: cartas@linuxmagazine.com.br
alguns plugins para sistemas de
Este artigo no nosso site: http://lnm.com.br/article/8578
gerenciamento de conteúdo e
blogs, incluindo WordPress, Drupal
e Magento, como downloads
gratuitos. Infelizmente, nenhum Mais informações
dos plugins está atualizado com
[1] 3-e houses: http://www.3ehouses.eu/
os respectivos aplicativos web.
Por exemplo, o plugin WordPress [1] QTrust 2go Smart: http://www.qgroup.de/index.php?setLang=2/
só é compatível até a versão
3.3.2 – embora a versão atual [2] PCI DSS: https://www.pcisecuritystandards.org/security_standards/
do WordPress seja a 3.5.1.
[3] RSA Security: http://www.emc.com/domains/rsa/index.htm
Como os administradores do
WordPress são sempre obrigados [4] Safenet: http://www.safenet-inc.com/
a atualizar seus aplicativos por
conta de uma série contínua de [5] SMS Passcode: http://www.smspasscode.com/
novas vulnerabilidades, não é
[6] Zyxel: http://www.zyxel.com/homepage.shtml
recomendável o uso do plugin
WordPress. A Vasco precisa agir [7] OPIE: http://en.wikipedia.org/wiki/OPIE_Authentication_System/
urgentemente aqui e garantir
que os plugins correspondam [8] OATH: http://www.openauthentication.org
às versões mais recentes. Mais
plugins para outros sistemas [9] Openkubus: http://code.google.com/p/openkubus/ (in German)
populares como Joomla e Typo3
[10] LSE LinOTP: http://lsexperts.de/
seriam desejáveis também.
linotp-strong-user-authentication.html

PASS.COM), e podemos fazer login [11] Mobile-OTP: http://motp.sourceforge.net

no Drupal via Mydigipass. Antes que
ja possível fazer o login no Drupal
via Mydigipass pela primeira vez, no
entanto, devemos primeiro sair do
portal do desenvolvedor e do Drupal
e fechar o navegador para limpar os
cookies da sessão (quadro 4).
[12] TOTP: http://tools.ietf.org/html/rfc6238/
[13] HOTP: http:// tools.ietf.org/html/rfc4226/
[14] Logging in with substitute codes: http://support.google.
com/accounts/bin/answer.py?hl=en&answer=180744/
[15] FreeBSD one-time passwords: http://www.freebsd.org/doc/
en_US.ISO8859-1/books/handbook/one-time-passwords.html

Conclusão [16] Android Opiekey: http://android.f00d.nl/opiekey/

O uso de fortes soluções de auten-
ticação é altamente recomendável,
dado o grande número de ataques de
hackers com sucesso a credenciais
de acesso. Vítimas proeminentes do
passado recente são a PlayStation Ne-
twork, da Sony, Yahoo! e LinkedIn. O
custo de implementação e operação
de uma solução de autenticação de
dois fatores é relativamente baixo,
considerando o alto potencial de
um ataque bem sucedido aos dados
de um usuário. Conexões de acesso
remoto e aplicativos web menores
podem passar por hardening gratui-
tamente com o Google Authenticator
e o Mydigipass.com. ■
[17] Google Authenticator: http://code.google.com/p/google-authenticator/
[18] GA Download: https://code.google.com/p/
google-authenticator/downloads/list/
[19] Security key by PayPal: https://www.paypal.com/us/
cgi-bin/webscr?cmd=xpt/Marketing_CommandDriven/
securitycenter/PayPalSecurityKey-outside/
[20] Mydigipass API: https://developer.mydigipass.com/api
[21] Demo token: http://demotoken.vasco.com/go3.html
[22] Vasco: http://www.vasco.com
[23] Mydigipass: https://www.mydigipass.com/
[24] Drupal Mydigipass module: http://drupal.org/project/mydigipass/
[25] Mydigipass plugins: https://github.com/vasco-data-security/

60 www.linuxmagazine.com.br

Gerenciamento de cluster
Como lidar com
pacotes de cluster
Adicionar e eliminar software a partir de um cluster em execução pode ser complicado;
no entanto, muitos pacotes de aplicativos podem ser adicionados ou removidos
facilmente com algumas ferramentas e alguns truques simples.
por Douglas Eadline
I
nstalar e configurar um cluster
HPC não é tão difícil como cos-
tumava ser; algumas ferramentas
fornecem recursos agradáveis que
permitem a praticamente qualquer
pessoa obter sucesso em pouco tem-
po. Uma questão que vale a pena
considerar, no entanto, é a facili-
dade com que podemos mudar as
coisas, uma vez que o cluster esteja
em funcionamento. Por exemplo,
se um usuário receber um cluster
configurado e, em seguida, apa-
recer alguém e dizer: “preciso de
um pacote XYZ construído com a
biblioteca EFG versão 1.23”, existirá
a possibilidade de reprovisionar as
coisas a fim de atender tal necessi-
dade, ou haveria uma maneira fácil
de adicionar e remover software de
um cluster em execução que seja
minimamente invasiva?
A resposta é “sim”. Antes de des-
crevermos como podemos organizar
um cluster para ser mais maleável,
alguma menção sobre provisiona-
mento de pacotes será útil. Três
métodos básicos são oferecidos por
vários conjuntos de ferramentas:
➧ Image Based – Uma imagem de
nó de disco é propagada para os nós
na inicialização. Diferentes “rolls”
(imagens) podem ser construídos
para diferentes pacotes. Um exemplo
são os Rocks Clusters [1].
Linux Magazine #102 | Maio de 2013
➧ NFS Root – Cada nó faz o boot
e instala tudo como NFS root, exceto
para coisas que mudam para cada
nó (por exemplo, /etc, /var). Este
sistema pode ser executado com
menos disco ou com o disco cheio.
Um exemplo é o oneSIS [2].
➧ RAM Disk – Um disco RAM
será criado em cada nó que man-
tém uma imagem do sistema em
execução. O sistema de disco RAM
pode ser criado em modo híbrido,
no qual alguns arquivos estão dis-
poníveis através do NFS, e ele pode
ser executado com menos disco ou
com o disco cheio. Um exemplo é o
Warewulf [3]. (Uma boa descrição
do Warewulf pode ser encontrada na
série HPC Admin do Warewulf [4]).
Independentemente do sistema
de provisionamento, o objetivo é
fazer alterações sem a necessida-
de de reiniciar os nós. Nem todas
as mudanças podem ser feitas sem
reiniciar nós (ou seja, mudando o
provisionamento subjacente); no en-
tanto, muitos pacotes de aplicativos
podem ser adicionados ou removidos
sem muita dificuldade se algumas
medidas simples forem tomadas.
Dump em /opt
Em quase todos os clusters HPC, os
usuários possuem um /home compar-
tilhado globalmente, e um /opt path
Gerenciamento de cluster | TUTORIAL
TUTORIAL
global compartilhado também é pos-
sível. O NFS é utilizado em pequenos
e médios clusters para compartilhar
esses diretórios. Em clusters maiores,
alguns tipos de sistemas de arquivos
paralelos podem ser necessários. Em
qualquer caso, sempre existe um me-
canismo para compartilhar arquivos
em todo o cluster.
O método mais simples é instalar
os pacotes em /opt. Esta abordagem
possui a vantagem de “instalar uma
vez e estar disponível em todos os
lugares”, embora tenhamos que
enfrentar alguns problemas com os
arquivos de log; no entanto, em ge-
ral, este método irá funcionar com a
maioria dos aplicativos de software.
A questão principal com a qual
os administradores devem lidar é
a biblioteca de vínculo dinâmico.
Como os pacotes não estão insta-
lados no caminho padrão /usr/lib
e não desejamos copiar entradas
de pacotes em /etc/ld.so.conf/ nos
nós, precisamos de uma forma de
gerenciar o local para as bibliotecas.
Claro, fazer a vinculação estática
completa é uma possibilidade, e
usar o LD_LIBRARY_PATH é outra, mas
ambas as soluções impõem algumas
exigências extras sobre os usuários, o
que, no final das contas, volta para
o administrador de sistemas para
suportar quaisquer problemas. O
61
 TUTORIAL | Gerenciamento de cluster
método preferido é instalar pacotes
que “simplesmente funcionam”.
A solução é muito simples. Pri-
meiro, crie /opt/etc/ld.so.conf.d/
para que todos os pacotes posicionem
seus caminhos de biblioteca em ar-
quivos conf, como fariam em /etc/
ld.so.conf.d/. Em seguida, é neces-
sário fazer uma pequena inclusão em
/opt/etc/ld.so.conf para todos os nós
(ou seja, precisa ser parte da etapa de
provisionamento do nó, por isso está lá
após o boot do nó). A linha adicional é:
include /opt/etc/ld.so.conf.d/*.conf
Esta nova linha informa ao
ldconfig que deve procurar em /opt/
etc/ld.so.conf.d/ por caminhos de
biblioteca adicionais. Se um pacote
é adicionado ou removido, tudo o
que precisa acontecer é um ldconfig
global em todos os nós para atualizar
os caminhos da biblioteca. Esta
etapa pode ser facilmente concluída
com uma ferramenta como a pdsh.
Assim, instalar um pacote global no
cluster é tão simples como instalá-
lo em /opt, com uma entrada em
/opt/etc/ld.so.conf.d/ e execução
em um ldconfig global.
Se, por exemplo, possuirmos a
versão atual do Open MPI instalada
e um usuário quiser experimentar
as bibliotecas PetSc com uma nova
versão, poderá facilmente instalar e
compilar tudo em /opt e terá o usuá-
rio executando o novo código sem
reiniciar nós ou instruindo-os sobre
as nuances da LD_LIBRARY_PATH. Agora
Listagem 1: Carregamento
de módulos
01 if [ ‑z $NOMODULES ] ; then
02 LOADED=`echo ‑n /etc/ssh/ssh_config como o /etc/ssh/
$LOADEDMODULES|sed 's/:/ /g'`
03 for I in $LOADED
04 do
05 if [ $I != "" ] ; then
06 module load $I
07 fi
08 done
09 else export LOADEDMODULES=""
10 fi
62
que obtemos uma maneira de adi-
cionar e remover pacotes facilmente
do cluster, precisamos informar aos
usuários sobre como usá-los.
Módulos de
ambiente global
Em um artigo da Admin HPC, des-
crevemos o pacote de módulos de
ambiente [5]. (Recentemente obser-
vamos que alguns outros autores da
Admin HPC também têm coberto
o mesmo tema [6]). O uso dos mó-
dulos de ambiente [7] fornece fácil
gerenciamento de várias versões e
pacotes em um ambiente HPC di-
nâmico. Um dos problemas, no en-
tanto, é como manter os módulos de
ambiente quando utilizamos outros
nós. Se usarmos o SSH para fazer login
nos nós, então teremos uma maneira
fácil de manter (ou não manter) o
módulo de ambiente.
Com um pouco de configuração,
o protocolo SSH permite a passagem
de variáveis de ambiente. Além disso,
os módulos atualmente carregados
são armazenados em uma variável
de ambiente chamada LOADEDMODULES.
Por exemplo, se carregarmos dois
módulos (ftw e mpich2) e, em segui-
da, olharmos para o nosso ambiente,
encontraremos:
LOADEDMODULES=
fftw/3.3.2/gnu4:mpich2/1.4.1p1/gnu4
Neste ponto, tudo o que preci-
samos fazer é inclui-lo em todas
as sessões de cluster SSH, e então
podemos recarregar o módulo de
ambiente. Para passar uma variável
de ambiente via ssh, tanto o arquivo
sshd_config precisam ser alterados.
Para começar, o arquivo /etc/ssh/
ssh_config precisa ter a seguinte linha
adicionada a ele:
AcceptEnv LOADEDMODULES NOMODULES
Tenha em mente que poderá usar
a opção de host no arquivo ssh_con‑
fig para restringir os hosts de receber
esta variável. Da mesma forma, o ar-
quivo sshd_conf precisa da seguinte
linha adicionada:
SendEnv LOADEDMODULES NOMODULES
Uma vez que o serviço SSHD seja
reiniciado, as futuras sessões SSH irão
transmitir as duas variáveis para logins
SSH remotos. Antes que o login remo-
to possa usar os módulos, ele deve ser
carregado. Este passo pode ser realizado
pela inclusão de um pequeno pedaço
de código ao script .bashrc do usuário,
como mostrado na listagem 1.
Como pode ser visto a partir des-
te código, se NOMODULES for definido,
nada é feito, e nenhum módulo é
carregado. Se não for definido, cada
módulo listado em LOADEDMODULES é
carregado. Note que esta configu-
ração assume o pacote do módu-
lo e os arquivos do módulo ficam
disponíveis para o nó. Considere o
exemplo da listagem 2, na qual os
dois módulos são carregados (fftw
e mpich2) antes de efetuar login em
outro nó (n0, neste caso). No pri-
meiro login, os módulos são carre-
gados no nó remoto. No segundo
login, com NOMODULES configurado,
nenhum módulo está disponível:
conforme observamos, um pressu-
posto importante é a disponibilidade
dos arquivos de módulo para todos
Listagem 2: Definição
de NOMODULES
01 $ module list
02 Currently Loaded Modulefiles:
03 1) fftw/3.3.2/gnu4 2) 01
mpich2/1.4.1p1/gnu4
04 $ ssh n0
05 $ module list
06 Currently Loaded Modulefiles:
07 1) fftw/3.3.2/gnu4 2) 01
mpich2/1.4.1p1/gnu4
08 $ exit
09 $ export NOMODULES=1
10 $ ssh n0
11 $ module list
12 No Modulefiles Currently
Loaded.
www.linuxmagazine.com.br
 Gerenciamento de cluster | TUTORIAL

os nós. Ao colocar os arquivos de
módulo no NFS compartilhado
/opt, todos os nós podem encontrar
os arquivos de módulo em um só
lugar, e eles podem ser adicionados
ou removidos sem alterar a imagem
em execução no nó.
Em direção ao
que um ldconfig local é feito por
quase todos os RPMs).
Claro, construir boas RPMs
leva algum tempo, mas uma vez
que tenhamos o “esqueleto” bási-
co, não será tão difícil arrastá-las
para os passos configure/make/ins-
tall para vários pacotes. Uma vez
que o usuário possua boas RPMs
de cluster para seus aplivativos,
no entanto, a instalação e reins-
talação é simples, conveniente,
e compreende todo o cluster. n
Gostou do artigo?
Queremos ouvir sua opinião.
Fale conosco em:
cartas@linuxmagazine.com.br
Este artigo no nosso site:
http://lnm.com.br/article/8579

cluster RPM
O ingrediente final para esta receita
é encapsular ambas as ideias em
pacotes RPM; ou seja, um RPM
vai instalar um pacote em /opt,
fazer a entrada em /opt/ld.so.
conf.d, e instalar um arquivo de
módulo. Dessa forma, com exce-
ção de um ldconfig global, todo
o pacote poderia ser instalado
no cluster inteiro em uma única
etapa. Se o pdsh (ou similar) fo-
rem necessários como parte do
processo de instalação do RPM,
o ldconfig global poderia ser fei-
to pelos RPMs (da mesma forma
Mais informações
[1] Rocks Clusters: http://www.rocksclusters.org/wordpress/
[2] oneSIS: http://onesis.org/
[3] Warewulf: http://warewulf.lbl.gov/trac/
[4] Gerenciamento de cluster Warewulf: http://www.admin‑magazine.com/
HPC/Articles/Warewulf‑Cluster‑Manager‑Master‑and‑Compute‑Nodes/
[5] Gerenciamento do ambiente de módulos : http://
www.admin‑magazine.com/HPC/Articles/
Managing‑the‑Build‑Environmentwith‑Environment‑Modules/
[6] Módulos de ambiente Lmod: http://www.admin‑magazine.com/
HPC/Articles/Lmod‑Alternative‑Environment‑Modules/
[7] Módulos de ambiente: http://modules.sourceforge.net/

Tem Instalação e congifuração de

servidores VoIP com Asterisk.

novidade Configuração de ramais,

extensões, secretária eletrônica,
na Coleção monitoramento e espionagem
de chamadas, planos de
discagem, URA e muitos outros
Academy! aspectos que abordam o uso de
centrais telefônicas IP PBX.

Disponível no site
www.LinuxMagazine.com.br

Linux Magazine #102 | Maio de 2013 63

 TUTORIAL | Desfragmentação
Desfragmentação
Otimize a organização
TUTORIAL
de dados em disco
O Defragfs otimiza arquivos em um sistema e permite que vídeos carreguem mais
rapidamente e que grandes arquivos abram em um piscar de olhos.
por Erik Bärwaldt
E
m época de conteúdo di-
gital, coleções de dados
em domicílios residenciais
estão crescendo rapidamente. Ao
considerarmos que, apenas poucos
anos atrás, discos rígidos com al-
gumas centenas de gigabytes eram
perfeitamente suficientes, hoje,
a capacidade de armazenamento
em disco de vários terabytes é co-
mumente utilizada. O sistema de
arquivos Linux ext2, ext3 e ext4 e
não precisa de muita atenção, mas,
ao longo do tempo, após inúmeras
escritas e exclusões, os dados se
tornam fragmentados. Isto diminui
não só o disco rígido em si, como
também todo o sistema – por vezes
de maneira notável. Assim, os usuá-
rios avançados, mesmo no Linux,
são aconselhados a ocasionalmente
reorganizar os dados.
Fragmentado
A fragmentação é algo que afeta
principalmente arquivos maiores
que não cabem completamente
no espaço livre do disco rígido por
conta de uma falta de espaço contí-
guo suficientemente grande; assim,
um arquivo irá residir em diferentes
segmentos (quadro 1). Quando um
arquivo é lido, as cabeças de leitura se
mudam para uma nova posição várias
vezes para recolher os fragmentos.
64
Este movimento leva tempo e
continua a aumentar em discos for-
temente fragmentados. Os dados do
usuário não são a única contribuição
para a fragmentação, o próprio siste-
ma operacional incentiva a grande
divisão: usuários avançados que gos-
tam de experimentar e muitas vezes
testar softwares também contribuem
para a fragmentação através da insta-
lação de novos programas para, em
seguida, excluí-los.
Partições nas quais mais da me-
tade da capacidade é utilizada irão
fragmentar os dados mais fortemen-
te, já que o sistema precisa espalhar
arquivos maiores por um número
maior de áreas por conta da falta
de espaço livre. Em última análise,
ferramentas geralmente úteis como
BleachBit [1] ou Rpmorphan [2]
podem agravar a situação, sob certas
circunstâncias, removendo arquivos
que não são mais necessários: elimi-
nações entre segmentos alocados
geram blocos livres não contíguos.
Prevenção
Para minimizar a desfragmentação
de arquivos, sistemas de arquivos
comuns, como ext2 e seus suces-
sores ext3 e ext4 incluem alguns
mecanismos para neutralizar o
efeito. Por exemplo, na tentativa
de copiar completamente os dados
livres para um espaço contíguo no
disco rígido, o sistema de arquivos
mantém os dados a serem escritos
na memória RAM por um período
de tempo até que o tamanho final
seja determinado. Além disso, os
sistemas de arquivos reservam gru-
pos de blocos livres no disco rígido
para armazenar por completo o
volume de novos arquivos.
Mesmo tais mecanismos pen-
sados para o futuro não podem li-
dar plenamente com o problema.
Quadro 1: Teoria
Um disco de computador precisa de pelo
menos uma partição, que contnha um
sistema de arquivos. Grandes discos de
várias centenas de gigabytes de capa-
cidade costumam ter várias partições,
que por sua vez separam perfeitamente
o sistema operacional e os dados.
Em cada partição, o sistema de
arquivos é responsável pela estru-
tura dos dados, que são organiza-
das em blocos no disco rígido. Em
discos rígidos menores, um bloco
possui 512 bytes.
Há relativamente pouco tempo,
os fabricantes começaram a oferecer
unidades de formato avançado (AFD)
com um tamanho de bloco de 4KB.
Estas unidades possuem capacida-
des muito altas de armazenamento
– de centenas de gigabytes até um
certo número de terabytes. Para
sistemas operacionais mais antigos,
eles fornecem eletrônica que emula
um tamanho de bloco de 512 bytes.
www.linuxmagazine.com.br

Figura 1 O Linux utiliza ferramentas padrão para fornecer informações significativas sobre o sistema de arquivos.
Como para muitos problemas, o
Linux inclui soluções padrão para
as quais outros sistemas operacio-
nais requerem software adicional
e, muitas vezes, caro. A fragmen-
tação não é uma exceção, com o
Linux oferecendo uma série de
maneiras para resolver o problema.
Antes de iniciar o que poderia ser
uma execução de desfragmentação
bastante demorada – dependendo
do tamanho da partição – devemos
primeiro verificar se o disco em
questão é afetado pelo problema.
Baixo fluxo de dados em um siste-
ma não indica, necessariamente,
um disco fragmentado. Com os
novos discos rígidos da AFD, em
particular, uma partição configu-
rada incorretamente pode levar à
perda significativa de velocidade,
mesmo sem dados fragmentados.
Figura 2 Aqui, o sistema de arquivos apenas fez a divisão de alguns dados.
Linux Magazine #102 | Maio de 2013
Para determinar o grau de frag-
mentação, primeiro é preciso ins-
talar o pacote e2fsprogs, se isto já
não for feito durante a configura-
ção inicial. As ferramentas inclu-
ídas neste pacote fornecem dados
importantes sobre os sistemas de
arquivos ext2/3/4. Certifique-se
de desmontar a partição antes.
Para fazer isso, se necessário, use
o comando:
$ umount <devicefile>
e execute o seguinte comando
com privilégios administrativos
em um terminal:
# e2fsck ‑fn <devicefile>
Quando verificarmos a partição,
veremos uma saída que mostra a por-
centagem de blocos não contíguos
na última linha. Não deixe que o
Desfragmentação | TUTORIAL
que pode parecer um valor elevado
o assuste: a desfragmentação não
vale a pena no Linux até que o va-
lor aumente para mais de 20% dos
blocos não contíguos (figura 1). Se
quiser detalhes mais precisos sobre
o grau de fragmentação, também é
possível usar o comando:
# dumpe2fs <devicefile>
para uma descrição detalhada. A
ferramenta primeiro lista infor-
mações sobre o tipo de sistema de
arquivos e, em seguida, os grupos
de blocos individuais e seus res-
pectivos dados.
Na lista de grupos, observe a li-
nha free blocks:. Se só encontrar
uma área aqui, é porque está tudo
OK. Mas se encontrar vários blocos
livres, os dados contidos neste grupo
estão parcialmente fragmentados.
Quanto mais blocos a ferramenta
disponibiliza, mais grupos de blo-
cos serão afetados, e mais forte-
mente os dados da partição serão
fragmentados (figura 2).
Arquivos grandes
Salvar e apagar arquivos grandes
com frequência, como arquivos
multimídia, muitas vezes abre bu-
racos nas estruturas de dados. Se
os dados de um filme de alta re-
solução forem distribuídos entre
seções espaçadas, a imagem pode
conter artefatos ou será possível
experimentar uma reprodução ir-
regular. Nestes casos, faz sentido
verificar a consistência do arquivo.
65
 TUTORIAL | Desfragmentação
Figura 3 O sistema de arquivos muitas vezes quebra grandes arquivos multimídia em pedaços menores, que, em
seguida, são armazenados em diferentes lugares sob determinadas circunstâncias.
Para isso, torne-se root e execute
o comando:
# filefrag <file>
O Filefrag então examina o arquivo
e retorna informações mais detalhadas
sob o seu respectivo estado (figura 3).
O número de extensões, isto é, blocos
de arquivo não contíguos, revela o
grau de fragmentação. Quanto mais
extensões o software determina, pior
é a divisão do arquivo afetado.
Limpeza
Existem diferentes métodos para
reunir os arquivos: se o usuário tiver
tempo de sobra para gastar, poderá
copiar os dados da partição afetada
para outro disco, excluir os dados
originais e, em seguida, restaurar os
arquivos copiados para o disco ori-
ginal. Isto irá assegurar áreas contí-
guas de dados. A desvantagem deste
método é a enorme quantidade de
tempo que leva para coletas grandes
de dados – especialmente se for uti-
Figura 4 O Defragfs reúne com segurança os grandes arquivos.
66
lizado o armazenamento em massa
em uma interface USB 2.0 como
um meio de backup.
Existem diferentes métodos para
reunir os arquivos: se o usuário
possuir tempo de sobra para gastar,
copie os dados da partição afetada
para outro disco, exclua os dados
originais e, em seguida, restaure
os arquivos copiados para o disco
original. Isto irá assegurar áreas de
dados contíguas. A desvantagem
deste método é a enorme quantida-
de de tempo que leva para coletas
de dados grandes – especialmente
se for usado armazenamento em
massa com uma interface USB 2.0
como meio de backup.
Como o grau de fragmentação de
um disco rígido no Linux é muitas
vezes no intervalo percentual de um
dígito, mesmo após o uso por alguns
anos, a comunidade de desenvolvedo-
res não tem prestado muita atenção
à manutenção de dados no passado.
Apenas alguns programas de linha de
comando lidam com este problema
– e, destes, apenas um impressionou
em nosso laboratório: o Defragfs
[3]. Para começar, descompacte a
pequena ferramenta em uma pasta.
Apesar de seu pequeno tamanho de
pouco menos de 9KB, o script Perl
fornece um recurso surpreendente:
ele não apenas desfragmenta os di-
retórios e partições, como também
fornece informações detalhadas sobre
o sucesso das ações. Para evitar ter
que especificar o caminho comple-
to quando a ferramenta é chamada,
copie o programa para o diretório
/usr/local/bin. Em seguida, inicie
a ferramenta com privilégios de
administrador usando o comando:
# defragfs <directoryname> ‑a
O Defragfs agora determina auto-
maticamente os valores apropriados e
mescla os arquivos individuais. Como
o script copia os arquivos anteriores e
posteriores, certifique-se que haja espa-
ço suficiente no diretório em questão.
www.linuxmagazine.com.br

Se quiser controlar a forma como
o software funciona, execute o
Defragfs sem parâmetros. Neste
caso, o Defragfs solicita entrada
várias vezes. Uma das críticas que
observamos em nosso laboratório
foi que a ferramenta retorna para
o início da rotina após completar
o trabalho. Neste caso, feche o
programa após a exibição das es-
tatísticas dos arquivos modificados
pressionando Ctrl+C.
Sucesso
O Defragfs gera uma lista com os seg-
mentos intercalados de um arquivo.
Para cada arquivo, ele mostra entre
parênteses o número de fragmentos
antes da cópia e, ao final de cada
linha, o número de blocos após a
execução. Na figura 4 podemos ver
que arquivos com. mais de 100MB,
em especial, possuem significati-
vamente menos segmentos após a
execução do Defragfs.
Agora você tem o controle sobre
o desempenho do seu negócio
sempre à sua mão.
Solução completa hospedada
em nuvem (Cloud Computing)
SOFTWARE
Linux Magazine #102 | Maio de 2013
Desfragmentação | TUTORIAL
Conclusão montados. A única desvantagem é
Sistemas de arquivos Ext2 e sucesso- a quantidade de tempo necessária
res são tão robustos que não precisam para salvar todos os arquivos em áre-
praticamente de nenhuma interven- as livres – como em cópias manuais
ção manual. No entanto, um usuário – para, em seguida, restaurá-los. No
avançado com um fraco por multimí- entanto, o Defragfs muitas vezes re-
dia ou acostumado a operar um ser- compensa pela paciência, com me-
vidor com grandes transferências de lhor desempenho do disco. n
dados possivelmente desejará verificar
os discos rígidos ao longo do tempo. Gostou do artigo?
A única ferramenta que funcionou Queremos ouvir sua opinião.
de forma confiável no sistema de ar- Fale conosco em
quivos ext2 em nosso laboratório foi cartas@linuxmagazine.com.br
o Defragfs. Este programa trabalha Este artigo no nosso site:
http://lnm.com.br/article/8575
sem nenhum problema em discos
Mais informações
[1] “Bleachbit” by Erik Bärwaldt, Linux Magazine, November 2009, pg.
60: http://www.linuxpromagazine.com/Issues/2009/108/BleachBit/
[2] “RPM Tools” by Erik Bärwaldt, Linux Magazine, December 2012, pg.
44, http://www.linuxpromagazine.com/Issues/2012/145/RPM‑Tools/
[3] Defragfs: http://defragfs.sourceforge.net/
Saiba mais em:
www.vectory.com.br
+55 11 3104 6652
A solução de gestão integrada ADempiere é um poderoso
sistema ERP, CRM e SCM de Código Aberto, que conta com
um conjunto completo de recursos, organizados através de
processos de negócios. Essa organização resulta em uma
plataforma única, totalmente integrada e consistente, propor-
cionando aos usuários uma visão integral de sua empresa e
permitindo uma análise em 360 graus de todo o relacionamento
com clientes, fornecedores e colaboradores. 67
 ANDROID | Google Nexus 10
Google Nexus 10
Nexus 10
ANDROID
A gigante Google lança um novo dispositivo pronto para combater o iPad.
O Nexus 10 associa um bom hardware à versão mais recente do
Android, tudo isso com um bom preço e um visual matador.
por Flávia Jobstraibizer
O
Nexus 10, novo tablet da
gigante de Redmond, é
produzido pela Samsung
e é a nova menina dos olhos da
corporação, que surpreende a cada
novo lançamento. Com uma estru-
tura emborrachada cinza escuro, o
tablet é arredondado, não escorrega
facilmente das mãos e possui alto
falantes bem localizados, evitando
assim o problema presente em ou-
tros tablets de que o modo de pegar
o aparelho obstrui a saída de som
(figura 1). Com uma espessura de
8,9mm e um peso de 603gr, o Nexus
10 é mais leve e menor do que o Ne-
xus 7, o que garante, naturalmente,
maior mobilidade ao equipamento.
Figura 1 Visual agradável, leveza e qualidade no acabamento são os primeiros
atrativos do dispositivo.
68
Na parte frontal estão localizadas
a câmera, que possui a resolução de
1.9MP, o sensor de luminosidade do
ambiente e um led de notificações.
A parte de trás do tablet abriga a
câmera principal de 5MP, seu res-
pectivo flash e um microfone. As
portas micro USB, entradas para
fones de ouvido e porta HDMI estão
localizadas na lateral do aparelho.
Em geral, a carcaça do apare-
lho é muito bem feita (figura 2).
A tela é capacitiva, multitoque e
composta da robusta tecnologia
resistente à arranhões Corning
Gorilla Glass 2, com a resolução
HD (High Definition) de 2560x1600
pixels e 16.7 milhões de cores (fi-
gura 3 ). O tablet vem equipado
com um processador dual-core
Exynos 5250 com 2 núcleos Cortex
A-15 de 1.7GHz e possui 2GB de
memória RAM. São comercializa-
das versões com 16GB ou 32GB de
espaço em disco, no entanto não
são expansíveis através de cartões
SD. A duração da bateria é bas-
tante razoável, evitando a recarga
diária necessária em alguns tablets
comercializados atualmente. Não
é possível utilizar o 3G através de
cartões SIM, no entanto é possí-
vel utilizar modems 3G através
da porta micro USB do aparelho.
Como recursos básicos, Bluetoo-
th e NFC estão disponíveis, as-
sim como acelerômetro, bússola,
giroscópio, barômetro e GPS. O
Android presente no aparelho é o
4.2 Jelly Bean.
Pequenos problemas
Aparentemente, o Nexus 10 não é
perfeito. Alguns problemas de ini-
cialização foram observados por uma
boa soma de usuários. O Android
Jelly Bean do aparelho é puro, sem
personalizações da Samsung ou mes-
mo do Google. Sendo assim, pode
ser necessária a instalação de alguns
aplicativos adicionais para melhorar
a usabilidade do aparelho.
Um outro aspecto negativo do
aparelho, é sua lentidão para carre-
gar a bateria. Frente à outros dispo-
www.linuxmagazine.com.br

Figura 2 O corpo emborrachado do
aparelho não tira sua beleza.
sitivos da mesma linha, o Nexus 10
leva em média 3 vezes mais tempo
para carregar sua bateria até 100%.
A falta de slots de expansão para
cartões SD adicionais são outra re-
clamação dos usuários, assim como
a limitação do player de video, que
só executa filmes no formato MP4
(ou então filmes da Internet).
Compartilhamento
O compartilhamento do dispositivo,
que proporciona o uso do aparelho
por vários usuários, é um dos recursos
oferecidos pelo Android Jelly Bean
do Nexus 10. Cada perfil de usuário
poderá ser personalizado de acordo
com suas preferências pessoais, tor-
nando a usabilidade do dispositivo
em uma experiência única para
cada um.
A personalização ainda vai além:
cada usuário poderá definir seus
próprios atalhos na tela inicial do
Figura 3 A nova versão da tecnologia Gorilla Glass torna a tela ainda mais resistente.
Linux Magazine #102 | Maio de 2013
aparelho, o tema, modos de apre-
sentação dos aplicativos instalados,
vincular sua conta Google ao perfil
e muitos outros recursos.
Desempenho
O aplicativo para benchmark e análise
de desempenho AnTuTu apresentou
a pontuação de 13630 pontos, o que é
considerado excelente diante de outros
aparelhos da mesma categoria. Já no
Vellamo Mobile Benchmark, que faz
testes ainda mais precisos no que tange
à aceleração 3D, CPU e desempenho
do processador, 1841 pontos foram ob-
tidos no quesito desempenho, sendo
uma pontuação bastante alta para um
aparelho desta complexidade.
Testamos ainda a edição de videos
em aplicativos comuns, encontrados
na loja do Google, e o Nexus 10 se
mostrou tão competente quanto um
desktop. A edição ocorreu sem tra-
vamentos e a reprodução do video
(embora em formatos limitados)
ocorreu normalmente.
Para os fãs de games, uma ótima
notícia: instalamos os mais recentes
jogos disponíveis no Google Play e
o resultado foi surpreendente: ne-
nhum travamento (exceto quando
tratava-se de algum tipo de conexão
necessária com a Internet), delay
ou problema de qualquer tipo foi
encontrado na jogabilidade do
Google Nexus 10 | ANDROID
Figura 4 Nexus 10 durante
a execução do jogo
Steampunk Racing 3D.
aparelho. As respostas dos botões
virtuais são rápidas e a tela mos-
trou o poder de sua sensibilidade
e precisão durante o jogo (figura 4).
Conclusão
O Nexus 10 já é considerado o tablet
que pode brigar no mesmo patamar
com o iPad. Mais leve, mais rápido e
mais barato, o aparelho sem dúvida é
um concorrente de peso para o queri-
dinho da Apple. A Anatel homologou
este mês o aparelho para trabalhar com
a rede de telefonia e dados brasileira, o
que abriu caminho para as vendas do
aparelho no Brasil, ainda que não haja
uma previsão efetiva para o início das
vendas. A previsão é de que o preço do
Nexus 10 seja por volta de R$1200,00.
Fora do Brasil, o dispositivo já está sen-
do vendido por cerca de US$399,00.
Vamos aguardar! ■
Gostou do artigo?
g
Queremos ouvir sua
ua opinião.
Fale conosco em:
cartas@linuxmagazine.com.br
zine.com br
Este artigo no nosso
so site:
s e:
http://lnm.com.br/article/8643
artic 864
O autor
Flávia Jobstraibizer (fjobs@li-
nuxnewmedia.com.br, twitter: @
flaviajobs) é gerente de projetos
e analista de sistemas. Trabalha
com TI desde 1998 tendo atuado
em multinacionais e empresas de
diversos segmentos, trabalhando
com tecnologias livres e proprie-
tárias. Atualmente é editora-che-
fe das revistas Linux Magazine,
Admin Magazine e c’t.
69
 ANÁLISE
AN
ANÁ
A NÁ
NÁLIS
NÁLIS
LIIIS
L S
SE
E | E
Ex
Ext
Extensões
xtte
x
xtens
en
ens
nssõ
õe
ões
ess IM
e IMAP
MA
APP

Extensões IMAP

Extensões de
ANÁLISE

protocolo IMAP 4
Um conjunto de extensões de protocolo mantém o legado IMAP 4 utilizável, o que também ajuda os
clientes móveis. Apresentamos uma mistura saudável de extensões úteis.
por Patrick Ben Koetter e Kristian Kissling

Q
uando a primeira versão
do Internet Message
Access Protocol 4 (IMAP
4) apareceu, em 1994, os telefones
celulares pareciam mais com
tijolos do que com telefones
propriamente ditos – e não era
possível ir muito além disso.
Os dados digitais corriam pela
Internet através de modems em
doses homeopáticas. O Universal
Mobile Telecommunications
System (Sistema Universal de
Telecomunicações Móveis ou
UMTS) e clientes de email móveis
sequer existiam e o email ganhava
terreno timidamente.
Demanda crescente
Para adaptar o IMAP 4 às exigên-
cias modernas e especialmente de
clientes móveis, o Network Working
Group of the Internet Engineering
Task Force enriqueceu o protoco-
lo IMAP com uma série de RFCs
com extensões que oferecem no-
vos recursos ao IMAP, mas sem
incomodar clientes e servidores
que utilizam versões mais antigas.
Muitas das extensões de proto-
colo ainda estão na fase de pro-
posta; a wiki IMAP não ofi cial
[1] contempla uma lista bastante
abrangente (figura 1) se o usuário
estiver interessado em saber mais.
Algumas destas extensões são tam-
bém parte do perfil do Lemonade
(licença para aprimorar o acesso
à rede orientado por mensagem
para diversos ambientes). Sob
este guarda-chuva, a RFC 4550
[2] reuniu mais de 20 extensões
do protocolo IMAP explicitamen-
te para melhorar a comunicação
com os clientes móveis.
Embora seja possível que ne-
nhum servidor tenha implemen-
tado as extensões mais exóticas,
os administradores estão surpresos
de que precisem habilitar outras
extensões no servidor por não se-
rem parte integrante do protocolo
(tabela 1). Neste artigo, apresen-
tamos uma seleção de extensões
comumente usadas e explicamos
brevemente sua utilidade. Mais
detalhes estão disponíveis nas
RFCs relacionadas, que muitas
vezes possuem dezenas de páginas.

Descobertas:
CAPABILITY
O comando CAPABILITY [3] não é
uma extensão, mas um recursoim-
portante do IMAP 4. O cliente a
utiliza para descobrir quais exten-
sões o servidor suporta. O servidor
Figura 1 Esta matriz tenta esclarecer quais servidores IMAP implementam retorna uma longa linha que lista
quais melhorias. as capacidades como palavras-

70 www.linuxmagazine.com.br

-chave. Se o ID do comando [4] ocasionalmente responder com
é habilitado no lado do servidor, EXISTS (por exemplo, se for alterado
o cliente tem permissão para en- o tamanho das caixas de correio),
viar informações sobre si mesmo o cliente não pode contar com
para o servidor, como o número este comportamento e terá que
de versão e nome. No entanto, a solicitá-lo de qualquer maneira.
RFC dispõe que servidor e cliente Se o servidor retorna IDLE [5]
não devem usar esta informação como um recurso, o cliente pode
para tentar contornar os erros; permitir que ele envie mensagens
em vez disso, eles devem ajudar o não solicitadas sobre o novo email,
postmaster a identificar erros e a enquanto o cliente estiver no
notificar o fornecedor do software. modo IDLE. Para permitir isso, o
cliente envia um comando IDLE
Observador para o servidor, que responde com
um pedido de continuação ( +).
silencioso: IDLE Enquanto existir o status IDLE, o
De acordo com o protocolo servidor pode enviar mensagens
IMAP 4, o cliente deve informar sem sequência numérica (não
ativamente ao servidor por um novo tagueadas), tais como EXISTS
email disponível, ou por alguém ou EXPUNGE. O cliente em si não
que tenha excluído mensagens pode enviar quaisquer comandos
existentes, apesar de fazer mais próprios neste momento.
sentido ao servidor notificar o A relação master/slave termi-
cliente quando um novo email na assim que o cliente envia um
chega, já que tais pedidos sob DONE. Neste caso, o servidor envia
demanda acabam por salvar quaisquer linhas não tagueadas
recursos. Embora o servidor possa e responde com um número de
Cliente Servidor
* OK IMAP4rev1 Service Ready
a001 login mrc
secret Client logs in
a001 OK LOGIN completed
a002 select inbox
* 18 EXISTS
* FLAGS (\Answered \Flagged \Deleted \Seen \Draft)
* 2 RECENT
* OK [UNSEEN 17] Message 17 is
the first unseen message
a002 OK [READ-WRITE] SELECT completed
a003 fetch 12 full
* 12 FETCH (FLAGS (\Seen)
INTERNALDATE “17-Jul-1996 02:44:25 -0700”
RFC822.SIZE 4286
ENVELOPE (“Wed, 17 Jul 1996 02:23:25 -0700 (PDT)”
“IMAP4rev1 WG mtg summary and minutes”
((“Terry Gray” NIL “gray” “cac.washington.edu”))
((“Terry Gray” NIL “gray” “cac.washington.edu”))
((“Terry Gray” NIL “gray” “cac.washington.edu”))
((NIL NIL “imap” “cac.washington.edu”))
((“John Klensin” NIL “KLENSIN” “MIT.EDU”))
NIL NIL
Tabela 1 Quando um cliente se comunica com um servidor IMAP 4* (nota: *da Wikipedia alemã para IMAP)
Linux Magazine #102 | Maio de 2013
Extensões IMAP | ANÁLISE
sequência para o DONE. Se o cliente
não consegue terminar o coman-
do IDLE enviando DONE, o servidor
pode jogá-lo fora, assumindo um
tempo limite definido. Assim, a
RFC recomenda que os clientes
enviem outro IDLE aos 29 minutos
para evitar este problema.
Pré-filtrado: NOTIFY
O IDLE tem a desvantagem de não
controlar nem limitar quais coman-
dos o servidor envia e como ele
responde a determinados eventos.
Como o idle também só funciona
para uma única caixa de email, o
servidor e o cliente configuram
outra conexão TCP para cada con-
sulta de caixa adicional. O NOTIFY
[6], no entanto, coloca o cliente
no comando. Ele estende o IDLE,
deixando que o cliente determine
as caixas de email a partir das quais
deseja receber mensagens. Isso
torna o NOTIFY uma caixa de email
IDLE múltipla, ao mesmo tempo
em que simplifica a comunicação.
Explicação
Servidor recebe cliente
Cliente faz o log
Servidor reconhece
Cliente escolhe Inbox como pasta ativa
18 mensagens encontradas
Flags definidas
2 mensagens urgentes (por exemplo, “novo email”)
Mensagem 17 está como não lida; todas
as mensagens antigas foram lidas
Cliente pode ter feito alterações ao email
Cliente solicita informações sobre a mensagem 12
O email foi lido
Entregue em 17 de julho de 1996
Mais que 4KB
Cabeçalho do email:
Data
Assunto
De
Remetente
Responder para
Para
CC
71
 ANÁLISE | Extensões IMAP
O cliente usa NOTIFY SET para
especificar tanto as caixas de email
como o tipo de informação que
deseja receber. O servidor, em se-
guida, envia um conjunto de atri-
butos – juntamente com a resposta
FETCH – para o cliente, que agora
torna-se um observador passivo.
O efeito NOTIFY continua até que
o cliente envie um novo comando
NOTIFY ou até que uma das entida-
des feche a conexão IMAP. Como
alguns clientes móveis só desejam
atualizações para mensagens que
correspondem a um determinado
padrão de busca, o NOTIFY RFC tam-
bém define atributos adicionais
para a opção UPDATE, que entra em
vigor neste caso.
Sincronizado:
QRESYNC
A extensão QRESYNC [7] ressincroni-
za rapidamente com uma caixa de
email do usuário. É uma extensão
Figura 2 Os conteúdos das caixas de email podem ser baixados de forma
direcionada, como mostrado aqui no Thunderbird, e também
restaurados e buscados localmente, se necessário.
72
do comando CONDSTORE. Este, por
sua vez, verifica a caixa de email
para as mudanças de estado que
ocorrem quando um usuário está
usando diferentes clientes de email
ou quando vários usuários compar-
tilham uma caixa de email. Se um
usuário no cliente A altera o status
de um email para “não lida”, tam-
bém queremos que o cliente B se
dê conta disso; o cliente precisa vas-
culhar a caixa de email novamente
(ressincronização) para fazer isso.
Embora o CONDSTORE identifique
essas mudanças e resolva conflitos
causados por acesso simultâneo de
vários clientes, o Thunderbird e ou-
tros clientes de email precisam en-
viar os comandos UID FETCH e SEARCH,
neste caso. Em contraste, o QRESYNC
permite um resync, incluindo o
rastreamento de arquivos excluídos
de uma só vez. A resposta VANISHED
introduzida para isto (e substituin-
do EXPUNGED) descobre se o email foi
excluído de forma eficiente.
O uso do comando SELECT no
lado do cliente elimina a neces-
sidade de conexões simultâneas
para o servidor, que só existem para
evitar resyncs. O QRESYNC beneficia
especialmente os dispositivos mó-
veis, porque eles muitas vezes têm
de recuperar os dados com mais
frequência por conta da fraca co-
bertura de rede. Não admira que
esta extensão seja uma das exten-
sões Lemonade mencionadas an-
teriormente. Para usar o QRESYNC, o
servidor precisa retornar ENABLE [8]
como um recurso. A extensão ENABLE
permite que os clientes habilitem
um recurso especial de forma ex-
plícita. No caso do QRESYNC, o RFC
requer que os clientes tenham en-
viado previamente um alvo ENABLE
QRESYNC para o servidor.
No movimento: MOVE
Antes do IETF emitir uma RFC
útil [9] com duas declarações –
MOVE e UID MOVE, tornando possível
mover mensagens de email entre
caixas de correio – a única opção
era combinar vários comandos
independentes (COPY, STORE, e EX-
PUNGE) para obter o mesmo efeito.
Esta implementação foi consi-
derada abaixo da ideal por várias
razões: se a comunicação quebrar
entre as três etapas, os processos
move tornam-se estanques. Este
efeito também confunde os usuá-
rios, pois os clientes continuam a
mostrar as mensagens neste esta-
do intermediário. Além disso, em
caixas de email compartilhadas,
a terceira etapa pode mudar não
apenas as mensagens selecionadas,
mas também, inadvertidamente, as
mensagens marcadas para exclu-
são por terceiros. O MOVE resolve
estes problemas, enquanto o UID
MOVE move mensagens em função
de identificadores únicos. Para um
cliente descobrir se um servidor
suporta este recurso, o servidor
www.linuxmagazine.com.br

precisa responder à requisição
CAPABILITY com MOVE.
Pesquisa rápida:
ESEARCH
O padrão IMAP já inclui duas
funções de pesquisa na forma de
SEARCH, que procura mensagens de
email com base em seus Message
Sequence Numbers (MSNs) e UID
SEARCH, que usa o identificador úni-
co. Uma desvantagem, no entanto,
é que não se pode limitar o número
de resultados retornados.
O ESEARCH [10], por outro lado,
oferece várias opções de resultado
para o buscador. Assim, podemos
limitar os resultados da pesquisa
para um valor mínimo e máximo ou
retornar apenas um certo número
de resultados. Até mesmo encontrar
todos os resultados é mais rápido,
porque os resultados da pesquisa são
retornados como um conjunto de
sequência, que é compacto e eco-
nomiza largura de banda. Além do
mais, este conjunto pode ser usado
em um comando subsequente.
Novo: SORT
e THREAD
As próximas duas extensões,
SORT e THREAD , compartilham
uma RFC comum [11]. O SORT,
surpreendentemente, não é uma
parte fi xa do protocolo IMAP.
Representar o email em tópicos
não é realmente novo também,
mas fundamentalmente apenas
um algoritmo de ordenação. SORT e
THREAD ocorrem no lado do servidor,
economizando recursos do cliente
Figura 2 Este servidor IMAP 4 revela suas capacidades indicando que, entre outras coisas, suporta o NAMESPACE,
bem como o IDLE e o ID.
Linux Magazine #102 | Maio de 2013
(figura 2). Ambas as extensões têm
de processar os termos a serem
classifi cados de acordo com os
requisitos do I18NLEVEL=1, que é
parte de uma RFC [12] que regula
a manipulação de conjuntos de
caracteres internacionais.
O servidor anuncia a capacidade
de ordenação retornando SORT
como resposta, e isso também
produz o algoritmo de segmentação
para o recurso THREAD . Uma
resposta do servidor poderia ser
THREAD=ORDEREDSUBJECT, que é o mais
simples dos dois algoritmos de
segmentação disponíveis que a RFC
apresenta como “the poor man’s
threading”. O algoritmo primeiro
ordena o email por assunto e, em
seguida, dada a mesma linha no
assunto, por tipo de data de entrega,
onde ORDEREDSUBJECT então converte
essas mensagens em threads.
Claro, isso pode causar problemas
se alguém responder à thread mas
alterar a linha do assunto. Neste
caso, o algoritmo REFERENCES está
gravado. É muito mais sofisticado
que ORDEREDSUBJECT e precisa de seis
etapas principais para criar uma
thread (explicado em detalhes pela
RFC 5256 [11] nas páginas 8-11).
Mais acessível:
UIDPLUS
De acordo com a RFC, a UIDPLUS
[13] , parte da especificação
Lemonade, é uma extensão que trata
particularmente de clientes difíceis
de alcançar. A extensão é projetada
para reduzir tempo e consumo de
recursos. Para isso, ela define um
comando adicional: o UID EXPUNGE
Extensões IMAP | ANÁLISE
apaga mensagens que possuem o
parâmetro \Delete definido e um
identificador único (UID) que
aparece na sequência do conjunto
da caixa de email selecionada. Ela
se revela particularmente adequada
quando um cliente que está apenas
temporariamente conectado se
ressincroniza com o servidor.
Se a extensão UID EXPUNGE é
usada em vez de EXPUNGE, o cliente
não mais acidentalmente apaga
mensagens de outros usuários que
foram marcados para exclusão
enquanto estava offline. Neste
caso, o segundo critério não se
aplica, pois os UIDs das mensagens
excluídas não pertencem à caixa de
email. Este comportamento torna-
se relevante quando os usuários
compartilham caixas de email
ou tanto para usuários de clientes
móveis como fixos.
Difícil: LIST-
EXTENDED
Tradicionalmente, os comandos
LIST e LSUB mostram o conteúdo
das caixas de email. Mas novas
extensões IMAP deram origem a
uma necessidade de determinados
tipos de listas. Como LIST e LSUB
não são naturalmente extensíveis,
os clientes foram obrigados a exe-
cutar uma série de comandos cada
vez mais longos para alcançar o
efeito exigido pelas extensões.
A extensão LIST-EXTENDED [14]
resolve o problema modificando
o comando LIST existente, de tal
forma que já não requer quaisquer
comandos especiais, mas pode ser
73
 ANÁLISE | Extensões IMAP
complementada com uma varieda-
de de opções e padrões de busca.
A nova sintaxe é descendentemen-
te compatível e é usada somente
se a primeira ou segunda palavra
depois do comando inicia-se com
um parênteses, ou se o comando
LIST tiver mais de dois parâmetros.
Caso contrário, o comando LIST
tradicional serve como um fallback.
Nomes reais:
NAMESPACE
Como o IMAP 4 não define
um namespace padrão, duas
convenções namespace genéricas
surgiram: no modelo “ Personal
Mailbox ” (“Caixa de email
pessoal”), o namespace padrão
representa apenas as caixas de email
pessoais do usuário. Em contraste,
o modelo “ Complete Hierarchy”
(“Hierarquia completa”) inclui
todas as outras caixas de email
digitais que o usuário pode acessar –
além da sua própria caixa de email.
O problema com estes modelos
relaciona-se com a sobrecarga de
configuração a eles associados.
O comando NAMESPACE [15] permi-
te que os clientes descubram auto-
maticamente os prefixos definidos
pelo servidor para caixas de email
(figura 3), assim distinguidas entre
caixas de email pessoais, caixas de
email de outros usuários e pastas
compartilhadas. Isso permite que
os administradores atribuam caixas
de email públicas (por exemplo,
listas de discussão), um prefixo
público, para distinguir caixas
de email compartilhadas com
o prefixo compartilhado, e para
marcar as caixas de email por u-
suário como privadas. Isso não só
economiza trabalho manual, mas
as caixas de email em um names-
pace podem, também, residir em
diferentes locais na rede e usar
diferentes formatos como, por
exemplo, Maildir e Mbox.
74
Tudo permitido: ACL
Caixas de email especificadas com
NAMESPACE geralmente também pos-
suem direitos de acesso diferentes.
As Access Control Lists para caixas
de email e a extensão ACL [16]
permitem que o administrador
visualize e modifique os direitos
usando comandos IMAP. A RFC
associada, a partir de 1997, acabou
sendo extinta; assim, a RFC 4314
[17] acompanhou a definição de
novos direitos de acesso e adicionou
clareza para a situação dos direitos.
Além da string ACL, o servidor
precisa usar RIGHTS = para indicar
os direitos que ele suporta ao res-
ponder a CAPABILITY: atualmente
11 direitos padrão e dois direitos
virtuais (d e c), que existem por
razões de compatibilidade com a
RFC 2086. Comandos possíveis
em combinação com a RFC in-
cluem: SETACL, GETACL, DELETEACL,
LISTRIGHTS e MYRIGHTS.
Entradas ACL consistem de dois
componentes (identificador de
acesso e direitos) e podem ser atri-
buídas a caixas de email específicas.
O identificador de acesso em geral
é o nome de usuário (uma string
UTF8) e também é aceito com LOG
e AUTHENTICATE. No entanto, mais
de um identificador pode existir
para cada usuário. Além disso,
aRFC define um identificador a
qualquer um, que faz referência
a uma identidade genérica que
inclui logins anônimos. Se o iden-
tificador é precedido por -, serão
negados os direitos atribuídos ao
usuário associado.
Enquanto que as letras minús-
culas mostram os direitos do u-
suário, a RFC usa números para
atribuições de direito no contexto
de implementações do servidor:
Gostou do artigo?
Queremos ouvir sua opinião.
Fale conosco em: cartas@linuxmagazine.com.br
Este artigo no nosso site: http://lnm.com.br/article/8586
postmasters podem usá-los para
atribuir ou negar certos direitos
em todos os sentidos, garantindo
assim, por exemplo, que os usuá-
rios só possam gerenciar caixas de
email próprias. ■
Mais informações
[1] List of Imap extensions:
http://imapwiki.org/Specs
[2] Lemonade RFC: https://
tools.ietf.org/html/rfc4550
[3] CAPABILITY: http://
tools.ietf.org/search/
rfc3501#section-6.1.1
[4] ID: https://tools.ietf.
org/html/rfc2971
[5] IDLE: http://tools.ietf.
org/html/rfc2177
[6] NOTIFY: http://tools.
ietf.org/html/rfc5465
[7] QRESYNC: http://tools.
ietf.org/html/rfc5162
[8] ENABLE: http://tools.
ietf.org/html/rfc5161
[9] MOVE: http://tools.
ietf.org/html/rfc6851
[10] ESEARCH: https://tools.
ietf.org/html/rfc4731
[11] SORT and THREAD:
https://tools.ietf.
org/html/rfc5256
[12] Internationalization: https://
tools.ietf.org/html/rfc5255
[13] UIDPLUS: http://tools.
ietf.org/html/rfc4315
[14] LIST-EXTENDED: https://
tools.ietf.org/html/rfc5258
[15] NAMESPACE: https://
tools.ietf.org/html/rfc2342
[16] ACL: http://tools.
ietf.org/html/rfc2086
[17] ACL update: http://tools.
ietf.org/html/rfc4314
www.linuxmagazine.com.br

Foreman e Puppet
Auxílio construção
Máquinas virtuais podem ser fáceis de criar e remover se forem mais
gerenciáveis. Possuir as ferramentas certas pode ajudar.
por Sebastian Saemann
A
comunidade de código aberto
oferece dois projetos para tarefas
administrativas de rotina que se
complementam perfeitamente: Puppet
e Foreman. O Puppet [1] é um conjun-
to de ferramentas de gerenciamento
de código aberto com um framework
escrito em Ruby para a gestão e con-
figuração de servidores, enquanto o
Foreman [2] é uma ferramenta de
gerenciamento de ciclo de vida.
Puppet
O Puppet oferece aos adminstrado-
res uma abordagem de instalação e
configuração de software adicional
que é relativamente independente
do sistema operacional básico. Os
sistemas operacionais suportados são
as distribuições Linux mais popula-
res, Unix, e agora também Windows.
Um ambiente Puppet típico com-
preende uma máquina master (servi-
dor) e um ou mais agentes (clientes).
A comunicação entre o mestre e o
agente é garantida com certificados
SSL auto-assinados. A máquina master
armazena um manifesto que descre-
ve a função e o estado de destino do
cliente. Um estado de destino seria,
por exemplo, “servidor web com usuá-
rios PHP e locais com chaves SSH”.
O manifesto pode ser escrito em
uma linguagem de domínio especí-
fico (DSL). Além disso, o Facter [3]
é executado no cliente. Ele coleta
informações sobre o sistema e encami-
Linux Magazine #102 | Maio de 2013
nha para a máquina master do Puppet
quando o Puppet é executado. Com
base nos dados recolhidos, a master
pode gerar um catálogo dinâmico do
manifesto predefinido. Por sua vez, o
catálogo é executado no agente, que
emite os comandos corretos com base
nas informações do Facter.
O Facter coleta muitos dados so-
bre o sistema operacional, hardware,
software, rede, e assim por diante. Se
precisar de mais informações, é pos-
sível definir dados personalizados. Por
exemplo, se desejar instalar o Apache2
como um servidor web, um trecho do
manifesto se pareceria com isto:
package { "apache2" :
ensure => "installed",
}
No Debian, o Puppet selecionaria
o provedor para o pacote e em seguida
executaria o comando Apt-get install
apache2. No Red Hat, o gerenciador de
pacotes Yum substituiria o Apt.
No entanto, executar yum install
apache2 levaria a uma mensagem de
erro, pois o pacote no RHEL não
é chamado apache mas httpd. Para
projetar este manifesto para vários
sistemas operacionais, mais dados
são necessários. Os dados podem
ser utilizados no manifesto como
variáveis para decisões (listagem 1).
O Puppet DSL oferece herança,
classes, módulos, arrays, variáveis, parâ-
metros, templates e escopos de forma
muito parecida com uma linguagem
Foreman e Puppet | ANÁLISE
ANÁLISE
de programação. Em outras palavras,
temos muitas oportunidades para fazer
manifestos flexíveis e modulares. Se
levarmos isso um passo adiante, po-
demos garantir que a configuração do
Apache seja feita incluindo quaisquer
hosts virtuais e que o servidor web seja
reiniciado no momento do boot e após
as alterações na configuração do Apa-
che. Tanto o apache::service como o
apache::config exigem a classe apache::
install para serem executados. A clas-
se apache::install só instala o pacote
httpd ou apache2. Um conjunto lógico
e contíguo de classes é referido como
um módulo (listagem 2).
Depois de adaptar o manifesto para
atender às suas necessidades, é possível
configurar servidores novos ou adicio-
nais, ou mesmo depois de reinstalar o
servidor, para o estado de destino defi-
nido. O Puppet também possui uma
Listagem 1: Distinção de
caso
01 **case $operatingsystem {
02 ** ** ** **/(Debian|Ubuntu)/: {
03 ** ** ** ** ** **$apache_
package_name = 'apache2'
04 ** ** ** **}
05 ** ** ** **/
(RedHat|CentOS|Fedora)/: {
06 ** ** ** ** ** **$apache_
package_name = 'httpd'
07 ** ** ** **}
08 ** **}
09
10 package { $webserver_package_
name :
11 ensure => "installed",
12 }
75
 ANÁLISE | Foreman e Puppet

grande comunidade, e podemos usar Proxy DNS

DNS
DHCP Proxy DNS
DNS
DHCP Proxy DNSDHCP
DNS
Proxy DNS
DNS
DHCP
Inteligente
Proxy DHCP TFTP Inteligente
Proxy DHCP TFTP Inteligente
Proxy DHCP TFTP Inteligente
Proxy DHCP TFTP
módulos existentes do Puppet Forge ou Inteligente TFTP Inteligente TFTP Inteligente TFTP Inteligente TFTP

GitHub. Em resumo, o Puppet é uma

ferramenta que permite configurar um Rede segmentada

Restful API HTTP (s) Puppet

servidor nos mínimos detalhes. Mas o
Puppet não lida com a instalação do
sistema operacional real; é onde o Fo-
reman entra no jogo. Wen User
API Foreman Reports/
RHEV-M
Foreman Facts / ENC
EC2
Compute
A ferramenta de gerenciamento de ciclo VMWare
de vida Foreman abrange os ciclos de OpenStack
vida completos de servidores físicos e LDAP / AD
DB INTERNAL
virtuais, desde a criação de um host e
instalação de um sistema operacional Figura 1 A interação entre componentes em um ambiente que utiliza o Foreman.
através de um gerenciador baseado em
Puppet. A instalação do Foreman pode definidas ou intervalos de endereços IP. autenticada no nome do servidor usando
ser conduzida por um instalador dire- ➧ DNS:oferece resolução de nomes uma chave configurada e predefinida.
tamente das fontes de um repositório para registros de host direto e reverso. ➧ TFTP e PXE: instalações silen-
Git, ou podemos usar os pacotes pré- São suportados apenas produtos com- ciosas exigem um servidor DHCP
-compilados. O Foreman interage estrei- patíveis com ISC, tais como BIND e configurado e podem instalar um siste-
tamente com o Puppet, mas também servidores de DNS da Microsoft. A ma operacional em um servidor PXE
com outros elementos de infraestrutura ferramenta nsupdate lida com a atuali- inicializável. A instalação é feita pelo
pré-existentes (figura 1); é altamente zação para uma zona dinâmica; ela é servidor TFTP para a imagem dispo-
dinâmico e pode ser utilizado com
mais ou menos recursos, dependen- Listagem 2: Definições de classe
do das necessidades. Para algumas de 01 class apache {
suas características, o Foreman conta 02 include apache::params, apache::service, apache::install
03 }
com um proxy inteligente. Um proxy 04
inteligente é um servidor que, por 05 class apache::params {
06 ** **case $operatingsystem {
exemplo, trata das entradas de regis- 07 ** ** ** **/(Debian|Ubuntu)/: {
tros de DNS ou fornece a instalação 08 ** ** ** ** ** **$apache_package_name = 'apache2'
09 ** ** ** ** ** **$apache_service_name = 'apache2'
PXE. Qualquer número de proxies 10 ** ** ** ** ** **$apache_config_name = '/etc/apache2/apache.conf'
inteligentes pode ser instalado em 11 ** ** ** **}
12 ** ** ** **/(RedHat|CentOS|Fedora)/: {
servidores diferentes ou no mesmo 13 ** ** ** ** ** **$apache_package_name = 'httpd'
servidor, como o próprio Foreman. 14 ** ** ** ** ** **$apache_service_name = 'httpd'
15 ** ** ** ** ** **$apache_config_name = '/etc/httpd/httpd.conf'
Tal como acontece com o Fore- 16 ** ** ** **}
man, podemos desenhar em pacotes 17 ** **}
18 }
pré-compilados para as distribuições 19
suportadas ou instalar diretamente a 20 class apache::config {
21 ** **file { $apache::params::apache_config_name:
partir da fonte. A comunicação entre 22 ** ** ** **notify => Class[apache::service'],
o Foreman e um proxy inteligente é 23 source => "puppet:///modules/apache/${apache::params::apache_
config_name}",
controlada por uma API RESTful. Se 24 ** **}
tivermos, por exemplo, uma rede de 25 }
26 **
múltiplas subredes sem retransmis- 27 class apache::service {
são DHCP, precisaremos usar vários 28 ** **service { $apache::params::apache_service_name :
29 ** ** ** **ensure => 'running',
proxies inteligentes para lidar com 30 enable => 'true',
a instalação automática em cada 31 ** **}
32 }
segmento de rede. Os recursos do 33
proxy inteligente incluem: 34 package { $webserver_package_name :
35 ensure => "installed",
➧ DHCP: manipula a atribuição au- 36 }
tomática de endereços IP em subredes

76 www.linuxmagazine.com.br

nível e é então semeada via Kickstart
(Fedora, RHEL) ou Preseed (Debian,
Ubuntu) com as respostas de instala-
ção predefinidas. Além do Kickstart
e Preseed, outras técnicas podem ser
utilizadas, tais como JumpStart.
➧ PuppetCA: Graças a este recurso,
o Foreman pode assinar os certificados
Puppet SSL entre mestre e agente. De-
pois de instalar o sistema operacional,
o Puppet pode ser executado sem in-
tervenção manual para implementar
a configuração do manifesto Puppet.
Recursos com Smart Proxy incluem:
➧ ENC: o Puppet fornece um clas-
sificador de nó externo. Ele executa
um script que lê e apresenta a atribui-
ção de classe a partir de outra fonte de
dados. Utilizando a interface web no
Foreman, podemos criar um host e
atribuir classes classes do Puppet a ele.
➧ CMDB: o Foreman também pode
ser usado como uma base de dados de
gerenciamento de configuração, elimi-
nando assim a necessidade de manu-
tenção de um inventário separado. O
inventário geralmente toma a forma de
dados do Facter. A falta de informações
ou de adicionais pode ser facilmente
mapeada com dados personalizados.
➧ Recursos de computação: o Fo-
reman pode provisionar máquinas
físicas e também virtuais em nuvens
privadas ou públicas. Em vez de um
servidor bare-metal (executado sobre
o hardware), ele em seguida imple-
menta diretamente, por exemplo,
uma instância AWS EC2 na nuvem
da Amazon. VMware ou OpenStack
também são suportados.
➧ Relatórios: o relatório de um agen-
te Puppet é normalmente enviado
para a máquina Puppet master, e o
relatório pode ser enviado para o Fo-
reman para visualização e estatísticas.
➧ Auditoria: o recurso de auditoria
permite visualizar as alterações por
colegas ou clientes.
➧ LDAP: a autenticação de usuário
Foreman pode endereçar um LDAP ou
Active Directory existente e usar uma
autoridade de autenticação central.
Linux Magazine #102 | Maio de 2013
Economia de tempo
A instalação e integração da infraestru-
tura existente depende de uma visão ge-
ral de todos os componentes e, muitas
vezes leva algum tempo. No entanto,
depois de serem instalados todos os
componentes e recursos, o Foreman
e o Puppet podem economizar tempo.
Se o usuário precisar de um novo apli-
cativo de servidor Debian, por exemplo,
um administrador pode fazer login no
Foreman usando credenciais do Active
Directory e preencher o formulário para
criar um novo host. Isto envolve escolher
um hostname, o sistema operacional,
e os módulos do Puppet. O próximo
endereço IP livre é sugerido com base
na atribuição de domínio. Os módulos
do Puppet podem ser ssh, apache2, php
ou haproxy. Depois de ter confirmado
o formulário, uma entrada que instala
o servidor com o endereço MAC atri-
buído e o Debian Linux é gerada no
servidor PXE/TFTP. O servidor DHCP
já definiu uma concessão estática para
o servidor e irá atribuir o endereço IP
quando o servidor assim demandar. O
servidor é inicializado e instalado pelo
Preseed. Em seguida, os preparativos
para a primeira execução do Puppet são
concluídos na máquina Puppet mestre.
Podemos estender o script aqui para
adicionar o servidor ao sistema de mo-
nitoramento. Depois de um reboot, o
Foreman sabe que o servidor foi insta-
lado e altera o registro de inicialização
PXE para que o servidor faça o boot
a partir do disco, ao invés da imagem
de instalação. Depois disso, o daemon
puppetd é executado e imediatamente
dispara a execução do Puppet. O agen-
te Puppet requer do Puppet master
o manifesto e o executa. O relatório
sobre a instalação bem sucedida das
classes Puppet é retornado ao Fore-
man, de modo que o administrador
pode acompanhar o status do servidor
através da interface web.
Qualquer erro seria visto lá imedia-
tamente. Os módulos Puppet teriam
comunicado ao servidor para instalar
o Apache2 com o módulo PHP; todos
Foreman e Puppet | ANÁLISE
as vhosts também foram criadas, e
a informação foi comunicada pelo
módulo haproxy para o balanceador
de carga e configurado ao mesmo
tempo. O servidor pode, assim, en-
trar em produção sem atrasos.
O administrador pode então tentar
um login SSH ao servidor para certifi-
car-se de que tudo está funcionando. O
login SSH usa a chave SSH do servidor
e seu hostname pois o Foreman criou as
entradas de DNS e o Puppet instalou a
chave SSH do administrador. Ao todo,
o processo não deve levar mais do que
5 a 10 minutos, incluindo a instalação.
O exemplo descrito neste artigo
mostra claramente o valor deste tipo
de solução: os benefícios em termos
de tempo, bem como a integralidade
da configuração são impressionan-
tes. Com uma configuração manual,
erros vão acontecer, e até mesmo os
mais simples podem causar proble-
mas mais cedo ou mais tarde.
O Foreman está em desenvolvi-
mento ativo e acaba de ser atualizado
para a versão 1.1. Esta versão imple-
menta algumas características muito
aguardadas, como classes parametri-
zadas, suporte para Puppet 3, locais e
organizações, e outras melhorias. ■
Mais informações
[1] Image tool for U-Boot
environment: http://
free-electrons.com/
blog/mkenvimage-uboot-
binary-env-generator/
[1] Puppet: https://
puppetlabs.com/
[2] Foreman: http://
theforeman.org/
[3] Facter: https://
puppetlabs.com/puppet/
related-projects/facter/
Gostou do artigo?
o?
Queremos ouvir sua opinião.
p nião.
Fale conosco em
cartas@linuxmagazine.com.br
com.br
Este artigo no nosso
o site:
site
http://lnm.com.br/article/8580
ticle 80
77
 Linux.local Fornecedor de Hardware = 1
SERVIÇOS

O maior diretório de empresas que oferecem produtos, soluções e Redes e Telefonia / PBX = 2
Integrador de Soluções = 3
serviços em Linux e Software Livre, organizado por Estado. Sentiu
Literatura / Editora = 4
falta do nome de sua empresa aqui? Entre em contato com a gente: Fornecedor de Software = 5
11 3675-2600 ou anuncios@linuxmagazine.com.br Consultoria / Treinamento = 6

Empresa Cidade Endereço Telefone Web 1 2 3 4 5 6

Santa Catarina
iTFLEX Tecnologia Joinville Rua Fortaleza, 76 - Sala 04 - Saguaçu - CEP: 89221-650 47 3029-3388 www.itflex.com.br ✔ ✔ ✔
Bahia
IMTECH Salvador Av. Antonio Carlos Magalhaes, 846 – Edifício 71 4062-8688 www.imtech.com.br ✔ ✔ ✔ ✔
MaxCenter – Sala 337 – CEP 41825-000
Magiclink Soluções Salvador Rua Dr. José Peroba, 275. Ed. Metropolis Empresarial 1005, STIEP 71 2101-0200 www.magiclink.com.br ✔ ✔ ✔ ✔ ✔
Ceará
F13 Tecnologia Fortaleza Rua Padre Valdevino, 526 – Centro 85 3252-3836 www.f13.com.br ✔ ✔ ✔ ✔
Nettion Tecnologia e Fortaleza Av. Oliveira Paiva, 941, Cidade dos Funcionários – CEP 60822-130 85 3878-1900 www.nettion.com.br ✔ ✔ ✔
Segurança da Informação
Espírito Santo
Linux Shopp Vila Velha Rua São Simão (Correspondência), 18 – CEP: 29113-120 27 3082-0932 www.linuxshopp.com.br ✔ ✔ ✔ ✔
Megawork Consultoria Vitória Rua Chapot Presvot, 389 – sl 201, 202 – Praia do Canto 27 3315-2370 www.megawork.com.br ✔ ✔ ✔
e Sistemas CEP: 29055-410
Spirit Linux Vitória Rua Marins Alvarino, 150 – CEP: 29047-660 27 3227-5543 www.spiritlinux.com.br ✔ ✔ ✔
Goiás
3WAY Networks Goiânia Av. Quarta Radial,1952. Setor Pedro Ludovico – CEP.: 74830-130 62 3232-9333 www.3way.com.br ✔ ✔ ✔ ✔ ✔
Minas Gerais
Instituto Online Belo Horizonte Av. Bias Fortes, 932, Sala 204 – CEP: 30170-011 31 3224-7920 www.institutoonline.com.br ✔ ✔
Linux Place Belo Horizonte Rua do Ouro, 136, Sala 301 – Serra – CEP: 30220-000 31 3284-0575 corporate.linuxplace.com.br ✔ ✔ ✔ ✔
Microhard Belo Horizonte Rua República da Argentina, 520 – Sion – CEP: 30315-490 31 3281-5522 www.microhard.com.br ✔ ✔ ✔ ✔ ✔
TurboSite Belo Horizonte Rua Paraíba, 966, Sala 303 – Savassi – CEP: 30130-141 0800 702-9004 www.turbosite.com.br ✔ ✔ ✔
Zarafa Brasil Belo Horizonte Rua dos Goitacazes, 103 – Sala 2001 – CEP: 30190-910 31 2626-6926 www.zarafabrasil.com.br ✔ ✔ ✔
Paraná
iSolve Curitiba Av. Cândido de Abreu, 526, Cj. 1206B – CEP: 80530-000 41 252-2977 www.isolve.com.br ✔ ✔ ✔
Mandriva Conectiva Curitiba Rua Tocantins, 89 – Cristo Rei – CEP: 80050-430 41 3360-2600 www.mandriva.com.br ✔ ✔ ✔ ✔
Telway Tecnologia Curitiba Rua Francisco Rocha 1830/71 41 3203-0375 www.telway.com.br ✔ ✔
Pernambuco
Fuctura Tecnologia Recife Rua Nicarágua, 159 – Espinheiro – CEP: 52020-190 81 3223-8348 www.fuctura.com.br ✔ ✔
Rio de Janeiro
Clavis Segurança da Informação Rio de Janeiro Av. Rio Branco 156, 1303 – Centro – CEP: 20040-901 21 2561-0867 www.clavis.com.br ✔ ✔ ✔
Linux Solutions Informática Rio de Janeiro Av. Presidente Vargas 962 – sala 1001 21 2526-7262 www.linuxsolutions.com.br ✔ ✔ ✔ ✔
Múltipla Tecnologia da Informação Rio de Janeiro Av. Rio Branco, 37, 14° andar – CEP: 20090-003 21 2203-2622 www.multipla-ti.com.br ✔ ✔ ✔ ✔
NSI Training Rio de Janeiro Rua Araújo Porto Alegre, 71, 4º andar Centro – CEP: 20030-012 21 2220-7055 www.nsi.com.br ✔ ✔
Open IT Rio de Janeiro Rua do Mercado, 34, Sl, 402 – Centro – CEP: 20010-120 21 2508-9103 www.openit.com.br ✔ ✔
Unipi Tecnologias Campos dos Av. Alberto Torres, 303, 1ºandar – Centro – CEP: 28035-581 22 2725-1041 www.unipi.com.br ✔ ✔ ✔ ✔
Goytacazes
Rio Grande do Sul
4up Soluções Corporativas Novo Hamburgo Pso. Calçadão Osvaldo Cruz, 54 sl. 301 CEP: 93510-015 51 3581-4383 www.4up.com.br ✔ ✔ ✔ ✔
Definitiva Informática Novo Hamburgo Rua General Osório, 402 - Hamburgo Velho 51 3594 3140 www.definitiva.com.br ✔ ✔ ✔ ✔
RedeHost Internet Gravataí Rua Dr. Luiz Bastos do Prado, 1505 – Conj. 301 CEP: 94010-021 51 4062 0909 www.redehost.com.br ✔ ✔ ✔
Solis Lajeado Av. 7 de Setembro, 184, sala 401 – Bairro Moinhos 51 3714-6653 www.solis.coop.br ✔ ✔ ✔ ✔ ✔
CEP: 95900-000
DualCon Novo Hamburgo Rua Joaquim Pedro Soares, 1099, Sl. 305 – Centro 51 3593-5437 www.dualcon.com.br ✔ ✔ ✔ ✔
Datarecover Porto Alegre Av. Carlos Gomes, 403, Sala 908, Centro 51 3018-1200 www.datarecover.com.br ✔ ✔
Comercial Atrium Center – Bela Vista – CEP: 90480-003
LM2 Consulting Porto Alegre Rua Germano Petersen Junior, 101-Sl 202 – Higienópolis – 51 3018-1007 www.lm2.com.br ✔ ✔ ✔
CEP: 90540-140
Lnx-IT Informação e Tecnologia Porto Alegre Av. Venâncio Aires, 1137 – Rio Branco – CEP: 90.040.193 51 3331-1446 www.lnx-it.inf.br ✔ ✔ ✔ ✔
TeHospedo Porto Alegre Rua dos Andradas, 1234/610 – Centro – CEP: 90020-008 51 3301-1408 www.tehospedo.com.br ✔ ✔
Propus Informática Porto Alegre Rua Santa Rita, 282 – CEP: 90220-220 51 3024-3568 www.propus.com.br ✔ ✔ ✔ ✔ ✔
São Paulo
Ws Host Arthur Nogueira Rua Jerere, 36 – Vista Alegre – CEP: 13280-000 19 3846-1137 www.wshost.com.br ✔ ✔ ✔
DigiVoice Barueri Al. Juruá, 159, Térreo – Alphaville – CEP: 06455-010 11 4195-2557 www.digivoice.com.br ✔ ✔ ✔ ✔ ✔
Dextra Sistemas Campinas Rua Antônio Paioli, 320 – Pq. das Universidades – CEP: 13086-045 19 3256-6722 www.dextra.com.br ✔ ✔ ✔
Insigne Free Software do Brasil Campinas Av. Andrades Neves, 1579 – Castelo – CEP: 13070-001 19 3213-2100 www.insignesoftware.com ✔ ✔ ✔
Microcamp Campinas Av. Thomaz Alves, 20 – Centro – CEP: 13010-160 19 3236-1915 www.microcamp.com.br ✔ ✔

78 www.linuxmagazine.com.br
 Linux.local | SERVIÇOS

Empresa Cidade Endereço Telefone Web 1 2 3 4 5 6

São Paulo (continuação)
PC2 Consultoria Carapicuiba Rua Edeia, 500 - CEP: 06350-080 11 3213-6388 www.pc2consultoria.com ✔ ✔
em Software Livre
Epopéia Informática Marília Rua Goiás, 392 – Bairro Cascata – CEP: 17509-140 14 3413-1137 www.epopeia.com.br ✔
Redentor Osasco Rua Costante Piovan, 150 – Jd. Três Montanhas – CEP: 06263-270 11 2106-9392 www.redentor.ind.br ✔
Go-Global Santana Av. Yojiro Takaoca, 4384, Ed. Shopping Service, 11 2173-4211 www.go-global.com.br ✔ ✔ ✔
de Parnaíba Cj. 1013 – CEP: 06541-038
AW2NET Santo André Rua Edson Soares, 59 – CEP: 09760-350 11 4990-0065 www.aw2net.com.br ✔ ✔ ✔
Async Open Source São Carlos Rua Orlando Damiano, 2212 – CEP 13560-450 16 3376-0125 www.async.com.br ✔ ✔ ✔
Delix Internet São José do Rua Voluntário de São Paulo, 3066 9º – Centro – CEP: 15015-909 11 4062-9889 www.delixhosting.com.br ✔ ✔ ✔
Rio Preto
2MI Tecnologia e Informação São Paulo Rua Franco Alfano, 262 – CEP: 5730-010 11 4203-3937 www.2mi.com.br ✔ ✔ ✔ ✔
4Linux São Paulo Rua Teixeira da Silva, 660, 6º andar – CEP: 04002-031 11 2125-4747 www.4linux.com.br ✔ ✔
A Casa do Linux São Paulo Al. Jaú, 490 – Jd. Paulista – CEP: 01420-000 11 3549-5151 www.acasadolinux.com.br ✔ ✔ ✔
Accenture do Brasil Ltda. São Paulo Rua Alexandre Dumas, 2051 – Chácara Santo Antônio 11 5188-3000 www.accenture.com.br ✔ ✔ ✔
– CEP: 04717-004
ACR Informática São Paulo Rua Lincoln de Albuquerque, 65 – Perdizes – CEP: 05004-010 11 3873-1515 www.acrinformatica.com.br ✔ ✔
Agit Informática São Paulo Rua Major Quedinho, 111, 5º andar, Cj. 508 11 3255-4945 www.agit.com.br ✔ ✔ ✔
Centro – CEP: 01050-030
Altbit - Informática São Paulo Av. Francisco Matarazzo, 229, Cj. 57 – 11 3879-9390 www.altbit.com.br ✔ ✔ ✔ ✔
Comércio e Serviços LTDA. Água Branca – CEP 05001-000
AS2M -WPC Consultoria São Paulo Rua Três Rios, 131, Cj. 61A – Bom Retiro – CEP: 01123-001 11 3228-3709 www.wpc.com.br ✔ ✔ ✔
Blanes São Paulo Rua André Ampére, 153 – 9º andar – Conj. 91 11 5506-9677 www.blanes.com.br ✔ ✔ ✔ ✔ ✔
CEP: 04562-907 (próx. Av. L. C. Berrini)
Bull Ltda São Paulo Av. Angélica, 903 – CEP: 01227-901 11 3824-4700 www.bull.com ✔ ✔ ✔ ✔
Commlogik do Brasil Ltda. São Paulo Av. das Nações Unidas, 13.797, Bloco II, 6º andar – Morumbi 11 5503-1011 www.commlogik.com.br ✔ ✔ ✔ ✔ ✔
– CEP: 04794-000
Computer Consulting São Paulo Rua Caramuru, 417, Cj. 23 – Saúde – CEP: 04138-001 11 5071-7988 www.computerconsulting.com.br ✔ ✔ ✔ ✔
Projeto e Consultoria Ltda.
Consist Consultoria, Siste- São Paulo Av. das Nações Unidas, 20.727 – CEP: 04795-100 11 5693-7210 www.consist.com.br ✔ ✔ ✔ ✔
mas e Representações Ltda.
Contato Global Solutions São Paulo Rua Bourbon, 56 – Campo Grande – CEP: 04663-160 11 3596-4881 www.contatogs.com.br ✔ ✔ ✔
11 3596-4882
Domínio Tecnologia São Paulo Rua das Carnaubeiras, 98 – Metrô Conceição – CEP: 04343-080 11 5017-0040 www.dominiotecnologia.com.br ✔ ✔
Ética Tecnologia e Desenvolvimento São Paulo Rua São Benedito, 1.325 - casa 45 – Granja Julieta – CEP: 04735-003 11 3186 - 4444 www.etica.net ✔ ✔ ✔ ✔ ✔
Getronics ICT Solutions São Paulo Rua Verbo Divino, 1207 – CEP: 04719-002 11 5187-2700 www.getronics.com/br ✔ ✔ ✔
and Services
Hewlett-Packard Brasil Ltda. São Paulo Av. das Nações Unidas, 12.901, 25º andar – CEP: 04578-000 11 5502-5000 www.hp.com.br ✔ ✔ ✔ ✔ ✔
IBM Brasil Ltda. São Paulo Rua Tutóia, 1157 – CEP: 04007-900 0800-7074 837 www.br.ibm.com ✔ ✔ ✔ ✔
iFractal São Paulo Rua Fiação da Saúde, 145, Conj. 66 – Saúde – CEP: 04144-020 11 5078-6618 www.ifractal.com.br ✔ ✔ ✔
Integral São Paulo Rua Dr. Gentil Leite Martins, 295, 2º andar Jd. Prudência 11 5545-2600 www.integral.com.br ✔ ✔
– CEP: 04648-001
Itautec S.A. São Paulo Av. Paulista, 2028 – CEP: 01310-200 11 3543-5543 www.itautec.com.br ✔ ✔ ✔ ✔ ✔
Komputer Informática São Paulo Av. João Pedro Cardoso, 39 2º andar – Cep.: 04335-000 11 5034-4191 www.komputer.com.br ✔ ✔ ✔
Konsultex Informatica São Paulo Av. Dr. Guilherme Dumont Villares, 1410 6 andar, CEP: 05640-003 11 3773-9009 www.konsultex.com.br ✔ ✔ ✔
Linux Komputer Informática São Paulo Av. Dr. Lino de Moraes Leme, 185 – CEP: 04360-001 11 5034-4191 www.komputer.com.br ✔ ✔ ✔ ✔
Linux Mall São Paulo Rua Machado Bittencourt, 190, Cj. 2087 – CEP: 04044-001 11 5087-9441 www.linuxmall.com.br ✔ ✔ ✔
Livraria Tempo Real São Paulo Al. Santos, 1202 – Cerqueira César – CEP: 01418-100 11 3266-2988 www.temporeal.com.br ✔ ✔ ✔
Locasite Internet Service São Paulo Av. Brig. Luiz Antonio, 2482, 3º andar – Centro – CEP: 01402-000 11 2121-4555 www.locasite.com.br ✔ ✔ ✔
Locaweb São Paulo Rua Itapaiúna, 2434 – Vila Andrade - CEP: 05707-001 11 3544-0444 www.locaweb.com.br ✔ ✔ ✔
Microsiga São Paulo Av. Braz Leme, 1631 – CEP: 02511-000 11 3981-7200 www.microsiga.com.br ✔ ✔ ✔
Novatec Editora Ltda. São Paulo Rua Luis Antonio dos Santos, 110 – Santana – CEP: 02460-000 11 6979-0071 www.novateceditora.com.br ✔
Novell América Latina São Paulo Rua Funchal, 418 – Vila Olímpia 11 3345-3900 www.novell.com/brasil ✔ ✔ ✔
Oracle do Brasil Sistemas Ltda. São Paulo Av. Alfredo Egídio de Souza Aranha, 100 – Bloco B – 5º 11 5189-3000 www.oracle.com.br ✔ ✔
andar – CEP: 04726-170
Proelbra Tecnologia São Paulo Av. Rouxinol, 1.041, Cj. 204, 2º andar Moema – CEP: 04516-001 11 5052- 8044 www.proelbra.com.br ✔ ✔ ✔
Eletrônica Ltda.
Provider São Paulo Av. Cardoso de Melo, 1450, 6º andar – Vila Olímpia – CEP: 04548-005 11 2165-6500 www.e-provider.com.br ✔ ✔ ✔
Red Hat Brasil São Paulo Av. Brigadeiro Faria Lima, 3900, Cj 81 8º andar 11 3529-6000 www.redhat.com.br ✔ ✔ ✔
Itaim Bibi – CEP: 04538-132
Samurai Projetos Especiais São Paulo Rua Barão do Triunfo, 550, 6º andar – CEP: 04602-002 11 5097-3014 www.samurai.com.br ✔ ✔ ✔
SAP Brasil São Paulo Av. das Nações Unidas, 11.541, 16º andar – CEP: 04578-000 11 5503-2400 www.sap.com.br ✔ ✔ ✔
Savant Tecnologia São Paulo Av. Brig. Luis Antonio, 2344 cj 13 – Jd. Paulista – CEP:01402-000 11 2925-8724 www.savant.com.br ✔ ✔ ✔ ✔ ✔
Simples Consultoria São Paulo Rua Mourato Coelho, 299, Cj. 02 Pinheiros – CEP: 05417-010 11 3898-2121 www.simplesconsultoria.com.br ✔ ✔ ✔
Smart Solutions São Paulo Av. Jabaquara, 2940 cj 56 e 57 11 5052-5958 www.smart-tec.com.br ✔ ✔ ✔ ✔
Snap IT São Paulo Rua João Gomes Junior, 131 – Jd. Bonfiglioli – CEP: 05299-000 11 3731-8008 www.snapit.com.br ✔ ✔ ✔
Stefanini IT Solutions São Paulo Av. Brig. Faria Lima, 1355, 19º – Pinheiros – CEP: 01452-919 11 3039-2000 www.stefanini.com.br ✔ ✔ ✔
Sybase Brasil São Paulo Av. Juscelino Kubitschek, 510, 9º andar Itaim Bibi – CEP: 04543-000 11 3046-7388 www.sybase.com.br ✔ ✔
Unisys Brasil Ltda. São Paulo R. Alexandre Dumas 1658 – 6º, 7º e 8º andares – Chácara 11 3305-7000 www.unisys.com.br ✔ ✔ ✔ ✔
Santo Antônio – CEP: 04717-004
Utah São Paulo Av. Paulista, 925, 13º andar – Cerqueira César – CEP: 01311-916 11 3145-5888 www.utah.com.br ✔ ✔ ✔
Webnow São Paulo Av. Nações Unidas, 12.995, 10º andar, Ed. Plaza Centenário 11 5503-6510 www.webnow.com.br ✔ ✔ ✔
– Chácara Itaim – CEP: 04578-000
WRL Informática Ltda. São Paulo Rua Santa Ifigênia, 211/213, Box 02– Centro – CEP: 01207-001 11 3362-1334 www.wrl.com.br ✔ ✔ ✔
Systech Taquaritinga Rua São José, 1126 – Centro – Caixa Postal 71 – CEP: 15.900-000 16 3252-7308 www.systech-ltd.com.br ✔ ✔ ✔

Linux Magazine #102 | Maio de 2013 79

 Calendário de eventos Índice de anunciantes
Evento Data Local Informações Empresa Pág.
SERVIÇOS

Supermicro 02

Senac 07
http://www.bitsouthamerica.
BITS 2013 14 a 16 de maio Porto Alegre, RS
com.br/
Unodata 09

Impacta 13

Uol Cloud 23

https://www.linuxnewmedia.
Forum Analytics 16 de julho São Paulo, SP
com.br/fan/ Central Server 29

Plus Server 32,33

Fisl 81

CloudConf 10 e 11 de setembro São Paulo, SP http://www.cloudconf.com.br/ Watchguard 83

IBM 84

A LINUX MAGAZINE
MAGA
AZINE TEM UM
U PRESENTE PARA VOCÊ!

Quer ganhar essa

mochila Targus®
personalizada
de presente da
Linux Magazine?

Veja o regulamento
da promoção no site:
http://www.linuxmagazine.com.br/hotsite/mochila_natal
http://w
ww
ww
80 www.linuxmagazine.com.br
 Assunto | SEÇÃO

NOME DA SEÇÃO

Linux Magazine #XX | Mês de 200X 81

 Linux Magazine #103
PREVIEW

Segurança
Na próxima edição da Linux
Magazine voltamos ao universo
da segurança, assunto que é
constante e primordialmente
necessário. Aprenda como criar
e coloque à prova suas regras de
segurança com a ferramenta
OpenSCAP, descubra potenciais
vulnerabilidades que podem
tornar-se porta de entrada para
ataques do tipo SQL Injection
e ainda saiba como aumentar a
segurança do seu sistema através
da ferramenta GRsecurity.
Edição imperdível! ■

Admin Magazine #09

OpenStack
Capaz de gerenciar os componentes
de múltiplas instâncias virtualizadas,
o OpenStack é um dos queridinhos
dos profissionais de infraestrutura
e virtualização da atualidade. É li-
vre, não possui restrições quanto à
quantidade de instâncias e é uma
plataforma robusta, extremamente
útil nestes tempos onde o adven-
to da computação em nuvem já é
uma realidade. Na próxima edi-
ção da Admin Magazine você vai
conhecer tudo o que essa incrível
ferramenta pode fazer por você!
Não perca! ■

82 www.linuxmagazine.com.br
Você é refém da Operadora de Telecom?
Altos custos de conectividade impedem sua empresa de ter
links redundantes.

Não pule no vazio! Achar

que a segurança é simples
é o começo de seus
problemas!

É um erro, total e comum,

achar que qualquer um na
Alugue  um  Firewall   sua TI pode fazer gestão
de segurança da sua
gerenciado  a  partir  
de  R$  300,00/mês.  

Controle de Conteúdo e Antivírus,

Soluções Antispam, implementadas localmente ou na nuvem,
Proteção de Invasões e Ataques,
Balanceamento de Links e Servidores,
Análise de Vulnerabilidades e Riscos,

Conectividade entre Sites, Fornecedores, etc.

Conectividade Segura para Usuários Móveis,
Otimização de Links,
Controle de Navegação,
Controle de Aplicações,

vendas@altermedios.com.br (11) 3393.3340