Este documento resume um treinamento sobre a integração do FreeBSD com o Active Directory e o OpenLDAP. Ele discute o que é LDAP, o serviço de diretório OpenLDAP e a implementação do Active Directory, além de explicar por que a integração é importante e como projetos como o nss_ldap e pam_ldap facilitam a integração. Também apresenta arquivos de configuração importantes e o que ainda precisa ser feito.
3. • O que é LDAP?
• O serviço de diretório OpenLDAP
• A implementação do Active Directory
• O porquê da integração
• O que é o SFU?
• O projeto nss_ldap
• O projeto pam_ldap
• O segredo da integração
• Os arquivos de configuração
• Projeto de compatibilidade com o
Active Directory
• O que falta ainda?
5. LDAP (Lightweight Directory Access Protocol) é um
protocolo (executado sobre o TCP/IP) cliente-servidor,
utilizado para acessar um serviço de Diretório. Ele foi
inicialmente usado como uma interface para o X.500,
mas também pode ser utilizado com autonomia e em
outros tipos de servidores de Diretório.
Atualmente vem se tornando um padrão, diversos
programas já possuem suporte a LDAP. Livros de
endereços, autenticação, armazenamento de
certificados digitais (S/MIME) e de chaves públicas
(PGP), são alguns dos exemplos onde o LDAP já é
amplamente utilizado.
7. Um Diretório é como um banco de dados, mas tende a
conter mais informações descritivas, baseadas em
atributo, e é organizado em forma de árvore, não de
tabela.
A informação em um Diretório é geralmente mais lida do
que escrita. Como conseqüência, Diretórios
normalmente não são usados para implementar
transações complexas, ou esquemas de consultas
regulares em bancos de dados, transações estas que
são usadas para fazer um grande volume de
atualizações complexas.
Atualizações em Diretórios são tipicamente simples ou
nem são feitas.
8. Diretórios são preparados para dar resposta rápida a um
grande volume de consultas ou operações de busca.
Eles também podem ter a habilidade de replicar
informações extensamente; isto é usado para
acrescentar disponibilidade e confiabilidade, enquanto
reduzem o tempo de resposta.
9. Existem várias maneiras diferentes para disponibilizar
um serviço de Diretório. Métodos diferentes permitem
que diferentes tipos de informações possam ser
armazenadas no Diretório, colocando requerimentos
diferentes, sobre como aquela informação poderá ser
referenciada, requisitada e atualizada, como ela é
protegida de acessos não autorizados, etc..
Alguns serviços de Diretório são locais, fornecendo o
serviço para um contexto restrito (ex., o serviço finger
em uma máquina isolada). Outros serviços são globais,
fornecendo o serviço para um contexto muito maior (por
exemplo, a própria Internet).
13. Autenticação integrada entre serviços
Migrações seletivas
Serviços de alta disponibilidade
Migrações de usuários / objetos entre ambientes
Suporte a NIS / NFS entre ambientes
15. Desde sua introdução em 1999, o Services for UNIX (SFU)
iniciaram um papel principal para quem tentava fazer
redes Windows e UNIX coexistir pacificamente. A versão
inicial trouxe junto diversos produtos diferentes em um
pacote totalmente acoplado.
A versão 2.0 do SFU se estendeu e melhorou
substancialmente o suporte do Network File System
(NFS), adicionando autenticação e a integração com
Windows, ao fornecer um produto mais inteiramente
integrado.
16. Com a liberação da versão 3,0 em maio, 2002,
Microsoft substituiu a camada de emulação
precedentes da tecnologia Interix. Interix é um
subsistema completo para executar nativamente
programas UNIX em ambientes Microsoft Windows
Server™ 2003, Windows XP Professional, e Windows
2000.
O interix inclui um completo pacotes de softwares
UNIX, como:
Bash
VI
AWK
Perl
Python
GCC
17. Com versão 3.5 do SFU, a Microsoft melhorou o Interix
SDK para suportar aplicações nativas e APIs para
melhorar o suporte para a internacionalização.
A sustentação ao NFS foi estendida também para
melhorar a autenticação em ambientes comDirectory®
e usuários nativos do Windows 2003.
Além disso houve muitas melhorias substanciais no
desempenho no NFS e em componentes NIS do SFU.
Microsoft projetou SFU 3.5 para trabalhar com uma
grande escala larga plataformas UNIX-Like como,
BSD/Linux/Solaris usando protocolos padronizados
como LDAP, NIS, NFS.
29. A definição das entidades definida na RFC 2307 é
executada geralmente por um conjunto de chamadas da
biblioteca C do UNIX (tais como o getpwnam() para
retornar os atributos de um usuário).
O módulo do nss_ldap fornece os meios para ambientes
Unix se integrarem a serviços de diretório OpenLDAP,
buscando informações como hosts, usuários, senhas ou
qualquer informação contida no serviço de diretório. O
módulo é a execução da referência da RFC 2307.
41. Projeto de compatibilidade com o Active Directory
consiste básicamente em mapear funções e
tecnologias utilizadas para integração de ambientes e
desenvolver similares opensource.
42. Projetos em andamento:
• Schemas do Active Directory
• Schemas do ISA Server
• Schemas do Exchange Server
• Modificação de serviços
• DNS
• DHCP
• SAMBA
• PF (Packet Filter OpenBSD)
• POSTFIX
• Client Multi-Plataforma .NET Mono C#
• Interface Web para gerenciamento centralizado
45. Objetivos a serem alcançados
usando tecnologias do FreeBSD:
• Integração entre cliente/FreeBSD – servidor/FreeBSD
• Definição de padrão para arvóre de diretório LDAP
• Login Classes (Integração com LDAP)
• MAC ou Mandatory Access Control