Pontifícia Universidade Católica do Paraná. Curso de Especialização em Redes e Segurança de Sistemas 2008

Transcrição

1 Pontifícia Universidade Católica do Paraná Curso de Especialização em Redes e Segurança de Sistemas 2008 Aluno: Reverson Luis de Melo Follador Matrícula: Descrição Resumida das Atividades: Execução das tarefas realizadas Levantamento das referências Elaboração do artigo Contatos com o orientador Elaboração da apresentação Apresentação Curitiba, novembro de 2009

2 Unificação de Serviços de Rede da SEED (Secretaria de Estado da Educação do Paraná) Jorge Antônio Rolim Jr, Reverson Luis de Melo Follador Curso de Especialização em Redes e Segurança de Sistemas 2008 Pontifícia Universidade Católica do Paraná Curitiba, novembro de 2009 Resumo O presente artigo, tem como foco ilustrar como foi possível que diversos setores da Secretaria de Educação pudessem compartilhar dos mesmos recursos de redes em ambientes e infraestruturas diferentes, centralizando estes recursos. Atualmente a implantação desse estudo está finalizada, a proposta é mostrar como o LDAP (Lightweight Directory Access Protocol) [1], ajudou a unificar essas redes e centralizar a administração da rede como um todo. 1 Introdução A Secretaria de Estado da Educação criou uma necessidade junto à Celepar empresa esta responsável pela administração de redes dos órgãos do Estado do Paraná de fazer com que seus diferentes setores da educação se comunicassem e compartilhassem seus recursos de informática. A equipe técnica responsável da qual fazemos parte, elaborou e executou os procedimentos citados neste artigo. A organização administrativa da SEED funciona da seguinte forma: Secretaria de Estado da Educação SEED: prédio Sede, onde funcionam a maioria dos serviços de Educação. Conselho Estadual de Educação CEE: responsável pelas diretrizes de educação do Estado. Superintendência de Educação SUDE: responsável pela infra-estrutura da educação. Diretoria de Educação DITEC: responsável pela capacitação dos professores Tv Paulo Freire: tv da educação com sinal de satélite com conteúdo voltado para as escolas

3 estaduais do Paraná. Todos os órgãos da Educação funcionam em prédios e ambientes totalmente diferentes com localizações distantes um do outro. O desafio era de que todos estes se unificassem para criar um domínio de redes único da Educação. Neste projeto de execução de ambiente, foram instaladas e configuradas 5 (cinco) máquinas virtuais que foram hospedadas no datacenter da CELEPAR e que respondem pelos serviços de rede já definidos (Controlador de domínio, servidor de arquivos, impressão, proxy Internet [2], DNS [3], WINS [4], DHCP [3] e serviços Web). O novo domínio estabelecido, substituiu os antigos domínios EDUCACAO (SUDE) e SEEDCWB (SEED) criados sob tecnologia proprietária, e SEEDSL, em tecnologia livre. Nas máquinas virtuais que proveram a infra-estrutura comum de serviços à SEED, foi utilizado software livre em todos os pontos necessários para funcionamento da estrutura, racionalizando custos e possibilitando o crescimento escalar de toda a solução. Os servidores de arquivo antigos, passaram por uma reestruturação de forma que, os arquivos são agora armazenados de forma centralizada, usando uma das máquinas virtuais atuando como servidor de arquivos comum às unidades da SEED. Todos os serviços de rede que porventura necessitam realizar autenticação de usuários (ex.: Samba [4], SSH, etc), hoje passam a utilizar a base de usuários LDAP do Expresso da SEED. O Expresso Livre [5] é uma solução completa de comunicação que reúne , Agenda, Catálogo de Endereços, Workflow e Mensagens Instantâneas em um único ambiente. Por ser uma versão customizada do E-GroupWare, seu desenvolvimento também é totalmente baseado em software livre. Sendo assim, o Expresso da SEED é o mail institucional da Secretaria. As vantagens que se obteve com a aplicação do projeto foram: Racionalização de custos de manutenção do parque de servidores; Alta disponibilidade dos serviços providos aos usuários; Centralização da administração de dados e serviços, o que diminui custos, melhora a segurança global dos serviços disponibilizados e diminui pontos críticos de falha; Estabelecer um mecanismo de autenticação de usuários centralizado e confiável; Centralização dos dados dos usuários da rede, o que permite a implementação de uma política unificada de acesso a estes dados; Implementação de uma política para realização de cópias de segurança (backup) transparente dos dados que serão armazenados no novo servidor, proporcionando maior comodidade, segurança e capacidade de recuperação de dados e serviços de rede; Maior segurança no acesso remoto aos servidores, proporcionado pelos ajustes a serem implementados no serviço de acesso remoto SSH, passa identificar e registrar o acesso dos

4 usuários, com base nos usuários do Expresso Livre; Integração das senhas para acesso a diversos serviços providos aos usuários da rede da SEED. Os usuários passam a ter uma única senha para acesso a seus arquivos na rede, para utilização do seu correio eletrônico no Expresso e para utilizar a Internet; Administração dos usuários feita de forma centralizada, mais prática e amigável através da ferramenta ExpressoAdmin ; O uso do Sistema Operacional GNU/Linux Debian nos servidores, proporcionou maior segurança, robustez e sustentabilidade, e além disso, atende as diretivas voltadas à informática pública do Estado para utilização de software livre; Maior segurança física e lógica para os dados do cliente que são armazenados no servidor, uma vez que este está hospedado no datacenter da CELEPAR, um ambiente controlado e monitorado em tempo integral. 2 Ambiente Antigo: Anteriormente a essa implantação, cada órgão vinculado à Educação possuía ambientes de rede descentralizados, cada qual com seu domínio, servidor de arquivos, autenticação de usuários, backup, etc. A grande maioria dos serviços e sistemas rodados nos servidores eram proprietários e já estavam ultrapassados tecnologicamente. Com a implantação do LDAP, foi possível que a maior parte destes serviços fossem trocados por soluções de software livre e permitiu que os ambientes fossem centralizados, um funcionário alocado em determinado órgão vinculado à Educação pode acessar os recursos de rede sem estar no seu ambiente de trabalho no qual está lotado. Anteriormente o usuário estava limitado ao ambiente físico em que ele trabalhava, visto que é muito comum termos usuários que visitam com frequência todos os ambientes da SEED e também da rotavidade dos usuários entre os órgãos da Secretaria, nesse caso o usuário não tinha à sua disposição seus arquivos pessoais ou aos arquivos de interesse do seu trabalho. Anteriormente também os backups dos servidores de arquivos ou não eram feitos porque não tinham infra-estrutura para tal ou eram feitos de forma precária, pois seu armazenamento não era adequado. Não se tinha uma base única de dados do usuários, portanto não se tinha um controle adequado da quantidade de usuários. A troca de senha era feita pelo administrador de rede, hoje o próprio usuário pode definir sua senha à qual ficou vinculada à sua conta no Expresso da Seed. Não se tinha um controle ou um padrão para os nomes das máquinas e de onde elas eram, com a implementação de um controle de inventário foi possível resolver estes problemas.

5 3 Ambiente Atual A solução teve como objetivo transportar os serviços que eram executados localmente em cada desdobramento da rede da SEED para dentro do datacenter da CELEPAR, formando uma estrutura única, centralizada e altamente disponível que denominamos de infra-estrutura comum de serviços. Para obter este nível de qualidade técnica do novo ambiente, este projeto fez uso de máquinas virtuais em vez de máquinas físicas, configurações redundantes, e também, do storage do cliente para armazenamento centralizado de dados, o que elevou a disponibilidade das informações e simplificou consideravelmente a administração. Para implementação adequada desta proposta, o projeto focou-se na criação de um domínio (Samba) denominado SEED, no qual uma máquina atua como controlador de domínio, servidor de resolução de nomes (WINS e DNS primário) e DHCP, realiza a autenticação dos usuários com base no LDAP do Expresso Livre da SEED e, é responsável pelo gerenciamento da segurança global de acesso a dados do domínio. O processo de autenticação dos usuários que passa pela base no LDAP do Expresso da SEED, tem todo o processo de criação de contas unificado com o sistema do portal Dia-à-Dia Educação, utilizado amplamente pela SEED. A manutenção das contas dos usuários e grupos do sistema, é feita pelos administradores locais através da ferramenta ExpressoAdmin, uma interface web criada para esta finalidade, acessível através do Expresso Livre. Neste domínio, cada usuário possui um script de logon próprio, que é gerado automaticamente por meio de outro script, no caso do último, gerenciado diretamente pelos administradores das redes locais da SEED.

6 No domínio da SEED, é configurado um servidor de arquivos comum a todas as divisões do cliente envolvidos neste projeto. O servidor centraliza os dados do cliente e possui acesso controlado, tanto no nível dos usuários como no de administração. Nesta máquina também é implementado o serviço de cotas, que permite controlar a quantidade de espaço utilizada pelos usuários e grupos do domínio. Todos arquivos institucionais da SEED, que antes eram armazenados nos servidores nas redes locais de cada divisão, agora são armazenados neste servidor. As devidas permissões para acesso aos arquivos deste servidor, foram estabelecidas durante o processo de migração dos dados para o novo domínio, visando a adequação da segurança de acesso aos dados. Também foi necessária, a reconfiguração dos computadores da rede das unidades da SEED, para que pudessem acessar os dados no novo servidor de arquivos, além da recriação dos perfis locais (diretórios que contém as configurações privadas de cada usuário) dos usuários, nas máquinas que executam os Sistemas Operacionais GNU/Linux e Microsoft Windows 2000/2003/XP/Vista. Para controlar o acesso dos usuários a Internet nas unidades do cliente, foi disponibilizado dois servidores virtuais, que fazem o papel de proxy das redes além de DNS secundários, que as estações utilizam para resolução de nomes Internet. O acesso aos servidores proxy é balanceado através da implementação de uma técnica denominada Round Robin [6], onde cada consulta ao serviço DNS é resolvida devolvendo-se um endereço IP diferente de servidor. Além disso, há um dispositivo de controle que possibilita que estes servidores sejam monitorados de forma que em caso de indisponibilidade de um, o outro passe a atender as requisições dos usuários, até que o primeiro volte a execução normal de suas atividades. Para finalizar a infra-estrutura comum de serviços, foi feita uma configuração de um servidor web para abrigar nesse primeiro momento o serviço OCS Inventory [7]. Este serviço é utilizado para realizar o inventário de hardware e software de todos os ambientes da SEED, mesmo aqueles que ainda não usufruam diretamente desta camada de serviços. Caso seja necessário porventura a agregação de outras aplicações web de pequeno porte, estas poderão ser disponibilizadas neste servidor no futuro. Pensando na segurança com relação aos dados da SEED, foi implementado o software de backup TSM [8] nas máquinas virtuais utilizadas no projeto, para que a cópia de segurança (backup) dos dados dos usuários e arquivos de configuração contidos nestas máquinas, fiquem armazenados de forma segura e possam ser recuperados de modo mais rápido e prático. A seguir, descreveremos os recursos que foram utilizados no que diz respeito as características técnicas das máquinas virtuais e as funções que cada uma desempenha, bem como o espaço em storage alocada para cada uma delas:

7 Máquina Virtual 01 (Controlador de domínio, servidor DNS primário, WINS e DHCP) : Um processador padrão VM (Intel Xeon 2.66 Ghz); 1 Gb de memória RAM; 5 Gb de espaço para a partição de sistema (partição raiz / ); Uma interface de rede padrão VM; Sistema Operacional GNU/Linux Debian (versão 5.0, codinome lenny ). Máquina Virtual 02 (Servidor de arquivos) : Um processador padrão VM (Intel Xeon 2.66 Ghz); 2 Gb de memória RAM; 5 Gb de espaço para a partição de sistema (partição raiz / ); 830 Gb de espaço para armazenamento de dados (storage da SEED); Uma interface de rede padrão VM; Sistema Operacional GNU/Linux Debian (versão 5.0, codinome lenny ). Máquina Virtual 03 (Proxy e DNS secundário) : Um processador padrão VM (Intel Xeon 2.66 Ghz); 1 Gb de memória RAM; 5 Gb de espaço para a partição de sistema (partição raiz / ); 50 Gb de espaço para armazenamento de dados (storage da SEED); Uma interface de rede padrão VM; Sistema Operacional GNU/Linux Debian (versão 5.0, codinome lenny ). Máquina Virtual 04 (Proxy e DNS secundário) : Um processador padrão VM (Intel Xeon 2.66 Ghz); 1 Gb de memória RAM; 5 Gb de espaço para a partição de sistema (partição raiz / ); 50 Gb de espaço para armazenamento de dados (storage da SEED); Uma interface de rede padrão VM; Sistema Operacional GNU/Linux Debian (versão 5.0, codinome lenny ). Máquina Virtual 05 (OCS Inventory) : Um processador padrão VM (Intel Xeon 2.66 Ghz); 1 Gb de memória RAM; 5 Gb de espaço para a partição de sistema (partição raiz / );

8 30 Gb de espaço para armazenamento de dados (storage da SEED); Uma interface de rede padrão VM; Sistema Operacional GNU/Linux Debian (versão 5.0, codinome lenny ). Como recomendação à SEED, sugerimos a contratação de links de rede redundantes nas unidades que estão englobadas neste projeto. Estas novas conexões poderiam ser de menor velocidade que as já instaladas atualmente, e seriam utilizadas, para resolver o único ponto de falha crítico existente na solução implementada, que surge quando ocorrem problemas na comunicação entre uma unidade e a CELEPAR, fazendo com que todos os serviços de rede fiquem indisponíveis até que o problema seja corrigido. 4 Descrição das Tarefas Executadas Atividades Responsável Definição do projeto Ajustar contas do Expresso para criação do domínio Avisar os usuários da rede da SEED sobre os eventos relacionados a migração dos servidores (parada, trocas de senhas no Expresso, etc) Requisitar a disponibilização das máquinas virtuais Técnicos Administradores dos Ambientes, Analistas da Celepar, Cliente Analistas e Técnicos Técnicos do Ambiente Analistas Celepar

9 Configurar o Sistema Operacional dos servidores Instalar/Configurar serviços de rede Criar estrutura de pastas para armazenamento dos dados de usuários e grupos Configurar permissões nos dados de usuários e grupos do sistema Configurar as máquinas no novo domínio Migrar os perfis locais dos usuários para o novo domínio Prestar suporte pós-migração Instalar software para realização de backup (TSM) no servidor Solicitar implementação de política de backup para o servidor junto a CELEPAR/DIOPE Validação do processo de migração Analistas, Técnicos Analistas, Técnicos Técnicos Técnicos Técnicos Técnicos Técnicos Analistas Celepar Analistas Celepar Técnicos/Analistas 5 Tempo de Execução das Tarefas Foi estimado um tempo de execução das tarefas aproximado de 3 meses, porém com alguns problemas que ocorreram no transcorrer da execução, fez-se necessário que o prazo fosse estendido. Hoje com o projeto finalizado, a execução de todo o processo demandou 6 meses, o dobro do previsto inicialmente. 6 Procedimento de Migração do Domínio Inicialmente, foi solicitado a liberação da ferramenta ExpressoAdmin aos respectivos administradores, para que fosse possível organizar e preparar (criar contas, criar grupos, associar usuários aos grupos, etc) o novo ambiente. Esta ferramenta foi liberada aos Técnicos Administradores dos Ambientes, que estão envolvidos neste projeto. O acesso ao ExpressoAdmin é necessário para que este grupo de pessoas possa realizar todas as tarefas relacionadas a administração de contas de usuários/grupos do novo domínio. Todas as contas de usuários que necessitem porventura serem criadas, deverão seguir um ritual obrigatório: 1) O usuário criará uma conta no LDAP da SEED através do seu cadastro no portal Dia-à-Dia Educação ; 2) Caso o portal Dia-à-Dia Educação não permita que a conta de usuário seja criada, então os administradores locais deverão criar a conta em questão através do ExpressoAdmin, sempre observando o padrão para o nome de exibição da conta que

10 deverá ter a primeira letra do nome e sobrenomes em maiúsculas e todas as demais minusculas sem o uso de acentuação, exemplo: Paulo Cesar de Oliveira; 3) Conferir os dados dos usuários que sejam criados através do portal Dia-à-Dia Educação para assegurar que estejam corretos; 4) A conta será associada aos grupos a que o usuário deva fazer parte; 5) Os atributos SAMBA da conta deverão ser ativados; 6) O usuário trocará sua senha sempre que necessário, através do portal Dia-à-Dia Educação [9] ou através do Expresso Livre. A equipe do projeto possui uma conta (smb-seed-admin) no LDAP da SEED com alguns atributos especiais, que permitem que o SAMBA realize algumas atividades sobre a base LDAP. Esta conta especial, também conhecida como conta de bind, é necessária para o funcionamento do servidor SAMBA, na função de controlador de domínio. Além da conta de bind, também existe contas de grupos especiais que permitem o acesso dos usuários a Internet (grupo-seed-internet) através da validação feita pelo serviço de proxy, para acesso SSH aos servidores (grupo-seed-suportessh) necessário para acesso dos administradores locais às máquinas e o grupo de usuários do SUDO (grupo-seed-suportesudo) que permite aos administradores executar tarefas especificas dentro dos servidores. O passo seguinte no procedimento de migração do domínio, foi a realização da instalação e configuração dos serviços de rede que foram disponibilizados em cada uma das máquinas virtuais. Os procedimentos de instalação para os serviços que estão sendo executados sob os servidores (SAMBA, DHCP, DNS, WINS, PROXY e OCS Inventory), estão disponíveis no item 7 Procedimentos de Instalação dos Serviços de Rede deste documento. Os serviços DNS e Proxy foram implementados de forma a garantir a redundância destes sistemas. Há um dispositivo de monitoramento baseado num script, que é implementado nos servidores que disponibilizam estes serviços, pela equipe responsável pelo projeto, e que permite, que as requisições dos usuários sejam redirecionadas para a máquina que se encontrar ativa no caso de falha em uma das máquinas. Nesta etapa, foi dado o início ao processo de estruturação dos diretórios que armazenam os dados dos usuários e dos setores de cada divisão. A equipe responsável pela execução do projeto, providenciou a árvore de diretórios conforme a necessidade de cada unidade do cliente, sempre respeitando os espaços destinados a cada uma das divisões da SEED através do esquema de particionamento. Coube à equipe responsável pela execução do projeto, a criação de meios para controlar as cópias dos dados dos antigos repositórios para o novo servidor, evitando todos os problemas já conhecidos relacionados a migração de dados. Uma observação importante também, a ser feita neste ponto, é a de que os dados foram

11 copiados para o novo servidor de arquivos, utilizando-se do serviço SAMBA em vez de outros mecanismos como o SSH (scp), isto evitou problemas com a nomenclatura dos arquivos com acentos e caracteres especiais. Tomou-se o cuidado de verificar se as configurações de localidade (locales) de origem e destino dos dados eram as mesmas. No servidor de arquivos que está disponível na infra-estrutura comum de serviços, foi implementado pelos administradores locais, o sistema de cotas, tanto para usuários como para grupos do sistema. Este serviço permite um acompanhamento mais efetivo do espaço utilizado para armazenamento de dados de cada setor ou individuo de cada uma das divisões da SEED. Paralelamente à execução das atividades citadas até aqui, também foi feita outras tarefas a saber como: o ajuste nas permissões de acesso aos dados, a configuração das máquinas para que pudessem acessar os dados no novo domínio, a reconfiguração dos perfis locais dos usuários nas máquinas que executam GNU/Linux ou Windows 2000/2003/XP/Vista e a configuração do agente OCS Inventory nas estações de trabalho apontando para o servidor central ocs.educacao.parana. Ainda com relação ao agente OCS, é válido lembrar que máquinas que executem o MS Windows, devem ter o agente instalado e configurado automaticamente quando qualquer usuário efetuar seu logon no novo domínio, estações com o GNU/Linux, demandam a instalação e configuração manual do software através do uso do pacote GNU/Debian ocs-parana. É importante salientar que as atividades de suporte pós-migração deverão ser executadas pelos administradores de rede alocados nas unidades, com intuito de solucionar os problemas oriundos do trabalho de migração das estações e no sentido de explicar o novo sistema de autenticação adotado pelo órgão, já que agora, todo usuário que utilizar as máquinas da rede, passará a usar suas credenciais do Expresso Livre. No momento em que os usuários começaram a fazer uso do novo domínio, os servidores que fazem parte da infra-estrutura comum de serviços, foi feita a implementação de uma rotina de backup, em cada servidor, para proteger os dados do cliente, e também, para preservar as configurações de cada máquina. Para isto, foi preciso fazer a instalação/configuração do software de backup TSM em cada uma das máquinas virtuais que foram disponibilizadas para o projeto. As senhas que foram utilizadas na máquina para os serviços locais, como a do superusuário (root) por exemplo, foram definidas pelo cliente. O técnico responsável pela execução do projeto, ficou responsável por executar o procedimento de mudança de senha conforme a definição do cliente. É válido lembrar também, que cada atividade deste projeto que porventura sofreu a parada de um determinado serviço, foi previamente negociada com antecedência com a equipe de informática do cliente em cada uma de suas unidades, para que esta equipe pudesse tomar todas as providências cabíveis no intuito de amenizar o impacto destas situações em seu ambiente.

12 7 Procedimentos de Instalação dos Serviços de Rede Após a configuração básica do Sistema Operacional dos servidores, foi necessário configurar os serviços de rede que devem ser executados em cada uma das máquinas. Para melhor entendimento do processo, separamos a seguir, os procedimentos de instalação de cada um destes serviços. Procedimentos de Instalação Para Acesso a Base LDAP Instalação e configuração do acesso ao servidor LDAP: A instalação do pacote cliente-ldap-servidor, é o primeiro procedimento que deverá ser executado em todos os sistemas. 1 Executar o APT para obter e instalar o pacote: # apt-get install cliente-ldap-servidor 2 O script de configuração, irá fazer alguns questionamentos, que deverão ser respondidos conforme a tabela abaixo: PERGUNTA Identificador Uniforme de Recursos do servidor LDAP Nome distinto da base de pesquisa RESPOSTA ldaps://ldap.seed.parana ou=corporativo,ou=seed,dc=pr,dc=gov,dc =br Versão do LDAP a usar 3 Tornar a conta root local o administrador da base de dados A base de dados LDAP requer autenticação Conta LDAP para o root Password da conta root do LDAP Digite o nome dos grupos com direito ao acesso SSH neste servidor Digite o nome dos grupos com direito a acesso sudo neste servidor Não Não cn=admin,dc=pr,dc=gov,dc=br <Deixar em branco> grupo-seed-suportessh grupo-seed-suportesudo 3 Verifique se o arquivo de configuração /etc/libnss-ldap.conf, está configurado

13 conforme o quadro abaixo: base ou=corporativo,ou=seed,dc=pr,dc=gov,dc=br uri ldaps://ldap.seed.parana ldap_version 3 4 Verifique se o arquivo de configuração /etc/pam_ldap.conf, está configurado conforme o quadro abaixo: base ou=corporativo,ou=seed,dc=pr,dc=gov,dc=br uri ldaps://ldap.seed.parana ldap_version 3 pam_password crypt 5 Executar o comando de reinicialização do sistema de cache: # /etc/init.d/nscd restart Os serviços SSH e o SUDO, serão instalados juntamente com o pacote cliente-ldapservidor, não sendo necessário sua instalação a parte. Procedimentos de Instalação dos Serviços de Rede Instalação do SAMBA : O SAMBA deverá ser instalado nos servidores sseed00027 e sseed Executar o APT para obter e instalar o pacote: # apt-get install samba-parana 2 O script de configuração, irá fazer alguns questionamentos, que deverão ser respondidos conforme a tabela abaixo, para cada um dos servidores de maneira distinta:

14 Servidor sseed00027 PERGUNTA Digite o nome do grupo de trabalho Nome netbios Conta bind do LDAP OU do LDAP O servidor é Domain Master RESPOSTA SEED sseed00027 smb-seed-admin seed Sim Drive do Grupo g: Drive do Usuário u: Servidor de Logon sseed00027 Servidor sseed00028 PERGUNTA Digite o nome do grupo de trabalho Nome netbios Conta bind do LDAP OU do LDAP O servidor é Domain Master RESPOSTA SEED sseed00028 smb-seed-admin seed Nao Drive do Grupo g: Drive do Usuário u: Servidor de Logon sseed Depois de configurar o arquivo /etc/samba/smb.conf de ambas as máquinas, será necessário ajustar a senha da conta de bind (smb-seed-admin) entre os serviços SAMBA e LDAP, após o término da configuração do SAMBA e sua reinicialização. Para isso, execute o seguinte comando, informando a senha desse usuário: # smbpasswd -w senha fornecida pela DISER

15 4 Ajustar o SID do domínio em ambos os servidores: # net setlocalsid S Na console do servidor sseed00027, realizar o mapeamento entre o grupo smbseed-administrators e o grupo especial do NT Domain Admins : # net groupmap delete ntgroup= Domain Admins # net groupmap add rid=512 unixgroup=smb-seed-administrators ntgroup= Domain Admins type=d 6 Colocar o servidor de arquivos no domínio. Para isso, será necessário criar uma conta de máquina no LDAP para o servidor em questão ( sseed00028 ) e executar o comando abaixo com uma conta de usuário que faça para do grupo smb-seed-administrators : # net rpc join MEMBER -U conta_domain_admin%senha_da_conta Instalação do DDNS (Zona Primária DNS): Procedimentos a serem executados no servidor sseed Executar o APT para obter e instalar o pacote: # apt-get install ddns-parana 2 O script de configuração, irá fazer alguns questionamentos, que deverão ser respondidos conforme a tabela abaixo: PERGUNTA Nome do domínio local: RESPOSTA educacao.parana Endereço IP do servidor DNS: Endereço IP do servidor DNS Primário: Endereço IP do servidor DNS Secundário: Endereço Reverso do servidor local: Endereço IP da subnet:

16 Máscara da subnet a ser utilizada no DHCP: Informe o endereço de início da faixa de restrição: Informe o endereço de fim da faixa de restrição: Endereço IP do gateway: IP do servidor WINS: Endereço IP de distribuição (broadcast): Criar os arquivos das zonas reversas e ajustar as permissões necessárias: # touch /etc/bind/db in-addr.arpa # touch /etc/bind/db in-addr.arpa # touch /etc/bind/db in-addr.arpa # touch /etc/bind/db in-addr.arpa # touch /etc/bind/db in-addr.arpa # chown root.bind /etc/bind/db.* # chmod 770 /etc/bind/db.* 4 Configurar os arquivos relativos ao serviço de DNS ( /etc/bind/named.conf, /etc/bind/db.educacao.parana, etc) e o referente ao serviço DHCP ( /etc/dhcp3- server/dhcpd.conf ). 5 Reinicializar a máquina virtual. Instalação do DNS (Zonas Secundárias DNS): Os procedimentos descritos a seguir, deverão ser executados nos servidores sseed00029 e seed Realizar a instalação do BIND:

17 # apt-get install bind9 dnsutils 2 Criar os arquivos das zonas reversas e ajustar as permissões necessárias: # touch /etc/bind/db.educacao.parana # touch /etc/bind/db in-addr.arpa # touch /etc/bind/db in-addr.arpa # touch /etc/bind/db in-addr.arpa # touch /etc/bind/db in-addr.arpa # touch /etc/bind/db in-addr.arpa # touch /etc/bind/db in-addr.arpa # chown root.bind /etc/bind/db.* # chmod 770 /etc/bind/db.* # chown bind.bind /etc/bind 3 Configurar os arquivos relativos ao serviço de DNS ( /etc/bind/named.conf, /etc/bind/db.educacao.parana, etc), para cada um dos servidores em questão. 5 Reinicializar o serviço DNS: # /etc/init.d/bind9 restart Instalação do Squid : Os procedimentos descritos a seguir, deverão ser executados nos servidores sseed00029 e seed Executar o APT para obter e instalar o pacote: # apt-get install proxy-parana 2 O script de configuração, irá fazer alguns questionamentos, que deverão ser respondidos conforme a tabela a seguir:

18 PERGUNTA Órgão ao qual pertence o servidor Escolha o sistema de autenticação RESPOSTA SEED Expresso Memória cache 784 Endereço da rede / Nome do usuário Senha admin AdminProxy@ 3 Configurar os arquivos relativos ao serviço de Proxy ( /etc/squid/squid.conf ), para cada um dos servidores em questão. Instalação do sistema de cotas QUOTA : O procedimento abaixo deverá ser executado somente no servidor sseed Executar o APT para obter e instalar o pacote: # apt-get install quota 2 Editar o arquivo /etc/fstab e deixá-lo conforme o quadro abaixo: # /etc/fstab: static file system information. # # <file system> <mount point> <type> <options> <dump> <pass> proc /proc proc defaults 0 0 /dev/sda2 / xfs defaults 0 1 /dev/sda1 /boot ext3 defaults 0 2 /dev/sda3 none swap sw 0 0 /dev/sdb5 /home xfs defaults,usrquota 0 2 /dev/sdc5 /dados/sude00 xfs defaults,grpquota 0 2 /dev/sdd5 /dados/ditec00 xfs defaults,grpquota 0 2

19 /dev/sdd6 /dados/tvpf00 xfs defaults,grpquota 0 2 /dev/sde5 /dados/sede00 xfs defaults,grpquota 0 2 /dev/hda /media/cdrom0 udf,iso9660 user,noauto 0 0 /dev/fd0 /media/floppy0 auto rw,user,noauto Remontar os dispositivos de armazenamento: # mount -o remount /dev/sdb5 # mount -o remount /dev/sdc5 # mount -o remount /dev/sdd5 # mount -o remount /dev/sdd6 # mount -o remount /dev/sde5 Instalação do DHCP : O serviço DHCP, não necessita de nenhuma configuração, pois é configurado juntamente com o serviço DDNS. Instalação do WINS : O serviço WINS, não necessita de nenhuma configuração, pois é configurado juntamente com o serviço Samba (parâmetro wins support = yes, da seção global ). Instalação do SSH : O serviço SSH, não necessita de nenhuma configuração adicional, pois é configurado juntamente com o pacote cliente-ldap-servidor. Instalação do SUDO : O serviço SUDO, não necessita de nenhuma configuração adicional, pois é configurado juntamente com o pacote cliente-ldap-servidor.

20 8 Conclusão Este artigo teve como principal objetivo mostrar como a integração de diversas ferramentas e soluções foram capazes de resolver o problema da Unificação e Centralização da Rede de Administrativa de Dados da Secretaria de Educação do Estado do Paraná. Este objetivo foi atingido graças aos estudos que foram feitos paralelamente ao curso de especialização e com isso foi possível encontrar a melhor solução para determinada dificuldade que nos foi apresentada. Como aspectos positivos do artigo, podemos citar o comprometimento da equipe envolvida em busca do resultado, pois como os ambientes eram grandes e complexos as dificuldades também eram, tanto que o prazo previsto inicialmente foi extrapolado em dobro, mas ao final foi alcançado o objetivo. Também podemos citar o ganho de conhecimento com o projeto, pois o curso de especialização auxiliou-nos a encontrar e estudar as melhores soluções para sanarmos os problemas. Os aspectos negativos, podemos citar a resistência dos usuários às mudanças que foram feitas, mesmo sendo uma mudança quase que transparente para o usuário, visto que era apenas necessário que ele alterasse a senha do login, nem sempre os usuários vêem com bons olhos e daí tem-se a resistência. Ainda deve-se levar em conta a possibilidade de melhorias no ambiente, o trabalho não cessa e deve-se procurar automatizar processos e gerar o mínimo de impacto para o usuário. O volume de dados gerados pela Secretaria cresce constantemente, e por isso é preciso elaborar um plano de expansão do espaço em disco do storage. Também futuramente deve-se levar em consideração a proposta de um link de fibra redundante como foi proposto inicialmente, visto que este é um ponto falho no projeto, pois se o link que existe hoje ficar indisponível, consequentemente os usuários sofrerão com a indisponibilidade da rede de dados. 9 Referências [1] OPENLDAP.ORG, Community Developed LDAP Software. Disponível em: < Acesso em: novembro/2009. [2] SQUID-CACHE.ORG, Optimising Web Delivery. Disponível em: < Acesso em: novembro/2009. [3] BIND9.NET, DNS, BIND, DHCP, LDAP and Directory Services < Acesso em: novembro/2009. [4] SAMBA.ORG, Opening Windows to a Wider World < Acesso em: novembro/2009. [5] EXPRESSO LIVRE, Powered by E-GroupWare < Acesso em: