Tópicos abordados: Evolução Computacional Primeira fase Segunda fase Terceira fase. Fatos & Reflexões

Transcrição

1 ACME! AAA Servers Tópicos em Sistemas de Computação 2009 Leandro Arabi Alexandre Prof. Dr. Adriano Mauro Cansian

2 INTRODUÇÃO Tópicos abordados: Evolução Computacional Primeira fase Segunda fase Terceira fase Servidores AAA Fatos & Reflexões 2

3 INTRODUÇÃO: Evolução computacional (1) Primeira Fase: mainframe utilizado até o final dos anos 70. banco de dados, aplicativos e a apresentação residiam em uma única máquina. Arquitetura de uma camada: Terminal Alfanumérico: usuário. Mainframe: toda a capacidade d de processamento. VANTAGEM: "Não havia a interface gráfica com o usuário". consolidava os dados e aplicativos de uma empresa -> gerenciamento profissional. terminais dos usuários: baratos e exigiam pouca manutenção. Terminal Alfanumérico Mainframe Interface do Usuário Aplicativos Dados 3

4 INTRODUÇÃO: Evolução computacional (2) Segunda Fase: micro-computador, computador pessoal. origem da arquitetura cliente/servidor. amplamente utilizado. banco de dados ainda residem nos servidores, aplicativos e interface agora residem na máquina-cliente (PC). "A computação cliente/servidor id trouxe para os computadores as interfaces gráficas do usuário." DESVANTAGEM: aumentou a complexidade das tarefas de gerenciamento, escalabilidade é questionável. "Gerenciar centenas ou milhares de PCs e atualizar aplicativos em cada um deles pode ser uma dor de cabeça logística, e o PC aumenta muito a despesa de mão-de-obra" PC Interface Gráfica do Usuário, Multimídia, Aplicativos Dados Privados Servidor Dados Compartilhados 4

5 INTRODUÇÃO: Evolução computacional (3) Terceira Fase: computação em rede o melhor dos mundos: mainframe & cliente/servidor. facilita o gerenciamento da computação e ao mesmo tempo preserva a experiência agradável do usuário com as interfaces gráficas. Divisão do cliente em duas partes: interface reside no computador do usuário - qualquer dispositivo de computação em rede. aplicativos residem nos servidores. Arquitetura de três camadas. "Migração do valor do computador para a rede" PC ou NC GUI - Multimídia Servidor de Aplicativos Aplicativos Servidor de Dados Dados 5

6 Introdução: Servidores es AAA (1) Servidores AAA: Autenticação, autorização e contabilidade são termos que designam um framework para controle de acesso inteligente dos recursos computacionais, ressaltando políticas, uso de auditoria e provendo meios para contabilidade de serviços Autenticação: deve fornecer um meio para identificar um usuário Esta etapa pode ser tão simples como pedir um nome de usuário e senha, como pode ser tão complexa como pedir informações complementares de smart-cards ou cartões com senhas transitórias. Autorização: ç processo que determina o que o usuário pode acessar e quais dos serviços fornecidos pode utilizar Define-se todas as propriedades da conexão que o processo de autenticação liberou. Esta etapa é importante porque é normal que haja usuários com privilégios diferentes e assim devem ser tratados de maneira distinta. 6

7 Introdução: Servidores es AAA (2) Contabilidade (accouting): medida dos recursos que o usuário consome durante o acesso. Isto pode incluir: Quantidade d de tempo que o usuário ái permanece no sistema. Quantidade de dados que o usuário envia/recebe durante uma sessão. Recursos utilizados pelo usuário. Portanto, o intuito é armazenar os dados dos acessos e mantê-los em uma base de dados para que sejam analisados e processados posteriormente As vantagens da contabilidade: Estatísticas de utilização. Previsão de expansão. Atividades de planejamento de capacidades. Controle de autorização (políticas de acesso). Cobranças (billing). 7

8 INTRODUÇÃO FATOS & REFLEXÕES 8

9 INTRODUÇÃO: Fatos & Reflexões (1) "Há um tempo atrás o maior valor vinha da computação: possuir o computador mais veloz, o melhor sistema operacional e as mais recentes ferramentas de software. ERA UMA QUESTÃO DE VANTAGEM TÉCNICA. ATUALMENTE: o maior valor de um computador deriva das redes às quais ele está conectado" ESTAMOS NA ERA DA INFORMAÇÃO! "O valor para empresas e clientes está na informação - e conhecimento - que eles compilam dos dados d aos quais têm acesso." "CEM POR CENTO das empresas da Fortune 500 utilizam vários sistemas operacionais hoje em dia." "Toda organização precisa criar sistemas em torno das informações de que ela necessita para operar e prosperar, e não em torno de um equipamento ou software." "A PRIVACIDADE NAS COMUNICAÇÕES E NAS INFORMAÇÕES pessoais deve ser protegida a QUALQUER CUSTO!" obs.: a informação pessoal tem um custo inestimável! 9

10 INTRODUÇÃO: Fatos & Reflexões (2) Fato histórico: "Há mais de 2000 anos, Arquimedes, o filósofo matemático grego, ilustrou o princípio da plataforma quando disse que, com uma alavanca suficientemente longa e um ponto de apoio, ele poderia mover o mundo. Plataforma, tanto naquela época, quanto hoje, indica força. PLATAFORMA: é algo sobre o qual você pode apoiar, algo que poder ser desenvolvido, algo em que você pode confiar."...com uma plataforma forte e bastante alavancagem, você pode mover qualquer coisa." LEIA-SE: Plataforma: ambiente computacional sólido econfiável. Alavancagem: políticas, treinamento, organização e trabalho. Mover qualquer coisa: o seu negócio. 10

11 GERENCIANDO ARQUIVOS DE SISTEMA 11

12 GERENCIANDO ARQUIVOS DE SISTEMA: Fatos & Realidades "Um sistema funcionando de maneira adequada depende de dezenas, quiçá centenas,, de arquivos de configuração todos contendo trechos corretos de informação....ao multiplicarmos o número de arquivos em um host pelo número de hosts de uma rede, o resultado pode se transformar em milhares de arquivos - um número muito grande para ser gerenciado manualmente". 12

13 GERENCIANDO ARQUIVOS DE SISTEMA: Alternativas Cópia de arquivos: Combinar máquinas em grupos que compartilhem arquivos de configuração, preservar uma cópia mestre de cada arquivo de configuração em um local e distribuí-lo aos membros do grupo sempre que for alterada. Vantagens: Simples e funcional Desvantagens: Hosts não conectados na hora da atualização podem apresentar incosistência nos dados. Sistemas Dedicados: Eliminar os arquivos de texto e fazer com que cada máquina obtenha suas informações de configuração em um servidor central. Vantagens: elimina-se a inconsistência dos dados possível ganho na performance (acesso à disco x velocidade da rede) Desvantagens: Dependência do servidor central. 13

14 GERENCIANDO ARQUIVOS DE SISTEMA: Cópia de arquivos (1) Cópia de arquivos força bruta: Solução não elegante. Funcional Fácil configuração. Confiável - minimiza a dependência entre as máquinas. Porém: possibilita a falta de sincronismo. A cópia de arquivos oferece a máxima flexibilidade em termos do que pode e como deve ser distribuído. É uma boa solução quando arquivos de configuração não suportados por qualquer um dos serviços de banco de dados distribuído deve ser compartilhado. Se suas necessidades não forem complexas, você não precisa de uma solução complexa. Às vezes a melhor solução é a mais SIMPLES e IMEDIATA. 14

15 GERENCIANDO ARQUIVOS DE SISTEMA: Cópia de arquivos (2) Tipos de Cópia: Empurrão: O servidor distribui periodicamente os arquivos alterados a seus clientes. Vantagem: mantém o sistema de distribuição centralizado numa máquina. Desvantagem: o cliente deve permitir que o mestre modifique seus arquivos. RISCO DE SEGURANÇA! Puxão: O cliente é responsável pela própria atualização no servidor. Vantagem: flexível Desvantagem: sistema não centralizado de distribuição de arquivos. Overhead administrativo. 15

16 GERENCIANDO ARQUIVOS DE SISTEMA: Cópia de arquivos (3) Algumas opções: rdist: distribuição de arquivos Vantagens: Fácil Cópia apenas de arquivos desatualizados Mantém informação de grupo, modo e horário da modificação. Antes de ser atualizado o arquivo é eliminado. Desvantagens: Históricos problemas de segurança. Tradicionalmente executado sobre rsh e usava autenticação do tipo rsh para ganhar acesso a sistemas remotos. Nesse esquema, o acesso de root é permitido em qualquer host listado no arquivo /.rhosts do sistema desejado. O grande problema é que ao executar o rlogind, máquinas clientes ficam vulneráveis a outros tipos de ataque. Obs: Versões atuais são melhores, porém não perfeitas. Pode-se substituir o rsh por ssh, mas para o funcionamento adequado é necessário o uso sem senha. 16

17 GERENCIANDO ARQUIVOS DE SISTEMA: Cópia de arquivos (4) rsync: transferência de arquivos de maneira mais segura. Vantagens: "Mais seguro"!= seguro máquinas receptoras podem fazer o lado remoto o como o um processo servidor proveniente e e de inetd. altamente configurável modos: "puxão" e "empurrão" disponíveis. Desvantagens: arquivos são transferidos sem criptografia por padrão. Obs.: embora a senha não seja enviada em texto puro pela rede, os arquivos transferidos não são criptografados. Para que os dados sejam enviados criptografados pode-se utilizar o ssh como transporte, porém o sshd deverá ser configurado para não exigir senha. Maneira mais fácil de distribuir os arquivos de um servidor central. Copia os arquivos somente quando estão desatualizados. Preserva informações relativas ao proprietário, grupo, e o horário da modificação. 17

18 GERENCIANDO ARQUIVOS DE SISTEMA: Sistemas dedicados (1) Alguns sistemas dedicados para o gerenciamento de arquivos de sistema: NIS NIS+ LDAP Kerberos Radius NIS: Network Information Service Lançado pela Sun nos anos 80, originalmente intitulado de Sun Yellow Pages. Um servidor e seus clientes formam um "domínio" NIS e a unidade de compartilhamento no NIS é o registro, não o arquivo. Um registro normalmente corresponde a uma linha num arquivo de configuração. Os arquivos de textos após editados são transformados em um formado hashed utilizando o comando make, isso melhora a eficiência iê i nas pesquisas. Vantagens: Fácil configuração e administração Razoavelmente escalonável Amplamente suportado: Linux / BSDs / Solaris Popular 18

19 GERENCIANDO ARQUIVOS DE SISTEMA: Sistemas dedicados (2) Desvantagens: Dados enviados pela rede em texto t plano Dificuldade de legitimar os serviços Obs.: Os problemas aqui mencionados são sabidos há vários anos, porém o NIS continuou sendo amplamente utilizado em virtude de não ter aparecido nenhuma alternativa razoável. NIS+: Filho de NIS É um bom exemplo do que Frederick P. Brooks Jr. chama de "o efeitosegundosistema" em seu clássico sobre engenharia de software, The Mythical Man-Month. Eletenta se erguer com o sucesso de seu progenitor evitando todos os erros e armadilhas do projeto anterior. Resultado : desajeitado, muito elaborado e fora da realidade! Dificil de configurar e administrar Comandos e opções de comandos complicadas e difícil il de memorização. Há quem diz que a própria SUN não adota o NIS+ internamente! 19

20 LDAP Lightweight i Directory t Access Protocolt l 20

21 Conceituação geral Serviço de diretório O DNS é o ponto de partida para entendermos serviços de diretórios. Apesar das novas funções, cinco características permanecem nos serviços de diretórios: 1. É otimizado para leituras: no DNS utilizamos caches para fazer isso; 2. Implementa um modelo distribuído para armazenar informação: DNS = várias organizações + Root Servers; 3. Pode estender os tipos de informação que ele armazena: isto está acontecendo com o DNS, pelo surgimento de novos os Records; 4. Tem capacidades avançadas de busca: no DNS podemos buscar qualquer tipo de Record; 5. Tem replicação entre servidores de diretório: assim como os secundários do DNS. 21

22 Conceituação geral Serviço de diretório Um serviço de diretório nos permite gerenciar informações com um paradigma descritivo, não apenas com identificadores. Em outras palavras, em uma busca, o cliente fornece apenas uma descrição do que está buscando. Assim, descrevemos entidades com pares (atributo,valor), t o que éd denominado d nomeação baseada em atributos. 22

23 Conceituação geral Serviço de diretório Nesta abordagem há algumas premissas: Uma entidade tem um conjunto associado de atributos que podem ser usados para procurá-la. Cada atributo diz algo sobre a entidade. Quando um usuário especifica quais valores um atributo deve ter ele restringe ti o conjunto de entidades d nas quais está táinteressado. Cabe ao sistema de nomeação retornar uma ou mais entidades que atendam à descrição do usuário. 23

24 Conceituação geral Serviço de diretório -t mx angel.acmesecurity.org ; <<>> DiG t mx angel.acmesecurity.org ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;angel.acmesecurity.org. IN MX ;; AUTHORITY SECTION: acmesecurity.org. 600 IN SOA ns.acmesecurity.org. \ hostmaster.acmesecurity.org ;; Query time: 8 msec ;; SERVER: #53( ) ;; WHEN: Tue Jun 24 09:46: ;; MSG SIZE rcvd: 90 24

25 Conceituação geral Serviço de diretório O que um serviço de diretórios nos permite? Algo semelhante a: Quais são os hosts MX da Unesp, cujo IP termina com.1? No DNS não é tão simples obter a resposta desta pergunta. Trazendo para um plano mais real, uma possível consulta em um serviço de diretório é: Quais estudantes do DCCE moram em São José do Rio Preto, estão no último ano da graduação e são orientados do Prof. Dr. Adriano Cansian? ldapsearch x b dc=dcce,dc=ibilce,dc=unesp,dc=br \\ (&(cidade=sjrp)(ano_de_curso=4)(orientador=adriano de curso=4)(orientador=adriano Cansian)) 25

26 Conceituação geral Serviço de diretório Dois problemas relativos aos serviços de diretório são: Definir os atributos a serem utilizados. Manter uma consistência de valores para cada um desses atributos. Tais problemas aumentam conforme o número de usuários diferentes passam a fazer parte do sistema. Controlar um departamento é fácil. Controlar um campus implica maiores dificuldades. Controlar vários campus exige um projeto de consistência bem definido. Mas o que seria esta consistência? Exemplo: como garantir que todos os campus terão o atributo Telefone e como garantir que todos preencherão na forma (17) ? 26

27 Conceituação geral Serviço de diretório Qual o objetivo de se criar um serviço de diretórios? Reunir informações em um único diretório. Isto não significa apenas colocar tudo em um lugar só. O significado é: centralizar as informações visando a organização. Algumas vantagens que temos com isto: Diminuição do número de cópias desnecessárias de informações; Diminuição do custo administrativo de um ambiente; Versatilidade na implementação de serviços compatíveis com o serviço de diretório. 27

28 Conceituação geral Serviço de diretório Um exemplo que mostra a versatilidade do sistema: apagar um usuário de um ambiente: Entradas no passwd e shadow; Entradas no alias do postfix; Entradas no mailman; Arquivos do usuário (home); MAC deste usuário no DHCP; Etc. 28

29 Conceituação geral Serviço de diretório O serviço de diretórios fornece versatilidade na manipulação destas informações. Diversas aplicações são compatíveis com este serviço atualmente. A utilização principal vem sendo para a autenticação de usuários. Importante: Embora a autenticação seja o foco, um serviço de diretório, principalmente que implementa o LDAP, não se limita a isto. 29

30 LDAP e os serviços de diretórios Lightweight Directory Access Protocol 30

31 Conceituação geral Serviço de diretório Lightweight g (leve) Relacionado com as origens do LDAP, que vem do padrão X.500 de diretórios. O X.500 era extremamente complexo e considerado pesado (heavyweight) por ser estabelecido sobre o modelo OSI. LDAP é dito leve pois tem pouco overhead nas mensagens: é um protocolo na aplicação do modelo TCP/IP que interage diretamente com a camada de transporte. 31

32 Conceituação geral Serviço de diretório Directory y( (diretório) Confundido com bancos de dados pois apresenta características semelhantes, como procuras rápidas e esquemas extensíveis. As diferenças são: Diretório é desenvolvido para ser muito mais lido do que escrito; Banco de dados tanto é lido como escrito. 32

33 Conceituação geral Serviço de diretório Directory y( (diretório) Uma distinção importante deve ser feita entre o LDAP e o sistema de armazenamento de dados. O LDAP é apenas um protocolo: um conjunto de mensagens para acessar certos tipos de dados. d O protocolo não diz nada sobre onde os dados devem ser armazenados. Os desenvolvedores podem utilizar o que quiser em suas implementações, desde arquivos em texto plano a bancos de dados. Um cliente nunca saberá sobre o mecanismo de armazenamento dos dados. 33

34 Conceituação geral Serviço de diretório Directory (diretório) Isto permite que clientes desenvolvidos por empresas diferentes possam interoperar, desde que implementem o LDAP (sigam este padrão). 34

35 Conceituação geral Serviço de diretório Access Protocol (protocolo de acesso) Protocolo de acesso, refere-se ao protocolo assíncrono, cliente/servidor, baseado em mensagens, definido no RFC Isto é o LDAP. Regras que definem como fazer consultas a determinados dados, utilizando mensagens bem definidas, em um paradigma cliente servidor. 35

36 Partes que compõem o LDAP 36

37 Podemos dividir o LDAP em diferentes abstrações para melhor entender seu funcionamento: Conceituação geral Serviço de diretório 1. Modelo de informação. 2. Modelo de nomeação. 3. Modelo funcional. 4. Modelo de segurança. 37

38 Conceituação geral Serviço de diretório Modelo de Informação Provê as estruturas e tipos de dados necessários para se construir uma árvore de diretórios (DIT Directory Information Tree). Entrada (entry) é unidade básica em diretório LDAP, um cadastro qualquer. Uma entrada possui informações sobre a instância de uma classe de objeto (objectclass). ObjectClass: define um conjunto de atributos e os tipos destes atributos: 38

39 Conceituação geral Serviço de diretório Modelo de Informação Exemplo de uma entrada: People: define pessoas Informações Informações objectclass informações do objectclass informações doobjectclassobjectclass Organization Unit: define uma organização 39

40 Conceituação geral Serviço de diretório Modelo de Informação Porque os atributos devem ter uma minuciosa especificação? Para que seja possível compará-los em uma busca (string, inteiro, multivalorado etc); Exemplo: um inteiro pode ser comparado usando <, >, =,!= etc Este modelo de informações será abordado mais detalhadamente d t nos esquemas LDAP (schemas). 40

41 Conceituação geral Serviço de diretório Modelo de Nomeação Define como entradas em uma DIT são unicamente referenciadas. RDN Relative Distinguished Name: é um nome que faz sentido local (análogo a um nome de arquivo em um diretório): Pode ser formado por vários atributos, combinados com + ; Não existem 2 RDNs iguais em um diretório. Para identificar unicamente uma entrada em uma DIT, segue-se todos os RDNs até o diretórios raiz, formando o DN - Distinguished Name. É como o caminho completo em uma árvore de diretórios. 41

42 Conceituação geral Serviço de diretório Modelo de Nomeação Tanto o valor quanto o atributo são usados para formar um RDN: dc=ibilce,dc=unesp (sintaxe: atributo=valor) e não ibilce,unesp 42

43 Conceituação geral Serviço de diretório Modelo de Nomeação DIT Directory Information Tree Entrada: Atributos e seus valores RND 43

44 Conceituação geral Serviço de diretório Modelo Funcional É o próprio protocolo LDAP. Provê meios para acessar os dados na árvore de diretórios. Os acessos são do tipo operações de autenticação, buscas (queries) e operações de escrita. Modelo o de segurança São mecanismos para clientes provarem suas identidades (autenticação) e para o servidor controlar o acesso aos dados. 44

45 Conceitos específicos do LDAP 45

46 LDAP Conceituação específica LDIF O LDIF é a forma básica de inserção de dados em bases LDAP. Paralelo: no DNS alteramos os arquivos de zona. No LDAP não, o armazenamento fica de certa forma oculto. O que fazemos é inserir dados que são organizados internamente, segundo uma hierarquia. Trata-se de um simples arquivo em texto plano. Os dados são armazenados usando bibliotecas específicas. Por padrão, o OpenLDAP usa o Berkeley Database (libdb). Isto não possibilita a alteração direta de informações, como nos arquivos do DNS. 46

47 LDAP Conceituação específica dn: dc=ibilce,dc=unesp,dc=br objectclass: dcobject objectclass: organizationalunit ou: ibilce # objectclass organizationalunit tem o atributo "ou" como MUST dc: ibilce # objectclass dcobject tem o atributo "dc" como MUST dn: ou=people,dc=ibilce,dc=unesp,dc=br objectclass: top objectclass: organizationalunit ou: People dn: cn=tarlei,ou=people,dc=ibilce,dc=unesp,dc=br objectclass: person objectclass: posixaccount uid: tarlei # objectclass person tem os atributos "uid" e "cn" como MUST uidnumber: gidnumber: 990 homedirectory: /dev/null sn: Tarlei cn: tarlei telephonenumber: (17)

48 LDAP Conceituação específica LDIF Assim, o processo de inserção de dados na base é: 1. Criar um arquivo LDIF segundo os esquemas utilizados: Isto é, com os atributos que são necessários (discutidos a frente). 2. Chamar um comando que leia o arquivo e insira na base: ldapadd -x -D cn=admin,dc=ibilce,dc=unesp,dc=br -W -f ibilce.ldif 48

49 LDAP Conceituação específica LDIF Observações: Ao tentar inserir um arquivo pela segunda vez, a base indicará erros (duplicação). O DN pode ser entendido como a chave primária que não permitirá duplicação. Alguns atributos podem ser multivalorados: Neste caso ficar atento para não inserir vários valores no atributo. Pode-se comentar valores já inseridos e manter um LDIF para saber o que já foi inserido. Tudo isto é o padrão básico: existem algumas interfaces que facilitam o gerenciamento. 49

50 LDAP Conceituação específica Atributo Um atributo é um campo onde guardamos alguma informação. É semelhante a uma variável de uma linguagem de programação. Difere-se pela possibilidade de multivaloração. 50

51 LDAP Conceituação específica objectclass Todas as entradas do diretório devem conter uma classe de atributos. Define o conjunto de atributos que uma entrada deve possuir. As objectclass são definidas por Schemas. Os atributos de uma objectclass podem ser opcionais ou obrigatórios. O LDAP possui várias objectclass prontas. 51

52 DN Distinguished Names LDAP Conceituação específica Nome único dentro de uma árvore de diretórios. Análogo ao FQDN. Exemplo: cn=admin,ou=people,dc=ibilce,dc=unesp,dc=br dc=ibilce dc=unesp dc=br 52

53 RDN Relative Distinguished Name LDAP Conceituação específica É um nome que tem sentido local. Possibilita uma identificação única local. Exemplo: Suponha que estamos em dc=acme,dc=ibilce,dc=unesp,dc=brdc=ibilce dc=unesp dc=br cn=guilherme,dc=acme,dc=ibilce,dc=unesp,dc=br é único. Pode existir apenas 1 guilherme no acme. O RND guilherme faz sentido dentro do ACME!. 53

54 RDN Relative Distinguished Name LDAP Conceituação específica O RDN pode ser formado pela combinação de atributos Exemplo: Dois guilhermes no ACME!, podemos gerar RDN com nome+sobrenome: cn=guilherme+sobrenome=correa,dc=acme,dc =ibilce,dc=unesp,dc=br O RDN é cn=guilherme + sobrenome=correa. Isto é único dentro do ACME!. 54

55 LDAP Conceituação específica Schema (esquema) Os esquemas LDAP são definições de entradas de diretórios. Podemos entender um esquema como um Struct em C. Definimos o que um esquema conterá: DN; RND; ObjectClass; Atributos. O LDAP possui vários esquemas prontos, sendo que os principais já estão declarados no arquivo de configuração do servidor. 55

56 LDAP Conceituação específica Schema (esquema) É dentro de um arquivo de esquema que podemos criar um modelo de dados para nossa organização. Um exemplo disto foi o esquema criado para o DCCE Departamento de Ciências de Computação e Estatística (discutido posteriormente). 56

57 RADIUS RADIUS Remote Authentication Dial-In User Service 57

58 RADIUS Agenda Agenda: Introdução Objetivos do RADIUS Revisão: Servidores AAA Arquitetura Esquemas de autenticação Esquemas de accounting Quando e por que utilizar Implementações disponíveis 58

59 RADIUS Introdução Iniciado em meados de 1992 pela Livingston (hoje parte da Lucent Technologies) É um protocolo que se encaixa no modelo AAA (Authentication, Authorization and Accounting) Foi concebido como o que deveria ter o que eles consideravam necessários para viabilizar o acesso remoto e não havia disponível na época Historicamente O RADIUS foi proposto e surgiu em meio às conexões discadas da época Evoluiu e hoje é muito mais do que um simples protocolo de autenticação de usuários discados RADIUS é atualmente um Draft e encontra-se no estágio final de se tornar um padrão da Internet (RFC) 59

60 RADIUS Objetivos Os principais objetivos do protocolo RADIUS eram: Ser um protocolo free, ou seja, qualquer fabricante poderia utilizá-lo sem custos Ser um protocolo independente de máquina Ser seguro e confiável Ser escalonável (passível de ser colocado em níveis) e expansível, sendo capaz de acompanhar as necessidades futuras Ser simples de implementar, tanto no lado do servidor RADIUS como no cliente O RADIUS tornou-se altamente suportado e atualmente, apenas uma minoria de servidores de acesso remoto, não suportam este protocolo. 60

61 RADIUS Relembrando - AAA Servidores AAA: Autenticação, autorização e contabilidade são termos que designa um framework para controle de acesso inteligente dos recursos computacionais, ressaltando políticas, uso de auditoria e provendo meios para contabilidade de serviços Autenticação: deve fornecer um meio para identificar um usuário Esta etapa pode ser tão simples como pedir um nome de usuário e senha, como pode ser tão complexa como pedir informações complementares de "smartcards" ou cartões com senhas transitórias Autorização: processo que determina o que o usuário pode acessar e quais dos serviços fornecidos pode utilizar Define-se todas as propriedades da conexão que o processo de autenticação liberou. Esta etapa é importante porque é normal que haja usuários com privilégios diferentes e assim devem ser tratados de maneira distinta 61

62 RADIUS Relembrando AAA (2) Contabilidade: medida dos recursos que o usuário consome durante o acesso. Isto pode incluir: Quantidade de tempo que o usuário permanece no sistema Quantidade de dados que o usuário envia/recebe durante uma sessão Recursos utilizados pelo usuário Portanto, o intuito é armazenar os dados dos acessos e mantê-los em uma base de dados para que sejam analisados e processados posteriormente As vantagens da contabilidade: Estatísticas de utilização Previsão de expansão Atividades de planejamento de capacidades Controle de autorização (políticas de acesso) Cobranças (billing) 62

63 RADIUS Arquitetura Arquitetura do tipo cliente-servidor servidor RADIUS atende às requisições de AAA dos equipamentos clientes (tipicamente servidores de acesso remoto) O RADIUS é divido em dois serviços distintos: autenticação e autorização contabilidade Possibilidade de ser implementados em servidores (máquinas) distintas Ambos os serviços possuem mecanismos de criptografia e autenticação de dados para garantir a segurança da comunicação Essas características permitem que o servidor RADIUS esteja fora da rede onde se encontram os servidores de acesso, ou mesmo, distantes fisicamente Garantia de 'comunicação segura' 63

64 RADIUS Arquitetura (2) Funcionamento Um servidor de autenticação e autorização (AA) Servidor de acesso remoto recebe uma requisição e solicita meios de identificação do usuário, tais como username e senha criptografados (ou mais informações) Todas as informações são enviadas então ao servidor de autenticação RADIUS na forma de uma requisição O servidor RADIUS recebe o pedido de autenticação e, verifica primeiramente, se o servidor de acesso remoto pode se autenticar com ele Caso positivo, o servidor RADIUS verifica os dados do usuário. Se estiverem incorretos, será enviada uma mensagem de negação ao servidor remoto. Se corretos, pode-se enviar uma mensagem de permissão de acesso ou requisição de mais informações Juntamente com a permissão de acesso, o servidor RADIUS envia todas as informações pertinentes ao usuário como seus privilégios e as condições do acesso remoto (ex.: qual ACL deve ser aplicada ao usuário em questão, quanto tempo pode ficar conectado) 64

65 RADIUS Arquitetura (3) Servidor de acesso remoto Resposta OK Usuário autenticado e autorizado Internet Base de dados AA Servidor RADIUS AA 65

66 RADIUS Arquitetura (4) Funcionamento Um servidor de autenticação, autorização e contabilidade (AAA) Todos os passos mencionados no exemplo anterior ocorrem novamente Cada vez que um acesso é iniciado o servidor remoto envia uma mensagem Start ao servidor de contabilidade Ao término do acesso deve ser enviada uma mensagem de fim Stop O servidor de acesso remoto deve esperar uma confirmação do recebimento da mensagem Stop por parte do servidor de contabilidade RADIUS Nota: O servidor RADIUS de autenticação e autorização e o de contabilidade podem estar ou não na mesma máquina. Ou mais, podem estar em redes completamente distintas e distantes. 66

67 RADIUS Arquitetura (5) Base de dados AA Usuário autenticado e autorizado Internet Servidor RADIUS AA Pedido AAA Autorização e Autenticação Servidor de acesso remoto Servidor RADIUS Accounting 67

68 RADIUS Esquemas de autenticação O RADIUS suporta uma variedade de esquemas de autenticação: System Database: usuários e senhas são armazenados no /etc/passwd no próprio servidor, isto é, são usuários UNIX comuns do sistema Internal Database: os logins Ids, senhas etc, dos usuários são armazenados em uma base de dados interna do RADIUS. As senhas ficam criptografadas utilizando MD5 ou DES hash SQL Authentication: ti ti as informações sobre os usuários ái são armazenadas em um banco de dados SQL ORADIUSsuporta comunicação com servidores MySQL epostgreslq Outros DBMS são suportados via interface ODBC O RADIUS não impõe nenhuma restrição nas estruturas das tabelas deautenticação e contabilidade. As queries para armazenamento e recuperação ficam a cargo do administrador/desenvolvedor PAM authentication: usuários são autenticados via PAM (Pluggable Authentication Modules) Possibilidade de integração com LDAP 68