Protocolo LDAP II: Acesso Remoto a Diretórios em Redes de Dados

Transcrição

1 Protocolo LDAP II: Acesso Remoto a Diretórios em Redes de Dados Esta série de tutoriais apresenta o protocolo LDAP (Lightweight Directory Access Protocol), utilizado para prover serviços de acesso remoto a diretórios distribuídos em rede de dados, de forma centralizada. Os tutoriais foram baseados no Artigo Científico intitulado OPENLDAP: a chave é a centralização, de autoria do Jaime e do Mário, apresentado para a obtenção de grau no Curso de Tecnologia em Redes de Computadores e orientado pelo Prof. Esp. Rubens Alves Gonçalves Neto, da Universidade Estadual de Goiás. Este tutorial parte II apresenta uma implementação prática do protocolo LDAP, o OpenLDAP, que é um software livre desenvolvido segundo as recomendações do LDAP, para ser aplicado em redes de dados projetadas para oferecer os serviços de diretórios distribuídos por diversos servidores. Jaime Ribeiro Junior É Tecnólogo em Redes de Computadores pela Universidade Estadual de Goiás (UEG, 2008). Atuou como Professor de Informática Básica na GL Treinamentos, ministrando cursos de Windows, pacote Office e noções de Hardware, e como Prestador de Serviços nas áreas de redes de computadores, suporte aos Sistemas Operacionais MS Windows e Distribuições Linux, e suporte de Hardware. Atou também como Auxiliar de Secretaria na Escola Municipal Guilhermina Pereira de Fretas. Atualmente é Professor do Curso Superior de Tecnologia em Redes de Computadores da Universidade Estadual de Goiás - Unidade de Pires do Rio, ministrando Linguagem de Programação I, Linguagem de Programação II e Informática Básica. jaimejr1987@gmail.com 1

2 Mário César de Castro É Tecnólogo em Redes de Computadores pela Universidade Estadual de Goiás (UEG, 2008). Atualmente é Técnico de Urna na Probank. Categorias: Banda Larga, Redes de Dados Wireless Nível: Introdutório Enfoque: Técnico Duração: 15 minutos Publicado em: 05/01/2009 2

3 Protocolo LDAP II: Introdução O LDAP (Lightweight Directory Access Protocol, ou Protocolo Leve de Acesso a Diretório, como o nome já diz, é um protocolo [1] que rege a forma de acesso a serviços de diretórios e respectivos clientes. Em outras palavras, ele fornece a comunicação entre usuários e serviços de diretórios. Em sua forma implementada temos o OpenLDAP, que é o LDAP atribuído de recursos e funcionalidades. Ele oferece a integração com protocolos de comunicação como o IPv4 [2]e IPv6 [3] e de transferências de arquivos como FTP [4] e outros, além da integração de banco de dados, chaves criptográficas dentre outras ferramentas que fazem com que o LDAP possa ser implementado de forma segura e funcional, possuindo dentre outras a capacidade de armazenamento de dados dos usuários da rede de forma prática e segura, inclusive logins [5] e senhas. Dentre todas as funcionalidades do OpenLDAP, a que se considera como a de principal destaque, é a capacidade de oferecer a autenticação de usuários usando sua base de dados. Com ela, podem-se acessar as referências de todas as informações dos usuários da rede em um único lugar permitindo também que todos os protocolos e serviços de diretórios vinculados a ele possam utilizar seus dados para a autenticação de seus clientes. Isso gera o que se denomina de centralização, pois a autenticação de todos os serviços de rede se concentrará em uma única árvore de informações, o que, conseqüentemente, facilita o trabalho do gerente de redes. Atualmente existe uma escassez de profissionais qualificados para a sua instalação e manutenção, uma vez que como qualquer ferramenta avançada traz consigo a necessidade de um profissional especializado para poder resolver os percalços encontrados no caminho de sua implementação. Este tutorial tem por finalidade fazer com que o leitor conheça a origem do LDAP e entenda como o OpenLDAP, pode através da centralização facilitar o trabalho do administrador da rede durante a gestão dos serviços da mesma, facilitando a gerência de cadastros de usuários. Além disso, será possível também entender os conceitos relacionados ao LDAP, tais como: Diretório, Centralização e Segurança. Aqui será abordado de forma sintetizada os itens citados acima com enfoque à centralização da base de dados, objetivando apresentar o OpenLDAP, mostrando suas características, origem e principalmente a praticidade que ele traz depois de implantado. Possíveis problemas também serão detalhados ao longo do desenvolvimento como dificuldades na implementação e segurança. Para isso, será feita uma revisão teórica, abordando o assunto, tanto em material impresso como digital e uma análise prática feita apenas com o intuito de testar aquilo que a teoria pesquisada mostra, tanto que por não se considerar importante a execução deste em um projeto, este trabalho não citará como foi o trabalho de implementação, mas sim suas características, a fim de despertar o interesse dos leitores pelo mesmo. A criação deste se justifica na exposição do OpenLDAP que poderá ajudar não só aos gerentes de redes, mas também aos estudantes de informática, futuros administradores de redes, que ao dominar tal ferramenta terão em suas mãos mais um diferencial de mercado de alto conceito. Fazer com que o leitor conheça e compreenda o que ele é e suas funções, com isso difundindo mais essa ferramenta que, como já salientado, é muito interessante quando se fala em administrar uma rede, seja ela de pequeno, médio ou grande porte. [1] Protocolo: conjunto de regras pré-definidas que estabelece a comunicação entre computadores e assim a 3

4 comunicação dos dados. [2] IPv4: protocolo IP utilizado atualmente na Internet e para a comunicação entre computadores. Suporta 4 milhões de endereços. [3] IPv6: atualização do IPV4, ele suporta muito mais endereços uma vez que possui uma chave de 128 Bits contra 32 de seu antecessor. [4] FTP - File Transfer Protocol:- Protocolo de Transferência de Arquivos, pela Internet. [5] Logins: nome de usuário usado para a autenticação em um servidor ou sistema como um todo, ou mesmo na Internet. 4

5 Protocolo LDAP II: OpenLDAP Ao se utilizar o SLDAP (servidor LDAP, máquina onde o OpenLDAP está instalado), como base para busca de informações, pode-se fazer com que todos os serviços e aplicativos da rede o usem para buscar as informações, de maneira que todos compartilhem uma única árvore, fazendo, desta forma, que todos os serviços da rede fiquem integrados a ele, facilitando muito a administração de redes de qualquer tamanho. Ao se colocar todos os dados da rede em uma única árvore de informações e fazendo com que todos os serviços e aplicativos passem a utilizar o SLDAP, estará se centralizando todos os dados e as buscas dos mesmos. Isto é o que se denomina centralização, sendo ela a chave para a utilização de um estilo que traz facilidade e eficiência na gerência de redes. Em resumo, a centralização é o ato de utilizar um serviço de diretórios na rede fazendo com que todos os outros serviços e softwares que necessitem buscar informações façam todas suas buscas no servidor de diretórios. Com a utilização da centralização o administrador de redes tornará os serviços e softwares da rede muito mais práticos e fáceis de gerenciar, pois ao utilizar está chave ele abrirá uma porta para uma gerência de forma inovadora, promovendo a autenticação de todos os serviços da rede em uma única base de dados, o uso de uma agenda com todos os dados dos usuários que pode ser acessada de qualquer ponto da rede, ou seja, as informações do SLDAP poderão ser utilizadas por qualquer software que venha precisar delas. Funcionamento do OpenLDAP Todo tipo de informação pode ser armazenado nos atributos da base do OpenLDAP: nomes, ID s de usuário, fotos, locais de trabalho, senhas, s, entre outros. Os responsáveis por determinar quais tipos de entradas são válidas na base do OpenLDAP são arquivos chamados schem. Segundo Trigo (2007, p. 24) schema é como uma planta-baixa, uma definição da estrutura das entradas e dos atributos que podem ser inseridos nelas. Qualquer software que venha a necessitar da consulta de informações para seu funcionamento, é um forte candidato para a utilização do OpenLDAP, e para isso basta que o mesmo tenha um arquivo schema. Criar arquivos schemas é possível, entretanto não é fácil, e por isso o OpenLDAP traz consigo os schemas necessários para a configuração de seus principais recursos. Serviços conhecidos como Samba [6], FTP e Apache [7], já possuem schemas prontos disponíveis em repositórios [8] na Internet, e se o software que o usuário pretender usar não tiver nenhum schema existente ele poderá criá-lo. Schemas são registrados e padronizados sob RFC s, segundo Trigo (2007) : Cada elemento de um schema é identificado por um OID (Object Identifier Identificadores de Objetos). Por questões de padronização e para evitar ambigüidades, esses Identificadores de Objetos são registrados por uma autoridade específica, a IANA (Internet Assigned Numbers Authority Autoridade de Atribuição de Números da Internet. O sistema de numeração de objetos é hierárquico, e a IANA garante que aquele OID é usado apenas por um objeto. O objeto organization, por exemplo, usa o número Este número representa um ramo de uma árvore de numerações, onde cada número separado por um ponto indica um nível da árvore. (TRIGO, 2007, p. 77). 5

6 Portanto, caso seja necessário criar um schema primeiro deve-se informar o IANA e solicitar um OID para os novos objetos a serem criados e também pegar os OID s dos objetos já existentes, que serão utilizados no schema, para que não haja um mesmo objeto com mais de um OID, pois no caso da existência de um o solicitante ficará sabendo automaticamente. Para que os softwares vinculados ao LDAP utilizem os objetos da árvore, o schema correspondente deverá conter quais objetos serão usados pelo software e a responsabilidade de adicionar o objeto à árvore ficará sob responsabilidade do administrador. Supondo que existam três serviços que necessitem autenticação e que todos precisem de um objeto ID de usuário, nos três serviços será o mesmo objeto com o mesmo OID, na árvore de informações existirá também o mesmo objeto com o mesmo OID, assim todos os três serviços compartilham o objeto ID de usuário, caracterizando a centralização. Os serviços de diretório que o OpenLDAP prove são estabelecido através do Slapd e a comunicação do mesmo com os usuários, serviços e etc., é feita através do LDAP. Segundo Trigo (2007) a forma de armazenamento das informações da árvore de diretórios independe do protocolo, podendo variar de um simples arquivo de texto até um banco de dados relacional completo. Um item de grande importância são os arquivos ldif (ex: arquivo.ldif), que são arquivos de texto comum e com eles o protocolo LDAP faz a importação e exportação de informações da base de dados. Podem ser editados por qualquer editor de texto como o VI, gedit, kedit e outos. Os bancos de dados nativos do OpenLDAP são o LDBM e o BerkeleyDB, sendo eles feitos especificamente para este tipo de serviço. Mas se necessário, o OpenLDAP pode trabalhar com bancos de dados relacionais, onde através dele poderão ser feitas buscas e consultas, sendo a autenticação para acesso ao banco de dados feita através do OpenLDAP, ou seja, será criada a possibilidade de que o OpenLDAP envie dados para o banco de dados e também realize pesquisas. Para que se vincule um banco de dados relacional ao OpenLDAP ele deve ser compilado com suporte a SQL e ao ODBC (Open Data Base Connectivity - Conectividade de Banco de Dados Aberto), pois bancos de dados relacionais dependem do ODBC para estabelecer conexões, além da adição do respectivo schema. TRIGO (2007) destaca que o OpenLDAP possui suporte para os seguintes banco de dados relacionais: IBMDb2, Mssql, MySQL, Oracle, PostgreSQL, e Timesten. O OpenLDAP é capaz de atender a múltiplos bancos de dados ao mesmo tempo. Isso torna possível, caso necessário, utilizar mais de um, gerando, no entanto, um grande tráfego na rede e exigindo que elas estejam fisicamente preparadas. Como já enfatizado, o OpenLDAP provê um conjunto de softwares que são implementados juntos ao LDAP e ao servidor SLAPD para que este se torne funcional. O Cryrus Sasl-Kerberos V, GSSAPI e Digst-MD5 fazem parte da família OpenLDAP e são os softwares responsáveis por prover a autenticação de usuários. Estes softwares permitem ao OpenLDAP oferecer o serviço de autenticação utilizando a base SLDAP de informações. Assim, serviços da rede como FTP, SAMBA, SQUID [9], APACHE, QMAIL [10], domínios [11] Windows, e domínios Linux, além de diversos outros serviços, farão a autenticação na base de dados do SLDAP e não em bases individuais. 6

7 Com o OpenLDAP instalado e configurado, um nome de usuário e senha poderão ser pesquisados na base LDAP de qualquer ponto da rede, e o usuário terá acesso normal a todos os serviços que lhe forem permitidos. O mesmo acontece com a busca de qualquer tipo de informação em qualquer ponto da rede sendo necessário apenas que o usuário que a busque tenha permissão para o mesmo. Dentre as configurações da OpenLDAP existem entradas responsáveis por definir o nível de acesso de um usuário. Quando um usuário é adicionado à árvore, para que ele tenha acesso a algum serviço da rede, o administrador deve configurar o nível de acesso liberando e restringindo o que for conveniente. O OpenLDAP trabalha com dois estilos de organização da árvore: uma no estilo X.500, clássico, que não funciona com diretórios distribuídos, e outra no estilo DNS, que funciona muito bem com diretórios distribuídos, sendo que o próprio serviço DNS que é utilizado na Internet é implementado através de servidores distribuídos pelo mundo todo. As principais vantagens obtidas com a centralização são: Maior facilidade e praticidade e menor probabilidade de falhas ao adicionar ou excluir indivíduos da rede, uma vez que ao se adicionar precisará ser criado apenas um usuário para diversos serviços, e ao excluir um único ID de usuário o administrador estará excluindo o indivíduo de todos os serviços que ele era vinculado não correndo o risco de esquecer-se de algum e deixar uma brecha de segurança na rede; Realização do Backup de apenas um seguimento de informações que conterá todos os dados da rede, facilitando esta tarefa. A criação de uma agenda virtual na base centralizada disponibilizando o acesso de qualquer ponto da rede. Portabilidade, já que é possível ter acesso aos serviços da rede de qualquer ponto da mesma por qualquer usuário. Capacidade de prover controle de acesso e transmissão criptografada oferecendo segurança no transporte de dados. A junção de todas essas vantagens é o trunfo da centralização, o que comprova a sua eficiência. [6] Samba: software que integra redes Linux a plataforma Windows, possibilitando sua comunicação e assim sua troca de dados. Através do PDC o Samba é capaz de se tornar um servidor de domínio NT. [7] Apache: servidor de Internet. [8] Repositório: servidor de arquivos disponível na internet que guardam programas que podem ser baixados por usuários. [9] SQUID: é um servidor Proxy. Permite ao administrador criar regras dentro da rede interna. [10] QMAIL: servidor de . [11] Domínios: é um nome. Serve para localizar e identificar um grupo de computadores e usuários na rede. 7

8 Protocolo LDAP II: Aplicações O OpenLDAP pode ser usado em todos os tipos de redes, desde as pequenas até as redes corporativas, pois o LDAP consegue atender múltiplas chamadas ao mesmo tempo. Em outras palavras, ele consegue atender vários usuários e requisições de software sem perda de desempenho, visto que OpenLDAP pode ir até o limite do hardware, seja em nível de tráfego da rede ou de processamento do servidor. Preferencialmente o OpenLDAP deve ser instalado no início de utilização da rede e todos os dados dela precisam ser armazenados nele, mas nada impede que o OpenLDAP seja implementado em uma rede já existente. O problema é que depois toda a base de dados tem que ser movida para a base do SLDAP, o que pode ser complexo, principalmente num sistema com milhares ou milhões de usuários. Existem aplicações que fazem este trabalho, não sendo necessário fazê-lo manualmente, mas o processo mesmo automatizado leva algum tempo dependendo da quantidade de informação que será copiada para base do SLDAP. Assim, o backup prévio dos dados deve ser feito para prevenir alguma perda. Para realizar buscas através do terminal o LDAP utiliza o comando ldapsearc, onde podem ser feitas pesquisas bem elaboradas através do uso de filtros. Há que se considerar que buscas através do terminal e configuração manual de arquivos ldif, dentre outras aplicações, não muito amigáveis e são apenas a parte grossa da utilização, pois existem diversos softwares feitos para auxiliar na utilização e administração do OpenLDAP. Para pessoas que não gostam de sofrer em um terminal, existem aplicativos gerenciadores dos dados do SLDAP que facilitam a utilização do mesmo depois de implementado, e adicionar ou excluir, fazer pesquisas e consultas, se tornam tarefas práticas. Estes softwares podem ser instalados a parte com muitas opções, e seguem abaixo alguns exemplos extraídos de Trigo (2007, p. 84,85 e 86): GQ, ótima ferramenta para testar o servidor LDAP e para incluir e excluir dados. Luma é um bom programa de gerenciamento de entradas de diretórios. DirectoryAssistant, ferramenta que inclui e pesquisa informações. Existem outras ferramentas algumas piores, outras muito melhores do que as citadas acima, no site como: Eye Of Newt Jxplore LDAP Account Manager LDAP User Manager for the Web phpldapadmin Gosa Kdiradm Swiss Army LDAP Tool O OpenLDAP pode ser usado com diretórios distribuídos, e basta estar devidamente configurado para isso e utilizar o estilo DNS de organização da árvore. Assim, será possível ter mais de um SLDAP e existirão dados na sua árvore responsáveis por indicar as direções das outras árvores pertencentes aos outros SLDAP, formando logicamente uma árvore única. Para entender melhor a aplicação de um Servidor LDAP distribuído considere a existência de uma empresa 8

9 que possui uma matriz e três filiais espalhadas por cidades distintas, onde esta empresa usa a centralização através do OpenLDAP. Ela, tanto em sua matriz como em suas filiais, possui uma rede estruturada e os servidores contam com um backbone [12] gigabit [13] que evitará que o intenso tráfego que chega até ele faça esse ponto da rede virar um gargalo [14] e que as filiais manterão a comunicação via meios externos como a internet através de uma VPN (Virtual Private Network Rede privada Virtual) [15] ou outro tipo de canal dedicado de comunicação oferecido pela provedora de Internet. Podem ser adotadas duas soluções: uma em que os SLDAP s são distribuídos entre a matriz e as filiais, e outra em que um ou mais SLDAP s ficam na matriz. Se o SLDAP não for distribuído (servidor único na matriz da empresa), todos os dados de clientes, funcionários, empresas terceirizadas, entre outros, estarão na base centralizada, e todas as filiais estarão constantemente buscando informações no SLDAP da matriz. Dessa forma, esse se torna um serviço crítico e indispensável para o funcionamento da empresa fazendo com que o SLDAP sofra com a sobrecarga de processos [16] devido ao alto número de requisições. Esse cenário pode acarretar levar a um problema, pois devido ao alto tráfego de dados o tempo de resposta do SLDAP em relação às filiais se tornará muito lento devido ao meio de comunicação entre filial e matriz que é lento em comparação com uma rede local, fazendo com que a própria qualidade do serviço da empresa fique prejudicada. Mesmo que se usem Servidores LDAP distribuídos dentro da matriz isso só irá aliviar os servidores, pois o processamento de dados e o tráfego de dados dos mesmos ficaram divididos, melhorando a qualidade de serviço dos servidores, mas não resolverá o problema de tráfego das filiais. Resolverá o problema de sobrecarga no servidor, mas não eliminará o gargalo por onde trafegam os dados enviados pelas filiais. No outro cenário, com o uso de servidores LDAP distribuídos, um SLDAP em cada filial e um SLDAP central na Matriz, cada filial manterá seus dados em seu próprio SLDAP realizando a maioria das buscas no servidor local e buscas externas, como informações da matriz ou de outras filiais continuariam sendo feitas através do SLDAP da Matriz. Se devidamente configurado, quando uma pesquisa não fosse respondida pelo servidor local o mesmo iria direcionar a pesquisa para o SLDAP externo percorrendo toda a árvore até que, caso a informação exista, se ache a informação requisitada obtendo a resposta. Assim o problema será resolvido, pois se elimina o gargalo que as filiais enfrentavam no cenário anterior, e o SLDAP da matriz também não ficará sobrecarregado, pois o mesmo não sofrerá mais com as constantes requisições vindas de todas as filiais e matiz. [12] Backbone: local de principal tráfego na rede, o funcionamento da rede depende do mesmo. [13] Gigabit: padrão de redes de computadores Ethernet (IEEE 802.3z) que oferece um tráfego de 1 Gbit/s. [14] Gargalo: local da rede por onde a banda é insuficiente para o tamanho do trafego. [15] VPN: rede privada feita em cima de uma rede publica (Internet). [16] Processos segundo Tanenbaum (2003, p.53) é apenas um programa em execução acompanhado dos valores atuais do contador de programa, dos registradores e das variáveis. 9

10 Protocolo LDAP II: Segurança Com a base de dados centralizada, a atenção para segurança em volta das informações contidas no SLDAP deve ser multiplicada, pois a quebra de seu sigilo se tornará muito mais crítica. Ao descobrir um login e senha o intruso terá acesso a tudo que for permitido ao usuário X acessar, ressaltando que ele pode fazer isto de qualquer ponto da rede. Um dos recursos providos pelo OpenLDAP é seu vínculo com softwares de criptografia, provendo um nível a mais na segurança da transmissão. O OpenSSL [17], quando integrado, faz com que o OpenLDAP passe a transmitir dados criptografados, permitindo que chaves criptográficas e certificações digitais possam ser configuradas pelo administrador do sistema. O OpenSSL, como o OpenLDAP, é multi-plataforma [18] e já vem instalado em algumas distribuições Linux, além de poder ser facilmente encontrado em repositórios. Pode-se implementar chaves criptográficas para proteger as informações mais importes como senhas e informações críticas, criptografando os dados para armazenamento. É importante ressaltar que os dados criptografados, ao serem utilizados, devem ser decodificados para recuperar seu conteúdo original, o que faz com que a resposta ao solicitante seja mais demorada. Para melhor desempenho não convém criptografar todo o banco de dados. Outro recurso de suma importância para a proteção de qualquer rede é a utilização de políticas de segurança, através das quais o administrador cria regras a serem seguidas pelos usuários, tais como proibir a divulgação de senhas, nunca deixar dados pessoais salvos em locais publicamente acessíveis, dentre outras ações, além de prover pequenos treinamentos nesse sentido. A troca de senhas periodicamente também é uma prática importante. O OpenLDAP pode ser configurado para fazer com que uma senha seja expirada de tempos em tempos, 15 em 15 dias por exemplo, promovendo uma rotatividade constante de senhas. O administrador deve monitorar os acessos e ações dos usuários a fim de se certificar que estão cumprindo a política de segurança e restringir acessos a locais externos inseguros, pensando inclusive em seus possíveis deslizes. Uma atividade indispensável que deve ser feita tanto na configuração inicial como durante a utilização, é a criação da política de acessos. Deve-se exigir que o usuário se identifique através de login e senha para ter acesso a base de dados, além de definir o nível de acesso dos usuários. Definir quem pode acessar o que é de suma importância para uma manutenção segura, como, por exemplo, quando não há necessidade de um funcionário da recepção saber informações sobre a contabilidade. O OpenLDAP fornece o controle de acesso através das ACL s (Access Control List Lista de Controle de Acesso), que deverão ser definidas e configuradas pelo administrador do sistema. Segurança envolve mais do que simplesmente manter os dados a salvo de acessos não autorizados. É também assegurar que eles não serão perdidos por alguma eventualidade, entre os mais variados defeitos de software e hardware, isso porque atualmente as informações são o coração das maiorias das empresas e na falta delas, elas simplesmente param. A primeira preocupação é a utilização de rede elétrica e de rede de dados confiáveis elaboradas de forma 10

11 estruturada. Outro ponto imprescindível é a utilização de equipamentos de hardware confiáveis, diminuindo o risco da ocorrência de defeitos. A utilização de backups é sempre necessária, e pode-se implementá-los ele de várias maneiras, seja manualmente ou através de um RAID. Na forma manual o administrador deverá fazer a cópia dos dados armazenando-os num local seguro. O RAID (Redundant Array of Independent Disks - Matriz Redundante de Discos Independentes), de acordo com Alecrim (2004, doc. eletronico) É um conjunto de HD s que funciona como se fosse um só. Isso permite ter uma tolerância alta contra falhas, pois se um disco tiver problemas, os demais continuam funcionando, disponibilizando os dados. O RAID é dividido em seis níveis. Para fazer um backup de forma automática é preciso a utilização do nível um, que consiste em dois HD s trabalhando juntos. A informação gravada no primeiro HD também será gravada no segundo onde, na falta do primeiro, o secundário continuará funcionando no seu lugar. Replicação de Base de Dados Visando a segurança dos dados, pode-se visualizar mais um nível, o de garantir que o serviço nunca pare de funcionar, a menos que solicitado pelo administrador. Neste momento, torna-se necessário introduzir mais um conceito. O Cluster é um aglomerado de computadores conectados, para melhor desempenho, via rede de alta velocidade, que trabalham juntos para oferecer melhor capacidade de processamento ou prover melhor disponibilidade de serviços. Um cluster pode chegar ao nível de processamento de dados similar ao de mainframes, e hoje os principais servidores de internet do mundo usam clusters. Os clusters possuem diversas aplicações, sendo que as principais são: Beowulf (Processamento Paralelo): os computadores compartilham os processos, e assim processando-os mais rápido, priorizando o desempenho de processamento. Balanceamento de carga: distribui os processos entre os computadores de forma a não deixar nenhum sobrecarregado. Alta disponibilidade: são usados em sistemas que não podem parar de funcionar, trabalham mantendo um servidor primário e outro secundário, se necessário um terceiro e assim por diante. Quando o primário para de funcionar, o cluster coloca o secundário no lugar. Combo: é a junção do cluster de balanceamento de carga e do de alta disponibilidade. Se existem dois computadores trabalhando no modo de balanceamento de carga, será necessário ter dois de reserva para assumir seu lugar e assim consecutivamente. Os clusters podem ser usados de duas maneiras com o servidor LDAP. A principal é a de alta disponibilidade para que se garanta que o serviço não pare. Se por um acaso o servidor tiver que atender uma rede que exija tal ferramenta pode-se usar um cluster combo. Desta forma, torna-se necessário que o servidor reserva continue servindo a rede da mesma maneira que o primário, que os dados nos dois sejam iguais, e é aí que entra a replicação de base. A mesma realiza uma clonagem imediata de todo dado gravado no primário para secundário, gerando uma réplica do servidor SLDAP. Os servidores que não trazem instalado o software de replicação de base podem usar softwares de terceiro como o DRBD, CODA ou RSYNC, mas o OpenLDAP traz em seu pacote o Slurpd e em versões mais recentes o Syncrepl. Os dois têm a mesma finalidade, contudo, o syncrepl é mais versátil e possui mais opções. Para que o cluster de alta disponibilidade trabalhe de maneira correta torna-se necessário usar programas 11

12 auxiliares como o Headerbeat que monitora se o servidor primário está funcionando e avisa imediatamente ao secundário se o primeiro falhar, isso em nível de hardware, e também o Mon que coloca o secundário em funcionamento bastando apenas que o serviço pare. Imagine que o serviço de diretório pare por problemas de inconsistência no software, se você não estiver utilizando o Mon o servidor secundário não será ativado visto que o primário ainda está conectado na rede. No caso de diretórios distribuídos tem que ser feito um cluster em cada um, pois o cluster não assume a forma de Servidor de Diretórios distribuídos, visto que ele irá assumir a forma de um único sistema processado em mais de uma máquina. Com o servidor de réplica devidamente configurado ficará muito difícil que o serviço pare, garantindo mais este nível de segurança no SLDAP. [17] OpenSSL: protocolo de criptografia usado para a segurança de dados. [18] Multiplataforma: software que pode ser utilizado independente do Sistema Operacional, por exemplo, a plataforma Java e o Firefox podem ser usados tanto no Microsoft Windows, como também nas distribuições Linux e outros sistemas operacionais. 12

13 Protocolo LDAP II: Considerações Finais Esta série de tutoriais procurou apresentar o protocolo LDAP (Lightweight Directory Access Protocol), utilizado para prover serviços de acesso remoto a diretórios distribuídos em rede de dados, de forma centralizada. O tutorial parte I apresentou os principais conceitos associados ao uso de diretórios, e um histórico do desenvolvimento dos serviços de acesso a diretórios e sua aplicação para as redes de dados. Este tutorial parte II apresentou uma implementação prática do protocolo LDAP, o OpenLDAP, que é um software livre desenvolvido segundo as recomendações do LDAP, para ser aplicado em redes de dados projetadas para oferecer os serviços de diretórios distribuídos por diversos servidores. O OpenLDAP é uma ferramenta que abrange o interesse de todos aqueles que já administram uma rede, ou pretendem administrar uma, tal como aqueles que são adeptos da área e sedentos por conhecimento como, amantes da informática, técnicos, analistas, especialista em soluções de TI (Tecnologia da Informação) e administradores. Todas essas, são pessoas que podem vir a ter um ganho com o domínio do OpenLDAP. Hoje o OpenLDAP já é aceito como uma ferramenta avançada e de grande renome na área de redes de computadores, porém existem poucos profissionais no mercado que o dominam. Em virtude de tal situação já existem diversas empresas especializadas em cursos de informática que disponibilizam o curso de OpenLDAP, buscando oferecer um forte diferencial aos profissional interessados. Como citado no decorrer do trabalho o OpenLDAP atende vários serviços ao mesmo tempo, e é possível sempre adicionar mais e mais softwares que precisem buscar informações vinculadas ao mesmo e até mesmo softwares que venham trazer outras funcionalidades, sempre visando manter a centralização da rede. Entender o OpenLDAP como um todo pode ser um pouco complexo, mas depois de implementado e dominado, será possível ter uma chave que abrirá o caminho para que a administração da rede seja bem mais simples. Referências TRIGO, Clodonil Honório; OpenLDAP : uma abordagem integrada, São Paulo: Novatec, TUTTLE, S.; Hhlenberger, A; GORTHI, R., Understanding LDAP: Design and Implementation. Disponível em: Acessado em outubro de 2008 LIMA, Avelino Oton de : Correio Eletrônico Integrado e o Serviço de Diretório X500, SERPRO, Disponível em: Acessado em outubro de 2008 ALECRIM, Emerson; Tecnologia RAID; Infowester, 2004, revisado em Disponível em: Acessado em novembro de 2008 ALECRIM, Emerson; Cluster: principais conceitos, Infowester, Disponível em: 13

14 Acessado em novembro de 2008 OpenLDAP Foundation. Disponível em: Acessado em novembro de 2008 LAMELLAS, Paulo Fernando, Linux Samba e muito mais: centralizando logins e senhas, Festival de Software Livre 2008, Brasilia: Faculdade Jesus Maria José FAJESU, 2008 TANENBAUM, Andrew S., Sistemas Operacionais Modernos, tradução Ronaldo A. J. Gonçalves, São Paulo: Prentice Hall,

15 Protocolo LDAP II: Teste seu Entendimento 1. O que é o SLDAP? É o servidor LDAP, ou seja, a máquina onde o OpenLDAP está instalado. É o serviço LDAP, ou seja, o serviço que implementa o OpenLDAP. É o software LDAP, ou seja, o software livre OpenLDAP. Todas as alternativas anteriores. 2. Qual das alternativas abaixo representa uma vantagem da centralização do serviço de diretórios? Maior facilidade e praticidade e menor probabilidade de falhas ao adicionar ou excluir indivíduos da rede. Realização do Backup de apenas um seguimento de informações que conterá todos os dados da rede. Criação de uma agenda virtual na base centralizada disponibilizando o acesso de qualquer ponto da rede. Todas as alternativas anteriores. 3. Qual das alternativas abaixo não representa uma das principais aplicações do Cluster? Beowulf (Processamento Paralelo). Conectividade PPP. Balanceamento de carga. Alta disponibilidade. 15