1º Ten Al HUMBERTO SILVA GALIZA DE FREITAS

Transcrição

1 MINISTÉRIO DA DEFESA EXÉRCITO BRASILEIRO DECEx - DFA - DEPA ESCOLA DE ADMINISTRAÇÃO DO EXÉRCITO E COLÉGIO MILITAR DE SALVADOR 1º Ten Al HUMBERTO SILVA GALIZA DE FREITAS OPENLDAP: UMA PROPOSTA DE AUTENTICAÇÃO CENTRALIZADA PARA A ESCOLA DE ADMINISTRAÇÃO DO EXÉRCITO E COLÉGIO MILITAR DE SALVADOR (ESAEX/CMS) Salvador 2010

2 F862 Freitas, Humberto Silva Galiza de. Openldap: uma proposta de autenticação centralizada para a Escola de Administração do Exército e Colégio Militar de Salvador (EsAEx/CMS)/ Freitas, Humberto Silva Galiza de. 25 f. : 27,9 cm Trabalho de Conclusão de Curso (Curso de Especialização em Aplicações Complementares às Ciências Militares) Escola de Administração do Exército, Salvador, Bibliografia: f Serviço de diretórios. 2. LDAP. 3. Integração. I Título. CDD

3 1º Ten Al HUMBERTO SILVA GALIZA DE FREITAS OPENLDAP: UMA PROPOSTA DE AUTENTICAÇÃO CENTRALIZADA PARA A ESCOLA DE ADMINISTRAÇÃO DO EXÉRCITO E COLÉGIO MILITAR DE SALVADOR (ESAEX/CMS) Trabalho de Conclusão de Curso apresentado à Comissão de Avaliação de Trabalhos Científicos da Divisão de Ensino da Escola de Administração do Exército, como exigência parcial para a obtenção do título de Especialista em Aplicações Complementares às Ciências Militares. Orientador: Cap QCO Carlos Eduardo Arruda de Souza Salvador 2010

4 1º Ten Al HUMBERTO SILVA GALIZA DE FREITAS OPENLDAP: UMA PROPOSTA DE AUTENTICAÇÃO CENTRALIZADA PARA A ESCOLA DE ADMINISTRAÇÃO DO EXÉRCITO E COLÉGIO MILITAR DE SALVADOR (ESAEX/CMS) Trabalho de Conclusão de Curso apresentado à Comissão de Avaliação de Trabalhos Científicos da Divisão de Ensino da Escola de Administração do Exército, como exigência parcial para a obtenção do título de Especialista em Aplicações Complementares às Ciências Militares. Orientador: Cap QCO Carlos Eduardo Arruda de Souza Aprovado em: 03/11/2010 ÉLDMAN DE OLIVEIRA NUNES TC Presidente Escola de Administração do Exército CARLOS EDUARDO ARRUDA DE SOUZA Cap 1º Membro Escola de Administração do Exército LUIZ FERNANDO SOUSA DA FONTE Cap 2º Membro Escola de Administração do Exército

5 AGRADECIMENTOS Agradeço primeiramente a Deus, pela força e amparo nos momentos de incerteza e fraqueza. Ao meu orientador, Cap QCO Carlos Eduardo Arruda de Souza, meus agradecimentos pela orientação objetiva na realização deste trabalho. À minha companheira Mariana da Mota Pimenta, pelo apoio sempre presente nos momentos de sobrecarga de trabalho. À minha filha Júlia Pimenta Galiza de Freitas, pelo sorriso infantil, reconfortante e inocente, cotidianamente incentivador. Por fim, meus agradecimentos ao Exército Brasileiro, pela oportunidade de realização desta pesquisa.

6 RESUMO O estudo e a padronização de um modelo de autenticação único, baseado em software livre, tem uma importância significativa para a Força Terrestre (FT). Nos ambientes de rede das organizações militares, a autenticação local não se mostra eficiente, uma vez que cria duplicidade de informações dos usuários da rede e, por consequência, nos diversos sistemas que funcionam sob a rede. Desta maneira, a construção de um mecanismo eficiente de autenticação, autorização e acesso, constitui pilar fundamental na administração dos usuários deste tipo de rede de computadores. Neste trabalho será mostrado um estudo de caso com a rede acadêmica da Escola de Administração do Exército e Colégio Militar de Salvador (EsAEx/CMS) no que tange à instalação de um serviço de diretórios que concentre uma base de usuários robusta e confiável para os diversos serviços e sistemas oferecidos por esta rede. O principal objetivo desta obra é estudar o modelo de autenticação e autorização de acesso utilizado atualmente na EsAEx/CMS e, após isso, mostrar a viabilidade de adoção de um modelo de autenticação centralizado em rede utilizando apenas software livre. É feita uma abordagem sobre a instalação e configuração do software livre OpenLDAP como alternativa viável para esta solução, além de serem mostradas as configurações utilizadas no estudo de caso. Palavras-chave: Centralização. Serviço de diretórios. LDAP. Integração.

7 ABSTRACT The study and standardization of an unique authentication model based on free software, has a significant importance to Brazilian's Army. In the network environments of military quarters, the local authentication method is not efficient, since it make duplication of information from network users, and consequently, to the various systems that operates at that network. Thus, the construction of an efficient mechanism for authentication, authorization and access, is a fundamental pillar in the user s administration for this kind of network. This work will show a case study with the academic network from the Brazilian Army Administration School and Military School of Salvador (EsAEx / CMS), about to the installation of a directory service that concentrates a robust and reliable user database system to many services and systems offered by this network. The main goal of this work is to study the current model of authentication used at that academic network and after that, show the viability of adoption of a centralized authentication model using only free software. It will be done an approach on the installation and configuration of the free software OpenLDAP as a viable alternative to the proposed solution. Keywords: Centralization. Directory service. LDAP. Integration.

8 LISTA DE ILUSTRAÇÕES Figura 1: Modelo cliente-servidor do NIS Figura 2: Estrutura do protocolo NIS Figura 3: Ataque de Spoofing em um servidor NIS...14 Figura 4: Evolução dos protocolos de acesso a diretório...16 Figura 5: Exemplo de uma árvore de informação de diretório LDAP (Directory Information Tree ) Figura 6: Interação entre os módulos do PAM e o LDAP em um ambiente Unix...21 Figura 7: Solução de centralização de usuários: possibilidade de utilização com proxy autenticado Figura 8: Captura de tela do phpldapadmin instalado no ambiente de testes...32

9 SUMÁRIO 1 INTRODUÇÃO REFERENCIAL TEÓRICO NIS Estrutura Funcionamento Segurança LDAP Segurança Autenticação e autorização O software livre OpenLDAP INTERAÇÃO COM O PAM REFERENCIAL METODOLÓGICO TIPO DE PESQUISA E INSTRUMENTOS HIPÓTESES E QUESTÕES DE ESTUDO PROCEDIMENTOS METODOLÓGICOS ESTUDO DE CASO: INSTALAÇÃO DO OPENLDAP NA ESAEX/CMS MODELO PROPOSTO INSTALAÇÃO Instalação do servidor OpenLDAP Instalação de um cliente LDAP no GNU/Linux CONFIGURAÇÃO Configuração do servidor OpenLDAP Testes de verificação Criação de um arquivo LDIF Configuração de um cliente LDAP baseado em GNU/Linux Ferramenta de apoio: phpldapadmin CONCLUSÃO REFERÊNCIAS APÊNDICE A -- ARQUIVO SLAPD.CONF APÊNDICE B ARQUIVO NSSWITCH.CONF APÊNDICE C ARQUIVO PAM_LDAP.CONF... 41

10 8 1 INTRODUÇÃO O estudo e a padronização de um modelo de autenticação único, baseado em software livre, tem uma importância significativa para a Força Terrestre (FT), uma vez que é característica peculiar de cada Organização Militar (OM), a necessidade de usufruir de tal ferramental nos seus serviços de Tecnologia da Informação (TI). Neste tipo de ambiente, a autenticação local não se mostra eficiente, uma vez que cria duplicidade de informações dos usuários da rede e, por conseqüência, nos diversos sistemas que funcionam sob a rede. Com a informatização dos mais variados setores da OM, novos sistemas de informação surgem a cada dia trazendo consigo mecanismos distintos de autenticação e autorização de acesso (AAA). Outro fato de natureza similar que merece destaque, é a necessidade de integração de informações entre os sistemas, que é extremamente dificultada quando são utilizadas diversas bases de dados de usuários. Assim, a construção de um mecanismo eficiente de AAA constitui pilar fundamental na ad- ministração dos usuários de uma rede de computadores, seja ela pertencente a uma OM ou não. A autenticação, em especial, é a parte mais crucial deste processo pois, consiste primariamente, em reconhecer os dados que são enviados por um cliente da rede, comparando estas informações às contidas em um banco de dados local ou distribuído. Assim, um banco de dados com informações centralizadas 1 de autenticação, pode contribuir de maneira satisfatória para o bom desempenho dos serviços da rede. Diversas ferramentas são utilizadas atualmente por administradores de rede, a fim de prover acesso seguro à rede. Em se tratando de padrões de domínio público, merece destaque a utilização do Network Information Service (NIS) (SUN, 1990) e do Lightweight Directory Access Protocol (LDAP) (WAHL; HOWES; KILLE, 1997) que, em conjunto com os módulos Pluggable Authentication Modules (PAM) (SAMAR; SCHEMERS, 1995) oferecido pela maioria das distribuições GNU/Linux, constituem grande parte das soluções de AAA empregadas nas OMs do Exército Brasileiro (EB). O NIS 2 teve como propósito inicial, permitir que as máquinas de uma determinada rede de computadores pudessem compartilhar informações de configuração, o que incluía por exemplo usuários e senhas. Embora tenha uma fácil instalação e relativa facilidade em sua manutenação, o NIS não foi arquitetado para prover a segurança, uma vez que utiliza métodos 1 Neste contexto um banco de dados centralizado refere-se a uma única entidade de dados, podendo estar localizada fisicamente em um único ponto da rede ou distribuída através desta. 2 Também conhecido como Yellow Pages (yp)

11 9 fracos de criptografia para senhas e, além disso, todo o tráfego é enviado em texto simples pela rede (HESS; SAFFORD; POOCH, 1992). Apesar de todos estes problemas bem conhecidos, muitos administradores preferem fazer o uso desta solução tendo em vista que uma alternativa de domínio público aberta e viável demorou bastante a ser desenvolvida. Atualmente, como principal alternativa ao NIS, o LDAP tem sido bastante difundido nos sistemas operacionais, figurando tanto em soluções proprietárias, como é o caso do Microsoft Active Directory, como no mundo do software livre, como por exemplo o software OpenLDAP. O protocolo, que tem como principal função pesquisar e atualizar diretórios que operam sobre o conjunto de protocolos Transmission Control Protocol/Internet Protocol (TCP/IP) (SOCOLOFSKY; KALE, 1991), é um serviço que tem por características principais a escalabilidade e a segurança. Um diretório LDAP geralmente segue o modelo X.500 (HARDCASTLE-KILLE, 1991), que é uma árvore de nós, cada um consistindo de um conjunto de atributos com seus respectivos valores. Um diretório LDAP tende a refletir limites políticos, geográficos e/ou organizacionais, dependendo do modelo adotado. A utilização do LDAP atualmente baseia-se nos nomes já existentes do sistema Domain Name System (DNS) (MOCKAPETRIS, 1987), na estruturação dos níveis mais básicos de hierarquia. Em contextos mais complexos, podem aparecer estruturas representando pessoas, unidades organizacionais, impressoras, documentos, grupos de pessoas ou qualquer outra coisa que represente um nó. Portanto, o uso desta ferramenta, permite armazenar em um diretório centralizado, todas as características a respeito de uma determinada organização, exatamente como estas aparecem no mundo real. A Escola de Administração do Exército e Colégio Militar de Salvador (EsAEx/CMS) é uma OM que congrega no mesmo aquartelamento dois estabelecimentos de ensino com missões distintas, possuindo sistemas de informações gerais, ou seja, de uso comum, e específicos, com funcionalidades voltadas para as particularidades de cada Escola. Com o objetivo de propiciar, dentro do possível, a integração das bases dessa gama de sistemas, a Divisão de Telemática tem utilizado o NIS. Entretanto, com a evolução e melhoria contínua dos processos, observa-se uma tendência natural de introdução de novos sistemas informatizados e, por conseguinte, o aumento de complexidade do ambiente computacional. Dessa maneira que ação deve ser executada para que o modelo de autenticação centralizada utilizado pela OM tenha plenas condições de atender as suas necessidades e evoluir com robustez e segurança? Sugere-se como proposta do trabalho propor uma padronização contendo um conjunto de técnicas e ferramentas que possam ser sugeridas para a EsAEx/CMS, e que ofereça todos

12 10 os recursos necessários para que haja a maior integração possível entre sistemas informatizados no que tange à base de usuários. Assim, a partir desta ótica, este trabalho abordará a instalação e configuração do software OpenLDAP, uma implementação em software livre do protocolo LDAP. A grande motivação deste trabalho é verificar se o modelo atual utilizado pela Escola tem plenas condições de atender de evoluir oferecendo robustez e segurança. Ainda, como objetivo específico, será evidenciado, através de um estudo de caso com a rede acadêmica da EsAEx/CMS possibilidade de um ambiente de rede contendo uma base LDAP congregando os usuários da rede da OM, havendo portanto, a possibilidade de autenticação centralizada com segurança. Este trabalho está estruturado da seguinte forma: no capítulo 2 será feita uma abordagem mais específica acerca dos mecanismos de autenticação NIS e LDAP. No capítulo 3 serão expostos os instrumentos, as hipóteses de estudo, os materiais e métodos utilizados na elucidação das hipóteses propostas. No capítulo 4 será apresentado um estudo de caso com a instalação do servidor OpenLDAP no ambiente de rede da EsAEx/CMS, bem como será mostrado um cenário de configuração de autenticação para clientes com o sistema operacional GNU/Linux. Ainda neste capítulo, será mostrado o phpldapadmin, uma ferramenta para auxiliar na administração da base de dados do servidor OpenLDAP. Por fim, no capítulo 5 serão apresentados os problemas encontrados durante o estudo de caso, e as direções futuras a fim de aperfeiçoar a abordagem proposta.

13 11 2 REFERENCIAL TEÓRICO Neste capítulo será feito o levantamento de todos os embasamentos teóricos, terminologias, classificações e definições gerais que servirão de base para o desenvolvimento deste trabalho científico. Ainda serão mostrados alguns dos principais sistemas de autenticação disponíveis como padrões abertos, e que constantemente compõe o cenário das diversas Organizações Militares da Força Terrestre. O estudo mostrará a possibilidade de interação entre estes mecanismos e outros softwares e serviços de rede comuns. 2.1 NIS O NIS, Network Information Service, foi desenvolvido pela Sun Microsystems, e inicialmente, era conhecido como Sun Yellow Pages, nome que gerou como herança a sigla YP para os comandos relativos a esse sistema. Tem como finalidade principal o compartilhamento de base de dados (mapeamentos) dentro de uma rede, e é usado principalmente em sistemas baseados em Unix. Ele distribui arquivos relativos à base de dados e processos. As informações distribuídas são relativas a (STERN; EISLER; LABIAGA, 1992): Login - nomes, senhas, diretórios home, pelo arquivo /etc/passwd; Grupos - arquivo /etc/groups; Nomes de máquinas e IPs - arquivo /etc/hosts.

14 12 Originalmente o NIS utiliza o modelo cliente-servidor, no qual o servidor é uma máquina especial da rede que detém os mapeamentos (NIS data files). Por outro lado, os clientes NIS são máquinas que requerem informações de mapeamentos via rede. Na Figura 1 é mostrado o relaciona mento existente entre servidores e clientes utilizando o NIS. Quando um servidor NIS está configurado, os arquivos de configuração do Unix são processados para produzir mapas consistindo de pares chave / valor, como por exemplo, o /etc/hosts que contém os endereços IP e nomes correspondentes de outras máquinas. Figura 1: Modelo cliente-servidor do NIS. Fonte: Stern, Eisler e Labiaga (1992) Estrutura O NIS é baseado no protocolo de chamadas de procedimento remoto (Remote Procedure Calls) (RPC) (HESS; SAFFORD; POOCH, 1992), descrito na RFC 1050 (MICROSYSTEMS, 1988), que utiliza o padrão External Data Representation (XDR) descrito na RFC 1832 (SRINIVASAN, 1995), que permite que dados sejam empacotados em uma arquitetura e, de uma maneira independente, transferido entre sistemas de computação heterogêneos. Abaixo deste nível, estão os serviços de comunicação do Transmission Control

15 13 Protocol (TCP) e do User Datagram Protocol (UDP) providos pelo Internet Protocol (IP). Na Figura 2 é detalhada a estrutura de funcionamento do protocolo NIS. Figura 2: Estrutura do protocolo NIS. Fonte: Hess, Safford e Pooch (1992) Funcionamento O protocolo RPC implementa um método pelo qual um processo cliente em uma máquina pode realizar uma chamada virtual de procedimento para um processo de servidor em uma máquina remota. O cliente chama um procedimento RPC com os argumentos para o procedimento remoto e, não retorna da chamada, até que a solicitação enviada para o servidor seja processada e seja dada uma resposta. A mensagem é codificada usando XDR para que o RPC possa ser usado entre máquinas heterogêneas utilizando diferentes representações internas de dados. A transmissão dos dados é feita usando TCP ou UDP dependendo da necessidade do cliente e do modelo adotado pelo servidor (STEVENS, 1998). Desta forma, o processo de autenticação pelo NIS se dá da seguinte forma: Quando um cliente precisa de alguma informação dos mapas do NIS, ele procura por um servidor YP, através do programa ypbind. O cliente, então, abre uma conexão TCP para o ypbind local, informando o domínio. Em seguida, o ypbind pode fazer um broadcast para rede, esperando a resposta de algum servidor NIS daquele domínio. Para aumentar a segurança, ele também pode consultar uma tabela própria local e conferir se o servidor de NIS daquele domínio é a mesma máquina que respondeu com um ACK a sua requisição.

16 14 O ypbind envia para o cliente uma mensagem de sucesso ou falha, além do número do servidor que respondeu, para o caso de sucesso. O cliente, com a posse do endereço do servidor, pode se comunicar com ele, para fazer aquilo que está sendo requisitado, como uma autenticação Segurança Tendo em vista que o NIS não executa autenticação no nível RPC, qualquer máquina da rede pode facilmente criar uma resposta RPC falsa, fingindo ser o servidor NIS. Isso é mostrado na Figura 3, onde um intruso faz um ataque do tipo homem no meio do caminho (man-in-the-middle attack). O grau de dificuldade para o sucesso do ataque vai depender apenas do protocolo de comunicação subjacente utilizado para a chamada RPC. No caso do TCP, um socket virtual de comunicação teria que ser falsificado na máquina atacante, o que é uma tarefa bastante difícil de ser conseguida. Entretanto, se o protocolo de transporte for o UDP, o ataque se torna muito mais fácil devido à estrutura simplista deste protocolo. Vale ressaltar que a comunicação NIS / RPC utiliza principalmente o protocolo UDP. Figura 3: Ataque de Spoofing em um servidor NIS. Fonte: Hess, Safford e Pooch (1992). A segurança para sistemas com RPC pode ser configurada em três diferentes níveis. No primeiro, o sistema não realiza nenhum tipo de autenticação, confiando inteiramente em quem requisitou o serviço. De um modo geral, esse é o estado padrão do RPC, e é usado principalmente para banco de dados públicos e serviços que não oferecem riscos. Já no segundo modo, o sistema utiliza a autenticação tradicional do Unix, baseada na identificação da máquina e do usuário. Este não é o método mais seguro, entretanto, eleva bastante o grau

17 15 de segurança quando comparado ao primeiro modo. O terceiro método de autenticação é feito utilizando o algoritmo de criptografia Data Encription Standard (DES) ou outros métodos de criptografia simétrica, concomitante com um sistema utilizando chaves pública e privada. Como o propósito do NIS é distribuir a base de dados pela rede, seus arquivos têm permissão de leitura para todos os usuários e, assim, ele utiliza o RPC sem autenticação, tornando-se um sistema público. O NIS gera um risco ao ser utilizado, pois roda no sistema os processos ypserv e ypasswd, disponibilizando na rede diversos dados sobre a mesma, tais como: senhas codificadas, nomes de usuários, domínios, máquinas de cada domínio, endereços IP associados, e aliases de . Com todas essas informações, um invasor fica com muito mais recursos para encontrar um problema e invadir a rede. Ou seja, informações encontradas por um spoofing do servidor podem ser utilizadas para invadir um cliente NIS. 2.2 LDAP O LDAP (Lightweight Directory Access Protocol), é um protocolo que rege a forma de acesso a serviços de diretórios e respectivos clientes, ou seja, fornece a comunicação entre usuários e serviços de diretórios. Um diretório é um serviço de armazenamento hierárquico de informações de objetivo principal de facilitar a pesquisa e a recuperação dessas informações (TRIGO, 2007). Ainda, Tuttle et al. (2004) descrevem um diretório como uma lista de informações sobre objetos organizados ou catalogados em uma ordem, e que fornece o acesso aos dados dos objetos. O serviço de diretório é responsável por prover o armazenamento, a organização das informações, que serão resgatadas por terceiros, sendo uma ferramenta a mais que pode ser usada para complementar a utilização de outros serviços. Seu uso visa também facilitar a manutenção, a busca e a localização de dados por usuários e aplicativos, onde todos os serviços compartilham o mesmo servidor de diretório e a mesma árvore de informações. A utilização de um serviço de diretório se justifica no âmbito de redes de computadores, sendo ela de pequeno, médio ou grande porte, pois ao utilizar um servidor de diretórios, os dados atualizados ficarão disponíveis a todos os serviços da rede, facilitando a vida dos administradores, através da centralização da informação. De acordo com Júnior (2008):

18 16 concepção. O LDAP foi criado como uma alternativa ao Directory Access Protocol (DAP), para prover acesso aos serviços de diretórios do X.500 pelos protocolos da pilha TCP/IP. O LDAP é mais fácil de ser implementado do que o DAP, além de exigir menos dos recursos da rede e memória. Ele foi desenvolvido, e não adaptado como o DAP, para aplicações TCP/IP, e portanto o LDAP obteve um maior desempenho. Por esses motivos recebeu o nome Lightweight Directory Access Protocol (protocolo leve de acesso a diretórios), que é o nome de seu antecessor acrescentado de Lightweight (leve). A Figura 4 mostra a evolução dos protocolos de acesso a diretório desde a sua Figura 4: Evolução dos protocolos de acesso a diretório. Fonte: Apache (2010). A Figura 5 mostra um exemplo de um schema LDAP ou Directory Information Tree (DIT): do lado esquerdo da figura estão representados na subárvore uma organização (o=ibm), duas unidades organizacionais, que podem ser vistos como departamentos (ou=marketing e ou=support), e dois objetos vinculados a cada um destes departamentos; já do lado direito da figura, a subárvore tem como nó primário um país (c=us), e duas organizações (o=acmesupply e o=iseriesshop). Um grupo de atributos referente a uma determinada entrada constitui um object class. Assim como na orientação a objetos, quando uma entrada é definida (instanciada), são atribuídas a esta um ou mais object class.

19 17 Figura 5: Exemplo de uma árvore de informação de diretório LDAP (Directory Information Tree ). Fonte: Tuttle et al. (2004). Ainda seguindo o raciocínio da orientação a objetos, uma object class (subclass) pode ser derivada de um outro object class (superclass), herdando todos os atributos do objeto pai. As entradas são organizadas na DIT com base no seu Distinguished Name (DN), que é o indentificador exclusivo de uma entrada. Os DNs são compostos de uma seqüência de Relative Distinguished Name (RDNs) e cada RDN corresponde a um ramo na DIT, desde a raiz até a entrada à qual o DN faz referência. Na Figura 5, temos um objeto do tipo pessoa (cn=klaus) cuja RDN é: cn=klaus,ou=marketing,o=ibm Segurança Conforme descrito na RFC 2829 (WAHL et al., 2000), o modelo de segurança do LDAP provê autenticação e identificação dos usuários que acessam os serviços do diretório, através da operação bind. Uma vez que o usuário é autenticado e identificado, as informações sobre controle de acesso podem ser consultadas para determinar se o usuário tem permissão para fazer o que ele solicitou. Há a possibilidade de o usuário não se identificar, ou seja, acessar o diretório como anônimo (anonymous bind). Mesmo nesse caso, as regras de controle

20 18 de acesso do servidor LDAP também determinarão o que o usuário poderá acessar no diretório. Os mecanismos pelos quais o conjunto de protocolos LDAP pode ser protegido são: 1. Simple Authentication and Security Layer (SASL): é um método para adicionar suporte para autenticação em protocolos baseados em conexão, como o LDAP. O SASL por si só não provê segurança, mas permite negociá-la; 2. Secure Sockets Layer (SSL): é um mecanismo genérico de segurança, a nível de transporte, usado para tornar protocolos de aplicações como o LDAP seguros. Provê autenticação de chave pública baseada em certificado, comunicação criptografada e assinaturas digitais. O SSL permite que as partes negociem o nível de segurança apropriado; 3. Transport Layer Security (TLS): Mecanismo padronizado pela Internet Engineering Task Force (IETF), e que permite a troca de credenciais, sendo utilizado para garantir a privacidade Autenticação e autorização Algumas definições acerca de autenticação e autorização são necessárias a fim de que o serviço de diretório possa ser compreendido em sua essência. De uma maneira geral, a política de controle de acesso é quem define a proteção de recursos e, normalmente também em termos das capacidades de outras entidades de acessar estes recursos. O acesso é restringido para elementos do diretório baseado na política de segurança da instituição e em requerimentos de privacidade da aplicação. O acesso às entradas e atributos do diretório é controlado pela diretiva de acesso do arquivo de configuração do servidor LDAP. O controle de acesso é dividido em três partes (TUTTLE et al., 2004): 1. what: especifica as entradas e/ou atributos para os quais o controle de acesso se aplica; 2. who: especifica quais entidades terão o acesso definido; 3. access: especifica qual será o acesso permitido. A partir da política de acesso, faz-se necessário estabelecer credenciais de autenticação, que são evidências solicitadas por uma parte para confirmar a identidade da outra parte. Assim, a autenticação é o processo de gerar, transmitir e verificar essas credenciais. A identidade de autenticação é o nome apresentado na credencial. Existem muitas

21 19 formas de credenciais de autenticação, entre elas, certificados X.509, identidade e senha e tickets Kerberos. Já a identidade de autorização é o nome do usuário ou de outra entidade que requer a execução de alguma operação. No geral, políticas de controle de acesso são normalmente expressas em termos das identidades de autorização O software livre OpenLDAP ferramenta, De acordo com a LDAP Foundation, fundação que coordena o desenvolvimento da OpenLDAP é uma suíte de aplicativos LDAP opensource, que inclui todas as ferramentas necessárias para fornecer um serviço de diretório LDAP em um ambiente de rede (clientes, servidores, utilitários e ferramentas de desenvolvimento), disponível para várias plataformas (Linux, Solaris, MacOS). É uma solução considerada madura hoje em dia e possui amplo suporte, sendo largamente utilizada como alternativa às implementações comerciais existentes (Microsoft Active Directory, Novell edirectory, Sun Java System Directory Server, etc.) (OPENLDAP, 2010). Portanto, o OpenLDAP atende à todas as características previstas na RFC 2251 que descreve o protocolo. A ferramenta apresenta fácil instalação nos ambientes GNU/Linux, podendo ser, inclusive, configurada para trabalhar de maneira distribuída através de uma rede corporativa. Operando em contexto distribuído, o OpenLDAP dá suporte nativo à replicação dos dados, o que permite à rede um crescimento escalável com integridade de informações. Existem diversas alternativas para que seja feito o acesso ao serviço de diretório provido pelo OpenLDAP, dentre os quais se destacam os módulos do PAM, presente na grande maioria das distribuições GNU/Linux. Na seção seguinte será feita uma abordagem mais profunda acerca da interação entre o PAM e o LDAP. 2.3 INTERAÇÃO COM O PAM A ideia inicial na concepção do PAM era a criação de subsistema de autenticação para o GNU/Linux que separasse a concessão de privilégios nos aplicativos, do desenvolvimento de esquemas de autenticação apropriados e seguros (SAMAR; LAI, 1996). Assim, a

22 20 finalidade principal do PAM, é dar ao administrador a possibilidade de escolher o mecanismo de autenticação padrão para cada serviço presente na máquina, o que pode variar desde um mecanismo simples, como utilizar o arquivo /etc/passwd, até mais complexos como uma base LDAP. Esse modelo dá a liberdade de, por exemplo, fazer com que um serviço de SMTP autentique em um servidor LDAP, enquanto o serviço de FTP da mesma máquina autentique utilizando o arquivo /etc/passwd. Basicamente, isto é alcançado através do fornecimento de uma biblioteca de funções utilizada pelas aplicações para solicitar a autenticação de usuários. As bibliotecas do PAM podem ser configuradas no arquivo /etc/pam.conf ou no diretório /etc/pam.d/. Geralmente o GNU/Linux adota a configuração modularizada do PAM, isto é, feita no diretório /etc/pam.d/. Os arquivos de configuração do PAM referenciam módulos localizados no diretório /lib/security/ ou /lib64/security/ e se comportam como objetos carregáveis dinamicamente, isto é em tempo de execução. Acerca da estrutura interna do PAM, um módulo PAM possui um conjunto de seis funções principais que devem ser agrupadas em quatro grupos de gerenciamento de forma independente, são eles (SAMAR; LAI, 1996): gerenciamento de autenticação, gerenciamento de conta, gerenciamento de sessão e gerenciamento de senha. No GNU/Linux estes grupos de gerenciamento são configurados nos arquivos: /etc/pam.d/common-auth, /etc/pam.d/commonaccount, /etc/pam.d/common-session e /etc/pam.d/common-password. Em um sistema GNU/Linux existem basicamente duas maneiras de configurar o PAM para que utilize as informações dos usuários presentes em uma base LDAP. A primeira, é utilizar o módulo pam_ldap para tentar verificar na base LDAP a autenticidade da senha fornecida pelo usuário. A outra forma, é enviar ao servidor LDAP um hash da senha fornecida pelo usuário, utilizando para isso o Name Server Switch (NSS) do Linux em conjunto com o módulo PAM pam_unix. Um hash é uma sequência de bits geradas por um algoritmo específico, que tem a capacidade de transformar uma grande quantidade de informações em uma pequena quantidade de informações. O NSS é um mecanismo disponibilizado pela GNU C Library ou glibc que fornece múltiplos métodos de acesso a base de dados comuns em um servidor GNU/Linux, tais como o arquivo /etc/passwd, o /etc/hosts ou até mesmo a sistemas de autenticação remotos como uma base LDAP. Toda a configuração deste mecanismo é realizada no /etc/nsswitch.conf. A glibc é um software livre que provê funcionalidades básicas para que sistemas baseados em Unix sejam interoperáveis.