Replicação Multi-master e novidades do OpenLDAP
Anahuac de Paula Gil On-the-fly e Replicação Multi-Master Smailli Hemori Moraes Autenticação Samba + LDAP + Kerberos
Configuração on-the-fly
Slide 1 4 cn=config Gerais Também conhecido como RTC Run Time Configuration As configurações tem efeito imediato As configurações são uma árvore própria com acesso próprio. Prós Configurações tem efeito imediato Não há opção: a mudança será compulsória
Slide 1 5 cn=config Contras Não há documentação suficiente Migrações de opções avançadas podem ser problemáticas Migrando slaptest -f slapd.cponf -F slapd.d Definir database config Definir rootdn e rootpw Definir SLAPD_CONF=/etc/ldap/slapd.d em /etc/default/slapd
Replicação Multi-Master
Slide 1 7 OpenLDAP 2.4 Replicação Multi-Master A suposta limitação do OpenLDAP em trabalhar com replicações no formato Master Slave, é uma de suas maiores críticas. A verdade é que o OpenLDAP consegue funcionar no formato Master Master. O objetivo inicial é claro: poder fazer alterações em qualquer um dos servidores.
Slide 1 8 OpenLDAP 2.4 Replicação Multi-Master Prós Se qualquer um dos servidores cair, outro aceitará as alterações que forem feitas; Evita ter um único ponto de falha Os servidores podem ficar em pontos físicos diferentes, separados numa rede global, por exemplo; Bastante útil como técnica anti falhas ou alta disponibilidade
Slide 1 9 OpenLDAP 2.4 Replicação Multi-Master Contras Rompe a garantia de consistência de informações do modelo de diretórios definido pelo modelo X.500; É fundamental manter uma sincronização de data e hora, extremamente confiável; Os servidores não saberão distinguir entre um problema físico no outro servidor ou uma perda de conexão e isso pode caisar problemas na sincronização quando o problema for solucionado; Prós superam contras
Slide 1 10 Implementando Características técnicas Servidor 1 IP = 10.0.0.201 HOST = ldap01.4linux.com.br Servidor 2 IP = 10.0.0.202 HOST = ldap02.4linux.com.br
Slide 1 11 Alterando o slapd.conf Adicionando o moduleload syncprov
Slide 1 12 Alterando o slapd.conf Adicionando o moduleload syncprov
Slide 1 13 Alterando o slapd.conf Adicionando o moduleload syncprov
Slide 1 14 Alterando o slapd.conf Adicionando o moduleload syncprov
Slide 1 15 Alterando o slapd.conf Adicionando o moduleload syncprov
Slide 1 16 Alterando o slapd.conf Adicionando o moduleload syncprov
Slide 1 17 Alterando o slapd.conf Adicionando o moduleload syncprov
Slide 1 18 Alterando o slapd.conf Adicionando o moduleload syncprov
Slide 1 19 Alterando o slapd.conf Adicionando o moduleload syncprov
Slide 1 20 Alterando o slapd.conf Adicionando o moduleload syncprov
Slide 1 21 Autenticação NTLM Autenticação provida por servidores Microsoft Efetuada no momento do logon Não é necessário digitar usuário e senha para cada acesso a um compartilhamento O Samba tem suporte a autenticação NTLM
Slide 1 22 Autenticação cliente Windows Samba OpenLDAP LDAP NTLM Cliente Windows
Slide 1 23 Autenticação LDAP Efetuado no momento do logon É necessário digitar usuário e senha para cada acesso a compartilhamento de rede Windows não suporta nativamente
Slide 1 24 Autenticação cliente Linux Samba OpenLDAP LDAP Cliente Linux
Slide 1 25
Slide 1 26 SSO Utilização do protocolo Kerberos para autenticação Suportado pelo Windows Suportado pelo Linux Suportado pelo Samba Autenticação baseada em ticket Ticket com validade
Slide 1 27 Kerberos Samba OpenLDAP Cliente Linux Kerberos Kerberos LDAP
Slide 1 28
Slide 1 29 Prós e contras Prós Não é necessário digitar usuário e senha para cada acesso Suportado no Linux Suportado no Samba Segurança com criptografia e validade de ticket Contras Não existe sincronismo nativo das senhas na base Kerberos
Slide 1 30 Solução? Overlay smbk5pwd Samba Kerberos OpenLDAP
Slide 1 31 Solução OpenLDAP smbk5pwd kerberos ldap
Slide 1 32 Mais... Suportado pela maioria dos daemons de rede no Linux, como Apache Postfix Cyrrus Vsftpd Facilita a utilização de serviços de rede passando usuário e senha apenas no momento do logon
Slide 1 33 FIM Perguntas?