Bate-papo PoPs Boas práticas na configuração do serviço LDAP Ibirisol Fontes 1 <ibirsol@pop-ba.rnp.br> Italo Brito 1 <italo@pop-ba.rnp.br> 1 Ponto de Presença da RNP na Bahia Universidade Federal da Bahia 20º SCI, Belo Horizonte/MG Out/2014
2 / 16 LDAP @ PoPs Base de usuários centralizados Equipe do PoP Clientes (RedeCOMEP, RNP/BA, Projetos) Regras de autorização Informações adicionais Circuitos Contatos Hosts
Boas práticas pra quê? Desempenho Segurança Escalabilidade Facilidade de manutenção Tolerância a falhas 3 / 16
Boas práticas adotadas Design da base Formato de configuração Tunning (criação de índices) Controle de acesso Segurança SSL/TLS Autorização (grupos, atributos, classes de objeto) Política de senhas Backup Ferramentas de gerencia Monitoramento Criação de atributos Replicação Integração com SAMBA Integração com CAFe @ RNP 4 / 16
Design da base Árvore de informações do diretório DIT Forma de estruturar sua árvore de informações Requisito mínimo para uma base escalável e flexível Premissas Centralização das informações no LDAP Atualização de informações self-service Otimização das consultas (hierarquização) Controle de acesso 5 / 16
dc=pop-ba,dc=rnp,dc=br --- cn=admin --+ ou=usuarios --+ ou=noc --+ ou=terceiros --+ ou=grupos --+ ou=subareas --+ ou=redecomep --+ ou=clientesrnp --- cn=certbahia... --+ ou=servicos --- cn=roteadores --- cn=intranetpop --- cn=zabbix-admins Design da base dc=pop-ba,dc=rnp,dc=br... --+ ou=apps --+ ou=mail-aliases --+ ou=contatos --+ ou=enlaces --+ ou=hosts --+ ou=ex-usuarios 6 / 16
Técnicas de implantação: Autorização Baseada em grupos, atributos, hierarquia, aplicação Mecanismo adotado: Grupo + Atributo Técnica: Reverse Mapping (memberof) groupofnames vs posixgroups Opção por groupofnames, apesar do impacto de desempenho (em investigação) 7 / 16
Política de senhas Foi definido no PoP-BA uma política mínima de senhas Todos os usuários e aplicações Regras gerais Alteração de senhas anualmente (difok=3) Tamanho mínimo: 8 caracteres Classes de caracteres: >= 3 Checagem da qualidade da senha Mecanismo de armazenamento seguro (SSHA)* Oficialização da política em discussão com CAIS Ferramenta de alteração: SSP (testes com PWM) 8 / 16
Linha de comando: Ferramentas de Gerencia Ldap-utils APIs: Net::LDAP, syncgroups2 (DCC/UFBA) Interface web PHPLdapAdmin Webmin LAM (LDAP Account Manager) 9 / 16
10 / 16 Ferramentas de Gerencia
Integração com CAFe @ RNP Participação no piloto do GT-PoPs Modelo usado: RNP é o IDP credenciado no CAFe e as credenciais do PoP são exportadas para RNP PoPs com LDAP PoPs sem LDAP (recomenda-se criar uma base) Alterações necessárias Ajustes dos atributos LDAP para o CAFe Sincronização com a base da RNP 11 / 16
Integração com CAFe @ RNP Atributos básicos do CAFe Atributo Descrição Classe do objeto cn Nome do usuário inetorgperson sn Sobrenome do usuário inetorgperson mail Endereço de e-mail do usuário inetorgperson edupersonprincipalname breduaffiliationtype Identificador único do usuário dentro da federação. Formato: identificador@domínio Tipo de vínculo do usuário com a instituição. Vocabulário: faculty, student, staff, position, scholarshipawardee, other eduperson breduperson 12 / 16
Atributos adicionais Integração com CAFe @ RNP NTPassword (para MSCHAPv2 no Eduroam) Data de expiração de conta Formato do login (conflitos) 13 / 16
Integração com CAFe @ RNP Sincronização com a RNP Mecanismos avaliados Refer Sincronização com Syncrepl Sincronização via ferramenta externa Homologado: ferramenta LSC (LDAP Sync Connector) http://lsc-project.org/wiki/ Relatório técnico gerado e homologação em fase de conclusão 14 / 16
Conclusões e Referências O LDAP é um serviço crítico e precisa ser aperfeiçoado (segurança, desempenho, usabilidade) Tarefa complexa e requer muita discussão (DIT) Conseguimos melhorar a base LDAP de forma geral, corrigir falhas, novas funcionalidades Referências CIS Security Benchmarks SANS SCORE Entre outros 15 / 16
Dúvidas? 16