LDAP

Edson G. S. do Nascimento Jr. Luiz Felipe Mller Pires Carine Moraes Marques Valente Bruno Pereira Vieira Bruno Eurico da Silva de Souza

20072000880 20091101776 20091102235 20091100683 20091103086

Introduo

Lightweight Directory Access Protocol, ou LDAP, um protocolo para pesquisar e atualizar diretrios rodando sobre TCP/IP. Um diretrio LDAP geralmente segue o modelo X.500, que uma rvore de ns, cada um consistindo de um conjunto de atributos com seus respectivos valores. O LDAP foi criado como uma alternativa ao muito mais incmodo Directory Access Protocol (DAP). X.500 uma srie de padres para redes de computador abordando servio de diretrio. Os protocolos definidos pelo X.500: DAP (Directory Access Protocol) DSP (Directory System Protocol) DISP (Directory Information Shadowing Protocol) DOP (Directory Operational Bindings Management Protocol) O LDAP considerado leve, pois no precisa rodar na pilha de sete camadas OSI, como o protocolo da camada de aplicao X.500. Os pacotes X.500 carregam mais bagagem, pois precisam de cabealhos para cada uma das camadas da pilha de protocolos OSI. A sute de protocolos TCP/IP, na qual o LDAP roda, tambm necessita de cabealhos nos pacotes, mas tem um overhead menor.

X.500 sobre OSI vs. LDAP sobre TCP/IP.

Por ser usado no Modelo OSI um nmero de alternativas ao DAP foi desenvolvido para permitir que clientes de Internet pudessem acessar o diretrio X.500 usando TCP/IP. A mais conhecida alternativa o LDAP. Por permitir que o DAP e outros protocolos X.500 pudessem usar TCP/IP, LDAP um conhecido protocolo de acesso a diretrios. O que so diretrios? A palavra directory em ingls poderia ser melhor traduzida por catlogo, no sentido de uma lista ordenada com descrio curta dos itens, no necessariamente de arquivos.

Um diretrio um banco de dados otimizado para leitura. Possui sofisticados mtodos de busca, alto desempenho em altos volumes de pesquisas, as informaes armazenadas hierarquicamente, otimiza o tempo de resposta com rplicas, permite a distribuio das informaes e possui facilidade na extenso de esquemas (schemas). Um servio de diretrio um servio que armazena e organiza informaes sobre os recursos e os utilizadores de uma rede de computadores, e que permite os administradores de rede gerenciar o acesso de utilizadores e sistemas a esses recursos. Alm disso, os servios de diretrio atuam como uma camada de abstrao entre os utilizadores e esses recursos. Um diretrio LDAP tende a refletir vrios limites polticos, geogrficos e/ou organizacionais, dependendo do modelo adotado. A utilizao do LDAP hoje em dia tende a se basear nos nomes j existentes do sistema Domain Name System (DNS), na estruturao dos nveis mais bsicos de hierarquia. Mais profundamente, podem aparecer estruturas representando pessoas, unidades organizacionais, impressoras, documentos, grupos de pessoas ou qualquer outra coisa que represente um n. O LDAP simplificou algumas operaes e omitiu outras que raramente eram utilizadas no X500. Uma implementao do LDAP possibilitaria: -Remover o overhead da comunicao LDAP-DAP; -Melhorar a performance e reduzir a complexidade do servio de diretrios.

Modos de utilizao

LDAP como gateway para o X.500: O servidor LDAP conectado ao servidor X.500. Consultas a este diretrio agora podem ser realizadas por clientes LDAP sobre TCP/IP.

Modelo gateway LDAP/DAP.

LDAP no TCP/IP: O servidor LDAP quem gerencia o servio de diretrios. Consultas ao diretrio so realizadas diretamente pelo servidor LDAP e respondidas aos clientes LDAP.

Modelo cliente/servidor.

Implantao

Todo ambiente de rede precisa armazenar informaes para possibilitar o seu gerenciamento (autenticao, grupos de usurios, permisses, cotas de armazenamento e impresso, compartilhamentos e etc.). Hoje em dia, a maioria das grandes organizaes possui ambientes de rede heterogneos, com vrias plataformas presentes (Linux, Windows, Solaris) e com redes virtuais fisicamente conectadas, muitas vezes distribudas geograficamente.

Exemplo de servios em uma rede heterognea.

Esse exemplo ilustra uma rede heterognea composta de um ambiente Windows e um ambiente Linux. Apesar de ambos os ambientes estarem fisicamente conectados (utilizando a mesma infra-estrutura), no existe comunicao entre os servios e a informao usada para administrar os recursos no est sendo compartilhada. Um problema decorrente desse tipo de implantao que para cada plataforma ou para cada rede local virtual existente no ambiente de rede (rede fsica), necessrio suprir essas mesmas informaes de gerenciamento. Se no for adotada uma boa soluo de gerenciamento, podem surgir problemas decorrentes da replicao desses dados. Os principais so: redundncia, falta de sincronia nas informaes, dificuldade de organizao, maior custo no suporte e falta de segurana. Uma soluo cada vez mais empregada para este cenrio armazenar as informaes do ambiente de rede em um diretrio, atravs de um servio de diretrio LDAP. Isso torna possvel acessar de forma padronizada, gil e segura, todas essas informaes. Portanto todos os servios da rede (autenticao, compartilhamento, impresso, e-mail, etc.) buscaro as informaes de que precisam nesse diretrio, de forma integrada. A seguir est o exemplo da mesma rede heterognea mostrada anteriormente, utilizando um servidor LDAP para integrao dos servios.

Exemplo de servios em uma rede heterognea com integrao LDAP.

Esse exemplo ilustra uma rede heterognea utilizando um servidor LDAP para integrao dos servios.

Modelos de LDAP
O LDAP especificado sob os modelos. Nome, Informao, Funcional e Segurana.

Modelo de Nome
Define por uma estrutura hierrquica na qual a informao ser armazenada. Cada objeto de um diretrio referenciado por uma entrada, essas entradas so nicas e organizadas hierarquicamente. A hierarquia representada por uma DIT(Directory Information Tree). Cada entrada identificada unicamente por um Distinguished Name (DN) ou Relative Distinguished Name (RDN). Aliases: Funcionam basicamente como um link simblico do Unix, ligando duas DIT, e assim simplificando-a. Distribuio: O LDAP permite a distribuio da informao entre vrios servidores, isto tem como objetivo: melhorar o desempenho, aumentar a disponibilidade, permitir um bom gerenciamento, unio de parties. Replicao: Copia do contedo do diretrio (total ou parcial), no existe um modelo padro, melhora o desempenho e a confiabilidade, aproxima os dados dos usurios, distribui melhor a carga dos servidores, garante redundncia do servio.

Modelo de Informao
Define os tipos de dados e a unidade bsica de informao que pode ser armazenada em um objeto. Cada entrada (unidade bsica) possui um conjunto de atributos. Os atributos podem armazenar diversos valores dependendo do seu tipo o atributo pode ter mais de um valor.

Schema define atributos, classes de objetos e regras. Regras: quais atributos o objeto ter, o tipo de atributo define que valores ele poder armazenar, atributos obrigatrios e opcionais em um objeto, define a hierarquia dentro da arvore e a herana dos objetos. Classes de objetos: define quais os atributos que a entrada dever possuir, (os atributos obrigatrios e opcionais). Existem trs tipos de classe de objeto: - estrutural: objeto real; - auxiliar: adiciona caractersticas ao objeto real; - abstrata: usada apenas como superior de classes derivadas. Atributos: composto por um "nome:valor", pode conter um ou mais valores.

Modelo funcional
Determina o que pode ser feito com a informao, como ela pode ser acessada e alterada. Existem trs tipos de operaes no LDAP: Autenticao e controle: bind, unbind e abandon. Pesquisas e comparao: search, compare. Atualizao: add, delete, modify. Autenticao Bind: permite que um cliente possa se autenticar perante um servio de diretrio. Todo acesso ao servio de diretrio se inicia com um bind. Unbind: finalizao da autenticao, o servidor no retorna informao e o cliente assume que a conexo esta fechada. Quando o servidor recebe um unbind ele libera todos os recursos alocados ao cliente, descarta informaes de autenticao e fecha a conexo TCP/IP com o cliente. Abandon: Informa ao servidor que para suspender a requisio feita anteriormente. Normalmente utilizada pelo cliente quando inundado por informaes de uma pesquisa muito genrica e que esta retornando muita informao. O servidor envia nenhuma resposta requisio de abandono e o cliente no espera nenhuma resposta.

Pesquisa e comparao Search: Consulta de informaes em um diretrio. Compare: Permite que seja "testada a presena de um valor" de um atributo em particular em uma entrada. Retornando true ou false e no o valor do atributo. Operaes de atualizao: Add: permite que entradas sejam inseridas em um servio de diretrio. Delete: permite que entradas sejam apagadas em um servio de diretrio, podendo apagar tambm sub-arvores inteiras. Modify: possui trs parmetros: - DN: especifica qual entrada sofrera a alterao. - Tipo de operao: podendo ser um add, para adicionar, delete, para apagar ou modify para alterar o valor de um atributo. - Pares nome-valor: serve para listar os atributos que sero adicionados, apagados ou modificados.

Modelo de Segurana
Dois processos so necessrios para que um cliente possa acessar as informaes em um servio de diretrio: autenticao ( o ato de o cliente provar a sua identidade, que pode ser ate annima), autorizao (definir quais os dados o usurio ter acesso no servio de diretrio). Autenticao: Annima - bind sem usurio e senha; Bsica - bind com usurio e senha; Bsica com SSL/TLS; SASL: orientado a conexo, cliente e servidor negociam o mecanismo de segurana. Autorizao: Proteo dos dados: permitir ou no o acesso a rvore ou parte dela; Acesso aos dados: define os clientes e os direitos que possuiro sobre as informaes; Nveis de acesso: os direitos que podem ser definido, como, sem acesso, acesso de realizar bind, acesso para comparar, acesso para pesquisar, acesso para alterar as entradas.

Modelos de servios LDAP

O diretrio LDAP baseado no modelo cliente/servidor e a comunicao assncrona, ou seja, um cliente pode fazer mltiplas requisies e as respostas dadas pelo servidor podem chegar em qualquer ordem.Um ou mais servidores LDAP contm os dados, compondo a rvore de informao do diretrio (DIT). O cliente se conecta a um servidor e faz requisies. O servidor responde com a informao requisitada ou com um apontador para outro servidor LDAP. No importa a qual servidor o cliente se conecte, ele tem a mesma viso dos dados. O servio pode ser local, assim um servidor LDAP rodando em uma mquina fornece servio de diretrio apenas para o domnio local.

Modelo cliente/servidor simples.

Ele tambm pode ser local com referncias, assim ele fornece o servio de diretrio para o domnio local e retorna referncias para outro servidor capaz de lidar com requisies para fora do domnio. Essa configurao usada caso se deseje que o servio participe de um "diretrio global".

Modelo cliente/servidor com referncia.

O servio pode ser replicado. Nessa configurao, o servidor LDAP usado para sincronizar as alteraes realizadas na base de dados do servidor LDAP master para as outras rplicas do servidor LDAP. O servidor LDAP e o servio de replicao de diretrio do servidor LDAP comunicam-se atravs de um arquivo de texto que usado como um log de alteraes. Essa configurao pode ser usada em conjunto com qualquer uma das duas primeiras configuraes, em situaes em que um nico servidor LDAP no fornece a disponibilidade ou a confiabilidade requerida. Existe outro mtodo de replicao, o LDAP Sync.

Modelo cliente/servidor com replicao.

Uma outra configurao possvel, o servio de diretrio local ser particionado em vrios servios menores, onde cada um armazena as informaes de uma sub-rvore. Ento podemos junt-los atravs de referncias, para formar o servio de diretrio final.

Modelo cliente/servidor particionado.

Quem usa Diretrios

Computer Associates - eTrust Directory IBM - SecureWay Sun AND Netscape - Directory Server (RHDS) Microsoft - Active Directory Netscape - Directory Server (no longer offered) Novell - eDirectory (NDS) OpenLDAP - OpenLDAP Oracle - Internet Directory University of Michigan - Slapd

Bibliografia
http://www.linux.ime.usp.br/~cef/mac499-06/monografias/erich/html/index.html http://www.google.com.br/ http://pt.wikipedia.org/