Redes Aula9

AUTENTICAO
SERVIOSDEDIRETRIO
Prof.RodrigoCoutinho
 Si stemasdeautenti cao
Quemestdooutroladomesmoquemdizser?
Componentes
Entidadeautenticada
Autenticador
Protocolodeautenticao
Entidadesdesuporteaoprotocolo
Baseiasenoconceitodequedeterminadaentidadea
nicacapazdeenviardeterminadainformao
Senha(saber)
Smartcard(possuir)
Biometria(ser)
SingleSignOn
 Servi dordeautenti cao
Permiteautenticarutilizadoresparaservios/recursosda
redeouaplicaes
Servidoresdeautenticaomaiscomuns
RADIUS(padrodefato)
TACACS+
Autenticao,AutorizaoeAccounting AAA
GerenciamentocentraldoAAA
Informaoemumabasecentralesegura
Simplificaadministrao
 Servi dordeautenti cao
Autenticao
Garantiraidentidadedoutilizador/recurso
Autorizao
Controlaoacessoadeterminadosrecursos
Contribuiparaseguranadarede
Accounting(Contabilidade)
Registrodeacontecimentosenvolvendoacessos
Quemfezoquequando
PodeserusadoparaauditoriaouBilling
Ex.recursosutilizadosdurantesesso:pacotes,bytes,etc
 Segredocom
p arti lhado
PPPAuthenticationProtocol PAP
Unidirecional autenticadornoautenticadopelaentidadea
autenticar(usurio)
ChallengeRespondeAuthenticationProtocol CHAP
Desafioenviadopeloautenticador
UsuriodevolvechallengecomasenhaemMD5
VersomaisnovaMSCHAP2autenticatambmoservidor
 TACACS+
Protocolodesenvolvidoparacomunicaoentreservidor
AAAeNAS
UsaTCP
Provvalidaocentralizadadeusuriosparaacessoauma
determinadarede
 Radi us
RemoteAuthenticationDialinUserService
ServiodeAAA
Objetivoinicial:servirISPs
AcessodiscadointernetcomvriosNetworkAccessServers(NAS)
Alistadeusurios/senhasficacentralizadaemumservidor
Usadoatualmentetambmemredesprivadasque
requeremautenticao
Suporteamltiplosprotocolosdeautenticaoebasesde
dados
MensagensentreNASeRadiususamcriptografiasimtrica
 Radi us
Modelo:Cliente/Servidor
Clienterepassainformaodousurioparaoservidoreage
conformerespostarecebida
UtilizaUDP
1812paraautenticaoeautorizao
1813paraaccounting
 Radi us funci onamento
Mensagemaccessrequestenviadaaoservidor
Senohouverresposta,asolicitaoreenviada
Podemhaverservidoressecundrios
FailoverouRoundRobin
Servidorrecebeasolicitaoevalidaocliente
Seoclientenopossuirosegredocompartilhado,aconexo
descartada
Seoclienteforvlido,Radiusconsultaabasededadosdeusurios
paraencontrarousurio
Condiesnosatisfeitas accessreject
Condiessatisfeitas
Enviodochallenge(senha)
 Kerberos
Umaredepossuivrios
Usurios
Servios
Dispositivos
Secadaserviotiveroseusistemadeautenticao
Custodeadministrao
Maiorcomplexidade
Maiorvulnerabilidade
Soluoacentralizaodeautenticao
 Kerberos
Serviodesinglesignonbaseadoemcriptografiasimtrica
Singlesignon:clienteautenticaumavez;asdemaisautenticaes
serotransparentes
OrientadoinicialmenteaossistemasUnix
ControledeacessoWindows2000/XP/2003baseado noKerberos
v5.
Autenticao
Usodesenha
Asenhanotransmitidapelarede
Usurioconheceasenhaeoservidorkerberospossuiumacpia
encriptadaemsuabase
 Kerberos Domni os
Cadadomniocompostopor:
ServidorKerberos(KerberosDistributionCenter KDC)
2servidores:AuthenticationServereTicketGrantingServer
Vriosservios
Cadaparcliente/serviopartilhaumachavecomoKDC
Aschavesdosusuriosgeradaapartirdesenha
possvelligarmltiplosdomnios(realms)
Objetosdesegurana
Ticket:Tokenadmitidopelosistemaparausoemumservio
Authenticator:Tokenenviadopeloclienteparaprovarquem
SessionKey:Chavequeoclientevaiutilizarparafalarcomo
servidor
 Kerberos Chaves
Clientedevepossuirumticketeumachaveparacada
servidorqueforusar
Ticketspossuemvalidadelimitada
Seroutilizadosatexpirados
 Kerberos Fases
Fase1 Singlesignon
ClientedevecontataroAuthenticationServer,parareceberum
TicketTGT
OticketTGTservirparacomunicaocomoservidorTGSeacesso
aosdemaisservios
Utilizadortemqueseautenticarapenasumavez
Fase2 Obtenodeticket
ClienteusaoticketTGSparasolicitaracessoadeterminadoservio
Fase3 Acessoaoservio
Servidorautenticase
 Servi osdedi retri o
Serviosparalocalizaodeentidadeslgicasnarede
Dispositivos micros,impressoras
Servios(servidoresderede)
Pessoas
Domnios
Etc
Associamnomeslgicosaumaspectofsico
 X.500
PadroISOeITUparaserviodistribudodediretrios
Utilizabasededadosdistribudaereplicada
Usuriosacessamoservioatravsdeaplicaoclientecom
usodeprotocolocomum(DAP)
Originalmentedesenvolvidosobreosconceitosdomodelo
OSI
Adoorestrita
AlgunsprodutospermitemcomunicaoX.500sobreTCP/IP
 X.500
Osnomessoindicadosdaseguinteforma:
/C=FR/O=Louvre/OU=ArtAcquisition
Denominaesdalinguagem
DIT:DirectoryInformationTree
C:Country
O:Organization
OU:OrganizationUnit
CN:CommonName
L:Local
X.500 DIT
 X.500 Com
p onentes.1
GDS GlobalDirectoryService
Serviodediretriodistribudoglobal
DUA DirectoryUserAgent
Clientedoserviodediretriodistribudo
DSA DirectorySystemAgent
Servidordoserviodediretriodistribudo
DAP DirectoryAccessProtocol
ProtocoloutilizadopeloclienteDUAparadialogarcomoservidor
DSA(origemdoLDAP!)
DSP DirectorySystemProtocol
ProtocolousadoparadilogoentreosDSAs
 X.500 Com
p onentes.2
DIB_DirectoryInformationDatabase
Basededadosdenomesdistribudaereplicada
DIT DirectoryInformationTree
rvoredediretrio
XDS X.500DirectoryService
APIutilizadapelasaplicaesparamanipulardados
XOM X.500ObjectManagement
APIutilizadapelasplicaesparadefinioegerenciamentodas
classesdeobjetosdeinformaonosdiretrios
X.500
 LDAP
LightweightDirectoryAccessProtocol
PadroIETF,projetadoparaoperaremInternet
AlternativaaoprotocoloDAP,doX.500
ExcluiuasfuncionalidadesredundantesedepoucousodoDAP
LDAPatualverso3(RFCs2251a2256)
consideradoumgatewayparaosservidoresdediretrioX.500
BaseadoemTCP/IP
DAPusamodeloOSI
ForteAdoo
 LDAP Caractersti cas
possvelgerenciarumagrandevariedadedeobjetos
Usurios,grupos,dispositivos,contatos,etc
Diminuinecessidadedegerenciaraplicaesdediretrio
especficas
Ex.Correioeletrnico
Padroindependentedeplataforma
Altaadernciaavriosfabricantes
Reduzcustodegerenciamento
Menosdiretriosparaadministrar
Economizatempodedesenvolvimento
Aplicaesusaminformaesdoserviodediretrio
 LDAP Modelos
Modelodeinformao
Defineostiposdedadosarmazenadosnodiretrio
Objetos,classes,atributoseschemas
Modelodenomes
Definecomoosdadosseroorganizadosereferenciados
DIT;DNeRDN
Modelofuncional
Definecomoacessareatualizarasinformaesnodiretrio
Leitura,pesquisa,alteraoeautenticao
Modelodesegurana
Regrasecontroledeacessodasinformaesarmazenadas
 LDAP ModelodeNomes
Objetivos
Organizarereferenciarinformaesnodiretrio
Facilitaramanutenodosdados
Flexibilizarapolticadecontroledeacesso
Permitirapartioereplicao
Permitirumanavegaomaissimples
Entradassodispostashierarquicamente
HierarquiarepresentadaporumaDirectoryInformationTree DIT
CadaentradaidentificadaunicamenteporumDistinguishedName
DN
LDAP ModelodeNomes
 LDAP DNeRDN
DistinguishedName(DN)especificaumidentificadornico
paraumaentradanoDIT
Contmainformaodonvelqueaentradaestdentroda
rvore
Exemplo
CN=RodrigoCoutinho,OU=EAD,DC=Cathedra
RelativeDistinguishedName(RDN)umnomequenico
emumdeterminadonveldehierarquia
Exemplo
CN=RodrigoCoutinhoidentificadorniconaOU=EAD
 LDAP ModelodeInformao
Especificaostiposdeinformaoquepoderoser
armazenados
compostapelosatributos
Umaentradaumacoleodeinformaessobre
determinadoobjeto
CadaentradapossuiumnicoDN
Implementamumaoumaisclassesdeobjetos
Possuemapenasatributosdefinidosnasclassesdeobjeto
implementadas
 LDAP Objeto
dn:cn=RodrigoCoutinho,ou=EAD,ou=Professores,DC=cathedra,
DC=gov,DC=BR
homePhone:+5500000000
givenName:RodrigoCoutinho
objectClass:top
objectClass:person
objectClass:organizationalPerson
userPassword::e2NyaXB0fVJuVlZ2V2w2WWpXcTI=
uid:rodrigo
cn:RodrigoCoutinho
street:Venncio2000
l:BeloHorizonte
sn:Coutinho
 LDAP ClassesdeObjeto
Definematributosobrigatrioseopcionaisdasentradas
Podemserabstratas,estruturaisouauxiliares
Possuemnomenico
SodefinidasnoSchema
HheranadeatributosdeClassesmeparafilha
 LDAP ClassesdeObjeto
Sintaxe:
objectclass(<OIDdaclassedeobjeto>
["NAME"<nomedaclassedeobjetos>]
["DESC"<descriodaclassedeobjeto>]
["OBSOLETE"]
["SUP"<OIDdaclassedeobjetoancestral>]
[("ABSTRACT"/"STRUCTURAL"/"AUXILIARY")]
["MUST"<OIDdosatributosobrigatrios>]
["MAY"<OIDdosatributosnoobrigatrios>]
)
 LDAP Atri butos
Possuemnomes
Definemostiposdedadosquepodemarmazenar
Podempossuirumoumaisvalores
Podemestarpresentesemumoumaisobjetos
Regrasdecomparao
Mtodosdecomparaodeatributos,definidosnaspropriedades
IGUALITY,SUBSTReORDERING
Usadoparaindexao
 LDAP Classesdeobjeto
Ex.AclassedeobjetoPersonpodecontervriosatributos:
CN(CommonName)
Surname(SN)
Password
 LDAP ObjectIdenti fi er
OOIDoidentificadornicodeumatributoouclassede
objeto
Utilizamestruturahierrquica
rgocentralInternetAssignedNumbersAuthority IANA
coordenadistribuiodeOIDsparaempresas
Schemasarmazenamasdefiniesdeobjetos,atributose
classes
 LDAP ModeloFunci onal
Determinaoquepodeserfeitocomainformao,seu
acessoemodificao
Pesquisa
Read retornaosatributosdeumDN
Search Selecionaentradasdeacordocomumfiltro
Filtros:&,|,!,~=,<=,>=,*
CompareIndicaseovalorcorrespondeaovalorcontidoouno.
Usadoparasenhas
Alterao
Modificaentradasexistentes Adiciona,excluiealteraatb.
Outros
Modify,add,deleteemodifyRDN
 LDAP ModelodeSegurana
Proteodainformaoaacessosnoautorizados
Autenticaodeusurios
ControledeacessoeAutorizao
Integridadedosdados
Privacidadedosdados
 LDAPeX.500 Concei toscomuns
ModelodedadosqueusaoDITumanicaestruturado
pontodevistalgico
Cadaentradadodiretriodefinidaporumaclassede
objeto(ObjectClass)
Aclassedeobjetopossuidiversosatributos
Cadaatributoformadoporumpar
AttributeType
AttributeValue
 Acti veDi rectory
ServiodediretriosdaMicrosoft(Windows2000/3)
UtilizapadresdemercadoecompatvelcomLDAP
AutenticaoutilizaKerberos
Estruturahierrquica
Benefciosnaorganizaodosdados
Basededadospodeserdistribudaentrevriosservidores
Performance
Tolernciaafalhas
 Acti veDi rectory
OActiveDirectoryestlocalizadonasmquinas
controladorasdedomnio
OrepositrioADarmazenadiversosobjetoserecursos
Contasdeusurios
Grupos
Computadores
Impressoras
Cadaobjetotemumconjuntodepropriedadesquetambm
armazenadonoAD
 Acti veDi rectory Domni o
Umdomnioprovreadeatuaoelimitesadministrativos
edesegurana
Permitequeosrecursossejamagrupadoslogicamente
Deacordocomoscritriosdecadalocal
rvore
Conjuntodeumoumaisdomnios
Floresta
Conjuntodeumaoumaisrvores
 Acti veDi rectory rvore
QualquerestruturadeAD,mesmoasquecontmapenas1
domnio,podemserchamadasdervore
Hierarquiadedomniosformandoumanomenclaturacontnua
Todososdomniosdedeterminadarvorepossuem:
Namespacecontguo
Schemacomum
GlobalCatalog
Relaesdeconfianatransitivassoestabelecidasentreos
domniosdentrodarvore
Permissoparausodeobjetosdeoutrodomnio
Relaessocriadasautomaticamente
 Acti veDi rectory Floresta
Conjuntodervores
Todososdomniosdedeterminadaflorestapossuem:
Schemacomum
GlobalCatalog
Namespacepodeserounocontguo
Relaesdeconfiananosotransitivaseprecisamser
estabelecidasentreosdomniosdentrodarvore
Permissoparausodeobjetosdeoutrodomnio
RelaesNOsocriadasautomaticamente
 Acti veDi rectory Objetos
RegistrosnoADsochamadosdeObjetos
Objetos
Usurios,Grupos,ComputadoreseImpressoras
Objetospossuematributos
Nome,localizao,telefone,etc...
ObjetoseatributossodefinidosnoSchema
Schemaextensvel
Podemsercriadosoutrosatributos
Acti veDi rectory Objetos
Acti veDi rectory Objetos
 Acti veDi rectory Contai ners
OsobjetosnoADsoagrupadosemcontainerslgicos
Domnios
OrganizationalUnits(OU)
Grupos
Leaves
Usurios
Impressoras
Computadores
 Acti veDi rectory Grou
p Poli cy
Polticasdegrupopodemseraplicadasaosobjetos
Objetivodeatribuirconfiguraescomunsparagruposdeobjetos
Podeseraplicadaausurios,computadoresouOus
Polticaspodemsofrerherana
Podehaversobreposiodeconfiguraes(GPOsdiferentes
alterandoamesmaconfigurao
 Acti veDi rectory Si tes
Siteumconjuntodesubredesquepossuemboa
interconexoentresi
FunesdoSite
Localizaodeservios(ex.Login)
Replicao
Aplicaodasdiretivasdegrupo
Sitesestoconectadosapartirdesitelinks
Conectam2oumaissites
 Acti veDi rectory GlobalCatalog
OCatlogoGlobalpossuiumarplicadetodososobjetosde
umafloresta
possvelconfigurarsubconjuntosapartirdeatributosdos
objetos
Agilizaaprocuradeobjetosnafloresta
Acti veDi rectory GlobalCatalog
 Acti veDi rectory DNS
NoWindows2000ousuperior,oDNSpodefuncionar
integradoaoAD,possibilitando
nicatopologiadereplicao
Atualizaodemestremltiplos
Atualizaesdinmicas
Transfernciadezonaincremental
 Acti veDi rectory Rep li cao
InformaessoreplicadasentreosdiversosAD
Contextosdenomeaoquesoreplicados
Schema
Configurao
Domnio
Intrasite(entreAdsdomesmosite)
Nohcompresso assumeboaconectividade
Notificaode5em5minutos
Intersite(Sitesdiferentes)
UsaRPCoverIPouSMTP
Compresso 10 20%dotamanhooriginal
Podeseragendada
 Acti veDi rectory Rep li cao
Linksdesitesconectamdoisoumaissites
Custoeagendamentodereplicaopodemserdefinidos
Transitivo(podeserdesativado)
Pontesdelinksdesites
Interligamdoisoumaislinksdesites
 Acti veDi rectory Nami ngContexts
Schema(esquema)
Definiodosatributos
ReplicaoparatodososDCsdafloresta
Configurao
EstruturaAD
Domnios
Sites
LocalizaodosDCs
Domnios
Objetosespecficos
Usurios,Grupos,Computadores,OUs.
ReplicaoemtodososDCsdodomnio
 Acti veDi rectory Mestresde
Op erao
Schema(esquema)
Executaatualizaesdoesquema
EnviaatualizaoparaosdemaisDCs
Umporfloresta
Padro=primeiroDCinstalado
Domnios
MestreonicoDCquepodeadicionarouremoverumdomniodo
diretrio;
Podetambmadicionarouremoverrefernciascruzadasa
domniosemdiretriosexternos
Umporfloresta
Padro=primeiroDCinstalado
 Exercci os Aula9
(Susep/06 Esaf)noKerberos,verses4e5,osalgoritmosde
criptografiaDES(DataEncryptionStandard)eoRSA(Rivest Shamir
Adleman)soexclusivamenteutilizados
(CGU/06 Esaf)naverso5doKerberos,cadaticketincluiumachave
desessoqueusadapeloclienteparaencriptaroautenticador
enviadoaoservioassociadoqueleticket,sendopossvelanegociao,
entreclienteeservidor,dechavesdesubsessoaseremusadasna
conexo.
 Exercci os Aula9
(MPERR/08 Cespe)OprotocoloLDAP,assimcomooprotocoloDAP
(DirectoryAccessProtocol),temoobjetivodepadronizara
comunicaoeproveracessoaserviosdediretriosdistribudos.Os
clientessoosDUA(DirectoryUserAgent)eosDSA(DirectorySystem
Agents).
(Serpro/08 Cespe)OActiveDirectory,inclusonosistemaoperacional
MicrosoftWindowsServer2003,temsuporteaoLDAP(lightweight
directoryaccessprotocol).
(CBM/DF/08 Cespe)Oumprotocolotilquandosetratade
gerenciamentodeautenticaoemsistemasLinux,poispermitea
centralizao,emumnicolocaldarede,deinformaesacercade
usurios,senhasediretrios,entreoutras.Almdisso,oacessoaesses
dadospodeserfeitodeformasegura,poisamaioriadosservidores
LDAPoferececonexescriptografadasusandoSSL
 Exercci os Aula9
(Senado/08 FGV)OWindowsServer2003utilizaumserviode
diretrio,denominadoActiveDirectory,queempregaumbancode
dadosondeficamarmazenadostodososrecursosdeumaredeeeleos
tornaacessveisatodososusurioseaplicativosdessarede.Dentre
seuscomponentes,umrepresentaumdepsitodeinformaesque
armazenaumsubconjuntodosatributosdetodososobjetosexistentes
noActiveDirectory,tendoafunodeagilizararealizaodequeries.
Neleexisteainformaonecessriaparaquesesaibaalocalizaode
qualquerobjetoexistentenoActiveDirectory.Essecomponente
denominado:
(A)MainLibrary.(B)DataSchema.
(C)GlobalCatalog.(D)DomainControler.
(E)OrganizationalUnit.
 Exercci os Aula9
(Petrobras/07 Cespe)OsuporteaonoWindows2003
substancialmentediferentedosuportenoWindows2000.
(Idem)OWindows2003permitequeservidoresnormaissejam
convertidosemcontroladoresdedomnio,masnoocontrrio.
(Idem)NoWindows2003,aconversodeservidoresnormaisem
controladoresdedomniopodeserrealizadacomoactivedirectory
installationwizard.
(Pref.Vitria/07 Cespe)NoWindowsServer2003,podemser
definidas,noactivedirectory,contas,quepodemserusadasparaos
usuriosacessaremrecursosnodomnio.
Oactivedirectorypossibilitaorganizarosusuriosemgrupos.Seum
mesmonomeforusadoparaidentificardiferentesgruposdeusurios,
mesmoqueosgruposestejamemdiferentesdomniosdoactive
directory,ocorrerumerro.
 Exercci os Aula9
(TJPE/07 FCC)AnaliseoscomponentesdoActiveDirectory.
I.Umobjetoqualquerusurio,grupo,computador,impressora,
recursoouserviodentrodoActiveDirectory.
II.Umcontinerumtipodeobjetoespecialutilizadoparaorganizaro
ActiveDirectory.
III.Oconjuntodeatributosdisponvelparaqualquertipodeobjeto
particularchamadoesquema.Oesquematornaasclassesdeobjeto
diferentesumasdasoutras.
corretooqueseafirmaem:
(A)I,IIeIII.(B)IeII,apenas.(C)I,apenas.(D)II,apenas.
(E)III,apenas.
 Exercci os Aula9
(MPEPE/06 FCC)ObjetosespeciaisutilizadospeloActiveDirectorydo
Windows2000Serverparaarmazenaroutrosobjetosso
(A)sites.
(B)classes.
(C))containers.
(D)domnios.
(E)catlogosglobais.
 Exercci os Aula9
(AGEES/04 Cespe)Oscontroladoresdedomnios,quefazempartedo
activedirectory,podemserusadosparaajustarasopesdesegurana,
simplificandoaadministraonossistemasdearquivosFATeNTFS.