Serviço de Diretório e LDAP

Angelo Mota B1 , Osvaldo Holanda P.1 Pós-Segurança de Redes – Faculdade do Pará Rua Municipalidade , 225 - 22453-900 Belém, PA
yeshua_rescuer_ogmt@hotmail.com, angelo.mota30@hotmail.com
1

Resumo. O uso do serviço de diretório LDAP está se tornando generalizada. Devido a questões de privacidade, os diretórios são usados principalmente dentro das instituições. No entanto, as informações que contêm pode ser muito valiosa para instituições semelhantes, especialmente no contexto de projetos e colaboração. Neste artigo será comentado um breve conceito sobre o serviço de diretorio e LDAP.

1. Introdução
Nos últimos anos, o uso de sistemas distribuídos vem mudando de redes locais ou institucionais para redes geográficas. Uma das facetas dessa mudança é a da colaboração entre instituições, como por exemplo, o desenvolvimento de projetos em cooperação. Com o crescimento das massas de dados tratadas nesses projetos e do próprio uso da informação eletrônica, tornou-se desejável o acesso direto aos bancos de informações ou aos recursos de processamento. Um exemplo de serviço de informações com interesse interinstitucional é o serviço de diretórios, que permite acessar, de forma padrão, informações sobre os próprios pesquisadores ou sobre outros recursos quaisquer.

2. Serviço de Diretorio
Um Diretório é como um banco de dados, mas tende a conter mais informações descritivas, baseadas em atributo, e é organizado em forma de árvore, não de tabela. A informação em um Diretório é geralmente mais lida do que é escrita. Como conseqüência, Diretórios normalmente não são usados para implementar transações complexas, ou esquemas de consultas regulares em bancos de dados, transações estas que são usadas para fazer um grande volume de atualizações complexas. Atualizações em Diretórios são tipicamente simples ou nem são feitas. Diretórios são preparados para dar resposta rápida a um grande volume de consultas ou operações de busca. Eles também podem ter a habilidade de replicar informações extensamente; isto é usado para acrescentar disponibilidade e confiabilidade, enquanto reduzem o tempo de resposta. Existem várias maneiras diferentes para disponibilizar um serviço de Diretório. Métodos diferentes permitem que diferentes tipos de informações possam ser armazenadas no Diretório, colocando requerimentos diferentes, sobre como aquela informação poderá ser referenciada, requisitada e atualizada, como ela é protegida de acessos não autorizados, etc.. Alguns serviços de Diretório são locais, fornecendo o serviço para um contexto restrito (ex., o serviço finger em uma máquina isolada). Outros serviços são globais, fornecendo o serviço para um contexto muito maior (por exemplo, a própria Internet).

Comecemos do começo.Open Systems Interface (pilha de protocolos)."Métodos de Autenticação para LDAP" RFC 2830 . O LDAP é leve em comparação por que usa low overhead messages que são mapeadas diretamente na camada TCP (a porta 389 é a padrão) da pilha de protocolos TCP/IP. qualquer coisa acima disso está fora dos objetivos desse projeto.) Para responder essa perguntas.500 é atualmente um jogo de padrões. você certamente deve estar se perguntando como alguma coisa tão complexa pode ser considerada "leve". Os administradores do LDAP são estritamente fechados ao serviço de diretórios X. Essa lista inclui: RFC 2251−2256 . Esta pilha de sete camadas foi um bom exercício acadêmico para projetar uma suíte de protocolos de rede."Lightweight Directory Access Protocol (v3): Especificação Técnica" • • • Mas. mais bagagem. O DNS (Domain Name System) é um exemplo. é como viajar no sistema ferroviário Europeu com quatro vagões totalmente lotados. O LDAPv3 tem apenas nove operações e provê um simples modelo .500. mas quando comparado à suíte de protocolos TCP/IP. embora bastante especializado.500 ganhou o título "heavyweight" (pesado). é necessário procurar nas origens do LDAP.500. O LDAP foi originalmente projetado como um protocolo desktop leve usado para passar as requisições para os servidores X. O X. Serviços de Diretórios e LDAP A melhor forma de começar a explicar sobre LDAP é examinando como ele adquiriu esse nome. cada servidor é responsável por uma parte apenas.O núcleo original das RFCs do LDAPv3 RFC 2829 . ou seja.Serviços globais normalmente são distribuídos. O X. Devido ao X.500 que são raramente usadas."Lightweight Directory Access Protocol (v3): Extensão para Segurança do Transporte em Camadas" RFC 3377 .500 ter sido um protocolo de camada de aplicação (nos padrões OSI). • A última versão do LDAP (Versão 3) é definida em uma 'lista' de nove documentos dentro da RFC 3377. Ele requeria que tanto o cliente quanto o servidor se comunicassem usando o OSI . 3. LDAP também é considerado leve porque omite muitas operações do X. ele é um tipo de serviço de Diretório. por quê o LDAP é considerado Lightweight (Leve)? Leve comparado com o quê? (como nos olhamos o LDAP mais detalhadamente. carregou por mais tempo.

o administrador poderá substituir uma implementação do serviço por outra. autenticação. Provendo um pequeno e simples jogo de operações. A aceitação de um padrão permite desacoplar aplicações e implementações específicas do serviço de di.. o Organiza e facilita o acesso às informações. que atualmente conta com diversas implementações. Catálogos de endereços. o OpenLDAP [Foundation. Atualmente este protocolo. são alguns dos exemplos onde o LDAP já é amplamente utilizado. O LDAP (Lightweight Directory Access Protocol) é um padrão para serviços de diretórios des. Howes et al. armazenamento de certificados digitais (S/MIME) e de chaves públicas (PGP). Algumas características sobre o Serviço de Diretório:  Unifica a gerencia das informações o Informações de pessoas. Wahl et al. As informações são armazenadas de forma hierárquica. 1998.crito nas RFCs [Wahl et al. o Informações sobre equipamentos e rede. 2000. ou seja. Dessa forma. permitindo.  Complementa outros serviços o Base de dados para autenticação e autorização. o padrão também não define como o controle de acesso deve ser realizado. o Recursos Computacionais. O serviço de diretório nada mais é do que um catálogo utilizado para armazenamento e organização lógica de informações sobre recursos e objetos em uma rede. O serviço de diretório permite aos administradores de ambiente o gerenciamento de acessos da infra estrutura de rede. os desenvolvedores do LDAP esperaram aumentar a 'adoção' deles fornecendo o desenvolvimento mais fácil da aplicação. O serviço de diretório pode ser visto como um banco de dados especializado que tem como característica marcante o suporte à grande quantidade de pesquisas. e deixa como opção o uso da arquitetura SASL (Simple Authentication and Security Layer) para implementação de novos métodos [Wahl et al. sem afetar o funcionamento das aplicações. como por exemplo. 2000].retórios. 2003]. ajuda desenvolvedores a focar na semântica de seus programas sem ter que entender as raramente usadas características do protocolo. serviços.. 1997.. .para programadores e administradores.. que instituições diferentes colaborem na criação de uma árvore única de informações. O protocolo de comunicação LDAP ((Lightweight Directory Access Protocol) é utilizado para acessar um serviço de diretório. 2003]. Wahl et al. Arkills. vem se tornando um padrão e diversos programas já tem suporte ao LDAP. parecido com o sistema de arquivos do Unix. Utilizando esse modelo de armazenamento é possível delegar a gerência de ramos da árvore. a versão 3 (a atual) do LDAP apenas obriga o uso do DIGEST-MD5 para a autenticação. por exemplo. Infelizmente. 1997. sob RFC1487. ficando a cargo dos implementadores proverem soluções. etc. O OpenLDAP emprega uma listas de permissões associadas a classes de entradas e classes de usuários. Em se tratando de segurança..

o serviço de Diretório OSI.500. • Facilmente replicável e distribuível. • Muito mais rápido que Sistemas de Bancos de Dados (considerando que atualizações são menos constantes que consultas). O LDAP roda diretamente sobre o TCP e fornece a maioria das funcionalidades do DAP.4. um servidor X. As implementações podem trazer novas interfaces e ferramentas de administração e consulta. Um cliente LDAP baseado em OpenLDAP pode perfeitamente realizar consultas e atualizações em um servidor de outro fornecedor que siga os padrões LDAP. mas os métodos básicos são definidos no protocolo. Interface para Programação) bem definida e com suporte para diversas linguagens de programação.500 completo.500 DAP completos. • O LDAP é um protocolo. • Esquemas (regras para o armazenamento de dados) padronizados existem para diferentes funções. O X. mas ainda exige um serviço X. e precisa de uma quantidade significativa de recursos computacionais para ser executado. a um custo muito menor. Assim como clientes X.500.500 O LDAP foi originalmente desenvolvido como um cliente para o X.500 completo não é um pequeno pedaço de programa para ser executado. para tornar os dados disponíveis aos vários clientes LDAP que estão sendo desenvolvidos. • Permite a consolidação de informações de várias fontes. a interoperabilidade entre os diversos fornecedores é facilitada. Como vantagens do LDAP podemos citar: • Por ser um padrão aberto. Este uso do LDAP torna fácil acessar o Diretório X. • API ("Application Programming Interface". 5. LDAP e X.500 define o Protocolo de Acesso a Diretório (DAP) para os clientes usarem quando estiverem em contato com servidores de Diretório. O DAP é um protocolo que roda sobre uma camada OSI completa. Observações Finais .

para o curso de segurança em redes de computadores.Nesse trabalho apresentamos um breve conceito de serviço de diretório e LDAP. .

br/gppd/disc/inf01008/trabalhos/sem01-1/t1/openldap/capitulo1.org/wiki/LDAP http://under-linux.Referências http://pt.wikipedia.html .inf.org/wiki/Tutoriais/LDAP/LDAP-Diretorio http://www.ufrgs.