Documente Academic
Documente Profesional
Documente Cultură
Ciência da Computação
FIPLAC – 2005.
2
Ciência da Computação
FIPLAC – 2005.
DEDICATÓRIA
3
TERMO DE APROVAÇÃO
Prof ...
Prof ...
Prof ...
4
SUMÁRIO
Dedicatória................................................................................................................................................................3
Lista de figuras..........................................................................................................................................................8
Abstract.....................................................................................................................................................................9
Resumo....................................................................................................................................................................10
Capítulo I – Introdução...........................................................................................................................................11
1.1. Introdução....................................................................................................................................................11
1.2. Motivação.....................................................................................................................................................12
1.3. Objetivo Geral..............................................................................................................................................12
1.4. Objetivos Específicos...................................................................................................................................12
1.5. Metodologia.................................................................................................................................................13
Capítulo II – Diretórios...........................................................................................................................................14
2.1 - O que é um diretório...................................................................................................................................14
2.2 - Vantagens de usar um diretório..................................................................................................................15
2.3 - Diretórios distribuídos................................................................................................................................16
2.4 - Diretório Cliente E Servidor.......................................................................................................................17
Capítulo III – LDAP................................................................................................................................................19
3.1. Histórico do LDAP.......................................................................................................................................19
3.1.1. Precursores do LDAP................................................................................................................................19
3.1.2. Versões e características............................................................................................................................20
3.1.3. RFC’s que padronizam o LDAP...............................................................................................................21
3.1.4. O LDAP atualmente..................................................................................................................................23
3.2. LDAP Lightweight Directory Access Protocol............................................................................................23
3.3. LDAP: Protocolo ou diretório......................................................................................................................24
3.4. Arquitetura...................................................................................................................................................25
3.5. Modelos LDAP...........................................................................................................................................25
3.5.1. Modelo da informação..............................................................................................................................26
3.5.2. Modelo de nomes......................................................................................................................................26
3.5.3. Modelo Funcional.....................................................................................................................................27
3.5.4. Modelo de segurança.................................................................................................................................27
3.6. LDIF............................................................................................................................................................27
3.7. Classes de Objetos, Atributos e Esquemas...................................................................................................28
3.8. Segurança.....................................................................................................................................................31
3.8.1. Segurança no LDAP.................................................................................................................................32
3.8.2. Sem Autenticação.....................................................................................................................................33
3.8.3. Autenticação Básica.................................................................................................................................33
3.8.4. Autenticação simples e camada segura (SASL - Simple Authentication and Security Layer)................33
3.8.5. SSL e TLS................................................................................................................................................35
Cliente.....................................................................................................................................................................36
Servidor...................................................................................................................................................................36
3.8.6. Outros mecanismos de autenticação SASL..............................................................................................37
3.9. ACL.................................................................................................................................................................37
3.9.1. Autorização..............................................................................................................................................37
3.9.2. Políticas de Segurança..............................................................................................................................38
3.9.3. Definindo Listas de Controle de Acesso..................................................................................................38
3.9.4. Aspectos Gerais do modelo ACL para LDAP.........................................................................................39
3.9.5. Semântica / Política..................................................................................................................................39
Usabilidade..........................................................................................................................................................40
3.10. Replicação.................................................................................................................................................40
3.10.1. Replicação no LDAP..............................................................................................................................42
3.10.2. Daemon “SLURPD”.............................................................................................................................42
3.10.2.1. Log de replicação e aquivos auxiliares...............................................................................................43
3.10.2.2. Modos de operação..............................................................................................................................44
3.10.2.3. Funcionamento....................................................................................................................................44
5
3.10.3. Ocorrência de falhas no SLAPD e no SLURPD durante a replicação....................................................45
3.10.4. Concluindo replicação............................................................................................................................45
3.11. Banco de Dados x LDAP...........................................................................................................................46
3.11.1. Banco de dados relacional.......................................................................................................................46
3.11.2. Banco de dados hierárquico....................................................................................................................46
3.12. X.500 x LDAP...............................................................................................................................................47
3.12.1. Protocolo DAP.......................................................................................................................................47
3.12.2. Protocolo LDAP......................................................................................................................................48
3.12.3. Vantagens do LDAP...............................................................................................................................49
Desempenho........................................................................................................................................................49
3.12.5. Comparações DAP x LDAP...................................................................................................................50
Capítulo IV – Principais Ferramentas LDAP..........................................................................................................53
4.1. Introdução.....................................................................................................................................................53
4.1.1 Freeware.....................................................................................................................................................53
4.1.2 Open Source...............................................................................................................................................54
4.1.3 Ferramentas LDAP.....................................................................................................................................54
4.2. PHP LDAP ADMIN.....................................................................................................................................54
4.2.1 Características............................................................................................................................................55
4.2.2 Criando entradas de LDAP........................................................................................................................56
4.2.3 Editando entradas.......................................................................................................................................57
4.2.4 Manutenção de dados.................................................................................................................................58
4.2.5 Buscas de LDAP........................................................................................................................................58
4.2.6 Sustentação comercial de servidor LDAP..................................................................................................59
4.2.7 Novell.........................................................................................................................................................59
4.2.8 Sun ONE Directory Server.........................................................................................................................60
4.2.9 Microsoft ActiveDirectory.........................................................................................................................61
4.2.10 Sustentação internacional da língua.........................................................................................................61
4.3. YALA ..........................................................................................................................................................62
4.3.1 Características............................................................................................................................................62
4.4 LDAP Browser/Editor ..................................................................................................................................70
4.4.1 Características: ..........................................................................................................................................70
4.5. SMBLDAP...................................................................................................................................................71
Capítulo V – O LDAP e o Gerenciamento de Usuários..........................................................................................72
5.1. Usuários........................................................................................................................................................73
5.2. Gerenciamento.............................................................................................................................................73
5.3. Gerenciamento de Usuários.........................................................................................................................73
5.4. LDAP no Gerenciamento de Usuários.........................................................................................................74
Conclusão................................................................................................................................................................76
Anexo I – Documentação acerca da Implementação do Protocolo LDAP para Gerenciamento de Usuários........77
1. Objetivo geral..................................................................................................................................................77
2. Descrição e abrangência..................................................................................................................................78
3. Recursos de hardware e software....................................................................................................................78
3.1. GNU/Linux – Kurumin................................................................................................................................79
3.2 OpenLDAP....................................................................................................................................................79
3.2.1. SLAPD......................................................................................................................................................79
3.2.2 Backend de Banco de Dados – BerkeleyDB..............................................................................................80
3.3. APACHE, PHP e PHPLDAPADMIN.........................................................................................................81
3.4. Microsoft Windows XP®.............................................................................................................................81
3.5 Outlook Express®.........................................................................................................................................82
4. Configurações..................................................................................................................................................82
4.1 Servidor ........................................................................................................................................................82
4.1.1 BerkleyDB..................................................................................................................................................82
4.1.1.1 Instalação e configuração.......................................................................................................................82
4.1.2 OpenLDAP.................................................................................................................................................84
4.1.2.1 Instalação e configuração........................................................................................................................84
4.1.2.2 Migração.................................................................................................................................................91
4.1.3 Sistema de Autenticação............................................................................................................................93
4.1.3.1 PAM e NSS............................................................................................................................................93
4.1.3.2 Instalação e Configuração do NSS e PAM............................................................................................93
4.1.4 Samba.........................................................................................................................................................98
4.1.4.1 Instalação e Configuração.......................................................................................................................98
6
4.1.5 Smbldap-tools...........................................................................................................................................101
4.1.5.1 Instalação e configuração......................................................................................................................102
4.1.6 Apache......................................................................................................................................................106
4.1.6.1 Instalação e Configuração.....................................................................................................................107
4.1.7 PHP...........................................................................................................................................................112
4.1.8 PHPLDAPADMIN...................................................................................................................................113
5.1 Estação de trabalho......................................................................................................................................118
5.1.1 Autenticação.............................................................................................................................................118
Configuração.....................................................................................................................................................118
Cliente de E-mail...............................................................................................................................................120
5.1.2.1 Outlook Express...............................................................................................................................120
5.1.2.2 Pesquisa de Informações ......................................................................................................................122
6. Esquema de Funcionamento..........................................................................................................................123
7. Simulação do ambiente.................................................................................................................................124
7.1 Usuários e Grupos.......................................................................................................................................125
Criação de Grupos e Usuários...........................................................................................................................125
7.1.1.1 Autenticação..........................................................................................................................................126
Anexo II – RFC’s..................................................................................................................................................131
RFC 1777..........................................................................................................................................................131
RFC 1779..........................................................................................................................................................131
RFC 1798 .........................................................................................................................................................131
RFC 1823..........................................................................................................................................................132
RFC 1959..........................................................................................................................................................132
RFC 2044..........................................................................................................................................................132
RFC 2251..........................................................................................................................................................132
RFC 2252..........................................................................................................................................................133
RFC 2253..........................................................................................................................................................133
RFC 2254..........................................................................................................................................................133
RFC 2255..........................................................................................................................................................134
RFC 2256 ........................................................................................................................................................134
RFC 1487..........................................................................................................................................................134
RFC 1558..........................................................................................................................................................135
RFC 1778..........................................................................................................................................................135
RFC 1960..........................................................................................................................................................135
RFC 2079..........................................................................................................................................................135
RFC 2116..........................................................................................................................................................136
RFC 2164..........................................................................................................................................................136
RFC 2247..........................................................................................................................................................136
RFC 2307 .........................................................................................................................................................137
RFC 2377..........................................................................................................................................................137
RFC 2559..........................................................................................................................................................137
RFC 2596..........................................................................................................................................................137
RFC 2649..........................................................................................................................................................138
RFC 2696..........................................................................................................................................................138
RFC 2587..........................................................................................................................................................138
RFC 2589..........................................................................................................................................................139
RFC 2657..........................................................................................................................................................139
RFC 2713..........................................................................................................................................................139
RFC 2739..........................................................................................................................................................140
RFC 2798..........................................................................................................................................................140
RFC 2820..........................................................................................................................................................140
RFC 2829..........................................................................................................................................................141
RFC 2830..........................................................................................................................................................141
RFC 2849..........................................................................................................................................................141
RFC 2891..........................................................................................................................................................141
RFC 2926..........................................................................................................................................................142
RFC 2927..........................................................................................................................................................142
RFC 3045..........................................................................................................................................................142
RFC 3062..........................................................................................................................................................143
RFC 3088..........................................................................................................................................................143
RFC 3112..........................................................................................................................................................143
7
RFC 3296..........................................................................................................................................................143
RFC 3352..........................................................................................................................................................144
RFC 3377..........................................................................................................................................................144
RFC 3383..........................................................................................................................................................144
RFC 3384..........................................................................................................................................................145
RFC 3494..........................................................................................................................................................145
RFC 3663..........................................................................................................................................................145
RFC 3671..........................................................................................................................................................145
RFC 3672..........................................................................................................................................................146
RFC 3673..........................................................................................................................................................146
RFC 3674..........................................................................................................................................................146
RFC 3687..........................................................................................................................................................146
RFC 3698..........................................................................................................................................................147
RFC 3703..........................................................................................................................................................147
RFC 3712..........................................................................................................................................................147
RFC 3727..........................................................................................................................................................147
RFC 3771..........................................................................................................................................................148
RFC 3829..........................................................................................................................................................148
Bibliografia............................................................................................................................................................149
LISTA DE FIGURAS
ABSTRACT
The present work, has for objective to demonstrate the use of the LDAP in the
management of users. The functionalities will be demonstrated that are making of this a
market standard such as: high availability, integration, security, response, etc. It will be dealt
with directories and as they can be available. The description of the LDAP will approach
since its origin, when he was used as interface for the server of directory X.500 until its
standardization (Protocol). An internal vision of the LDAP, where they find its main
characteristics as Lists of Control of Access, projects of functioning and storage of
9
information. Finally, a practical demonstration, based in free platform, of as the LDAP is
useful in the management of users.
RESUMO
10
CAPÍTULO I – INTRODUÇÃO
1.1. INTRODUÇÃO
11
Uma das grandes capacidades do LDAP é a sua interação com softwares
variados, tais como: servidores de e-mail, cliente de e-mail, browsers, sistemas operacionais e
protocolos de rede.
Este estudo será dividido em cinco capítulos: o primeiro fala sobre os
principais conceitos de diretórios. O segundo trata dos serviços de diretórios sobre protocolos
LDAP, características e estrutura sobre arquivos gerados, modelos e conceitos referentes às
classes de objetos. O terceiro diz respeito ao histórico do protocolo LDAP, surgimento e
transformações até os dias atuais e perspectivas. O quarto fala da padronização do LDAP,
RFC’s envolvidas e principais ferramentas utilizadas. O quinto mostra as vantagens da
utilização do LDAP e os comparativos de desempenho. Finalmente o sexto, mostra a
implementação de um protótipo, ferramentas, estruturas utilizadas e resultados.
1.2. MOTIVAÇÃO
1.5. METODOLOGIA
13
CAPÍTULO II – DIRETÓRIOS
14
Os diretórios corporativos normalmente contêm informações de um vasto
número de objetos em sua rede, que vão desde informações de equipamentos a detalhe de um
funcionário de uma dada filial. Com essas informações, esses diretórios permitem aos
usuários utilizá-los para a busca de, por exemplo, um endereço de e-mail ou para encontrar
algum equipamento específico ou até mesmo para buscar informações sobre o faturamento de
um cliente.
Nos diretórios em geral, quando é conhecido algum atributo que sirva como
parâmetro de busca é possível conhecer os demais atributos ou características desse objeto.
Isso é similar a procurar um nome em uma lista telefônica. Entretanto, diretórios em
informática são muito mais flexíveis do que uma lista telefônica, pois podem ser procurados
por um critério específico, não por algumas categorias pré-definidas.
5
Diretório onde contém informações úteis a aplicações específicas
15
distribuidores e em muitas plataformas. Deve ser acessível com um API 6 padrão. Deve ser
extensível de modo que possa prender os tipos de dados necessários às aplicações arbitrárias e
deve fornecer uma funcionalidade completa sem requerer recursos excessivos em sistemas
menores. Assim, como mais usuários e aplicações acessarão e dependerão do diretório
comum, outras características importantes seriam: a robustez e a segurança com grande
escalabilidade.
Com tal infra-estrutura de diretório, os desenvolvedores de aplicação podem
alocar seu tempo para desenvolver novas aplicações em vez de desenvolver diretórios de
aplicação específica. Da mesma maneira que os desenvolvedores confiam na infra-estrutura
das comunicações de TCP/IP7 e de Chamada de Procedimento Remoto (RPC)8 [RFC 1831]
para os livrar do fluxo da comunicação de baixo nível, poderão confiar em poderosos serviços
de diretório completo.
Armazenar dados em um diretório e os compartilhar entre aplicações, reduz
gasto de tempo e dinheiro mantendo a manutenção com um baixo custo.
6
Application Programming Interface, um conjunto de funções e sub-rotinas usadas pelos programas que
informam ao sistema operacional como executar determinada tarefa.
7
Transmission Control Protocol / Internet Protocol.
8
É um protocolo que os programas usam para requisitar serviços de outros programas rodando em servidores
num ambiente de rede
16
9
Rede local. Os clientes remotos estão geograficamente dispersos através do continente ou do
planeta.
O próprio diretório pode ser centralizado ou distribuído. Se um diretório for
centralizado ele pode ser um servidor de diretório em um local ou um servidor do diretório em
um sistema distribuído. Se o diretório for distribuído, há múltiplos servidores espalhados no
universo de interesse que fornecem o acesso ao diretório.
Quando um diretório é distribuído, a informação armazenada no diretório pode
ser dividida ou replicada. Quando a informação é dividida, cada servidor de diretório
armazena um subconjunto original sem sobrepor informação. Isto é, cada entrada de diretório
é armazenada por um, e somente um, servidor. Quando a informação é replicada, a mesma
entrada de diretório está armazenada por mais de um servidor.
As três dimensões de um diretório (espaço da informação, posição dos clientes,
e distribuição dos servidores) são independentes entre si. Como exemplo, os clientes dispersos
através do globo podem acessar um diretório que contém somente informação sobre um único
departamento, e esse diretório pode ser replicado em muitos servidores de diretório. Os
clientes em uma única posição podem acessar um diretório que contenha informação sobre
toda a empresa, que é armazenado por um único servidor do diretório.
O espaço da informação a ser armazenada em um diretório é dado
freqüentemente como uma exigência da aplicação. A distribuição dos servidores de diretório e
a maneira em que os dados são divididos ou replicados são controlados para não afetar o
desempenho e aumentar a disponibilidade do diretório.
9
Local Area Network ou Rede Local.
17
Figura 1 - Representação, requisições feitas de clientes de LDAP a um servidor LDAP.
18
CAPÍTULO III – LDAP
O CCITT criou o X.500 básico em 1988, que se tornou o ISO 9594, Data
Communications Network Directory - (Diretório de Comunicação de Rede de Dados),
recomendações X.500 - X.521 em 1990, embora ainda seja comumente tratado como X 500.
A série de recomendações X.500 define regras para dar nome a objetos, uma
base de informações de diretório lógica para guardar informações sobre esses objetos e as
entidades de protocolo que cooperam para prover o serviço de diretórios.
10
CCITT- Consultatif et Comite Telephonique Internacional et Telegraphique, (Comitê Consultivo Internacional
em Telefonia e Telegrafia)
11
ITU International Telecommunications Union: (União Internacional de Telecomunicações - Setor de
Padronização de Telecomunicação)
12
ISO International Organization for Standardization (Organização Internacional de Padrões)
19
Por causa da sua eficiência, o X.500 é freqüentemente usado junto com
módulos agregadores para a interoperação entre serviços de diretórios incompatíveis.
O X.500 especifica a comunicação entre cliente e servidor no uso do diretório
de protocolo de acesso DAP13, no entanto, como um protocolo da camada de aplicação, o
DAP exige a pilha inteira de protocolo OSI14 para operar. Suportar a pilha de protocolo OSI
exige uma grande quantidade de recursos, portanto, foi desenvolvida uma interface para um
servidor de diretório X.500 utilizando um protocolo mais leve tanto para o acesso como para
os recursos computacionais.
13
DAP Directory Access Protocol (Protocolo de acesso a diretório)
14
OSI Open System Interconnection (Sistemas abertos de interconexão)
15
OSI-DS OSI Directory Service (OSI serviço de diretório)
16
IETF Internet Engineering Task Force
17
O protocolo DIXIE foi projetado para ser usado em equipamentos pequenos (exemplo, PCs e Macintoshes) e
sem potência computacional ou software necessário para implementar a pilha completa de protocolos OSI.
18
O gateway pode ser um PC com duas (ou mais) placas de rede, ou um dispositivo dedicado, utilizado para
unir duas redes. Existem vários usos possíveis, desde interligar duas redes que utilizam protocolos diferentes,
até compartilhar aconexão com a Internet entre várias estações.
19
DSA Directory Assistence Service (Serviço de assistencia a diretório)
20
• Transporte: O LDAP executa diretamente sobre TCP, evitando
a sobrecarga das camadas superiores de pilhas de protocolos OSI.
• Representação de Dados: No LDAP a maioria dos elementos
de dados são representados como cadeias de caracteres, processadas bem
mais facilmente que dados na representação estruturada ASN.l20 usada pelo
X.500.
• Codificação de Dados: O LDAP codifica dados para transporte
em redes usando uma versão simplificada das mesmas regras de
codificação usadas pelo X.500.
• Funcionalidade: O LDAP elimina características pouco usadas
e operações redundantes do X.500.
A falta de suporte para o X.500 e para a pilha de protocolos OSI levou os
pesquisadores e desenvolvedores da Universidade de Michigan a criarem um servidor LDAP
standalone, o slapd. Esse grupo disponibilizou os fontes do slapd na Internet e criou listas de
usuários para divulgar e aperfeiçoar o novo serviço. O desenvolvimento foi acompanhado por
usuários e desenvolvedores do mundo inteiro.
Com a popularização do slapd, o LDAP deixou de ser uma mera alternativa ao
DAP do X.500 e se tornou um serviço de diretório completo, passando a competir com X.500.
Em dezembro de l997, a IETF aprovou a versão 3 do LDAP como proposta de padrão Internet
para serviços de diretório. Parte dessa nova versão foi realizada na Universidade de Michigan,
à qual estavam vinculados vários membros do grupo OSI-DS. A universidade também
fornece implementações de referência de LDAP e possui páginas na web que tratam sobre o
assunto.
20
Abstract Syntax Notation One
21
• Formato de URL de LDAP [RFC 1959];
• Representação de strings de filtros de pesquisa LDAP [RFC
1960].
A Versão LDAP 2 alcançou o estado de padrão de esboço, no processo de
padronização do IETF. Todos os atuais diretórios de implementação de servidor são baseados
na especificação LDAPv3.
A Versão LDAP 3 é definida por Protocolo Leve de Acesso a Diretório (v3)
[RFC 2251].
As novas RFCs da versão LDAP 3 são:
• Protocolo Leve de Acesso a Diretório (v3): Definições de
sintaxe de atributo [RFC 2252];
• Protocolo Leve de Acesso a Diretório (v3): Representação de
strings de nomes distintos [RFC 2253];
• Representação de strings de filtros de pesquisa LDAP [RFC
2254];
• Formato URL LDAP [RFC 2255];
• Resumo do X.500(96) esquema de operador para uso com
LDAP v3 [RFC 2256];
• Métodos de autenticação para LDAP [RFC 2829];
• LDAPv3: Extensão para segurança da camada de transporte
[RFC 2830];
• Protocolo Leve de Acesso a Diretório (v3): Especificação
técnica [RFC 3377].
A [RFC 2251] é um padrão proposto, uma forma de padrão de esboço.
O LDAPv3 estendeu o LDAPv2 nas seguintes áreas:
• Referências: um servidor que não armazena os dados solicitados
pode referir o cliente a outro servidor.
• Segurança: autenticação extensa usando os mecanismos de
autenticação simples e camada de segurança (SASL)21.
• Internacionalização: UTF-822 apoio para caracteres
internacionais.
21
SASL (Simple Authentication And Security Layer)
22
Unicode Transformation Formats
22
• Extensão: novos tipos de objeto e operações podem ser
dinamicamente definidos e o esquema publicado numa maneira básica.
23
O DAP é um protocolo de difícil manuseio e implementação, e protocolos mais
simples foram desenvolvidos com a maior parte de suas funcionalidades de forma menos
complexa.
O LDAP é uma definição de protocolo para acesso a bancos de dados
especializados chamados diretórios, é similar ao SQL23 no sentido de que é uma linguagem
que interage com bancos de dados.
[KAINES, 2001]
23
Structured Query Language
25
Active Directory
24
3.4. ARQUITETURA
26
Distinct Name – utilizado para definir uma base LDAP
25
3.5.1. MODELO DA INFORMAÇÃO
dc = ldap, dc = df
uid = tiago
27
Directory Information Tree – Árvore de Informação do Diretório
26
3.5.3. MODELO FUNCIONAL
3.6. LDIF
27
mecanismo de gerência de dados que permite a manipulação fácil de quantidades maciças de
dados.
O formato do intercâmbio do LDAP, LDIF, é um formato padrão da ferramenta
de texto que armazena os índices das informações dos diretórios e das configurações do
LDAP. Em seu formato mais básico, um arquivo de LDIF possui uma coleção das entradas
separadas por linhas em branco, nomes dos atributos referentes os valores e uma coleção das
diretrizes orientadoras que instruem como processar a informação. [JOHNER,1998]
Exemplo básico de uma entrada de LDIF:
certificationAuthority-V2 country
cRLDistributionPoint dcObject
device dmd
dNSDomain document
documentSeries domain
domainRelatedObject dSA
dynamicObject eduPerson
extensibleObject friendlyCountry
groupOfNames groupOfUniqueNames
inetOrgPerson labeledURIObject
LDAPsubEntry locality
mailAlias OpenLDAProotDSE
organization organizationalPerson
organizationalRole organizationalUnit
person pilotDSA
pilotOrganization qualityLabelledData
referral reserved
residentialPerson RFC822localPart
room simpleSecurityObject
strongAuthenticationUser subschema
top uflEduOrganization
uflEduPerson uflEduRelationship
uidObject userSecurityInformation
Como dito anteriormente para que o LDAP possa validar um objeto este deverá
estar explicitamente em um determinado esquema, que é um conjunto de regras que contém
os objetos e os atributos que o mesmo pode adquirir. Existem vários esquemas, para cada
aplicação bem definida como por exemplo o samba3x.schema que é utilizado para normatizar
29
os objetos e atributos que são utilizados no SAMBA e que possam ser migrado para para o
LDAP, segue abaixo exemplos de schemas existentes.
corba.schema core.schema
cosine.schema inetorgperson.schema
java.schema nis.schema
openldap.schema qmail.schema
samba3x.schema authldap.schema
Para cada objeto existente no LDAP, existe também a sua identificação, o sua
classe de objeto e o esquema a que ele pertence, segue uma tabela para se exemplificar essa
definição.
3.8. SEGURANÇA
31
Existem diversos métodos de implementar níveis de segurança, entre eles
podemos destacar os métodos de autenticação, autorização, acesso e criptografia que hoje em
dia se tornaram requisitos essenciais dentro da política de segurança de uma organização e
não mais uma opção.
O LDAP promovendo um serviço de diretórios, em dados compartilhados e
distribuídos, não dispensa de forma alguma os métodos de segurança. Ele possui mecanismos
nativos e grande facilidade de integração com outras ferramentas para a implementação de um
ambiente seguro.
O LDAP possui um completo esquema para implementação de segurança,
como o processo de autenticação comum baseado no par login/senha até a possibilidade de
integração com certificados digitais e armazenamento de chaves públicas. [KAINES, 2001]
32
de acesso que são amplamente suportadas pelo LDAP. No item 3.9 serão abordados mais
detalhadamente os aspectos da autorização e das ACLs.
Autenticação, Integridade e confidencialidade serão pontos abordados nesse
item. Os métodos mais importantes para cada um destes serão apresentados. São eles:
[JOHNER,1998]
• Sem autenticação;
• Autenticação básica;
• Simple Authentication and Security Layer (SASL).
Esse método deve ser usado apenas quando não se faz questão da segurança dos dados
e quando nenhuma permissão de acesso especial está envolvida. Isso é definido quando os
campos da senha e do DN estão vazios na vinculação chamada pelas APIs .
O servidor LDAP então, assume automaticamente uma seção como usuário anônimo e com o
apropriado controle de acesso definido.
SECURITY LAYER).
33
Foi originalmente desenvolvido para incluir uma autenticação robusta para o
protocolo IMAP e foi iniciado como um sistema geral para mediar entre protocolos e sistemas
de autenticação.
Essa é uma proposta de padrão para Internet definido na [RFC 2222].
No SASL, protocolos de conexão do tipo LDAP, IMAP e assim por diante, são
representados por perfis, cada perfil é considerado uma extensão do protocolo para permitir
que trabalhe junto com SASL.
Todo protocolo que tiver intenção de utilizar SASL necessita ser estendido
através de um comando para identificar o mecanismo de autenticação e trazer a sua
substituição.
A camada segura para encriptação de dados pode ser negociada após a
autenticação e garanti a confidencialidade. LDAP inclui esse comando (LDAP_sasl_bind( )).
Os parâmetros chave que influenciam o método de segurança usado são:
34
Chamadas do
Mecanismos SASL (Cliente LDAP)
Sistema de Autenticação
Aplicações
(WWW, POP, SMTP, E-MAIL)
Protocolos de Aplicação
35
O TLS atualmente vem sendo trabalhado pela IETF. Ele é baseado no SSL 3.0
com pequenas diferenças e possui compatibilidade.
SSL/TLS suportam autenticação servidor (o cliente autentica no servidor) e
autenticação cliente (o servidor autentica no cliente) ou autenticação mútua. Também é
fornecido para privacidade a encriptação dos dados enviados na rede.
SSL/TLS usam um método de chave pública para a segurança da comunicação
e também para autenticar a contraparte na seção. Isso é arquivado como um par de chaves
pública/privada. Eles operam em função reversa uma para outra, os dados podem ser
encriptados com a chave privada e desencriptados com a chave pública e vice-versa.
A hipótese para essa consideração é que o servidor possui esses pares de chave
já gerados, isso é normalmente definido nas configurações do servidor LDAP.
O intercâmbio simplificado entre um cliente e um servidor, negociando uma
conexão SSL/TLS é explicada adiante e ilustrada na figura.
Confirmação
CLIENTE SERVIDOR
Mensagem, Digest
1. No primeiro passo, o cliente questiona o servidor por uma seção SSL/TLS. O cliente
também inclui as opções SSL/TLS suportadas na requisição.
2. O servidor envia de volta as opções SSL/TLS e um certificado que inclui entre outras
coisas, a chave pública do servidor, a identidade para quem o certificado foi enviado, o
nome da certificadora e o tempo de validade.
3. O cliente então requisita que o servidor prove sua identidade. Isso para saber se o
certificado não foi enviado por outra pessoa qualquer ou foi interceptado.
36
4. O servidor retorna uma mensagem que inclui uma message digest, mensagem condensada,
que é encriptada com a sua chave privada. Uma message digest que é computada de uma
mensagem satisfatória usando uma função distribuída (hash) tem duas características: são
extremamente difíceis de serem revertidas e é praticamente impossível encontrar duas
mensagens que produzam o mesmo message digest.
5. Servidor e cliente precisam combinar sobre uma chave secreta a ser usada para
encriptação dos dados. A encriptação dos dados é definida por um algoritmo de chave
simétrica pois é mais eficiente. O cliente, depois de gerada uma chave simétrica, encripta
com a chave pública do servidor e a envia. Apenas o servidor com a chave privada pode
desencriptar a chave secreta.
6. O servidor desencripta a chave secreta e envia de volta uma mensagem de teste,
encriptada com a chave secreta para provar que a mesma chegou seguramente. Eles
podem então iniciar a comunicação usando a chave simétrica para encriptar os dados.
3.9. ACL
3.9.1. AUTORIZAÇÃO
37
escrever em um arquivo de texto. Pode-se dizer que o usuário , tem autorização de escrita
para aquele arquivo específico.
38
padrão vem crescendo também a perspectiva para que seja definido futuramente um padrão de
controle de acesso.
Apesar disso existem várias implementações proprietárias e de comunidades da
internet para o controle de acesso entre elas pode ser citado o modelo de ACL da IBM® e da
Netscape®, cada qual com suas próprias características.
Devido a grande demanda pelo uso desse serviço o IETF criou através da [RFC
2820] algumas exigências fundamentais para um modelo de listas de controle de acesso. A
criação dessa RFC pretende que se torne um repositório necessário para fornecer autorização
de acesso e interoperabilidade entre diretórios. Essas exigências parametrizam o modelo de
forma a observar aspectos importantes para a criação do modelo como semântica/política e
usabilidade além de aspectos gerais.
Access to *
By dn=”cn=admin,dc=LDAP,dc=df”
write by*read.
3.10. REPLICAÇÃO
40
Os sistemas distribuídos são muito utilizados atualmente, com a modernização
na área das comunicações, está cada vez mais fácil e necessário que os sistemas trabalhem
dessa forma. Com o objetivo de tornarem as informações mais acessíveis, de fácil localização
e com nível de disponibilidade satisfatório.to
41
tolerância a falhas, ou seja, se um dos servidores perder a conexão por qualquer motivo a sua
base de dados que foi replicada para outros servidores, continuará a responder as requisições
dos usuários até que o servidor mestre seja restabelecido. [NAGUEL2]
42
Figura 9 - Serviço de replicação.
O slurpd deve sempre trabalhar na mesma máquina do servidor slapd para que
funcione corretamente, pois ele irá detectar no servidor mestre as alterações e modifica-las
nos servidores escravo.
Para a sua operação o slurpd precisa de algumas informações de configurações
as quais ele utiliza o arquivo de configuração do servidor LDAP o slapd.conf. Durante suas
operações o slurpd utiliza dois artifícios importantes; o log de replicação e o arquivo auxiliar.
43
3.10.2.2. MODOS DE OPERAÇÃO
3.10.2.3. FUNCIONAMENTO
Exemplo:
Erro: Origem da referência não encontrada
44
Para evitar que a senha seja transmitida do servidor mestre para o servidor
escravo em texto claro, é definida a diretiva “TLS” na linha 5, como “critical” para que seja
utilizado uma conexão TLS com o servidor escravo.
O Servidor slapd escravo deve possuir as seguintes configurações: o "dn"
definido em “udatedn” deve ser o mesmo definido no “binddn”, o usuário que tentar fazer
alguma alteração no escravo e que o "dn" não seja o mesmo do “updatedn” será impedido de
realizar qualquer alteração. Será retornado, uma referencia indicando-o para o servidor
mestre, onde deverá fazer as alterações. Se a alteração não for realizada através do slurpd
mesmo que o “dn” seja o mesmo do “updatedn”, será recebida por ele uma mensagem de erro.
É importante observar que os direitos de acesso do escravo sobrepõe aquelas
definidas no servidor mestre, portanto é preciso tem muito cuidado no gerenciamento desses
direitos, para evitar que um usuário tenha direito de escrito na base do escravo, e acabe
criando inconsistências.
Estando slapd mestre e escravo configurados corretamente, basta colocar o
slurpd em funcionamento. Para isso deve-se; interromper a execução do servidor, e criar uma
cópia de sua base de dados. Copiar a base de dados para um arquivo LDIF, podemos utilizar o
“slapcat” para isso. Copiar a base do mestre para o escravo utilizando “slapdadd” no arquivo
LDIF gerado. Reinicializar o funcionamento do slapd mestre e escravo. Por fim inicializar o
slurpd na mesma máquina do servidor mestre.
45
Como podemos observar nos esclarecimentos acima, a replicação é
fundamental para a melhor disponibilidade dos sistemas distribuídos, e o
serviço de diretórios LDAP, que trabalha fundamentalmente dessa forma não
poderia deixar de implementar essa solução. Utilizando-se de uma ferramenta
poderosa e ao mesmo tempo simples, traz a solução para a gerência de
replicação, implementada pelo daemon “slurpd”. Com configurações simples
e rápidas é possível criar um sistema de replicação e colocar em
funcionamento o “slurpd”, resultando em alta disponibilidade e integridade dos
dados tanto para os usuários quanto para os administradores do sistema.
46
são feitas transações, e suas operações são baseadas principalmente em consultas e com
poucas inserções e modificações.
O serviço de diretórios LDAP precisa de um “banco de dados” para funcionar,
o tipo de banco utilizado por ele é o modelo hierárquico, que como observamos acima é o
modelo mais adequado para o tipo de estrutura do LDAP. As requisições do LDAP são muito
simples, não precisam retornar referências, não suportam transação, elas apenas retornam o
dado ou um erro.
O LDAP utiliza o modelo hierárquico, porque são poucas inserções e
modificações e muitas consultas, o que de forma geral garante um ganho de desempenho ao
contrário de um banco de dados relacional qualquer.
Se utilizarmos um banco de dados relacional, por exemplo, para executar a
função do LDAP, teremos alguns problemas, além do trabalho penoso de inserir todos os
dados dos diretórios, seria preciso definir todos os padrões e regras de armazenamento, o que
é nativo no LDAP, além disso, a aplicação ficaria com a responsabilidade de colocar o
contexto, analisando cada dado e lavá-los em conta para cada operação. Esses fatores tornam
a vida dos implementadores, tanto da aplicação quanto do banco de dados, mais difícil em
contraposição das facilidades apresentadas pelo LDAP.
28
OSI – modelo de referência de protocolo de rede
29
Framework – uma área de trabalho com função específica
47
desenvolvido para reduzir a carga do acesso X.500 à diretórios clientes, tornando o diretório
disponível para uma grande variedades de máquinas e aplicações, LDAP roda diretamente
sobre TCP/IP. Isso simplifica muito as operações X.500. LDAP usa codificação simples. O
resultado é um baixo overhead30 no método de acesso para diretórios X.500, e é adequado
para utilizar em virtualmente todas as plataformas. [HOWES,1995] [ISQUIERDO,2001]
Como pode ser observado na Figura 11 o fato do protocolo LDAP não utilizar
as camadas superiores do modelo de referência OSI, vem a simplificar o modo de
funcionamento do serviço de diretórios LDAP.
30
Overhead – excesso de carga de leitura ou processamento
48
3.12.3. VANTAGENS DO LDAP
DESEMPENHO
31
(Abstract Syntax Notation One) notação definida pela ISO que permite definir tipos de dados simples e
complexos, bem como os valores que tais tipos podem assumir.
32
BER – (Basic Encoding Rules) Regras Básicas de codificação.
49
3.12.5. COMPARAÇÕES DAP X LDAP
50
Tabela 6 Comparação do tempo de decodificação entre DAP e LDAP. Elementos do
protocolo LDAP são facilmente decodificados, especialmente para PDUs complexos em
milisegundos.
51
52
CAPÍTULO IV – PRINCIPAIS FERRAMENTAS LDAP
4.1. INTRODUÇÃO
23
Royalt – Tributo que é cobrado para a utilização de um serviço ou produto.
53
Nessa proposta, um software que em algum ponto deixasse de atender a uma
necessidade, poderia sem ônus algum ser alterado e adequado a sua função e posteriormente
redistribuído como forma de contribuição. Um outro ponto de grande relevância na proposta é
que nada é pago pela utilização da ferramenta.
4.1.1 FREEWARE
São os programas gratuitos e completos, não exigem registro e não têm taxa de
uso. Não é permitida sua alteração. [GNU, 2005].
54
4.2. PHP LDAP ADMIN
4.2.1 CARACTERÍSTICAS
55
Figura 11 - Página Inicial do phpLDAPadmin.
56
Figura 12 – Criação de entradas.
57
Figura 13 – Opções de manuseio phpLDAPadmin.
58
Procura entradas com diferentes formulários de busca.
59
4.2.7 NOVELL
60
4.2.8 SUN ONE DIRECTORY SERVER
61
Figura 17 - Entrada Microsoft ActiveDirectory.
4.3. YALA
62
YALA é um GUI33 web para a administração do LDAP. A idéia é que ele
simplifique a administração do diretório com uma relação gráfica e características puras ao
contrário de outros browsers para o LDAP que são feitos especificamente para que usuários
controlem um determinado sistema.
4.3.1 CARACTERÍSTICAS
33
Grafic User Interface
63
64
Figura 19 – Árvore e índices de entrada específica.
65
Figura 20 – Sendo executado no Internet Explorer.
66
Figura 22 – Criação de uma nova entrada.
A árvore vista do frame esquerdo “cria uma tela com uma nova entrada” no
frame direito.
67
Figura 23 – Browser text-mode.
4.4.1 CARACTERÍSTICAS:
68
• LDAP. Permite especificar e indicar os atributos operacionais e também recuperar
contextos de nomes da raiz DSE do usuário.
• Sustentação do SSL.
• Arrasto (cópia-e-cola). Permite que entradas ou atributos sejam copiados, colados ou
arrastados dentro de um único browser.
• Sessões nomeadas. Permite trabalhar com LDAP fazendo configurações diferentes.
• Atributo viewers/editors . Cada atributo pode ser associado com um visualizador
particular que ajude a mostrar e editar os índices do atributo de uma maneira
específica.
• Sustentação do applet. O browser pode funcionar como um applet singed dentro de
um web browser.
4.5. SMBLDAP
69
de Windows (e, usando o nss_LDAP e o pam_LDAP , uma fonte original do authentification
para todas as estações de trabalho, incluindo Linux e outros sistemas de Unix).
70
CAPÍTULO V – O LDAP E O GERENCIAMENTO DE USUÁRIOS
5.1. USUÁRIOS
Usuário é alguém que possui uma identificação e no uso dessa, lhe será
permitido usufruir de um serviço.Em termos técnicos, um usuário é uma entidade
identificada, e com essa identificação terá ou não acesso a um determinado serviço num dado
sistema. [AURÉLIO 1999][ADMINISTRADOR LINUX]
Exemplos de usuários:
• Usuários de rede;
• Usuários do Banco de Dados;
• Usuários de um web-server;
• Correntista de uma instituição financeira
5.2. GERENCIAMENTO
71
5.3. GERENCIAMENTO DE USUÁRIOS
72
Se houvesse uma re-alocação de um funcionário de uma matriz para uma filial,
o diretório onde contém informações do funcionário deve sofrer uma manutenção e todos os
diretórios com dados semelhantes, caso sejam descentralizados, devem ser encontrados para
que seja feito o mesmo procedimento. Isto acaba tornando o diretório ingerenciável, porque
sempre que vários serviços implementam suas próprias versões do mesmo estilo de diretório,
há uma duplicação de esforços.Cada serviço cria seu próprio diretório, e o administrador de
cada serviço tem que manter os diretórios separadamente, e é quase impossível administrar
centralizadamente estes múltiplos diretórios. Um outro problema de não se usar um diretório
unificado é a segurança, onde, cada serviço terá políticas de seguranças diferentes e
possivelmente conflitantes.
Então o LDAP traz uma solução para o compartilhamento e acesso a esses
dados em um sistema
Como o LDAP é um padrão aberto mantido pela IETF, ele pode ser utilizado
por qualquer corporação sem receio de ficar aprisionado a protocolos proprietários e permite
que a escolha da implementação seja baseada nos detalhes do projeto em vez de preocupações
de interoperabilidade.
Como o LDAP foi projetado para ser um diretório de propósito geral, ele teve
que ser extensível. Usando um esquema de definição orientado a objeto, baseado em herança,
que permite fácil extensão para qualquer uso. Existe um esquema básico que é parte da
especificação do LDAP, e existem outros padrões de fato para vários serviços.
Um dos mais importantes aspectos do desenvolvimento do LDAP, e que fez
com que o mesmo fosse adotado é que ele é um protocolo simples de implementar e trabalhar.
Isto fica transparente pelo fato que o LDAP é suportado pela maior parte das linguagens de
programação e também por grande parte dos sistemas operacionais de mercado.
É possível replicar todo ou parte de um diretório LDAP para locais separados
fisicamente, o que permite que os dados tenham alta disponibilidade e coloca os mesmos tão
próximos quanto necessários do cliente. Utilizando referências, porções de diretório podem
ser distribuídas em diferentes servidores LDAP, permitindo assim que partes de uma
corporação ou projeto tenham controle sobre os dados necessários ao mesmo tempo em que
mantém uma única autoridade sobre cada parte dos dados.O LDAP é totalmente integrado
com esse recurso de replicação través de um deamon chamado slurpd
Outra função muito importante do LDAP no gerenciamento de usuários, diz
respeito aos direitos de acesso, através dos serviços do LDAP é possível definir qual o nível
de acesso que cada componente da corporação possui para cada tipo de arquivo, diretório ou
73
pasta, que ele pode acessar. Define por exemplo se um usuário tem acesso de escrita em um
determinado diretório ou apenas de leitura, dependendo do seu nível hierárquico e dentro do
organograma da empresa. Protegendo assim, que se tenha acesso indevido a arquivos
confidenciais da organização, não permitindo que usuários mal intencionados venham a ferir
sua integridade.
Existem três aspectos básicos na proteção de informação em um diretório:
acesso, autenticação e autorização. Acesso é a habilidade de conectar-se a um serviço e pode
ser restringido baseado em detalhes como: login ou endereço IP. Autenticação é a habilidade
de provar ao servidor que um cliente é um usuário válido, e autorização é o serviço
fornecendo ou negando direitos específicos ou funcionalidades ao cliente.
O LDAP fornece também recursos para autenticação e segurança dos dados,
com a utilização de chaves criptográficas e certificados digitais, esses métodos que são
indispensáveis para a segurança nas grandes organizações e no LDAP são facilmente
implementados, pois esses recursos são nativos do sistema, implementados pela ACL.
Para acesso seguro, o LDAP suporta o Transport Layer Security (TLS), que
criptografa toda a comunicação entre cliente e servidor. Para autenticação, o LDAP suporta a
Simple Authentication and Security Layer (SASL), e permite que o cliente e o servidor
negociem um método seguro de autenticação.
O TLS e o SASL provêm funcionalidades criptográfica, mas não o controle
sobre o acesso e autenticação. O LDAP irá fornecer a habilidade de controlar todos os três
aspectos através de Access Control Lists (ACLs). As ACLs podem ser usadas para autorizar o
acesso baseado em muitos fatores. Elas podem ser usadas para forçar tipos específicos de
autenticação e, uma vez que o cliente esteja plenamente autenticado como usuário válido, as
ACLs são usadas para autorizar o usuário.
Então, com a utilização do LDAP, é possível gerenciar usuários de grandes
corporações de forma simples, com grande segurança e agilidade que toda grande empresa
necessita, disponibilizar dados pessoais e profissionais dos usuários mesmo em longas
distâncias, pois e facilmente integrado a web. Direcionar níveis de acesso aos usuários de
acordo com seu nível de atuação dentro do organograma da empresa. Tudo isso disponível
com total transparência para o usuário e transmitindo grande confiabilidade tanto nos dados
quanto no serviço.
74
CONCLUSÃO
75
ANEXO I – DOCUMENTAÇÃO ACERCA DA IMPLEMENTAÇÃO DO PROTOCOLO LDAP PARA
GERENCIAMENTO DE USUÁRIOS
1. OBJETIVO GERAL
2. DESCRIÇÃO E ABRANGÊNCIA
34
Multiplataforma é a característica de um mesmo software ser executado em vários tipos de sistemas
operacionais.
35
SAMBA, servidor open souce que permite integração do Linux com S.O. Microsoft e Machintosh.
36
NSS, Name Service Switch, software responsável pela informações sobre autenticação em sistemas UNIX.
37
PAM, software que provê autenticação de usuários, pode trabalhar em conjunto com outros sistemas de
autenticação.
76
3. RECURSOS DE HARDWARE E SOFTWARE
38
equipamento responsável pela interligação de duas ou mais segmentos de rede.
39
Banco de dados hierarquico
40
PDC primary Domain Contrller , sistema que controla um domínio de rede
41
Desktops é o termo em língua inglesa que exprime um equipamento computacional voltado para usuários
77
3.2 OPENLDAP
3.2.1. SLAPD
42
Versões de protocolo da internet
78
Uma observação importante a respeito do OpenLDAP, diz que ele apenas
provê o serviço LDAP e manipulação de informações, ou seja, há necessidade de um backend
de banco de dados para armazenar estas informações.
BerkeleyDB é um banco de dados famoso por sua robustez, produtividade e
escalabilidade. É utilizado em soluções de missão crítica por grandes empresas como a
Hitachi, HP, Sun, Amazon, NASDAQ, FujiXerox, Alcatel, British Telecom, Cisco,
RSA Security, EMC, Veritas e Motorola.
O BerkeleyDB pode ser usado em aplicações que necessitem de storages
concorrentes de alta produtividade, na recuperação de pares de chaves e valores. O software é
distribuído como uma biblioteca que pode ser compilada diretamente nas aplicações. Também
pode ser acessado através de interfaces definidas para algumas linguagens como: C, C++,
Java, Perl, Python e TCL. É importante saber que o BerkeleyDB não é um servidor de banco
de dados que manipula conexões de rede, não pode ser considerado como um SGBD
relacional ou orientado a objetos e também não possui uma linguagem de consulta como o
SQL.
79
gama de recursos que vem sendo utilizados no protótipo. O PHPLDAPADMIN pode ser
usado para administrar: OpenLDAP, Active Directory, Novell eDirectory e iPlanet43
4. CONFIGURAÇÕES
43
Active Diretory, Novell e iPlanet são serviços de diretórios similares ao OPENLDAP, porém softwares
proprietários.
44
Plug and Play é um sistema automático de detecção de hardware, esse sistema facilitou muito a utilização de
periféricos por usuários leigos.
80
4.1 SERVIDOR
4.1.1 BERKLEYDB
81
necessários ao projeto. Depois de reunir toda informação necessária o configure gera um
arquivo Makefile customizado para o sistema.[CERTIFICAÇÃO LINUX]
Para que seja feita a conferência das dependências no sistema, deve-se executar
o script configure como super usuário do sistema:
kurumin@angel:~/db-4.1.25/dist# .configure
kurumin@angel:~/db-4.1.25/dist# make
Instalando:
4.1.2 OPENLDAP
82
LDAP slapd.
Para utilizar o apt, será necessário acessar como super usuário no sistema
linux, depois disso será executado o comando apt-get com o parâmetro install e em seguida o
nome do pacote .deb. Também serão instalados os utilitários do OpenLDAP , ou seja, o
cliente LDAP e suas bibliotecas:
83
Figura 27 - apt listando os pacotes slapd e suas dependências.
84
Figura 28 – Debconf iniciado, para iniciar os primeiros parâmetros do servidor LDAP.
Na figura 31, foi informado o domínio DN que o servidor LDAP irá responder.
No caso do protótipo, foi escolhido o domínio “LDAP.DF” ou DN dc=LDAP,dc=df.
Na figura 32, o DEBconf permitirá a escolha da compatibilidade com o
protocolo LDAPv2, protocolo antigo que ainda é usado por algumas aplicações. Como o
protótipo baseia-se totalmente no protocolo LDAPv3, não há a necessidade de habilitar a
opção de compatibilidade.
85
A figura 33 mostra a escolha de uma senha para o administrador da base de
dados LDAP chamado “cn=admin, dc=ldap,dc=df”, este usuário tem acesso total às
informações contidas nos diretórios.
86
#########################################################
# Allow LDAPv2 binds
allow bind_v2
# This is the main slapd configuration file. See slapd.conf(5) for more
# info on the configuration options.
#########################################################
# Global Directives:
# Features to permit
#allow bind_v2
rootdn="cn=admin,dc=ldap,dc=df"
rootpw= deus
#########################################################
# Specific Backend Directives for bdb:
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
backend bdb
checkpoint 512 30
#########################################################
# Specific Directives for database #1, of type bdb:
# Database specific directives apply to this databasse until another
# 'database' directive occurs
database bdb
87
# Where the database file are physically stored for database #1
directory "/var/lib/ldap"
# Save the time that the entry gets modified, for database #1
lastmod on
access to attrs=userPassword
by dn="cn=admin,dc=ldap,dc=df" write
by anonymous auth
by self write
by * none
########################################################
4.1.2.2 MIGRAÇÃO
88
#############/usr/share/migrationtools/migrate_common.ph##########
$DEFAULT_MAIL_DOMAIN = “angel.ldap.df”
##################################################
89
4.1.3 SISTEMA DE AUTENTICAÇÃO
90
através do apt, conforme comando abaixo:
91
Figura 32 - Debconf solicita a base DN do LDAP.
92
Concluída a instalação e configuração da biblioteca libnss-ldap, será necessária
a instalação da biblioteca PAM para se integrada com LDAP, chamada libpam-ldap,
responsável pela passagem de diretivas para que o PAM busque informações na base do
LDAP. Executando o comando apt seguido do nome desta biblioteca, está será instalada
conforme abaixo.
# apt-get libpam-ldap
93
Figura 35 – Arquivo de configuração do cliente LDAP.
O sistema operacional deverá agora ser informado de que deverá buscar informações
sobre usuários no LDAP e não mais nos arquivos padrão. O arquivo /etc/nsswith.conf deverá
conter o parâmetro “LDAP” nas entradas “passwd”, “group”, “shadow”.
94
Configurar a PAM para autenticar no LDAP e também para autenticar
localmente no sistema, caso esse serviço pare de funcionar consiga autenticar pelo sistema.
Para isso é adicionado os parâmetros “auth sufficient /lib/security/pam_LDAP.so
use_first_pass” e “account sufficient /lib/security/pam_LDAP.so” com essas configurações o
sistema está pronto, um teste deverá ser feito para assegurar que a autenticação está sendo
realizada na base de dados LDAP, com os comandos: getent passwd e getent group. Deve
retornar usuários e grupos que estão no diretório.
4.1.4 SAMBA
O SAMBA terá papel importante nesse ambiente, pois a partir dele, se proverá
um PDC (Primary Domain Controller), ou seja, um serviço que responderá por um domínio
(LDAP.df) para que máquinas com sistema operacional Windows (devidamente configuradas)
possam ingressar no domínio e usufruir dos serviços de arquivos. O SAMBA será
devidamente configurado para que haja uma integração entre o LDAP, o mesmo armazenará
todas as contas e restrições de usuários, ou seja, nenhum usuário será armazenado no
smbpasswd.
95
armazenamento de arquivos e impressoras. A seguir é demonstrado o arquivo smb.conf com
comentários somente nas partes relevantes:
[global]
workgroup = ldap.df (identifica o nome do domínio)
netbios name = PDC (identifica o nome do servidor samba)
server string = PDC (comentário breve do sobre o servidor samba)
security = user
encrypt passwords = yes
load printers = yes
log file = /var/log/samba/log.%m
max log size = 100
os level = 100 (essa numeração indica que o samba sempre será o PDC de uma
rede windows)
local master = yes
domain master = yes
preferred master = yes
domain logons = yes (libera que usuários loguem no domínio)
admin users = root (usuário administrador)
logon script = %U.bat (script que maquinas windows usaram)
logon path = \\%L\profiles\%U
wins support = no
dns proxy = no
LDAP passwd sync = yes
LDAP delete dn = yes
passdb backend = LDAPsam:LDAP://127.0.0.1/ (informa que os usuários estão no
LDAP)
LDAP admin dn = cn=admin,dc=LDAP,dc=df
LDAP suffix = dc=LDAP,dc=df
LDAP group suffix = ou=Grupos
LDAP user suffix = ou=Pessoas
LDAP machine suffix = ou=Computadores
idmap uid = 10000-15000
idmap gid = 10000-15000
nt acl support = yes
create mask = 600
directory mask = 0700
force directory mode = 0700
passwd chat = *New*password* %n\n *Retype*new*passoword*
%n\n*passwd:*all*autentication*tokens*update*successfuly*
96
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
#script de adicionar maquinas ao dominio utilizando uma ferramenta chamada smbLDAP -tools
que será #explicada posteriormente
add machine script = /urs/local/sbin/smbLDAP-useradd -w "%u”
add user script = /usr/local/sbin/smbLDAP-useradd -m "%u"
delete user script = /usr/local/sbin/smbLDAP-userdel "%u"
add group script = /usr/local/sbin/smbLDAP-groupadd -p '%g"
delete group script = /usr/local/sbin/smbLDAP-groupdel "%g"
add user to group script = /usr/local/sbin/smbLDAP-groupmod -m "%u"
delete user from group script = /usr/local/sibn/smbLDAP-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbLDAP-usermod -g "%g" "%u"
dos charset = UTF-8 (codificação de caracteres para o DOS)
unix charset = UTF-8
cups server = 127.0.0.1 (servidor de impressão cups)
#### apartir deste ponto o Global settings acaba###
[homes]
comment = Diretorio home
browseable = no
writable = yes
force user = %U
[profiles]
path = /home/profiles
read only = no
create mask = 0600
directory mask = 0700
browseable = no
guest ok = Yes
profile acls = yes
csc policy = disable
force user = %U
valid users = %U @"Domain Admins", %U @”Domain Users”
[netlogon]
path = /home/netlogon
browseable = no
read only = yes
[printers]
comment = Impressoras
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes
97
[dados]
comment = Diretório de provas e dados secretos
path = /home/dados
public = no
writable = yes
printable = no
create mask = 0765
read lis = @Dados
invalid users = @Material
read list = @Dados
valid users = @Dados
user = @Dados
[Material]
comment= Diretório de Material escolar
path = /home/material
public = yes
writable = yes
printable = no
create mask = 0765
valid users = %U @"Domain Admins"
[secreto]
path = /home/secreto
comment = docs administrativos
read list = @Dados
invalid users = @Material
write list = @Dados
browseable = No
valid users = @Dados
user = @Dados
4.1.5 SMBLDAP-TOOLS
24
SID – Código numérico que identifica um servidor SAMBA
98
4.1.5.1 INSTALAÇÃO E CONFIGURAÇÃO
##############################################################################
#
# LDAP Configuration
#
##############################################################################
#Servidor escravo, não foi necessário a utilização de um slave.
# Ex: slaveldap=127.0.0.1
#slaveldap="127.0.0.1"
#slavePort="389"
(continua na próxima página)
99
# Master LDAP : Servidor mestre, tem que ter permissões de escrita nele
# Ex: masterldap=127.0.0.1
masterldap="127.0.0.1"
masterPort="389"
# Onde são armazenadas entradas idmap (usadas se o samba é um servidor membro do domínio).
idmapdn="ou=Idmap,${suffix}"
100
# Login defs
# Default Login Shell
# The default Home Drive Letter mapping
# Ex: userLoginShell="/bin/bash"
# (will be automatically mapped at logon time if home directory exist)
userLoginShell="/bin/bash"
# Ex: H: for H:
userHomeDrive="H:"
# Home directory
# Ex: userHome="/home/%U"
# The default user netlogon script name (%U username substitution)
userHome="/home/%U"
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
# Gecos
# Ex: %U.cmd
userGecos="System User"
# userScript="startup.cmd" # make sure script file is edited under dos
userScript=logon.bat"
# Default User (POSIX and Samba) GID
defaultUserGid="513"
# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
# Default Computer (Samba) GID
mailDomain="ldap.df"
defaultComputerGid="515"
################################################
# Skel dir
skeletonDir="/etc/skel"
# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
defaultMaxPasswordAge="30"
##############################################################################
#
# SAMBA Configuration
#
##############################################################################
# The UNC path to home drives location (%U username substitution)
# Ex: \\My-PDC-netbios-name\homes\%U
# Just set it to a null string if you want to use the smb.conf 'logon home'
userSmbHome="\\PDC\homes\%U"
# The UNC path to profiles locations (%U username substitution)
# Ex: \\My-PDC-netbios-name\profiles\%U
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
userProfile="\\PDC\profiles\%U"
(continua)
101
############################
# Credential Configuration #
############################
# Notes: you can specify two differents configuration if you use a
# master LDAP for writing access and a slave LDAP server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
masterDN="cn=admin,dc=ldap,dc=df"
#senha do administrador cn=admin
masterPw="deus"
102
Figura 37 – smbldap-populate inserindo entradas na base dc=ldap, dc=df.
Partindo deste ponto, a base LDAP está pronta para configuração de usuários,
grupos e computadores que possam ingressar no sistema.
4.1.6 APACHE
A ferramenta apt será utilizada para instalação do servidor apache, não será
necessária nenhuma alteração em sua configuração padrão. Este serviço é instalado apenas
para dar suporte à ferramenta administrativa phpldapadmin.
103
4.1.6.1 INSTALAÇÃO E CONFIGURAÇÃO
Para que o apache funcione, é necessário que o apt atualize , remova e instale
algumas bibliotecas, conforme as figuras 38 e 39.
104
105
106
Figura 39 - apt obtendo os pacotes de mirrors como ftp.br.debian.org.
4.1.7 PHP
25
Url – endereço eletrônico de sítio na internet.
107
Figura 40 - apt iniciando a instalação do php-ldap e php4-pear.
4.1.8 PHPLDAPADMIN
108
iteração de perfil que terá com o usuário, se será através de sessão ou através de cookies. Foi
selecionada a opção sessão por questão de conveniência, não sendo interessante a gravação de
arquivos temporário no sistema.
109
Figura 43 - Debconf solicitando qual o servidor está instalado no sistema.
110
Figura 44 - Tela inicial do phpldapadmin.
<?php
/*
* The phpLDAPadmin config file
* This is where you customize phpLDAPadmin. The most important
* part is immediately below: The "LDAP Servers" section.
* You must specify at least one LDAP server there. You may add
* as many as you like. You can also specify your language, and
* many other options.
*
*/
/**
* phpLDAPadmin can encrypt the content of sensitive cookies if you set this
* to a big random string.
*/
$blowfish_secret = '';
111
// YOUR LDAP SERVERS
$I=0;
$SERVERS = ARRAY();
$SERVERS[$I]['NAME'] = 'MY LDAP SERVER'; /* A CONVENIENT NAME THAT WILL APPEAR IN
THE TREE VIEWER AND THROUGHOUT PHPLDAPADMIN TO
ABOVE AS $BLOWFISH_SECRET. */
$SERVERS[$I]['LOGIN_DN'] = 'CN=ADMIN,DC=LDAP,DC=DF';
/* THE DN OF THE USER FOR PHPLDAPADMIN TO BIND WITH.
…
112
A atualização de dados de usuários e grupos será feita em grande parte pela
ferramenta de gerenciamento da base de dados LDAP. O serviço de administração WEB
estará disponível em rede, para que o sistema ganhe mais mobilidade em sua administração.
Para que o samba3x.schema26 se integre perfeitamente com o LDAP é
necessário alterar mais um arquivo de configuração do phpldapadmin. Como visto
anteriormente, o SID local é responsável pela identificação do servidor de domínio que deverá
ser informado ao phpldapadmin. O arquivo que será alterado é o template_config.php que fica
localizado no diretório /usr/share/phpldapadmin/templates. É demonstrado abaixo o
fragmento que será alterado conforme o SID do servidor samba.
...
// DEFAULT DOMAINS DEFINITION (CUSTOMIZE)
// (USE `NET GETLOCALSID` ON SAMBA SERVER)
$SAMBA3_DOMAINS = ARRAY();
$SAMBA3_DOMAINS[] =
ARRAY( 'NAME' => 'MY SAMBA DOMAIN NAME',
'SID' => 'S-1-5-21-2418787199-2116653073-2306110236' );
...
5.1.1 AUTENTICAÇÃO
Como a configuração do servidor SAMBA foi feita para ser um PDC, serão
configurados então os clientes, para que ingressem no domínio e possam interagir com o
sistema. Toda a configuração será feita no sistema operacional Windows XP.
CONFIGURAÇÃO
26
Samba3x.schema – é o esquema de objetos que poderão ser usados pela LDAP e suportados pelo SAMBA
versão 3
113
Para que computadores com sistema operacional Windows XP® possas ingressar
em um domínio SAMBA é preciso realizar uma série de tarefas como: alteração de registros e
de diretivas de segurança. Será mostrado de forma lógica como fazer essas configurações na
estação de trabalho.
Primeiramente deverá ser configurado o Windows® para fazer parte de um
domínio, isso pode ser feito alterando o ID da rede no painel de controle, colocando o nome
do computador (previamente cadastrado no PDC) e o domínio a ingressar, nesse caso o
LDAP.DF. Essa primeira operação necessita do super-usuário do SAMBA para poder
ingressar a estação de trabalho no domínio.
Passado a primeira etapa o computador irá pedir para reiniciar. A pergunta dessa
resposta deverá ser não, pois serão feitos mais dois importantes procedimentos para que o
Windows XP® possa de fato ingressar no domínio.
A segunda etapa é alterar o registro do Windows XP ®, ou seja será desligado um
flag27 do registro que ficará dessa maneira:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
netlogon\parameters"RequireSignOrSeal"=dword:00000000
CLIENTE DE E-MAIL
115
Figura 45 – Tela do Outlook express, configuração de contas.
116
Deve-se configurar o IP do servidor LDAP em conjunto com regras como:
requerer ou não autenticação para pesquisa, neste caso o servidor não necessita disso, pois a
ACL é configurada para aceitar consultas de informações. Existem outras opções na aba
“Avançado” como mostrado na próxima figura.
117
Figura 48 – representa uma busca pelo nome através da Base LDAP.
6. ESQUEMA DE FUNCIONAMENTO
118
Figura 49 – Esquema de funcionamento do Protótipo.
7. SIMULAÇÃO DO AMBIENTE
119
7.1 USUÁRIOS E GRUPOS
#SMBLDAP-GROUPADD DADOS
#SMBLDAP-GROUPADD MATERIAL
Executado este script, será inserido na base LDAP ou=Grupos, dc=ldap, dc=df,
os grupos cn=Dados e cn= Material.
Para teste serão criados dois usuários cada um com seu perfil, o “usermaterial”
e o “userdados” com seus respectivos grupos “material” e “dados”. Segue os scripts de
criação de cada usuário:
Para a criação de usuários o script smbldap-useradd será usado juntamente
com alguns dos seus parâmetros:
120
Os usuários estão sendo criados na base de dados LDAP ou=Pessoas,
dc=ldap,dc=df. Os testes de autenticação de usuários na base LDAP e as suas respectivas
permissões já podem ser testadas no próprio servidor utilizando um shell ou mesmo algum
gerenciador de arquivos gráfico, foi usado o gerenciador de arquivos konqueror da GUI-KDE.
Com os serviços LDAP e SAMBA iniciados, pode-se pelo konqueror digitar o endereço
smb://10.1.1.4, aparecendo as pastas “dados” e “material”, para acessar a pasta “Material” o
usuário deverá estar no grupo “material” ou “dados”, e se quer acessar a pasta “Dados” deverá
ter um usuário no grupo “Dados”, caso contrário não terá acesso já que o LDAP fornece todos
as informações necessárias para o servidor samba libere o acesso. Após essa etapa serão
executados testes de autenticação destes usuários no sistema.
7.1.1.1 AUTENTICAÇÃO
121
Segunda situação: usuário “usermaterial” que é membro do grupo “material”
tentando acessar a pasta “dados” que é permitida leitura apenas por usuários membros do
grupo “dados”:
122
Figura 52 – Acesso Negado a pasta Dados como usuário usermaterial.
123
O usuário com perfil “dados” poderá visualizar, abrir, executar e gravar
arquivos tanto nesta pasta quanto na pasta “Material”.
124
Figura 55 – Mostra o PDC já mapeado como unidade H:.
125
ANEXO II – RFC’S
RFC 1777
Lightweight Directory Access Protocol
Protocolo de Leve Acesso a Diretórios
Projetado para fornecer acesso ao X. 500. É apontado especificamente nas
aplicações simples de gerência e nas aplicações do browser que fornecem acesso interativo de
leitura/gravação simples ao diretório X.500 . Os elementos desse Protocolo são carregados
diretamente sobre TCP ou outro transporte. Muitos elementos de dados desse protocolo são
codificados como barbantes.
RFC 1779
A String Representation of Distinguished Names
Representação de Barbantes de Nomes Distintos
O diretório OSI usa nomes distintos como as chaves preliminares às entradas
no diretório. Os nomes distintos são codificados em ASN.1. Quando um nome distinto for
comunicado no meio de usuários que não usam um protocolo do diretório (por exemplo, em
uma mensagem do correio), há a necessidade de ter uma respresentação user-oriented
(usuário-orientado) de barbante de nomes distintos. Define o formato do barbante para
representar nomes, que é projetada para dar uma respresentação limpa de nomes geralmente
usados, podendo representar algum nome distinto.
RFC 1798
Connection-less Lightweight X.500 Directory Access Protocol
Protocolo de Leve Acesso a Diretórios X.500 conexão-menos
Evita o tempo decorrido que é associado com uma comunicação connection-
oriented e facilita o uso do diretório em uma maneira analagous ao DNS. É destinado
especificamente nas aplicações simples do lookup, que requerem para ler um número pequeno
de valores, o atributo de uma única entrada. Pode ser usado como um repositório para muitos
tipos da informação. É desnecessário para as aplicações que requerem o acesso lido simples a
alguns valores do atributo.
126
RFC 1823
The LDAP Application Program Interface
Programa de Aplicação de Interface do LDAP
Define um Programa de Aplicação de Interface na línguagem C ao LDAP. O
LDAP API é projetado para ser poderoso, contudo simples de usar. Define relações síncronas
e assíncronas compatíveis ao LDAP para servir uma variedade larga das aplicações.
RFC 1959
An LDAP URL Format
Formato do URL de LDAP
Descreve um formato para um localizador de recurso uniforme de LDAP que
permita que os clientes de Internet tenham o acesso direto ao protocolo de LDAP. Quando o
protocolo for usado somente como uma extremidade dianteira ao diretório X.500, o formato
do URL descrito é, geralmente, bastante seguro para os usuários autônomos de LDAP (isto é,
usuários de LDAP back-ended (extremidade traseira) por X.500).
RFC 2044
UTF-8, a transformation format of Unicode and ISO 10646
UTF-8, um formato da transformação de Unicode e ISO
O padrão de Unicode, a versão 1.1, e os ISO/IEC 10646-1, definem
conjuntamente um carácter de 16 bits ajustado, que abranje a maioria dos sistemas do mundo.
Os carácteres 16-bit, entretanto, não são compatíveis com muitas aplicações e protocolos
atuais, e estes conduzem ao desenvolvimento de alguns formatos so-called da transformação
do UCS (UTF), cada um com características diferentes. O UTF-8 tem a característica de
preservar a escala cheia de US-ASCII. Os carácteres de US-ASCII são codificados em um
octeto que tem o valor usual de US-ASCII, e todo o octeto com tal valor, pode ser somente
um caráter de US-ASCII.
RFC 2251
Lightweight Directory Access Protocol (v3)
Protocolo de Leve Acesso a Diretórios v3
Projetado para fornecer acesso aos diretórios que suportam os modelos X.500.
É apontado especificamente nas aplicações da gerência e nas aplicações do browser que
fornecem o acesso interativo de leitura/gravação aos diretórios. Quando utilizado como um
127
diretório que suporta o X.500, pretende-se aproveita-lo para ser um complemento ao X.500
DAP.
RFC 2252
Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions
Protocolo de Leve Acesso a Diretórios V3: Definições da Sintaxe do Atributo
Requer que os índices de campos de AttributeValue em elementos do protocolo
sejam barbantes do octeto. Define um jogo de sintaxes para LDAPv3 e as regras pelas quais
são atribuídos os valores destas sintaxes além de representados como barbantes do octeto para
a transmissão no protocolo de LDAP. Podem ser definidas por este e por outros documentos
que definem os tipos do atributo. Define também os tipos dos atributos que os usuários de
LDAP devem suportar.
RFC 2253
Lightweight Directory Access Protocol (v3): UTF-8 String Representation of
Distinguished Names
Protocolo de Leve Acesso a Diretórios V3: UTF-8 Representação de Barbante de Nomes
Distintos
O diretório X.500 usa nomes distintos como chaves preliminares às entradas no
diretório. Os nomes distintos são codificados em ASN.1 nos protocolos do diretório X.500.
No LDAP, uma respresentação do barbante de nomes distintos é transferida. Esta
especificação define o formato do barbante para representar nomes, que é projetada para dar
uma respresentação limpa de nomes distintos geralmente usados, para poder representar
algum nome distinto.
RFC 2254
The String Representation of LDAP Search Filters
Respresentação do Barbante de filtros de busca do LDAP
Define uma respresentação da rede de um filtro de busca fazendo transmissões
a um usuário de LDAP. Algumas aplicações podem ser úteis se encontrado uma maneira
comum de representar estes filtros da busca em um formulário legível. Também define um
formato legível do barbante para representar filtros da busca de LDAP. Substitui a RFC 1960,
estendendo a definição do filtro do barbante do LDAP para incluir a sustentação de filtros
128
estendidos da versão 3 de LDAP e incluindo a sustentação para representar a escala cheia de
filtros possíveis da busca de LDAP.
RFC 2255
The LDAP URL Format
Formato do URL do LDAP
Descreve um formato para um localizador de recurso uniforme de LDAP e uma
operação de busca para executar e recuperar a informação de um diretório de LDAP. Substitui
a RFC 1959. Atualiza o formato do URL de LDAP para a versão 3 e esclarece como as URLs
são resolvidas. Define também um mecanismo da extensão para as URLs, de modo que os
originais futuros possam estender sua funcionalidade, como por exemplo, para fornecer o
acesso às novas extensões LDAPv3 enquanto são definidos.
RFC 2256
A Summary of the X.500(96) User Schema for use with LDAPv3
Um sumário X.500(96) do schema do usuário para o uso com LDAPv3
Fornece uma visão geral dos tipos de atributos e das classes dos objetos
definidos pelos comitês do ISO e do ITU-T, que são aqueles pretendidos para uso dos clientes
do diretório. Este é o esquema mais usado para os diretórios LDAP/X.500, além de muitas
outras definições do esquema para objetos dos white pages que o utilizam como base. Não
cobre os atributos usados para a administração de usuários do diretório X.500, nem inclui os
atributos definidos por outros originais de ISO/ITU-T.
RFC 1487
X.500 Lightweight Directory Access Protocol
Protocolo de Leve Acesso a Diretórios, X500
É desenvolvido especificamente para aplicações simples da gerência e nas
aplicações do browser que fornecem o acesso interativo de leitura/gravação simples ao
diretório. O interesse tremendo na tecnologia X.500 na Internet se da em conduzir aos
esforços para reduzir o "custo elevado da entrada" associada com o uso da tecnologia, tal
como o serviço do auxílio de diretório. Quando os esforços tiverem sucesso, serão soluções
como essas, baseadas em execuções particulares, que limitaram a aplicabilidade.
129
RFC 1558
The String Representation of LDAP Search Filters
Respresentação do Barbante de filtros da busca do LDAP
Define uma respresentação da rede de um filtro de busca fazendo transmissões
a um usuário de LDAP. Algumas aplicações podem ser úteis se encontrado uma maneira
comum de representar estes filtros da busca em um formulário legível.
RFC 1778
The String Representation of Standard Attribute Syntaxes
REPRESENTAÇÃO DO BARBANTE DE SINTAXES E PADRÃO DO ATRIBUTO
O LDAP requer que os índices de campos de AttributeValue do protocolo
sejam barbantes do octeto. Define as exigências que devem ser satisfeitas codificando as
regras usadas para as sintaxes do atributo do diretório X.500 em um formulário apropriado
para o uso no LDAP.
RFC 1960
The String Representation of LDAP Search Filters
RESPRESENTAÇÃO DO BARBANTE DE FILTROS DA BUSCA DE LDAP
Define uma respresentação da rede de um filtro de busca fazendo transmissões
a um usuário de LDAP. Algumas aplicações podem ser úteis se encontrado uma maneira
comum de representar estes filtros da busca em um formulário legível.
RFC 2079
Definition of an X.500 Attribute Type and an Object Class to Hold Uniform Resource
Identifiers (URIs)
Definição de um tipo do atributo X.500 e de uma classe do objeto para prender
identificadores uniformes do recurso (URIs)
Os localizadores de recurso uniforme (URLs) são usados extensamente para
especificar a posição de recursos da Internet. Há uma grande necessidade poder incluir URLs
nos diretórios que se conformam aos modelos da informação LDAP e X.500 além de incluir
outros tipos de identificadores uniformes do recurso (URIs) como são definidos. As
configurações deste documento definem um tipo novo do atributo e uma classe auxiliar do
130
objeto para permitir que URIs, sejam armazenadas em entradas de diretório em uma maneira
padrão.
RFC 2116
X.500 Implementations Catalog-96
Implementações X. 500, CATALOG 96
Define um catálogo revisado das execuções X.500 disponíveis e é baseado nos
resultados do levantamento de dados de através de um Home Page WWW que permita se
submeter a novas descrições ou updated de execuções atualmente disponíveis do X.500,
incluindo produtos comerciais e abertamente disponíveis.
RFC 2164
Use of an X.500/LDAP directory to support MIXER address mapping
Uso de um diretório de X.500/LDAP de suporte para traçar endereços de um
Misturador
O Misturador (RFC 2156) define um algoritmo para o uso de mapas. Define
como representar e manter estes mapas em um X.500 ou no diretório de LDAP. Os
mecanismos para representar ou as hierarquias do endereço e do domínio ficam dentro do
DIT. Estas técnicas são usadas definir dois subtrees independentes nos DIT, que contêm a
informação, traçando os benefícios desta aproximação. A informação traçada é mantida em
uma área claramente definida que possa ser extensamente replicada de maneira eficiente. A
árvore é confinada para manter somente a informação necessitada. Isto é importante porque as
passagens necessitam de bom acesso para serem traçadas por inteiro.
RFC 2247
Using Domains in LDAP/X.500 Distinguished Names
Usando domínios de nomes distintos LDAP/X.500
O LDAP usa nomes compatíveis do X.500 e distintos fornecendo a
identificação original das entradas. Define um algoritmo, o qual, um nome registado com o
serviço do Domain Name da Internet, pode ser representado como um nome distinto LDAP.
131
RFC 2307
An Approach for Using LDAP as a Network Information Service
Uma aproximação para usar LDAP como um serviço de informação da rede
Descreve um mecanismo experimental que traça as entidades relacionadas ao
TCP/IP e ao sistema de UNIX nas entradas X.500 de modo que possam ser resolvidos com o
LDAP. Um conjunto de tipos dos atributos e as classes do objeto são propostos, junto com
guidelines específicos para interpretá-los. A intenção é ajudar à distribuição de LDAP como
um nameservice organizational. Nenhuma solução proposta é pretendida como padrões para a
Internet.
RFC 2377
Naming Plan for Internet Directory-Enabled Applications
Nomeação da planta para o diretório da Internet permitindo aplicações
A aplicação da aproximação X.500 convencional para nomeação, prova ser um
obstáculo à distribuição larga de aplicações permitidas na Internet. É proposto um diretório
novo que nomeia a planta e aumente as forças da Internet, o torne mais popular e mais bem
sucedido que nomeie esquemas para objetos em um diretório hierárquico.
RFC 2559
Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2
Protocolos Operacionais, Infraestrutura de Chave Pública do Internet X.509 - LDAPv2
Foi projetado para satisfer algumas das exigências operacionais dentro da
infraestrtura de chave pública do Internet X.509 (IPKI). Dirige-se a exigências para fornecer o
acesso aos repositórios de chaves públicas do infrastructure (PKI), para as finalidades de
recuperar a informação de PKI e de controlar a mesma informação. É baseado no LDAP v2,
definindo um perfil desse protocolo para o uso dentro do IPKI fazendo atualizações para
certificados e listas da revogação de RFC 1778.
RFC 2596
Use of Language Codes in LDAP
Uso de códigos da língua em LDAP
O LDAP fornece meios para que os clientes possam questionar e modificar as
informações armazenadas em um sistema distribuído do diretório. A informação no diretório
é mantida como os atributos das entradas. A maioria destes atributos têm as sintaxes que são
132
barbantes legíveis, podendo indicar a língua natural associada com os valores do atributo.
Descreve como os códigos da língua são carregados e devem ser interpretada por usuários de
LDAP. Todas as execuções devem ser preparadas para aceitar códigos da língua nos
protocolos de LDAP. Os usuários podem ou não podem ser capazes de armazenar atributos
com códigos da língua no diretório.
RFC 2649
An LDAP Control and Schema for Holding Operation Signatures
Controle e esquema de LDAP para proteger assinaturas da operação
Em muitos ambientes os clientes requerem habilidade ao avaliar a fonte e a
integridade da informação fornecida pelo diretório. Descreve um controle da mensagem de
LDAP que permita a recuperação da informação digital assinada. Define um mecanismo
baseado no LDAP v3 para operações, a fim criar informações seguras das mudanças que
foram feitas a cada entrada de diretório. O cliente e as assinaturas baseadas em usuários são
suportados. Uma classe do objeto para a recuperação subseqüente também é definida
RFC 2696
LDAP Control Extension for Simple Paged Results Manipulation
Extensão do controle de LDAP para a manipulação paginada simples dos resultados
Descreve uma extensão do controle LDAPv3 para a paginação simples de
resultados de busca. Esta extensão do controle permite que um cliente controle a taxa em que
um usuário de LDAP retorna os resultados de uma operação de busca de LDAP. Pode ser útil
quando o cliente de LDAP limita recursos e não pode processar o resultado inteiro de uma
pergunta dada, ou quando o cliente de LDAP está conectado sobre uma conexão de baixo-
largura de faixa. Esta extensão não é projetada fornecer gerência ajustada de um resultado
mais sofisticado.
RFC 2587
Internet X.509 Public Key Infrastructure LDAPv2 Schema
Esquema de Chave Pública de Infraestrutura do LDAPv2 do Internet X.509
Definido um esquema mínimo para suportar PKIX em um ambiente LDAPv2,
como definido em RFC 2559. Somente os componentes específicos de PKIX são
especificados aqui. Usuários de LDAP, agindo como os repositórios de PKIX, devem suportar
as classes auxiliares do objeto definidas nesta especificação e integrar esta especificação do
133
esquema com os esquemas genéricos e outras aplicações específicas, dependendo dos serviços
fornecidos por esses usuários.
RFC 2589
Lightweight Directory Access Protocol (v3): Extensions for Dynamic Directory Services
Protocolo de Leve Acesso a Diretórios V3: Extensões para serviços dinâmicos do
diretório
Define as exigências para serviços dinâmicos do diretório e especifica o
formato do pedido e operações estendidas do usuário em um ambiente dinâmico dos
diretórios. O LDAP suporta acesso aos serviços estáticos do diretório, permitindo um acesso
relativamente rápido da busca e do update. Os serviços estáticos do diretório armazenam
informação sobre a pessoa que persiste em sua exatidão e valor sobre um período de longo
tempo. Os serviços dinâmicos do diretório são diferentes, pois armazenam a informação que
persiste somente em sua exatidão e valor quando está sendo refrescada periodicamente. Esta
informação é armazenada como entradas dinâmicas no diretório.
RFC 2657
LDAPv2 Client vs. the Index Mesh
Cliente LDAPv2 contra o engranzamento do índice
Os clientes LDAPv2, como executados de acordo com RFC 1777, não têm
nenhuma noção referencial. A integração entre tal cliente e engranzamento do índice, como
definido pelo protocolo comum de indexação, depende pesadamente dos referenciais e
conseqüentemente das necessidades de segurança em uma maneira especial.
RFC 2713
Schema for Representing Java(tm) Objects in an LDAP Directory
Schema para representar objetos de Java(tm) em um diretório de LDAP
Define o esquema para representar objetos de Java(tm) em um diretório de
LDAPv3. Define elementos do esquema para representar um objeto colocado em série Java,
um objeto marshalled Java [ RMI ], um objeto remoto de Java [ RMI ] e uma referência de
[ JNDI ].
134
RFC 2739
Calendar Attributes for vCard and LDAP
Atributos do calendário para o vCard e o LDAP
Ao programar uma entidade do calendário, tal como um evento, é um pré-
requisito que um organizador tenha o endereço do calendário de cada participante que será
convidado ao evento. Adicionalmente, o acesso ao tempo "ocupado" atual de um participante
fornece uma indicação de que o participante estará livre participar no evento. A fim de se
encontrar com estes desafios, um agente usuário do calendário (CUA) necessita de um
mecanismo para encontrar um (URI), o calendário do usuário individual e o tempo de
free/busy. Define três mecanismos para obter um URI: transferência manual da informação;
troca de dados pessoal usando o formato do vCard e lookup do diretório usando o protocolo
de LDAP.
RFC 2798
Definition of the inetOrgPerson LDAP Object Class
Definição da classe do objeto do inetOrgPerson LDAP
Quando os padrões X.500 definem muitos tipos úteis do atributo [ X520 ] e
classes do objeto [ X521 ], não definem uma classe do objeto da pessoa que se encontre com
as exigências distribuídas do serviço no diretório da Internet e da Intranet. Define uma classe
nova do objeto chamada inetOrgPerson para o uso em serviços do diretório LDAP e X.500
que estende a classe padrão do organizationalPerson X.521.
RFC 2820
Access Control Requirements for LDAP
Exigências do controle de acesso para LDAP
Descreve as exigências fundamentais de um modelo do Access Control List
(ACL) para o serviço de (LDAP). Pretende-se ser um lugar de recolhimento para as
exigências do controle de acesso necessitadas fornecer o acesso autorizado e a
interoperabilidade entre diretórios.
135
RFC 2829
Authentication Methods for LDAP
Métodos de Autenticação para LDAP
Especifica combinações particulares dos mecanismos de segurança que são
requeridos e recomendados em execuções do LDAP. A versão 3 de LDAP é um protocolo
poderoso de acesso a diretórios. Oferece meios de procura, de busca e de manipulação do
índice do diretório, e as maneiras de alcançar um conjunto rico de funções de segurança. A
fim funcionar melhor para Internet, é vital que estas funções da segurança sejam bem
operadas, conseqüentemente tem que haver um subconjunto mínimo de funções da segurança
que seja comum a todas as execuções que reivindicam o conformidade ao LDAPv3.
RFC 2830
Lightweight Directory Access Protocol (v3): Extension for Transport Layer Security
Protocolo de Leve Acesso a Diretórios V3: Extensão para a segurança da camada de
transporte
Define "a operação de segurança da camada de transporte (TLS)" para LDAP
Esta operação fornece para o estabelecimento de TLS uma associação de LDAP e é definida
nos termos de um pedido estendido do LDAP.
RFC 2849
The LDAP Data Interchange Format (LDIF) - Technical Specification
O Formato Do Intercâmbio Dos Dados de LDAP (LDIF) - Especificação Técnica
Descreve um formato da ferramenta apropriada para descrever a informação ou
as modificações do diretório feita à informação do diretório. O formato da ferramenta,
conhecido como LDIF, para o formato do intercâmbio dos dados de LDAP, é usado
tipicamente para importar e exportar a informação do diretório entre usuários LDAP ou
descrever um jogo das mudanças que devem ser aplicadas a um diretório.
RFC 2891
LDAP Control Extension for Server Side Sorting of Search Results
Extensão do controle de LDAP para a classificação lateral do usuário de resultados da
busca
Descreve duas extensões de controle do LDAPv3 para a classificação lateral do
usuário e de resultados da busca. Estes controles permitem que um cliente especifique os tipos
136
do atributo e combina regras que um usuário deve usar quando retornar os resultados de um
pedido da busca de LDAP. Os controles podem ser úteis quando o cliente de LDAP limitar a
funcionalidade ou não puder classificar os resultados que necessita.
RFC 2926
Conversion of LDAP Schemas to and from SLP Templates
Conversão de esquemas de LDAP e dos moldes de SLP
Descreve um procedimento para traçar propagandas do serviço do protocolo,
da posição do serviço (SLP) e das descrições do (LDAP). Um aspecto está traçando entre o
esquema do tipo moldes do serviço de SLP e do diretório de LDAP. A gramática do serviço
de SLP do molde é relativamente simples, traçar o tipo moldes ao tipo do LDAP é direto.
Traçar em outro sentido é direto, se os atributos, forem restringidos para usar apenas algumas
das sintaxes definidas em RFC 2252.
RFC 2927
MIME Directory Profile for LDAP Schema
Perfil do diretório do MIME para o schema de LDAP
Define um perfil de múltiplos propósitos do diretório das extensões do correio
da Internet (MIME) para prender um esquema do (LDAP). Pretende-se para uma
comunicação com o serviço da lista do esquema da Internet.
RFC 3045
Storing Vendor Information in the LDAP root DSE
Armazenamento de Informação para LDAP na raiz do DSE
Especifica dois atributos do (LDAP), vendedor de nomes e o vendedor de
versões, incluídos na entrada DSA -específica da raiz (DSE) para anunciar a informação
vendedor-específica. A informação presas nestes atributos podem ser usadas para a exposição
e finalidades informativas e não devem ser usadas para a propaganda ou a descoberta da
característica.
137
RFC 3062
LDAP Password Modify Extended Operation
A Senha de LDAP Modifica Operação Prolongada
A integração do LDAP e de serviços externos do authentication introduziu
identidades do authentication no DN e permitiu o armazenamento do diretório das senhas. Os
mecanismos que atualizam o diretório não podem ser usados para mudar a senha de um
usuário. Descreve uma operação estendida do LDAP para permitir a modificação de senhas
do usuário que não é dependente do formulário da identidade do authentication nem do
mecanismo de armazenamento da senha usada.
RFC 3088
OpenLDAP Root Service An experimental LDAP referral service
Serviço da raiz de OpenLDAP um serviço de referral experimental de LDAP
O projeto de OpenLDAP está operando num serviço experimental de LDAP,
como também "o serviço da raiz OpenLDAP". O sistema automatizado gera referencias
baseadas nas informaçãos das posições do serviço publicado em DNS SRV RRs (posição do
Domain Name System de registros do recurso dos serviços).
RFC 3112
LDAP Authentication Password Schema
Esquema de Senha de Autenticação do LDAP
Descreve o esquema na sustentação do authentication de user/password em um
diretório de LDAP incluindo o tipo do atributo do authPassword. Este tipo do atributo
mantem valores derivados do password(s) do usuário. O authPassword é pretendido para ser
usado no lugar do userPassword.
RFC 3296
Named Subordinate References in Lightweight Directory Access Protocol (LDAP)
Directories
Referência de nomes Subordinados em Diretórios (LDAP)
Detalha elementos do esquema e do protocolo para representar e controlar
referências subordinadas nomeadas em diretórios de LDAP.
138
RFC 3352
Connection-less Lightweight Directory Access Protocol (CLDAP) to Historic Status
Conexão-menos do Protocolo CLDAP Status do Histórico
A especificação técnica de (CLDAP), RFC 1798, foi publicada como um
padrão proposto e discute as razões as quais a especificação técnica de CLDAP não foi
promovida na trilha padrão.
RFC 3377
Lightweight Directory Access Protocol (v3): Technical Specification
Protocolo de Leve Acesso a Diretórios V3: Especificação Técnica
Especifica o jogo de RFCs que compreendem a versão 3 do LDAPv3, e
endereços "a nota IESG" unida a RFCs 2251 a 2256. A especificação para a versão 3 do
LDAP compreende oito RFCs que foram emitidos em dois subconjuntos distintos. O RFC
2251 a 2256 não exige a execução de nenhuns mecanismos satisfatórios do authentication e
daqui não estêve publicado com "uma execução da nota IESG" e uma distribuição
desanimadoras dos clientes LDAPv3 ou dos usuários que executam a funcionalidade do
update até que um padrão proposto para o authentication imperativo em LDAPv3 esteja
publicado. O RFC 2829 foi publicado subseqüentemente na resposta à nota do IESG. A
finalidade deste original é especificar explicitamente o jogo de RFCs que compreende
LDAPv3, e dirige-se formalmente à nota do IESG através do inclusion explícito de RFC
2829.
RFC 3383
Internet Assigned Numbers Authority (IANA) Considerations for the Lightweight
Directory Access Protocol (LDAP)
Considerações do Internet Assigned Numbers Authority (IANA) para Protocolo de Leve
Acesso a Diretórios (LDAP)
Fornece procedimentos registando elementos extensivos do (LDAP). Fornece
também guidelines ao Internet Assigned Numbers Authority (IANA) que descreve as
circunstâncias sob que os valores novos podem ser atribuídos. Sustentações de LDAP: adição
de operações novas, extensão de operações existentes, e esquema extenso.
139
RFC 3384
Lightweight Directory Access Protocol (version 3) Replication Requirements
Protocolo de Leve Acesso a Diretórios LDAP (versão 3) Exigências de Replicação
Discute as exigências fundamentais para a replicação dos dados acessíveis
através do (LDAPv3). Pretende-se ser um lugar de recolhimento para as exigências gerais do
replication necessitando fornecer o interoperability entre diretórios informativos.
RFC 3494
Lightweight Directory Access Protocol version 2 (LDAPv2) to Historic Status
Protocolo de Leve Acesso a Diretórios Versão 2 (LDAPv2) Status do Histórico
Recomenda a aposentadoria da versão 2 (LDAPv2) e de outras especificações
dependentes. É usado alcançar serviços do diretório de X.500-based. Recomenda que
LDAPv2 e outras especificações dependentes estejam aposentados.
RFC 3663
Domain Administrative Data in Lightweight Directory Access Protocol (LDAP)
Dados administrativos do domínio no Protocolo de Leve Acesso a Diretórios (LDAP)
Os dados do registo do domínio foram expostos tipicamente ao público geral
através de Nicname/Whois para finalidades administrativas. Este original descreve o serviço
de (LDAP), um serviço experimental usando LDAP e tipos well-known de LDAP fazer
domínio dados administrativos disponíveis.
RFC 3671
Collective Attributes in the Lightweight Directory Access Protocol (LDAP)
Atributos coletivos dentro do Protocolo de Leve Acesso a Diretórios (LDAP)
Os atributos X.500 coletivos permitem que as características comuns sejam
compartilhadas entre as coleções das entradas. Ele sumaria o modelo da informação X.500
para os atributos coletivos e descreve o uso de atributos coletivos em LDAP. Fornece
definições do esquema para atributos coletivos para o uso em LDAP.
140
RFC 3672
Subentries in the Lightweight Directory Access Protocol (LDAP)
Subentries no Protocolo de Leve Acesso a Diretórios (LDAP)
Nos diretórios X.500, os subentries são entradas especiais usadas para manter a
informação associada com um subtree ou um refinement do subtree. Adapta mecanismos dos
subentries X.500 para o uso com o (LDAP).
RFC 3673
Lightweight Directory Access Protocol version 3 (LDAPv3): All Operational Attributes
Protocolo de Leve Acesso a Diretórios LDAP (versão 3): Todos os Atributos
Operacionais
O (LDAP) suporta um mecanismo para pedir o retorno de todos os atributos do
usuário mas de não todos os atributos operacionais. Descreve uma extensão de LDAP que os
clientes possam usar para pedir o retorno de todos os atributos operacionais.
RFC 3674
Feature Discovery in Lightweight Directory Access Protocol (LDAP)
Descoberta de características no Protocolo de Leve Acesso a Diretórios LDAP
O (LDAP) é um protocolo extensível com características numerosas. Introduz
um mecanismo geral para a descoberta das características e das extensões que não podem ser
descobertas usando mecanismos existentes.
RFC 3687
Lightweight Directory Access Protocol (LDAP) and X.500 Component Matching Rules
Protocolo de Leve Acesso a Diretórios LDAP e réguas combinando do componente
X.500
Define as sintaxes dos atributos em uma escala de (LDAP) ou do diretório
X.500 dos tipos de dados simples, tais como a corda de texto, o inteiro, o booleano, os tipos
de dados estruturados complexos e também as sintaxes dos atributos operacionais do esquema
do diretório. As regras definidas para as sintaxes complexas são mais imediatas e úteis,
combinando a potencialidade. Define as regras genéricas que podem combinar todas as partes
selecionadas usuário em um valor do atributo de qualquer sintaxe arbitrariamente complexa
do atributo.
141
RFC 3698
Lightweight Directory Access Protocol (LDAP): Additional Matching Rules
Protocolo de Leve Acesso a Diretórios LDAP : Réguas Combinando Adicionais
Fornece uma coleção de regras combinando o uso com o (LDAP). Estas regras
são adaptações simples das regras especificadas para o uso com o diretório X.500, a maioria
são já dentro uso largo.
RFC 3703
Policy Core Lightweight Directory Access Protocol (LDAP) Schema
Esquema do Protocolo de Leve Acesso a Diretórios Do Núcleo Da Política (LDAP)
Define o modelo da informação do núcleo da política a um formulário que
possa ser executado em um diretório que use o (LDAP) como seu protocolo do acesso. Define
duas hierarquias de classes do objeto: as classes estruturais que representam a informação
para dados de representação e controle da política como especificados em RFC 3060, e o
relacionamento que classifica e indica como os exemplos das classes estruturais são
relacionados. As classes são adicionadas também ao esquema de LDAP para melhorar o
desempenho de interações de um cliente com um usuário de LDAP quando o cliente está
recuperando quantidades grandes de informações relacionadas.
RFC 3712
Lightweight Directory Access Protocol (LDAP): Schema for Printer Services
Protocolo de Leve Acesso a Diretórios (LDAP) : Schema para Serviços de Impressora
Define um esquema de objeto que classifica e atribui, para impressoras e
serviços da impressora, o uso de diretórios que suportam o v3 (LDAP-TS). Baseado nos
atributos da impressora alistados no apêndice e no Internet Protocol/1.1 (IPP). Alguns
atributos adicionais da impressora são baseados em definições no MIB da impressora.
RFC 3727
ASN.1 Module Definition for the LDAP and X.500 Component Matching Rules
Definição do módulo ASN.1 para réguas combinando do componente LDAP e X.500
Atualiza a especificação das regras combinando componentes para o (LDAP) e
os diretórios X.500 coletando as definições do Abstract Syntax Notation One (ASN.1) das
regras combinando componentes em um módulo ASN.1, e identificado outras especificações
142
que possam referenciar as definições, combinando regras dos componentes dentro de seus
próprios módulos ASN.1.
RFC 3771
The Lightweight Directory Access Protocol (LDAP) Intermediate Response Message
Protocolo de Leve Acesso a Diretórios (LDAP) Mensagem De Resposta Intermediária
Define e descreve a mensagem de IntermediateResponse, um mecanismo geral
para definir operações de single-request/multiple-response no (LDAP). A mensagem de
IntermediateResponse é definida de tal maneira que o comportamento do protocolo de
operações existentes de LDAP é mantido. Esta mensagem é usada conjuntamente com o
LDAP ExtendedRequest e ExtendedResponse para definir operações novas de
request/multiple-response ou conjuntamente com um controle ao estender operações
existentes de LDAP em uma maneira que as requeira retornar a informação intermediária da
resposta.
RFC 3829
Lightweight Directory Access Protocol (LDAP) Authorization Identity Request and
Response Controls
Protocolo de Leve Acesso a Diretórios (LDAP) Controles do pedido e da resposta da
identidade da autorização
Estende a operação do (LDAP) com um mecanismo para pedir e retornar a
identidade para estabelecer uma autorização. Define os controles do pedido e da resposta da
identidade da autorização para o uso com a operação do ligamento.
143
BIBLIOGRAFIA
[CERTIFICAÇÃO LINUX] Ribeiro, uirá. Editora Axcel ISBN: 85 - 7323 -232 -3.
144
[HOWES,1995] HOWES, timothy A. – The Lightweight Directory Access Protocol: X.500
Lite. Disponível em:< http://www.openldap.org/pub/umich/ldap.pdf >. Acesso em: 23 fev.
2005, 23:00.
[KAINES, 2001] KAINES, Luke A. Primeiros Passos com LDAP. Disponível em:
<http://geocities.yahoo.com.br/cesarakg/primeiros_passos_ldap.html>. Acesso em: 24 Fev.
2005, 00:50.
[LINUX 2005] Guia do Servidor Conectiva Linux, . Autenticação do Sistema. Disponível em:
<http://www.conectiva.com/doc/livros/online/9.0/servidor/autenticacao.html>. Acesso em: 23
Fev. 2005, 01:00.
145
[NAGUEL1] NAGUEL, Frederico F.; Fernandes, Elaine; – Diretório Distribuido,
Disponível em:< http://www.ldap.liceu.com.br/conceitos/distribuido.htm>. Acesso em:27 de
Abril, 14:21.
[RIBEIRO,2004] RIBEIRO, Uirá – Certificação LINUX. 1ª Edição Axel Books, São Paulo,
2004.
[RNP, 2001] RNP – Rede Nacional de Ensino e Pesquisa. ACL Como Funciona. Disponível
em: <http://www.rnp.br/newsgen/0103/filtros.html>. Acesso em: 27 Abr. 2005, 16:08.
146
[RFC 1779] S. Kille - A String Representation of Distinguished Names
Obsoletes: 1485. Disponível em < http://www.ietf.org/rfc/rfc1779.txt?number=1779>, Março
de 1995.
[RFC 2044] F. Yergeau - UTF-8, a transformation format of Unicode and ISO 10646
Disponível em < http://www.ietf.org/rfc/rfc2044.txt?number=2044 >, Outubro de 1996
[RFC 2251] M. Wahl, T. Howes, S. Kille - Lightweight Directory Access Protocol (v3)
Disponível em < http://www.ietf.org/rfc/rfc2251.txt?number=2251 >, Dezembro de 1997
[RFC 2253] M. Wahl, T. Howes, S. Kille - Lightweight Directory Access Protocol (v3):
UTF-8 String Representation of Distinguished Names. Obsoletes: 1779. Disponível em <
http://www.ietf.org/rfc/rfc2253.txt?number=2253 >, Dezembro de 1997.
147
[RFC 2256] M. Wahl - A Summary of the X.500(96) User Schema for use with LDAPv3.
Disponível em < http://www.ietf.org/rfc/rfc2256.txt?number=2256 >, Dezembro de 1997.
[RFC 1487] W. Yeong, T. Howes, S. Kille - X.500 Lightweight Directory Access Protocol
Disponível em < http://www.ietf.org/rfc/rfc1487.txt?number=1487 >, Julho de 1993.
[RFC 1960] T. Howes - A String Representation of LDAP Search Filters. Obsoletes: 1558.
Disponível em <http://www.ietf.org/rfc/rfc1960.txt?number=1960 >, Junho de 1996.
[RFC 2079] M. Smith - Definition of an X.500 Attribute Type and an Object Class to Hold
Uniform Resource Identifiers (URIs) Disponível em <http://www.ietf.org/rfc/rfc2079.txt?
number=2079 >, Janeiro de 1997.
[RFC 2164] S. Kille - Use of an X.500/LDAP directory to support MIXER address mapping
Obsoletes: 1838. Disponível em http://www.ietf.org/rfc/rfc2164.txt?number=2164 >, Janeiro
de 1998.
[RFC 2307] L. Howard - An Approach for Using LDAP as a Network Information Service
Disponível em <http://www.ietf.org/rfc/rfc2307.txt?number=2307 >, Março de 1998.
[RFC 2377] A. Grimstad, R. Huber, S. Sataluri, M. Wahl - Naming Plan for Internet
Directory-Enabled Applications. Disponível em <http://www.ietf.org/rfc/rfc2377.txt?
number=2377 >, Setembro de 1998.
148
[RFC 2559] S. Boeyen, T. Howes, P. Richard - Internet X.509 Public Key Infrastructure
Operational Protocols - LDAPv2.Updates: 1778. Disponível em <
http://www.ietf.org/rfc/rfc2559.txt?number=2559 >, Abril de 1999.
[RFC 2596] M. Wahl, T. Howes - Use of Language Codes in LDAP. Disponível em <
http://www.ietf.org/rfc/rfc2596.txt?number=2596 >, Maio de 1999.
[RFC 2649] B. Greenblatt, P. Richard - An LDAP Control and Schema for Holding Operation
Signatures. Disponível em <http://www.ietf.org/rfc/rfc2649.txt?number=2649>, Agosto de
1999.
[RFC 2696] C. Weider, A. Herron, A. Anantha, T. Howes - LDAP Control Extension for
Simple Paged Results Manipulation. Disponível em <http://www.ietf.org/rfc/rfc2696.txt?
number=2696 >, Setembro de 1999.
[RFC 2587] S. Boeyen, T. Howes, P. Richard - Internet X.509 Public Key Infrastructure
LDAPv2 Schema.Disponível em <http://www.ietf.org/rfc/rfc2587.txt?number=2587>, Junho
de 1999.
[RFC 2567] R. Hedberg - LDAPv2 Client vs. the Index Mesh Services .Disponível em
<http://www.ietf.org/rfc/rfc2657.txt?number=2657 >, Agosto de 1999.
[RFC 2713] V. Ryan, S. Seligman, R. Lee - Schema for Representing Java(tm) Objects in
an LDAP Directory. Disponível em <http://www.ietf.org/rfc/rfc2713.txt?number=2713>,
Outubro de 1999.
[RFC 2739] T. Small, D. Hennessy , F. Dawson - Calendar Attributes for vCard and LDAP.
Disponível em <http://www.ietf.org/rfc/rfc2739.txt?number=2739>, Janeiro de 2000.
149
[RFC 2798] M. Smith - Definition of the inetOrgPerson LDAP Object Class. Disponível em
<http://www.ietf.org/rfc/rfc2798.txt?number=2798>, Abril de 2000.
[RFC 2830] J. Hodges, R. Morgan, M. Wahl - Lightweight Directory Access Protocol (v3):
Extension for Transport Layer Security. Disponível em <http://www.ietf.org/rfc/rfc2830.txt?
number=2830>, Maio de 2000.
[RFC 2849] G. Good - The LDAP Data Interchange Format (LDIF) - Technical Specification
Disponível em <http://www.ietf.org/rfc/rfc2849.txt?number=2849>, Junho de 2000.
[RFC 2891] T. Howes, M. Wahl, A. Anantha - LDAP Control Extension for Server Side
Sorting of Search Results. Disponível em <http://www.ietf.org/rfc/rfc2891.txt?
number=2891>, Agosto de 2000.
[RFC 2926] J. Kempf, R. Moats, P. St. Pierre - Conversion of LDAP Schemas to and from
SLP Templates. Disponível em <http://www.ietf.org/rfc/rfc2926.txt?number=2926>,
Setembro de 2000.
[RFC 2927] M. Wahl - MIME Directory Profile for LDAP Schema. Disponível em
<http://www.ietf.org/rfc/rfc2927.txt?number=2927>, Setembro de 2000.
[RFC 3045] M. Wahl - Storing Vendor Information in the LDAP root DSE.Disponível em
<http://www.ietf.org/rfc/rfc3045.txt?number=3045>, Janeiro de 2001.
[RFC 3088] K. Zeilenga - OpenLDAP Root Service An experimental LDAP referral service
.Disponível em <http://www.ietf.org/rfc/rfc3088.txt?number=3088>, Abril de 2001.
150