O documento discute a integração do FreeBSD com o Active Directory e OpenLDAP, incluindo o que é LDAP, como o OpenLDAP e Active Directory funcionam como serviços de diretório, e como projetos como nss_ldap, pam_ldap e SFU facilitam a integração através de mapeamento de objetos e arquivos de configuração.

1. Integrando FreeBSD com
Active Directory e OpenLDAP

2. O que será mostrado nestes
60 minutos?

3. • O que é LDAP?
• O serviço de diretório OpenLDAP
• A implementação do Active Directory
• O porquê da integração
• O que é o SFU?
• O projeto nss_ldap
• O projeto pam_ldap
• O segredo da integração
• Os arquivos de configuração
• Projeto de compatibilidade com o
Active Directory
• O que falta ainda?

4. O que é LDAP?

5. LDAP (Lightweight Directory Access Protocol) é um
protocolo (executado sobre o TCP/IP) cliente-servidor,
utilizado para acessar um serviço de Diretório. Ele foi
inicialmente usado como uma interface para o X.500,
mas também pode ser utilizado com autonomia e em
outros tipos de servidores de Diretório.
Atualmente vem se tornando um padrão, diversos
programas já possuem suporte a LDAP. Livros de
endereços, autenticação, armazenamento de
certificados digitais (S/MIME) e de chaves públicas
(PGP), são alguns dos exemplos onde o LDAP já é
amplamente utilizado.

6. O serviço de diretório
OpenLDAP

7. Um Diretório é como um banco de dados, mas tende a
conter mais informações descritivas, baseadas em
atributo, e é organizado em forma de árvore, não de
tabela.
A informação em um Diretório é geralmente mais lida do
que escrita. Como conseqüência, Diretórios
normalmente não são usados para implementar
transações complexas, ou esquemas de consultas
regulares em bancos de dados, transações estas que
são usadas para fazer um grande volume de
atualizações complexas.
Atualizações em Diretórios são tipicamente simples ou
nem são feitas.

8. Diretórios são preparados para dar resposta rápida a um
grande volume de consultas ou operações de busca.
Eles também podem ter a habilidade de replicar
informações extensamente; isto é usado para
acrescentar disponibilidade e confiabilidade, enquanto
reduzem o tempo de resposta.

9. Existem várias maneiras diferentes para disponibilizar
um serviço de Diretório. Métodos diferentes permitem
que diferentes tipos de informações possam ser
armazenadas no Diretório, colocando requerimentos
diferentes, sobre como aquela informação poderá ser
referenciada, requisitada e atualizada, como ela é
protegida de acessos não autorizados, etc..
Alguns serviços de Diretório são locais, fornecendo o
serviço para um contexto restrito (ex., o serviço finger
em uma máquina isolada). Outros serviços são globais,
fornecendo o serviço para um contexto muito maior (por
exemplo, a própria Internet).

10. A implementação do
Active Directory

11. Active Directory

12. O porquê da integração

13. Autenticação integrada entre serviços
Migrações seletivas
Serviços de alta disponibilidade
Migrações de usuários / objetos entre ambientes
Suporte a NIS / NFS entre ambientes

14. O que é SFU?

15. Desde sua introdução em 1999, o Services for UNIX (SFU)
iniciaram um papel principal para quem tentava fazer
redes Windows e UNIX coexistir pacificamente. A versão
inicial trouxe junto diversos produtos diferentes em um
pacote totalmente acoplado.
A versão 2.0 do SFU se estendeu e melhorou
substancialmente o suporte do Network File System
(NFS), adicionando autenticação e a integração com
Windows, ao fornecer um produto mais inteiramente
integrado.

16. Com a liberação da versão 3,0 em maio, 2002,
Microsoft substituiu a camada de emulação
precedentes da tecnologia Interix. Interix é um
subsistema completo para executar nativamente
programas UNIX em ambientes Microsoft Windows
Server™ 2003, Windows XP Professional, e Windows
2000.
O interix inclui um completo pacotes de softwares
UNIX, como:
Bash
VI
AWK
Perl
Python
GCC

17. Com versão 3.5 do SFU, a Microsoft melhorou o Interix
SDK para suportar aplicações nativas e APIs para
melhorar o suporte para a internacionalização.
A sustentação ao NFS foi estendida também para
melhorar a autenticação em ambientes comDirectory®
e usuários nativos do Windows 2003.
Além disso houve muitas melhorias substanciais no
desempenho no NFS e em componentes NIS do SFU.
Microsoft projetou SFU 3.5 para trabalhar com uma
grande escala larga plataformas UNIX-Like como,
BSD/Linux/Solaris usando protocolos padronizados
como LDAP, NIS, NFS.

18. Instalação do SFU (Services for Unix)
Os arquivos de configuração

19. Instalação do SFU (Services for Unix)
Os arquivos de configuração

20. Instalação do SFU (Services for Unix)
Os arquivos de configuração

21. Instalação do SFU (Services for Unix)
Os arquivos de configuração

22. Instalação do SFU (Services for Unix)
Os arquivos de configuração

23. Instalação do SFU (Services for Unix)
Os arquivos de configuração

24. Instalação do SFU (Services for Unix)
Os arquivos de configuração

25. Instalação do SFU (Services for Unix)
Os arquivos de configuração

26. Instalação do SFU (Services for Unix)
Os arquivos de configuração

27. Instalação do SFU (Services for Unix)
Os arquivos de configuração

28. O projeto pam_nsswitch

29. A definição das entidades definida na RFC 2307 é
executada geralmente por um conjunto de chamadas da
biblioteca C do UNIX (tais como o getpwnam() para
retornar os atributos de um usuário).
O módulo do nss_ldap fornece os meios para ambientes
Unix se integrarem a serviços de diretório OpenLDAP,
buscando informações como hosts, usuários, senhas ou
qualquer informação contida no serviço de diretório. O
módulo é a execução da referência da RFC 2307.

30. O projeto pam_ldap

31. O módulo do pam_ldap fornece meios para o
FreeBSD faça autenticação, mudança de senhas e
usuários em serviços de diretórios LDAP.

32. O segredo da integração

33. Mapeamento de Objetos
Object Class (posixAccount) User
uid
uidNumber msSFU30Name
msSFU30UidNumber

34. Os arquivos de configuração

35. /usr/local/etc/ldap.conf
uri ldap://w3k.dominio.com.br/ Objetos OpenLDAP Unix
base dc=dominio,dc=com,dc=br Objetos Active Directory Microsoft®
ldap_version 3
binddn administrator@dominio.com.br
bindpw SenhadoUsuarioAdministrator
scope sub
pam_login_attribute msSFU30Name
pam_password ad
nss_base_passwd cn=users,dc=dominio,dc=com,dc=br?one
nss_base_group cn=users,dc=dominio,dc=com,dc=br?one
nss_map_objectclass posixAccount User
nss_map_attribute uid msSFU30Name
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_objectclass posixGroup Group
nss_map_attribute uniqueMember posixMember
nss_map_attribute cn sAMAccountName

36. /etc/nsswitch.conf
passwd: files ldap
group: files ldap
Os arquivos de configuração

37. /etc/pam.d ; sshd, imap, ftpd e outros
auth sufficient /usr/local/lib/pam_ldap.so
Os arquivos de configuração

38. O que é possivel de fazer?

39. Integração de serviços:
• VPN PPTP
• VPN Ipsec + Radius
• Mailservers (Postfix/Sedmail/Qmail)
• Autenticação de Gateways PF+AUTHPF
• Squid
• Samba 3
• Asterisk (VoIP)
• Aplicações WEB (php, perl,mono C#)

40. Projeto de compatibilidade
com o Active Directory

41. Projeto de compatibilidade com o Active Directory
consiste básicamente em mapear funções e
tecnologias utilizadas para integração de ambientes e
desenvolver similares opensource.

42. Projetos em andamento:
• Schemas do Active Directory
• Schemas do ISA Server
• Schemas do Exchange Server
• Modificação de serviços
• DNS
• DHCP
• SAMBA
• PF (Packet Filter OpenBSD)
• POSTFIX
• Client Multi-Plataforma .NET Mono C#
• Interface Web para gerenciamento centralizado

43. O que falta ainda?

44. OpenLDAP

45. Objetivos a serem alcançados
usando tecnologias do FreeBSD:
• Integração entre cliente/FreeBSD – servidor/FreeBSD
• Definição de padrão para arvóre de diretório LDAP
• Login Classes (Integração com LDAP)
• MAC ou Mandatory Access Control

46. Duvidas?
Informações?
www.tompast.org
rafael.sales@lycos.de
team@tompast.org