Redes -aula_9_-_servicos_de_diretorio

Redes ‐ Aula 9AUTENTICAÇÃO

SERVIÇOS DE DIRETÓRIOProf. Rodrigo Coutinho

Si stemas de autenti cação

• Quem está do outro lado é mesmo quem diz ser?• Componentes

– Entidade autenticada– Autenticador– Protocolo de autenticação– Entidades de suporte ao protocolo

• Baseia‐se no conceito de que determinada entidade é a única capaz de enviar determinada informação– Senha (saber)– Smartcard (possuir)– Biometria (ser)– Single Sign‐On

Servi dor de autenti cação

• Permite autenticar utilizadores para serviços/recursos da rede ou aplicações

• Servidores de autenticação mais comuns– RADIUS (padrão de fato)

– TACACS+

• Autenticação, Autorização e Accounting – AAA

• Gerenciamento central do AAA– Informação em uma base central e segura

• Simplifica administração

Servi dor de autenti cação

• Autenticação – Garantir a identidade do utilizador/recurso

• Autorização – Controla o acesso a determinados recursos

– Contribui para segurança da rede

• Accounting (Contabilidade) – Registro de acontecimentos envolvendo acessos

– “Quem fez o quê e quando”

– Pode ser usado para auditoria ou Billing

– Ex. recursos utilizados durante sessão: pacotes, bytes, etc

Segredo comp arti lhado

• PPP Authentication Protocol – PAP– Unidirecional – autenticador não é autenticado pela entidade a

autenticar (usuário)

• Challenge Responde Authentication Protocol – CHAP– Desafio enviado pelo autenticador

– Usuário devolve challenge com a senha em MD5

– Versão mais nova MSCHAP2 autentica também o servidor

TACACS+

• Protocolo desenvolvido para comunicação entre servidor AAA e NAS

• Usa TCP

• Provê validação centralizada de usuários para acesso a uma determinada rede

Radi us

• Remote Authentication Dial‐in User Service

• Serviço de AAA

• Objetivo inicial: servir ISPs– Acesso discado à internet com vários Network Access Servers (NAS)

– A lista de usuários/senhas fica centralizada em um servidor

• Usado atualmente também em redes privadas que requerem autenticação

• Suporte a múltiplos protocolos de autenticação e bases de dados

• Mensagens entre NAS e Radius usam criptografia simétrica

Radi us

• Modelo: Cliente/Servidor– Cliente repassa informação do usuário para o servidor e age

conforme resposta recebida

• Utiliza UDP– 1812 para autenticação e autorização

– 1813 para accounting

Radi us ‐ funci onamento

• Mensagem “access request” é enviada ao servidor– Se não houver resposta, a solicitação é reenviada– Podem haver servidores secundários

• Failover ou Round Robin

• Servidor recebe a solicitação e valida o cliente– Se o cliente não possuir o segredo compartilhado, a conexão é

descartada– Se o cliente for válido, Radius consulta a base de dados de usuários

para encontrar o usuário

• Condições não satisfeitas – access reject• Condições satisfeitas

– Envio do challenge (senha)

Kerberos

• Uma rede possui vários– Usuários

– Serviços

– Dispositivos

• Se cada serviço tiver o seu sistema de autenticação– Custo de administração

– Maior complexidade

– Maior vulnerabilidade

• Solução é a centralização de autenticação

Kerberos

• Serviço de single sign‐on baseado em criptografia simétrica– Single sign‐on: cliente autentica uma vez; as demais autenticações

serão transparentes

• Orientado inicialmente aos sistemas Unix– Controle de acesso Windows 2000/XP/2003 é baseado no Kerberos

v5.

• Autenticação– Uso de senha

– A senha não é transmitida pela rede

– Usuário conhece a senha e o servidor kerberos possui uma cópia encriptada em sua base

Kerberos ‐ Domíni os

• Cada domínio é composto por:– Servidor Kerberos (Kerberos Distribution Center – KDC)

• 2 servidores: Authentication Server e Ticket Granting Server

– Vários serviços

– Cada par cliente/serviço partilha uma chave com o KDC

– As chaves dos usuários é gerada a partir de senha

– É possível ligar múltiplos domínios (realms)

• Objetos de segurança– Ticket: Token admitido pelo sistema para uso em um serviço

– Authenticator: Token enviado pelo cliente para provar quem é

– Session Key: Chave que o cliente vai utilizar para falar com o servidor

Kerberos ‐ Chaves

• Cliente deve possuir um ticket e uma chave para cada servidor que for usar– Tickets possuem validade limitada

– Serão utilizados até expirados

Kerberos ‐ Fases

• Fase 1 – “Single sign‐on”– Cliente deve contatar o Authentication Server, para receber um

Ticket TGT

– O ticket TGT servirá para comunicação com o servidor TGS e acesso aos demais serviços

– Utilizador tem que se autenticar apenas uma vez

• Fase 2 – Obtenção de ticket– Cliente usa o ticket TGS para solicitar acesso a determinado serviço

• Fase 3 – Acesso ao serviço– Servidor autentica‐se

Servi ços de di retóri o

• Serviços para localização de entidades lógicas na rede– Dispositivos – micros, impressoras

– Serviços (servidores de rede)

– Pessoas

– Domínios

– Etc

• Associam nomes lógicos a um aspecto físico

X.500

• Padrão ISO e ITU para serviço distribuído de diretórios

• Utiliza base de dados distribuída e replicada

• Usuários acessam o serviço através de aplicação cliente com uso de protocolo comum (DAP)

• Originalmente desenvolvido sobre os conceitos do modelo OSI– Adoção restrita

• Alguns produtos permitem comunicação X.500 sobre TCP/IP

X.500

• Os nomes são indicados da seguinte forma:• /C=FR/O=Louvre/OU=Art Acquisition

• Denominações da linguagem

• DIT : Directory Information Tree

• C: Country

• O : Organization

• OU : Organization Unit

• CN : Common Name

• L : Local

X.500 ‐ DIT

X.500 – Comp onentes.1

• GDS – Global Directory Service– Serviço de diretório distribuído global

• DUA – Directory User Agent– Cliente do serviço de diretório distribuído

• DSA – Directory System Agent– Servidor do serviço de diretório distribuído

• DAP – Directory Access Protocol– Protocolo utilizado pelo cliente DUA para dialogar com o servidor

DSA (origem do LDAP!)

• DSP – Directory System Protocol– Protocolo usado para diálogo entre os DSAs

X.500 – Comp onentes.2

• DIB _ Directory Information Database– Base de dados de nomes distribuída e replicada

• DIT – Directory Information Tree– Árvore de diretório

• XDS – X.500 Directory Service– API utilizada pelas aplicações para manipular dados

• XOM – X.500 Object Management– API utilizada pelas áplicações para definição e gerenciamento das

classes de objetos de informação nos diretórios

LDAP

• Lightweight Directory Access Protocol

• Padrão IETF, projetado para operar em Internet– Alternativa ao protocolo DAP, do X.500

– Excluiu as funcionalidades redundantes e de pouco uso do DAP

• LDAP atual é versão 3 (RFCs 2251 a 2256)– É considerado um gateway para os servidores de diretório X.500

• Baseado em TCP/IP– DAP usa modelo OSI

– Forte Adoção

LDAP ‐ Característi cas

• É possível gerenciar uma grande variedade de objetos– Usuários, grupos, dispositivos, contatos, etc

• Diminui necessidade de gerenciar aplicações de diretório específicas– Ex. Correio eletrônico

• Padrão independente de plataforma– Alta aderência a vários fabricantes

• Reduz custo de gerenciamento– Menos diretórios para administrar

• Economiza tempo de desenvolvimento– Aplicações usam informações do serviço de diretório

LDAP ‐Modelos

• Modelo de informação– Define os tipos de dados armazenados no diretório

– Objetos, classes, atributos e schemas

• Modelo de nomes– Define como os dados serão organizados e referenciados

– DIT; DN e RDN

• Modelo funcional– Define como acessar e atualizar as informações no diretório

– Leitura, pesquisa, alteração e autenticação

• Modelo de segurança– Regras e controle de acesso das informações armazenadas

LDAP – Modelo de Nomes

• Objetivos– Organizar e referenciar informações no diretório

– Facilitar a manutenção dos dados

– Flexibilizar a política de controle de acesso

– Permitir a partição e replicação

– Permitir uma navegação mais simples

• Entradas são dispostas hierarquicamente– Hierarquia é representada por uma Directory Information Tree – DIT

– Cada entrada é identificada unicamente por um Distinguished Name ‐ DN

LDAP – Modelo de Nomes

LDAP – DN e RDN

• Distinguished Name (DN) especifica um identificador único para uma entrada no DIT

• Contém a informação do nível que a entrada está dentro da árvore

• Exemplo– CN = Rodrigo Coutinho, OU = EAD, DC=Cathedra

• Relative Distinguished Name (RDN) é um nome que é único em um determinado nível de hierarquia

• Exemplo

– CN = Rodrigo Coutinho é identificador único na OU = EAD

LDAP – Modelo de Informação

• Especifica os tipos de informação que poderão ser armazenados

• É composta pelos atributos

• Uma entrada é uma coleção de informações sobre determinado objeto– Cada entrada possui um único DN

– Implementam uma ou mais classes de objetos

– Possuem apenas atributos definidos nas classes de objeto implementadas

LDAP – Objeto

• dn: cn=Rodrigo Coutinho, ou=EAD, ou=Professores, DC=cathedra, DC=gov, DC=BR

• homePhone: +55 000 00000• givenName: Rodrigo Coutinho• objectClass: top• objectClass: person• objectClass: organizationalPerson• userPassword:: e2NyaXB0fVJuVlZ2V2w2WWpXcTI=• uid: rodrigo• cn: Rodrigo Coutinho• street: Venâncio 2000• l: Belo Horizonte• sn: Coutinho

LDAP – Classes de Objeto

• Definem atributos obrigatórios e opcionais das entradas

• Podem ser abstratas, estruturais ou auxiliares

• Possuem nome único

• São definidas no Schema

• Há herança de atributos de Classes “mãe” para “filha”

LDAP – Classes de Objeto

• Sintaxe:• objectclass ( <OID da classe de objeto>

• [ "NAME" <nome da classe de objetos> ]

• [ "DESC" <descrição da classe de objeto> ]

• [ "OBSOLETE" ]

• [ "SUP" <OID da classe de objeto ancestral> ]

• [ ( "ABSTRACT" / "STRUCTURAL" / "AUXILIARY" ) ]

• [ "MUST" <OID dos atributos obrigatórios> ]

• [ "MAY" <OID dos atributos não obrigatórios> ]

• )

LDAP – Atri butos

• Possuem nomes

• Definem os tipos de dados que podem armazenar– Podem possuir um ou mais valores

– Podem estar presentes em um ou mais objetos

• Regras de comparação– Métodos de comparação de atributos, definidos nas propriedades

IGUALITY, SUBSTR e ORDERING

– Usado para indexação

LDAP – Classes de objeto

• Ex. A classe de objeto “Person” pode conter vários atributos:– CN (Common Name)

– Surname (SN)

– Password

LDAP – Object Identi fi er

• O OID é o identificador único de um atributo ou classe de objeto

• Utilizam estrutura hierárquica

• Órgão central Internet Assigned Numbers Authority – IANA coordena distribuição de OIDs para empresas

• Schemas armazenam as definições de objetos, atributos e classes

LDAP – Modelo Funci onal

• Determina o que pode ser feito com a informação, seu acesso e modificação

• Pesquisa– Read – retorna os atributos de um DN– Search – Seleciona entradas de acordo com um filtro

• Filtros: &, |, ! , ~=, <=, >= , *

– Compare –Indica se o valor corresponde ao valor contido ou não. Usado para senhas

• Alteração– Modifica entradas existentes – Adiciona, exclui e altera atb.

• Outros– Modify, add, delete e modify RDN

LDAP – Modelo de Segurança

• Proteção da informação a acessos não autorizados

• Autenticação de usuários

• Controle de acesso e Autorização

• Integridade dos dados

• Privacidade dos dados

LDAP e X.500 – Concei tos comuns

• Modelo de dados que usa o DIT é uma única estrutura do ponto de vista lógico

• Cada entrada do diretório é definida por uma classe de objeto (Object Class)

• A classe de objeto possui diversos atributos

• Cada atributo é formado por um par– Attribute Type

– Attribute Value

Acti ve Di rectory

• Serviço de diretórios da Microsoft (Windows 2000/3)

• Utiliza padrões de mercado e é compatível com LDAP

• Autenticação utiliza Kerberos

• Estrutura hierárquica– Benefícios na organização dos dados

• Base de dados pode ser distribuída entre vários servidores– Performance

– Tolerância a falhas

Acti ve Di rectory

• O Active Directory está localizado nas máquinas controladoras de domínio

• O repositório AD armazena diversos objetos e recursos– Contas de usuários

– Grupos

– Computadores

– Impressoras

• Cada objeto tem um conjunto de propriedades que também é armazenado no AD

Acti ve Di rectory ‐ Domíni o

• Um domínio provê área de atuação e limites administrativos e de segurança

• Permite que os recursos sejam agrupados logicamente– De acordo com os critérios de cada local

• Árvore– Conjunto de um ou mais domínios

• Floresta– Conjunto de uma ou mais árvores

Acti ve Di rectory ‐ Árvore

• Qualquer estrutura de AD, mesmo as que contém apenas 1 domínio, podem ser chamadas de árvore– Hierarquia de domínios formando uma nomenclatura contínua

• Todos os domínios de determinada árvore possuem:– Namespace contíguo

– Schema comum

– Global Catalog

• Relações de confiança transitivas são estabelecidas entre os domínios dentro da árvore– Permissão para uso de objetos de outro domínio

– Relações são criadas automaticamente

Acti ve Di rectory ‐ Floresta

• Conjunto de árvores

• Todos os domínios de determinada floresta possuem:– Schema comum

– Global Catalog• Namespace pode ser ou não contíguo

• Relações de confiança não são transitivas e precisam serestabelecidas entre os domínios dentro da árvore– Permissão para uso de objetos de outro domínio

– Relações NÃO são criadas automaticamente

Acti ve Di rectory ‐ Objetos

• Registros no AD são chamados de “Objetos”

• Objetos– Usuários, Grupos, Computadores e Impressoras

• Objetos possuem atributos– Nome, localização, telefone, etc...

• Objetos e atributos são definidos no Schema

• Schema é extensível– Podem ser criados outros atributos

Acti ve Di rectory ‐ Objetos

Acti ve Di rectory ‐ Contai ners

• Os objetos no AD são agrupados em containers lógicos– Domínios

– Organizational Units (OU)

– Grupos

• Leaves– Usuários

– Impressoras

– Computadores

Acti ve Di rectory – Group Poli cy

• Políticas de grupo podem ser aplicadas aos objetos– Objetivo de atribuir configurações comuns para grupos de objetos

– Pode ser aplicada a usuários, computadores ou Ous

– Políticas podem sofrer herança

– Pode haver sobreposição de configurações (GPOs diferentes alterando a mesma configuração

Acti ve Di rectory – Si tes

• Site é um conjunto de sub‐redes que possuem boa interconexão entre si

• Funções do Site– Localização de serviços (ex. Login)

– Replicação

– Aplicação das diretivas de grupo

• Sites estão conectados a partir de site links– Conectam 2 ou mais sites

Acti ve Di rectory – Global Catalog

• O Catálogo Global possui uma réplica de todos os objetos de uma floresta

• É possível configurar subconjuntos a partir de atributos dos objetos

• Agiliza a procura de objetos na floresta

Acti ve Di rectory – Global Catalog

Acti ve Di rectory – DNS

• No Windows 2000 ou superior, o DNS pode funcionar integrado ao AD, possibilitando– Única topologia de replicação

– Atualização de mestre múltiplos

– Atualizações dinâmicas

– Transferência de zona incremental

Acti ve Di rectory – Rep li cação

• Informações são replicadas entre os diversos AD

• Contextos de nomeação que são replicados– Schema

– Configuração

– Domínio

• Intra‐site (entre Ads do mesmo site)– Não há compressão – assume boa conectividade

– Notificação de 5 em 5 minutos

• Inter‐site (Sites diferentes)– Usa RPC over IP ou SMTP

– Compressão – 10 – 20% do tamanho original

– Pode ser agendada

Acti ve Di rectory – Rep li cação

• Links de sites conectam dois ou mais sites– Custo e agendamento de replicação podem ser definidos

– Transitivo (pode ser desativado)

• Pontes de links de sites– Interligam dois ou mais links de sites

Acti ve Di rectory – Nami ng Contexts

• Schema (esquema)– Definição dos atributos

– Replicação para todos os DCs da floresta

• Configuração– Estrutura AD

• Domínios

• Sites

• Localização dos DCs

• Domínios– Objetos específicos

• Usuários, Grupos, Computadores, OUs.

– Replicação em todos os DCs do domínio

Acti ve Di rectory – Mestres de Op eração

• Schema (esquema)– Executa atualizações do esquema

– Envia atualização para os demais DCs

– Um por floresta

– Padrão = primeiro DC instalado

• Domínios– Mestre é o único DC que pode adicionar ou remover um domínio do

diretório;

– Pode também adicionar ou remover referências cruzadas a domínios em diretórios externos

– Um por floresta

– Padrão = primeiro DC instalado

Exercíci os – Aula 9

• (Susep/06 – Esaf) no Kerberos, versões 4 e 5, os algoritmos de criptografia DES (Data Encryption Standard) e o RSA (Rivest‐ Shamir‐Adleman) são exclusivamente utilizados

• (CGU/06 – Esaf) na versão 5 do Kerberos, cada ticket inclui uma chave de sessão que é usada pelo cliente para encriptar o autenticador enviado ao serviço associado àquele ticket, sendo possível a negociação, entre cliente e servidor, de chaves de subsessão a serem usadas na conexão.


• (MPE‐RR/08 – Cespe) O protocolo LDAP, assim como o protocolo DAP (Directory Access Protocol), tem o objetivo de padronizar a comunicação e prover acesso a serviços de diretórios distribuídos. Os clientes são os DUA (Directory User Agent) e os DSA (Directory System Agents).

• (Serpro/08 – Cespe) O Active Directory, incluso no sistema operacional Microsoft Windows Server 2003, tem suporte ao LDAP (lightweight directory access protocol).

• (CBM/DF/08 – Cespe) O é um protocolo útil quando se trata de gerenciamento de autenticação em sistemas Linux, pois permite a centralização, em um único local da rede, de informações acerca de usuários, senhas e diretórios, entre outras. Além disso, o acesso a esses dados pode ser feito de forma segura, pois a maioria dos servidores LDAP oferece conexões criptografadas usando SSL


• (Senado/08 – FGV) O Windows Server 2003 utiliza um serviço de diretório,denominado Active Directory, que emprega um banco de

• dados onde ficam armazenados todos os recursos de uma rede e ele os torna acessíveis a todos os usuários e aplicativos dessa rede. Dentre seus componentes, um representa um depósito de informações que armazena um subconjunto dos atributos de todos os objetos existentes no Active Directory, tendo a função de agilizar a realização de queries. Nele existe a informação necessária para que se saiba a localização de qualquer objeto existente no Active Directory. Esse componente é denominado:

• (A) Main Library. (B) Data Schema.

• (C) Global Catalog. (D) Domain Controler.

• (E) Organizational Unit.


• (Petrobras/07 – Cespe) O suporte ao no Windows 2003 é substancialmente diferente do suporte no Windows 2000.

• (Idem) O Windows 2003 permite que servidores normais sejam convertidos em controladores de domínio, mas não o contrário.

• (Idem) No Windows 2003, a conversão de servidores normais em controladores de domínio pode ser realizada com o active directory installation wizard.

• (Pref. Vitória/07 – Cespe) No Windows Server 2003, podem ser definidas, no active directory, contas, que podem ser usadas para os usuários acessarem recursos no domínio.

• O active directory possibilita organizar os usuários em grupos. Se um mesmo nome for usado para identificar diferentes grupos de usuários, mesmo que os grupos estejam em diferentes domínios do active directory, ocorrerá um erro.


• (TJPE/07 – FCC) Analise os componentes do Active Directory.

• I. Um objeto é qualquer usuário, grupo, computador, impressora, recurso ou serviço dentro do Active Directory.

• II. Um contêiner é um tipo de objeto especial utilizado para organizar o Active Directory.

• III. O conjunto de atributos disponível para qualquer tipo de objeto particular é chamado esquema. O esquema torna as classes de objeto diferentes umas das outras.

• É correto o que se afirma em:

• (A) I, II e III. (B) I e II, apenas. (C) I, apenas. (D) II, apenas.

• (E) III, apenas.


• (MPE‐PE/06 – FCC) Objetos especiais utilizados pelo Active Directory do Windows 2000 Server para armazenar outros objetos são

• (A) sites.

• (B) classes.

• (C)) containers.

• (D) domínios.

• (E) catálogos globais.


• (AGE‐ES/04 – Cespe) Os controladores de domínios, que fazem parte do active directory, podem ser usados para ajustar as opções de segurança, simplificando a administração nos sistemas de arquivos FAT e NTFS.

Redes -aula_9_-_servicos_de_diretorio

Technology

Transcript of Redes -aula_9_-_servicos_de_diretorio