03-DIS-Servico-de-Autenticacao-2

Prévia do material em texto

www.ufmg.br/dti
Centro de Computação – CECOM
Divisão de Infraestrutura de Serviços - DIS
*
Serviço de Autenticação
*
Agenda
• Histórico
• Serviço de diretório
• Objetivos da solução
• Servi ç o de diret ó rio para autentica ç ã o de 
estações de trabalho
• SSO minhaUFMG
*
Histórico
• Em 2000 houve disponibilização do serviço de 
diretório implementado no software IBM Lotus 
Domino
• Em 2003 o servi ç o de diret ó rio foi migrado 
para o software OpenLDAP, utilizando uma 
base com informações apenas do GERUS
• Em 2005 o servi ç o de diret ó rio passou a 
incorporar informa ç õ es acad ê micas e 
funcionais dos usuários
• Em 2007 o projeto Portal minhaUFMG foi 
implantado
*
Serviço de Diretório
• Um serviço de diretório é um sistema que armazena, 
organiza e prov ê acesso à informa ç õ es em um 
diretório do sistema operacional.
• Em engenharia de software, um diretó rio é um mapa 
entre nomes e valores, similar a um dicionário.
• Como um palavra em um dicionário pode ter múltiplas 
definições, um serviço de diretório pode associar um 
nome com m ú ltiplos e diferentes peda ç os de 
informações.
• Da mesma forma, como uma palavra pode ter 
diferentes classes gramaticais e definições diferentes, 
um nome em um diret ó rio pode ter muitos tipos 
diferentes de dados.
*
Serviço de Diretório
Diferen ç as entre servi ç o de diret ó rios tradicional e um banco de dados 
relacional típico
• Informações de diretório são lidas com mais frequência que escritas
• Dados podem ser redundante se isso ajudar o desempenho
• Esquemas de diretórios são definidos como classes de objetos, atributos, 
ligações de nome e espaço de nomes, onde uma classe:
• deve possuir atributos que cada instância deve ter
• pode ter atributos definidos para uma instância, mas que podem ser omitidos
• atributos são as vezes multi-valorados
• atributos e classes de objetos s ã o padronizados atrav é s da ind ú stria e 
registrados formalmente
• atributos e classes são "encaixados" em um espaço de nomes
• Servi ç os de diret ó rios s ã o muitas vezes um componente central na 
concepção de um sistema de segurança de TI
*
Serviço de Diretório
• Os servi ç os de diret ó rio eram parte de uma iniciativa de 
Interconex ã o de Sistemas Abertos (OSI) para obter todos na 
ind ú stria para concordar com normas comuns de rede para 
fornecer interoperabilidade multi-fabricante.
• Na década de 1980, a ITU e a OSI vieram com um conjunto de 
normas - X.500, para servi ç os de diret ó rios, inicialmente para 
suportar os requisitos de mensagens eletrônicas entre operadoras 
e pesquisa de nome de rede. O Ligthweight Directory Access 
Protocol (LDAP), baseia-se nos servi ç os de informa ç ã o de 
diret ó rio X.500, mas usa a pilha TCP/IP e um esquema de 
codificação de string do X.500 Directory Access Protocol (DAP), 
dando-lhe mais relevância na Internet.
*
Objetivos da solução
• Centralizar informações de usuários em uma 
única base de dados
• Autenticação de estações com login único
• Autenticação de serviços WEB com login único
• Altera ç ã o de senhas somente atrav é s do 
Portal minhaUFMG
*
Serviço de diretório para autenticação de 
estações de trabalho
Microsoft Active Directory
• Active Directory é um servi ç o de diret ó rio que a 
Microsoft desenvolveu para dom í nios de redes 
Windows e est á incluido na maioria dos sistemas 
operacionais Windows Server como um conjunto de 
processos e serviços.
• Um controlador de dom í nio AD autentica e autoriza 
todos os usuários e computadores em domínio de rede 
do tipo Windows - atribuindo e aplicando políticas para 
todos os computadores e instalando ou atualizando 
softwares.
• O AD faz uso das versões 2 e 3 do protocolo LDAP, 
implementação do protocolo Kerberos da Microsoft e 
DNS.
*
Serviço de diretório para autenticação de 
estações de trabalho
Microsoft Windows
• Vantagens
• Facilidade de gerenciamento
• Integração entre serviços / aplicações
• Desvantagens
• Custos elevados
• Performance
• Muitas vulnerabilidades e malwares
Samba
• Vantagens
• Custos baixos
• Performance
• Desvantagens
• Complexidade de gerenciamento
• Falta de maturidade na implementação do AD
*
Serviço de diretório para autenticação de 
estações de trabalho
Problemas na implementa ç ã o da solu ç ã o em 
AD
• Deduplicação de nomes de recursos (estações 
/ servidores / impressoras)
• Múltiplas Estruturas organizacionais
• Política
• Física
• Serviço de telefonia
• Serviço de DNS
• Serviço de correio
*
Serviço de diretório para autenticação de 
estações de trabalho
Objetivos da solução
• Unificação de recursos de informática
• Delegação de políticas restritivas
• Delegação de gerência de recursos
• Delegação de gerência de grupos
• Delegação de gerência de usuários
*
Serviço de diretório para autenticação de 
estações de trabalho
Solução
• Modelo de estrutura organizacional flexível
• Unidades Organizacionais representando ó rg ãos 
administrativos
• Unidades Organizacionais representando unidades 
acadêmicas
• Delega ç õ es entregues as Unidades 
Organizacionais
• Possibilidade dos administradores das unidades 
organizacionais subdividi-las de acordo com 
necessidades locais
*
Serviço de diretório para autenticação de 
estações de trabalho
Adesão ao serviço
• Solicitar através do email suporte@dti.ufmg.br
*
SSO minhaUFMG
Single Sign-On (SSO)
• SSO é uma propriedade do controle de acesso 
de múltiplos relacionados, mas independentes, 
sistemas.
• Com essa propriedade um usuário efetua login 
uma vez e ganha acesso a todos os sitemas 
sem ser solicitado a efetuar login novamente 
em cada um deles.
• Isso normalmente é feito usando LDAP.
• Uma vers ã o simples de SSO pode ser 
alcançada usando cookies se os sites estão no 
mesmo domínio.
*
SSO minhaUFMG
Shibboleth
• Shibboleth é um projeto de código aberto que 
fornece capacidades de SSO e permite que os 
sites tomem decis õ es de autoriza ç ã o para 
acesso individual de recursos on-line de uma 
maneira que preserve a privacidade.
Componentes
• IdP - Provedor de identidades
• SP - Provedor de serviços
*
SSO minhaUFMG
Outras federações / parcerias
• RNP - CAFe
• UNA-SUS
*
SSO minhaUFMG
Adesão ao serviço
• Solicitar através do email suporte@dti.ufmg.br
• Gerar requisição de assinatura de certificados
• Certificado Shibboleth SP
• Certificado WEB
• Informar atributos requeridos
www.ufmg.br/dti
Centro de Computação – CECOM
Divisão de Infraestrutura de Serviços - DIS
*
Estamos à disposição para ajudá-los!