Baixe o app para aproveitar ainda mais
Prévia do material em texto
www.ufmg.br/dti Centro de Computação – CECOM Divisão de Infraestrutura de Serviços - DIS * Serviço de Autenticação * Agenda • Histórico • Serviço de diretório • Objetivos da solução • Servi ç o de diret ó rio para autentica ç ã o de estações de trabalho • SSO minhaUFMG * Histórico • Em 2000 houve disponibilização do serviço de diretório implementado no software IBM Lotus Domino • Em 2003 o servi ç o de diret ó rio foi migrado para o software OpenLDAP, utilizando uma base com informações apenas do GERUS • Em 2005 o servi ç o de diret ó rio passou a incorporar informa ç õ es acad ê micas e funcionais dos usuários • Em 2007 o projeto Portal minhaUFMG foi implantado * Serviço de Diretório • Um serviço de diretório é um sistema que armazena, organiza e prov ê acesso à informa ç õ es em um diretório do sistema operacional. • Em engenharia de software, um diretó rio é um mapa entre nomes e valores, similar a um dicionário. • Como um palavra em um dicionário pode ter múltiplas definições, um serviço de diretório pode associar um nome com m ú ltiplos e diferentes peda ç os de informações. • Da mesma forma, como uma palavra pode ter diferentes classes gramaticais e definições diferentes, um nome em um diret ó rio pode ter muitos tipos diferentes de dados. * Serviço de Diretório Diferen ç as entre servi ç o de diret ó rios tradicional e um banco de dados relacional típico • Informações de diretório são lidas com mais frequência que escritas • Dados podem ser redundante se isso ajudar o desempenho • Esquemas de diretórios são definidos como classes de objetos, atributos, ligações de nome e espaço de nomes, onde uma classe: • deve possuir atributos que cada instância deve ter • pode ter atributos definidos para uma instância, mas que podem ser omitidos • atributos são as vezes multi-valorados • atributos e classes de objetos s ã o padronizados atrav é s da ind ú stria e registrados formalmente • atributos e classes são "encaixados" em um espaço de nomes • Servi ç os de diret ó rios s ã o muitas vezes um componente central na concepção de um sistema de segurança de TI * Serviço de Diretório • Os servi ç os de diret ó rio eram parte de uma iniciativa de Interconex ã o de Sistemas Abertos (OSI) para obter todos na ind ú stria para concordar com normas comuns de rede para fornecer interoperabilidade multi-fabricante. • Na década de 1980, a ITU e a OSI vieram com um conjunto de normas - X.500, para servi ç os de diret ó rios, inicialmente para suportar os requisitos de mensagens eletrônicas entre operadoras e pesquisa de nome de rede. O Ligthweight Directory Access Protocol (LDAP), baseia-se nos servi ç os de informa ç ã o de diret ó rio X.500, mas usa a pilha TCP/IP e um esquema de codificação de string do X.500 Directory Access Protocol (DAP), dando-lhe mais relevância na Internet. * Objetivos da solução • Centralizar informações de usuários em uma única base de dados • Autenticação de estações com login único • Autenticação de serviços WEB com login único • Altera ç ã o de senhas somente atrav é s do Portal minhaUFMG * Serviço de diretório para autenticação de estações de trabalho Microsoft Active Directory • Active Directory é um servi ç o de diret ó rio que a Microsoft desenvolveu para dom í nios de redes Windows e est á incluido na maioria dos sistemas operacionais Windows Server como um conjunto de processos e serviços. • Um controlador de dom í nio AD autentica e autoriza todos os usuários e computadores em domínio de rede do tipo Windows - atribuindo e aplicando políticas para todos os computadores e instalando ou atualizando softwares. • O AD faz uso das versões 2 e 3 do protocolo LDAP, implementação do protocolo Kerberos da Microsoft e DNS. * Serviço de diretório para autenticação de estações de trabalho Microsoft Windows • Vantagens • Facilidade de gerenciamento • Integração entre serviços / aplicações • Desvantagens • Custos elevados • Performance • Muitas vulnerabilidades e malwares Samba • Vantagens • Custos baixos • Performance • Desvantagens • Complexidade de gerenciamento • Falta de maturidade na implementação do AD * Serviço de diretório para autenticação de estações de trabalho Problemas na implementa ç ã o da solu ç ã o em AD • Deduplicação de nomes de recursos (estações / servidores / impressoras) • Múltiplas Estruturas organizacionais • Política • Física • Serviço de telefonia • Serviço de DNS • Serviço de correio * Serviço de diretório para autenticação de estações de trabalho Objetivos da solução • Unificação de recursos de informática • Delegação de políticas restritivas • Delegação de gerência de recursos • Delegação de gerência de grupos • Delegação de gerência de usuários * Serviço de diretório para autenticação de estações de trabalho Solução • Modelo de estrutura organizacional flexível • Unidades Organizacionais representando ó rg ãos administrativos • Unidades Organizacionais representando unidades acadêmicas • Delega ç õ es entregues as Unidades Organizacionais • Possibilidade dos administradores das unidades organizacionais subdividi-las de acordo com necessidades locais * Serviço de diretório para autenticação de estações de trabalho Adesão ao serviço • Solicitar através do email suporte@dti.ufmg.br * SSO minhaUFMG Single Sign-On (SSO) • SSO é uma propriedade do controle de acesso de múltiplos relacionados, mas independentes, sistemas. • Com essa propriedade um usuário efetua login uma vez e ganha acesso a todos os sitemas sem ser solicitado a efetuar login novamente em cada um deles. • Isso normalmente é feito usando LDAP. • Uma vers ã o simples de SSO pode ser alcançada usando cookies se os sites estão no mesmo domínio. * SSO minhaUFMG Shibboleth • Shibboleth é um projeto de código aberto que fornece capacidades de SSO e permite que os sites tomem decis õ es de autoriza ç ã o para acesso individual de recursos on-line de uma maneira que preserve a privacidade. Componentes • IdP - Provedor de identidades • SP - Provedor de serviços * SSO minhaUFMG Outras federações / parcerias • RNP - CAFe • UNA-SUS * SSO minhaUFMG Adesão ao serviço • Solicitar através do email suporte@dti.ufmg.br • Gerar requisição de assinatura de certificados • Certificado Shibboleth SP • Certificado WEB • Informar atributos requeridos www.ufmg.br/dti Centro de Computação – CECOM Divisão de Infraestrutura de Serviços - DIS * Estamos à disposição para ajudá-los!
Compartilhar