Aula 09 (3)

Prévia do material em texto

Livro Eletrônico
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
André Castro
 
 
 
 
 
Inserir aqui o nome do Curso 
www.estrategiaconcursos.com.br 
 1 
94 
X.500 e LDAP ..................................................................................................................... 2 
 X.500 ........................................................................................................................................... 3 
 LDAP ............................................................................................................................................ 4 
Active Directory – AD ....................................................................................................... 11 
Serviços de Autenticação ................................................................................................. 15 
 RADIUS ...................................................................................................................................... 16 
 TACACS ...................................................................................................................................... 16 
 Kerberos .................................................................................................................................... 17 
NFS, SAMBA e CIFS .......................................................................................................... 19 
 NFS (Network File System) ........................................................................................................ 19 
 CIFS (Common Internet File System) ......................................................................................... 21 
 SAMBA ...................................................................................................................................... 22 
EXERCÍCIOS COMENTADOS .............................................................................................. 27 
X.500 e LDAP ................................................................................................................................... 27 
Active Directory ............................................................................................................................... 36 
NFS ................................................................................................................................................... 37 
Samba .............................................................................................................................................. 39 
CUPS ................................................................................................................................................ 43 
EXERCÍCIOS COMENTADOS COMPLEMENTARES .............................................................. 44 
X.500 e LDAP ................................................................................................................................... 44 
Active Directory ............................................................................................................................... 54 
NFS/CIFS/SAMBA ............................................................................................................................. 61 
LISTA DE EXERCÍCIOS ....................................................................................................... 69 
X.500 e LDAP ................................................................................................................................... 69 
Active Directory ............................................................................................................................... 73 
NFS ................................................................................................................................................... 73 
Samba .............................................................................................................................................. 74 
CUPS ................................................................................................................................................ 76 
LISTA DE EXERCÍCIOS COMPLEMENTARES ........................................................................ 77 
X.500 e LDAP ................................................................................................................................... 77 
Active Directory ............................................................................................................................... 82 
NFS/CIFS/SAMBA ............................................................................................................................. 86 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 2 
94 
GABARITO ....................................................................................................................... 90 
Gabarito – Questões CESPE ............................................................................................................. 90 
Gabarito – Questões FCC ................................................................................................................. 92 
 
 X.500 E LDAP 
Vamos comentar agora a respeito de um conceito muito presente no nosso dia a dia que é o serviço 
de diretório. É um conteúdo que tem caído nas provas de maneira simples e objetiva, como veremos 
nas questões. 
Antes de entendermos o serviço de diretório, temos que saber que podemos administrar os recursos 
de uma rede de duas formas: descentralizada ou centralizada. 
Uma forma de administração descentralizada é o Grupo de Trabalho, ou Workgroup. Como a figura 
exemplifica, nele cada máquina é administrada localmente (ponto a ponto), ou seja, para um usuário 
utilizar os recursos (arquivos, impressoras, etc.) terá que possuir uma conta na base de dados local 
(SAM) 
 
Esse modelo de administração descentralizada pode ser interessante para redes de pequeno porte. 
À medida que se cresce o número de recursos, a complexidade de administração também cresce, e 
em uma relação exponencial. 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 3 
94 
 
Então, chegamos à nossa questão: o que é serviço de diretórios? 
 
Nada mais é do que um serviço de criação e manutenção de um repositório (base de dados) 
de informações sobre os diversos objetos de uma rede, organizados segundo um critério 
que facilite sua consulta. Entende-se por objeto quaisquer recursos presentes na rede como 
usuários, dispositivos, serviços, grupos, entre outros. 
 
Essas informações podem constar nomes de usuários, senhas, e-mails, descrições, dados auxiliares, 
entre outros. O diretório em questão pode ser tanto um banco de dados relacional, como um arquivo 
de texto ou até mesmo um diretório no conceito de “pasta” de um Sistema Operacional. Uma 
característica importante do diretório é que este foi constituído para suportar um grande volume de 
consultas, porém um baixo volume de inserções e modificações. 
 
 X.500 
O X.500 é um protocolo extremamente pesado que trata do acesso aos serviços de diretórios por 
ser modelado e adequado ao modelo OSI. Assim, já adianto que o X.500 não é o protocolo 
responsável pela definição do serviço de diretórios, mas tão somente do acesso a essas informações. 
Veremos que o LDAP segue o mesmo princípio. 
 
Podemos dizer, portanto, que o X.500 define a forma de conexão, acesso e integração de 
diversos sistemas e servidores locais com as informações de diretórios, formando um 
grande sistema global distribuído, permitindo consulta pelos demais elementosde rede à 
sua base de dados dos objetos da rede. 
 
Esses objetos referenciam os próprios equipamentos, os usuários da rede e serviços de uma forma 
geral, contemplando serviços de hardware, software e de rede. Pode-se vincular ainda questões de 
autorização e privilégios associados a estes objetos frente aos recursos disponíveis. 
 
Algumas bancas tentam confundir o candidato apresentando o protocolo X.509. Este protocolo faz 
parte da família do X.500, porém com uma atuação bem específica voltado para a segurança. Trata 
da infraestrutura de chaves pública (ICP ou PKI). Este modelo de segurança pode ser devidamente 
incorporado na implementação do X.500. 
 
Outros conceitos que são abordados pelas bancas são os agentes e processos. 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 4 
94 
O agente de usuário é o processo responsável por promover a interação do usuário com o 
diretório. Este se responsabiliza por formatar as consultas e requisições, bem como visualizar as 
respostas às consultas realizadas aos agentes do sistema de diretório. 
 
O agente de sistema de diretório, é responsável por fornecer as respostas às requisições feitas 
pelos agentes de usuário de diretórios. Pode atuar de forma recursiva ou iterativa como o protocolo 
DNS nos casos de não saber a resposta. 
 
Esses conceitos se aplicam tanto ao padrão X.500 quanto ao protocolo LDAP. 
 
 LDAP 
O LDAP (Lightweight Directory Access Protocol) é um protocolo de acesso ao serviço de diretório 
otimizado para leituras e buscas. Atualmente se encontra em sua terceira versão – LDAPv3 e atua 
na porta 389/TCP. Logo, utilizando o protocolo TCP, temos que o cliente e servidor estabelecem 
uma conexão e abrem uma sessão entre eles antes da troca das mensagens. 
 
Pode-se implementar o LDAP também em modo seguro através da utilização do protocolo SSL. 
Mesmo raciocínio do HTTPS. No caso do LDAP, ao ser utilizado no modo seguro, chamamos de 
LDAPS. Nesse caso, passa-se a utilizar a porta 636. Importante mencionar que o servidor pode ser 
configurado para suportar tanto o modo padrão quanto o modo seguro, cabendo ao cliente escolher 
a porta e o método a ser utilizado. 
 
O LDAPv3 já é projetado para uma quantidade maior de leituras do que escritas. Utiliza a 
estrutura em árvore de domínios relacionais (DIT – Directory Information Tree) baseada no 
protocolo X.500. É um protocolo simplificado desenvolvido para operar na arquitetura TCP/IP 
no modelo cliente/servidor. Importante mencionar que não há perda de funcionalidades na 
prática por ele ser simplificado quando comparamos com o X.500. 
 
Assim, podemos dizer que o LDAP é um protocolo simples e leve que visa amenizar a estrutura rígida 
e burocrática definida pelo padrão X.500, este acaba por exigir uma maior capacidade de 
processamento dos servidores e gera maior overhead na rede. Os objetos e diretórios a serem 
mapeados na estrutura do LDAP podem se utilizar do protocolo DNS para registro de domínios. 
 
A figura a seguir nos traz uma representação gráfica dos dois padrões em relação às camadas do 
modelo OSI e arquitetura TCP/IP: 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 5 
94 
 
 
Os pontos elencados acima resolvem diversas questões a respeito do LDAP. Portanto, atentem-se 
ao que acabamos de comentar. 
 
O LDAP também possui recursos de autenticação e autorização, além da capacidade de tratar 
critérios de confiabilidade e integridade das informações. É um protocolo que utiliza o conceito de 
comunicação assíncrona, sendo multiplataforma. Lembrando que é baseado na arquitetura 
TCP/IP, temos que é um protocolo ou padrão aberto. 
 
Por manter uma base de informações centralizadas em servidores (sejam eles únicos ou 
hierárquicos/compartilhados) com as informações de usuários e senhas, o LDAP permite o 
armazenamento seguro dessas informações, de tal modo que, caso o arquivo seja violado, essas 
informações não sejam acessadas facilmente. Assim, pode-se armazenar as senhas em texto 
claro, criptografadas ou em algoritmos HASH, permitindo a interoperabilidade entre diversos 
sistemas. O padrão utilizado para o algoritmo HASH é o MD5. 
 
Outro ponto a respeito do protocolo LDAP é que este possibilita a um mesmo usuário possuir mais 
de uma senha em diferentes formatos. No momento de autenticação, será verificado todas as 
possibilidades das senhas armazenadas para determinado usuário. Caso haja o "match" ou o 
“batimento” em alguma delas, considera-se o usuário autenticado e autorizado a utilizar 
determinados recursos. 
 
É importante ressaltar que o LDAP não define a estrutura em si do serviço de diretório. Como a 
tradução de seu mnemônico nos traz, é um protocolo que vai tratar do acesso à essa base de 
dados. Ainda assim, diversas bancas apresentam em seus enunciados o seguinte trecho: 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 6 
94 
 
“ O LDAP é um protocolo de serviços de diretórios ...” 
 
Logo, estejamos atentos que na maioria absoluta dos casos, não é esse o ponto chave em que o 
examinador espera que você avalie a questão. 
 
O protocolo LDAP possui plena integração com o Active Directory – AD - da MICROSOFT, até porque, 
o próprio AD utiliza o protocolo LDAP em sua implementação. A implementação em código aberto 
do LDAP se dá através do serviço OpenLDAP. O OpenLDAP possui bancos de dados próprios 
desenvolvidos especificamente para sua aplicação, a saber: LDBM e BerkeleyDB. Entretanto, há o 
suporte a banco de dados relacional, porém, não existe uma restrição ou obrigatoriedade no uso 
de apenas um deles. 
 
O OpenLDAP suporta diversos tipos de autenticação, dentre eles, podemos citar os tipos: Anônimo, 
Simples e SASL. 
 
Outra característica do LDAP é o fato deste ser multiplataforma. A sua configuração se dá a partir do 
arquivo slapd.conf, sob o diretório padrão: /usr/local/etc/OpenLDAP/slapd.conf 
 
No lado do cliente, configura-se o arquivo ldap.conf no 
diretório: /usr/local/etc/OpenLDAP/ldap.conf 
 
Comentando um pouco mais a respeito da estrutura hierárquica do LDAP, é importante mencionar 
que uma árvore é composta por vários domínios, isto é, as árvores compartilham as funções que são 
distribuídas entre os diversos domínios. Dentro dos domínios, pode-se ter ainda subdomínios, bem 
como unidades organizacionais. E na ponta desses domínios ou subdomínios ou unidades 
organizacionais, tem-se os objetos a serem acessados. 
 
Na imagem a seguir temos uma representação de uma possível distribuição e organização da árvore 
em seus domínios até se chegar no objeto. Percebam a semelhança na estruturação em relação ao 
DNS. 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 7 
94 
 
 
Dessa forma, podemos apresentar o seguinte trecho resumo: 
 
A estruturação das informações dos objetos em uma base de dados segue a definição do serviço de 
diretório de determinado ambiente. Após essa definição, a disponibilização dessas informações e 
como elas serão fornecidas ou acessadas, bem como atualizadas, é papel do LDAP. 
 
Uma vez que esta estrutura está definida e implementada no servidor, bem como a forma de acesso 
através do LDAP, cabe ao cliente simplesmente mapear esta unidade em sua estação ou sistema e 
realizar as consultas ou requisiçõesconforme definição do protocolo LDAP e não conforme a 
implementação do serviço de diretórios do servidor. 
 
Temos aqui a descrição constada na introdução da RFC 2251 que especifica o LDAP: 
 
“This document describes a directory access protocol that provides both read and update access.” 
 
 
Avançando ainda a respeito de alguns pontos sobre o LDAP, temos os parâmetros comuns ou tipos 
de atributos definidos na RFC 2256 que compõem o nome de domínio de cada objeto em sua 
estrutura hierárquica. São os principais: 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 8 
94 
• ObjectClass – Parâmetro presente em todo registro. Descreve a classe ou tipo de objeto 
registrado, como sendo um host, dispositivos, serviços, entre outros. 
• AliasObjectName – É um nome de referência (apelido) para o objeto. 
• CN (Common Name) – É um atributo proveniente do X.500. Contém efetivamente o nome do 
objeto, podendo ser complementado por outros nomes, como o SN a seguir. Se corresponder 
a um host ou pessoa, esse campo pode ser preenchido com o nome completo ou parcial da 
pessoa. Caso seja um serviço, pode-se ter o nome completo ou parcial do serviço. 
• SN (Sur Name) – Mais um atributo proveniente do X.500. Pode representar um nome de 
família que complemente o campo CN visto anteriormente para o caso de usuários. De 
maneira prática, diz-se que é um sobrenome. 
• C (Country Code) – Um valor de dois dígitos que representa o número de localização do país. 
• O (Organization Name) – Este atributo contém o nome da Organização. 
• OU (Organization Unit Name) – Contém o nome da unidade organizacional a qual o objeto 
pertence dentro da organização. Algo semelhante a um departamento financeiro ou de RH. 
• DC (Domain Component) – Podem ser utilizados vários DC’s em um mesmo nome. O objetivo 
aqui é definir as raízes dos nomes na falta ou não utilização dos demais parâmetros. Pode-se 
utilizar nomes de empresas, departamentos, domínios DNS, entre outros, para 
complementação. 
 
Uma lista completa pode ser obtida no link: http://www.ietf.org/rfc/rfc2256.txt. 
 
O sequenciamento desses parâmetros define o nome completo de registro de qualquer objeto, 
também conhecido como DN (Distinguished Name). Segue sempre a regra, da esquerda para a 
direita, dos parâmetros mais restritivos para os mais genéricos. Cada DN possui uma identificação 
única de modo totalmente qualificado a ser identificado na estrutura da árvore. 
 
Desse modo, dizemos que as entradas na árvore DIT é organizada segundo cada DN. Vale 
mencionar que algumas bancas gostam de referenciar à estrutura do LDAP como árvore invertida, 
estando devidamente correto no sentido de que a raiz de uma árvore de verdade em regra vai de 
baixo para cima, enquanto o LDAP, vai de cima para baixo. 
 
Outro conceito é o de RDN (Relative Distinguished NAME) que podemos entender como ramos dessa 
árvore. Logo, o DN pode ser composto por diversos RDN’s. 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 9 
94 
 
Como todo serviço ou protocolo baseado na arquitetura cliente-servidor, 
temos uma lista de possíveis mensagens e suas funções que são padronizadas 
pelo protocolo. No LDAP não é diferente e algumas bancas exploram o 
conhecimento desses pontos. Portanto, vamos conhecer os principais: 
 
BIND (Autenticar) - Utilizado para autenticar o cliente no servidor através de 
seu DN (Distinguished Name). Deve ser uma conexão segura para que possa 
ser enviado o nome do domínio, nome de usuário e password. É informado 
também a versão do protocolo LDAP que será utilizado. 
 
UNBIND (Encerramento) - Encerra uma sessão LDAP. 
 
SEARCH (Busca) - Comando para que o servidor busque e responda com as 
entradas dos diretórios que atendem aos critérios definidos na busca. 
 
COMPARE (Comparação) - Faz a validação através de teste de um atributo e 
o valor referente ao domínio informado. 
 
ADD (Adicionar) - Adiciona uma nova entrada no diretório. 
 
MODIFY (Modificar) - Altera uma entrada existente. 
 
DELETE (Apagar) - Exclui uma entrada existente. 
 
MODRDN (Modificar RDN) - Renomeia uma entrada existente. O servidor 
recebe o nome de domínio e o novo RDN a ser definido. 
 
StartTLS – Comando que inicia a criação de um túnel seguro (TLS/SSL) no qual 
trafegarão as informações criptografadas. 
 
Vale mencionar que o servidor LDAP processará cada mensagem ou 
requisição individualmente. Algo semelhante ao protocolo HTTP. Em 
servidores UNIX-LIKE, temos o pacote SLAPD com seu arquivo de 
configuração no diretório /ETC/LDAP/SLAPD.confi. Este pacote contém uma 
estrutura padrão do LDAP armazenada no arquivo core.schema. 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 10 
94 
 
 
 
 
Algumas questões abordam de forma mais detalhada a estrutura de pesquisa 
do LDAP. 
 
Desse modo temos os seguintes conceitos: 
 
1. WhitePages: Sabendo o nome do objeto que será requisitado 
determinado acesso de escrita ou leitura, pode-se buscar exatamente 
pelo conteúdo. 
 
(Analogia à uma lista telefônica em que se busca pelo nome para obter 
demais informações de contatos). 
 
2. YellowPages: Caso não seja conhecido o nome do objeto, pode-se 
utilizar de características ou informações a respeito do objeto 
desejado. Assim, realiza-se uma busca com esses parâmetros. 
 
(Analogia à uma consulta no caderno de plano de saúdo para se obter 
informações de um médico em determinada área de especialização). 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 11 
94 
 
 
ACTIVE DIRECTORY – AD 
Sendo adotado um modelo de administração centralizado em redes com sistemas Microsoft, surgem 
diversos conceitos, muitos deles semelhantes ao que já vimos. Desse modo, se faz necessária a 
instalação de um servidor de domínio como o Windows 2008 Server neste ambiente. Mas o que vem 
a ser esses conceitos? 
• Domínio é uma estrutura (container) lógica para facilitar a gestão dos recursos da 
organização. Um domínio pode conter usuários, grupos, computadores e outras unidades 
organizacionais. O domínio se aplicaria em um escopo como uma organização ou a um setor, 
por exemplo. 
O domínio é um limite administrativo estruturado de forma hierárquica em que todos os seus 
objetos compartilham um mesmo espaço de nomes (name space – podemos usar como 
 
Um outro ponto que pode vir a ser cobrado em prova são os tipos de 
armazenamento, também conhecidos como modelos de armazenamento das 
informações nos diretórios, derivados do padrão X.500. São eles: 
 
- Modelo de Nomes: Este modelo é o responsável por tratar a organização da 
árvore DIT, como os RDN’s e DN’s. 
 
- Modelo de Informações: Este modelo é responsável por tratar aspectos 
informacionais dos objetivos, como atributos, schemas, classes, entre outros. 
 
- Modelo de Segurança: Aqui são abordados os pontos de segurança como 
autenticação e autorização de acesso. 
 
- Modelo Funcional: Aqui se definem os métodos ou ações que serão 
permitidas em cada diretório, bem como as ferramentas que poderão ser 
utilizadas. Define-se, portanto, como as informações serão acessadas e o que 
poderá ser feito com elas. 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André CastroAula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 12 
94 
analogia um domínio de internet, no qual todos os domínios filhos compartilham um 
determinado sufixo). 
 
• Uma Unidade Organizacional também é um container utilizado com a mesma finalidade que 
o domínio, porém se aplica em um escopo menor. Uma Unidade Organizacional pode ser 
criada dentro de um domínio ou dentro de outra OU, e seu uso é facultativo. Em uma OU 
podemos ter usuários, grupos, computadores e outras unidades organizacionais. 
 
As Unidades Organizacionais (OU) são uma forma de controle administrativo. Distribuir os 
objetos em Unidades Organizacionais permite o controle de administração em vários níveis e 
facilita a administração. Atentem que as Unidades Organizacionais não guardam 
necessariamente relação com a estrutura organizacional. 
 
 
• Uma árvore é uma estrutura lógica mais abrangente que o domínio. A árvore é criada quando 
é criado um domínio. Todos os domínios da mesma árvore compartilham informações e 
recursos. 
 
Os domínios em uma árvore são unidos através de relações de confiança transitiva 
bidirecional. Uma relação de confiança significa que o Domínio A confia em B, e o domínio B 
confia em A. 
 
• Floresta é um grupo de uma ou mais árvores. A floresta fornece recursos de segurança, 
convenções, confianças e GLOBAL CATALOG. Criar uma floresta é a maneira de organizar as 
árvores e manter os esquemas separados 
 
O GLOBAL CATALOG tem como objetivo integrar e concentrar informações dos objetos 
entre domínios diferentes em sistemas multidomínios. Ele possui informações parciais 
ou totais de cada domínio o que permite buscas interdomínios sem as informações de toda a 
hierarquia dos dados que se busca. 
 
• Os grupos são os tipos de objetos que podem conter computadores, usuários ou outros 
grupos, e permitem atribuir permissões aos recursos. A figura abaixo traz mais informações 
sobre grupos. 
 
• Já o Group Policy Object (GPO) contém regras e diretivas que são aplicadas a usuários, 
domínio e unidades organizacionais. Nessas regras pode-se ter aspectos de segurança e 
controle através do permissionamento de acesso e direito de conta. 
 
O Active Directory (AD) é um serviço de diretório para sistemas operacionais Microsoft Windows 
Server, posteriores à versão 2000, incluindo o Windows Server 2008. Vale mencionar que existem 
módulos de compatibilidade para recursos de segurança das versões anteriores. 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 13 
94 
Nem todas as versões do Windows Server 2008 podem ser controladores de domínio, por exemplo 
a versão Web Server. Outro importante ponto é que o Active Directory depende totalmente do 
serviço DNS para a resolução de nomes dos objetos do domínio. 
O Active Directory é criado quando criamos um Domínio. Não é possível criar um domínio antes de 
instalar o AD. Após a criação do domínio, o servidor no qual é criado o domínio passa a ser chamado 
de Controlador de Domínio. 
O Active Directory mantém dados como contas de usuários, impressoras, grupos, 
computadores, servidores, recursos de rede, etc. Cada recurso é chamado de objeto, ou seja, 
no AD, objeto é todo recurso da rede representado no AD. Cada objeto possui propriedades ou 
atributos dos objetos. Cada objeto também possui um nome de identificação único conhecido como 
CN – Canonical Name, semelhante ao conceito de DN (Distinguished Name) do LDAP. 
Um ponto a se esclarecer é que podemos ter o mesmo nome de objeto em domínios 
diferentes, isto é, posso ter um professor André Castro em uma OU = Engenharia e outro professor 
André Castro em uma OU = Saúde. Quando for formado o CN a partir da junção dos diversos 
parâmetros, teremos, nomes únicos e exclusivos. 
A base de dados de objetos do AD é armazenada em um arquivo chamado NTDS.dit, localizado no 
diretório padrão %SystemRoot%\NTDS\ntds.dib , onde todos os recursos são armazenados. Os 
computadores clientes do Active Directory fazem buscas na base de dados do AD utilizando o 
protocolo Lightweight Directory Access Protocol (LDAP). 
Um ponto que chama a atenção é a diferença entre AD e Domains Controller. O primeiro 
diz respeito à organização lógica, enquanto o segundo, à organização física. A figura abaixo 
nos dá uma ideia dessa representação 
 
A estrutura física do AD consiste em Domain Controllers – DC - e Sites. A estrutura física do AD é 
totalmente independente da estrutura lógica do AD. A estrutura física é responsável por otimizar o 
tráfego de rede e manter segurança em locais físicos distintos. Os DC’s mantêm uma cópia da 
biblioteca NTDS.dit de tal modo que a falha de um DC não compromete a estrutura, conforme 
imagem abaixo: 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 14 
94 
 
 
A estrutura lógica do AD consiste em Objetos, Unidades Organizacionais, Domínio, Árvores de 
Domínio e Floresta. Utilizamos a estrutura lógica do AD para podermos gerenciar os objetos dentro 
da organização. 
O Active Directory integra a segurança e o controle de acesso a objetos no diretório. A 
administração centralizada facilita o gerenciamento nas redes maiores e mais complexas. A 
administração centralizada é realizada por meio de um conjunto de regras chamado de esquema 
que determina inclusive quais padrões de nomes e escritas serão permitidos, como os tipos de 
arquivos e dados, para cada objeto ou classe. 
Todo novo objeto é validado de acordo com as regras existentes no esquema. O esquema de objetos 
é modelado de acordo com o padrão X.500 da International Standards Organization (ISO) para 
serviços de diretório. 
Outro conceito que aparece em provas em relação a uma estrutura redundante de alta 
disponibilidade para o AD. Desse modo, teremos um servidor AD como Controlador de Domínio 
central e outro servidor redundante conhecido como RODC (Read Only Domain Controller). 
 
Dessa forma, todas as informações gravadas do Controlador de Domínio são replicadas para o RODC. 
Este arranjo permite um alto grau de segurança. É importante mencionar que o fluxo é sempre 
unidirecional, ou seja, sempre do Controlador principal para o RODC, não havendo fluxo no sentido 
contrário. Essa característica agrega uma camada de segurança no seguinte sentido: caso o servidor 
RODC seja comprometido por um MALWARE, este não poderá divulgar informações falsas para o 
controlador de domínio. 
 
Para os critérios de autenticação, o Controlador de Domínio utiliza o protocolo KERBEROS. 
 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 15 
94 
 
SERVIÇOS DE AUTENTICAÇÃO 
A autenticação é um dos princípios de segurança que são fundamentais em qualquer ambiente que 
zele controle de seus dados e aplicações. 
 
Diversos serviços utilizam ferramentas que possibilitam a implementação dos recursos de 
autenticação em corporações. A autenticação está presente até mesmo no nosso simples acesso aos 
dispositivos pessoais, como computadores, celulares, entre outros. 
 
Entretanto, quando falamos de ambientes corporativos, devemos considerar diversos aspectos que 
possibilitam a implementação de uma solução automatizada e versátil frente às necessidades dos 
diferentes serviços que necessitam desse recurso. 
 
Podemos citar alguns serviços presentes no nosso dia a dia que dependem da autenticação, quais 
sejam: acesso a rede sem fio, acesso remoto à rede corporativa (VPN), entre outros. 
 
Entretanto, o serviço de autenticaçãotraz agregado consigo outras funções e recursos muito 
importantes, como a autorização e a auditabilidade. O primeiro corresponde ao fato de que 
determinado usuário ou serviço dependerá da devida validação de suas credenciais para verificar se 
este pode ou não acessar determinado recurso. Ou seja, agora, não basta simplesmente ser um 
usuário válido no sentido de autenticação, mas deve-se ter autorização para tal recurso. 
 
Como exemplo, podemos citar o fato de se ter permissão para ler informações de um diretório, 
porém, não há permissão para modificar ou criar informações em um diretório. 
 
Conforme mencionamos, temos ainda o aspecto da auditabilidade que permite o registro das ações 
dos usuários de tal forma que permita o rastreamento para identificação de falhas ou atos indevidos 
com seus respectivos responsáveis. 
 
O conjunto dessas três características conceitua o termo AAA (authentication, authorization e 
accounting). 
 
A seguir, discutiremos alguns serviços de autenticação que são bastante utilizados nos diversos 
ambientes de rede das corporações. 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 16 
94 
 RADIUS 
O RADIUS (Remote Authentication Dial in User Service) foi um dos primeiros serviços de 
autenticação remota criado. É um protocolo de rede baseado na arquitetura cliente-servidor. 
Provê serviços e recursos de AAA para usuários e dispositivos em uma rede. Roda 
basicamente sobre o protocolo UDP no sistema de requisições e respostas. Usa a porta 1812 para 
tratar autenticação e autorização e a 1813 para comunicação de mensagens de auditoria. 
 
O fluxograma funciona basicamente da seguinte forma: 
 
1. O usuário faz a requisição a determinado recurso na rede que está em um servidor de serviços. 
2. Esse servidor de serviço faz uma consulta ao servidor RADIUS para autenticar, autorizar e gerar 
registros daquele usuário para o serviço específico. 
 
Desse modo, a ideia é que o servidor de determinado serviço passe a funcionar como cliente em 
uma consulta ao servidor RADIUS. 
 
A figura abaixo traz uma visão bem simplista do arranjo desse protocolo: 
 
 
 
 TACACS 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 17 
94 
O TACACS possui os mesmos princípios de funcionamento do RADIUS. Foi criado incialmente para 
prover um meio de autenticação para acesso a linhas dial-up (discada). Em sua versão original e 
padrão o TACACS provia apenas recursos de autenticação. 
 
Como o TACACS em sua versão nativa era um tanto limitado, a empresa CISCO desenvolveu então 
padrão XTACAS, incorporando recursos de auditoria e logs detalhados de acesso. 
 
Ainda seguindo o avanço desse padrão, foi criada a versão mais atual e usada até hoje, conhecida 
como TACACS+. Também é uma versão proprietária da CISCO, com um pequeno detalhe, esta versão 
não é compatível com as demais versões devido a formatação das mensagens trocadas. 
 
Este incorpora códigos adicionais de requisição e resposta. Um detalhe importante é que o TACACS 
roda sob o TCP em sua porta 49. 
 
 KERBEROS 
Esse protocolo é baseado em uma estrutura de troca de chaves a partir de um modelo de concessão 
de tickets para se utilizar recursos na rede após sua autorização em ambientes com arquitetura 
cliente/servidor. É a base de autorização de ambientes que trabalham com Active Directory e 
controladores de domínio. Também é utilizado em ambientes UNIX. 
 
Foi criado pelo MIT no início da década 80 e tinha como foco a criação de um ambiente 
computacional distribuído para uso educacional. Atualmente é padronizado pela RFC 4120, sendo 
então de código aberto. 
 
Uma característica presente no protocolo Kerberos é que este trabalha com autenticação única, ou 
seja, uma vez autenticado, pode-se utilizar recursos diferentes sem que seja necessária uma nova 
autenticação. Tal condição é possível pois o Kerberos utiliza um mecanismo de confiança 
estabelecido pelo servido de autenticação da rede. 
 
Outra característica extremamente importante é que a autenticação realizada é mútua. Temos 
então que tanto o cliente quanto o servidor devem fornecer credenciais para validarem suas 
identidades, evitando, assim, ataques do tipo Man in the Middle. 
 
A sua arquitetura básica utiliza três componentes, quais sejam: 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 18 
94 
• Centro de distribuição de Chaves (KDC) – Emite tickets que provam a identidade do usuário. 
Utiliza as portas TCP 88 ou UDP 88. 
 
• Serviço de Autenticação (AS) – Responsável pelo processo de autenticação do usuário. 
 
• Serviço de Emissão de Ticket (TGS) – Emite tickets de acesso aos recursos e serviços a serem 
utilizados pelo usuário. 
 
A ideia básica de funcionamento segue os passos abaixo: 
 
1. O usuário autentica-se no AS. O AS envia tais informações para o KDC que emite um Ticket 
(TGT) que possui estampado a data e hora da requisição e permissão, com o devido prazo de 
validade. 
2. Envia-se esse Ticket para o usuário dando-o permissão para acessar os serviços. 
3. Em seguida, o usuário envia o TGT ao TGS para validação, requisitando uma chave de sessão 
para determinados serviços. 
4. O TGS emite o ticket de acesso (chave de sessão ou ST) e envia tanto para o usuário quanto 
para o servidor, sempre criptografados. É importante ressaltar que o servidor Kerberos 
conhece as chaves públicas de todos os usuários e serviços de tal forma que é possível enviar 
a informação de um modo seguro. 
5. O usuário apresenta a ST ao servidor de aplicação, que, após validar com a sua chave de 
sessão recebida no passo 4, permite acesso ao serviço. 
 
O procedimento acima está representado na figura abaixo: 
 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 19 
94 
 
 
Adicionalmente, o Kerberos também poder fornecer recursos que visem garantir a integridade e 
confidencialidade dos dados trocados entre cliente e servidor. 
 
 
 NFS, SAMBA E CIFS 
Falaremos agora de algumas aplicações que servem como base para o gerenciamento e 
compartilhamento de arquivos em uma rede de computadores. 
 
A necessidade de se manter um ambiente de dados compartilhados é imensa. Isso nos possibilita a 
concentrar recursos em grandes servidores de armazenamento de dados, nos possibilita trabalhar 
com controles de versionamento dos arquivos, trabalhar com restrição de acesso centralizado a 
determinados dados e principalmente, nos auxilia a concentrar o ponto de atenção para a realização 
de backups dos dados armazenados. 
 
 NFS (NETWORK FILE SYSTEM) 
Como o próprio nome já diz, o NFS permite a montagem de uma estrutura completa de 
sistemas de arquivos remotos ou distribuídos sobre uma rede com arquitetura TCP/IP. Foi 
desenvolvido originalmente pela empresa SUN Microsystems. 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 20 
94 
A ideia básica é permitir um cliente remoto acessar o sistema de arquivos de um servidor qualquer 
como se estivesse em sua própria máquina local. Creio que muitos de nós utilizamos esse 
recurso em nossos ambientes corporativos, onde geralmenteo nosso chefe sempre fala: “Já colocou 
a minuta do documento no nosso sistema de arquivos? ” Bom, o NFS permite tal implementação. 
 
O NFS foi construído sobre o RPC (Remote Procedure Call), sendo assim um padrão aberto definido 
em RFC. Atualmente o NFS se encontra em sua versão 4: NFSv4. 
 
Alguns comentários breves a respeito da evolução do NFS. Em sua versão 2, o NFS apresentava 
uma série de limitações. Entre elas, podemos citar o suporte apenas de sistemas de arquivos 
em 32 bits, implicando em um tamanho máximo de arquivo para leitura de 2 GB. Operava 
apenas sobre o protocolo UDP, ou seja, era um sistema sem estado de conexão. 
 
Já em sua versão 3, o NFS apresentava suporte a sistemas de 64 bits. Logo, suportava arquivos 
maiores do que 2 GB. Possui a capacidade de se realizar escritas de forma assíncrona ampliando o 
desempenho do sistema. Surgiu ainda o suporte ao protocolo TCP como protocolo da camada de 
transporte. 
 
E por fim, em sua versão 4, de fato o IETF assumiu a responsabilidade do padrão NFS. Critérios de 
segurança foram implementados e a utilização do TCP passou a ser mandatória, sendo 
chamado agora de um protocolo statefull. Algumas extensões continuam a ser desenvolvidas 
para o NFS. Como exemplo podemos citar a versão 4.1 que incluiu recursos para trabalhar com 
servidores em cluster, aumentado o desempenho em consultas através da paralelização das 
respostas (pNFS), permitindo acesso distribuído entre os servidores. 
 
 NFSv2 NFSv3 NFSv4 
Sistema de 
Arquivos 
32 bits 64 bits 64 bits 
Tamanho 
máximo 
Até 2 GB >2GB >2GB 
Protocolo de 
Transporte 
UDP TCP/UDP TCP 
 
O NFS foi desenvolvido para operar em ambientes UNIX-LIKE. Desse modo, alguns protocolos 
complementares, como o SMB, podem ser utilizados para prover a integração com outros sistemas. 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 21 
94 
Na prática, tem-se que o SMB é mais amplamente utilizado do que o NFS justamente por suportar 
uma gama de opções de sistemas. 
 
Em termos operacionais, deve-se configurar o servidor NFS para compartilhar seus diretórios na rede 
com as regras de permissionamento bem definidas. Essas configurações são feitas nos arquivos de 
configuração do servidor NFS, informando quais diretórios deverão ser exportados e visualizados. 
Isso se dá através do arquivo /etc/exports. 
 
Aqui temos um exemplo de um arquivo de exportação com a permissão de leitura e escrita (RW) nos 
dois primeiros diretórios e de apenas leitura (RO) no terceiro diretório. Reparem que o termo 
“cliente” deverá ser substituído pelo nome do host ou IP, podendo ser inclusive um faixa de 
endereço IP ou domínio DNS: 
 
/home/trabalhos cliente (rw) 
/home/músicas andre.castro(rw) 
/home/vídeos 192.168.1.0/255.255.255.0(ro) 
 
Uma vez que se tem os diretórios mapeados e sendo exportados na rede, o cliente precisa realizar 
também a sua configuração para passar a enxergar esse diretório como se fosse local. Dizemos então 
que o cliente deverá “montar” o diretório em seu sistema. Esse procedimento pode ser feito de 
forma permanente no arquivo /etc/fstab. 
 
Alguns parâmetros são bastante utilizados para configuração no lado do servidor. Vamos conhecer 
alguns deles: 
 
- secure: Exige que os pedidos se originem em porta menor que 1024. 
- noaccess: Tudo que se encontra abaixo do diretório estará inacessível. 
 
 CIFS (COMMON INTERNET FILE SYSTEM) 
Seguindo a mesma linha do NFS, foi criado o CIFS. O CIFS foi criado para gerenciamento e 
compartilhamento de arquivos e diretórios em ambientes WINDOWS. Segue a mesma 
estrutura de cliente/servidor do NFS. O CIFS é um padrão aberto e público que foi criado a partir da 
implementação do SMB (Server Message Block Protocol), este desenvolvido pela própria Microsoft. 
Destaque para a porta 445 utilizada pelo protocolo. 
 
O CIFS e o NFS são a base dos sistemas de arquivos utilizados pelo dispositivo NAS de 
armazenamento em rede. 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 22 
94 
 
Como protocolos da camada de transporte, diz-se que o CIFS utiliza o NetBIOS do Windows sobre o 
TCP, conhecido como (NBT) – portas 137 a 139. Vale lembrar que o NetBIOS era o modelo de 
identificação dos dispositivos WINDOWS na rede a partir de nomes e não de números. 
 
 SAMBA 
O SAMBA nada mais é do que a implementação do protocolo SMB/CIFS para sistemas UNIX-LIKE. 
Desse modo, sistemas UNIX podem enxergar e fazer parte do compartilhamento de arquivos feitos 
em sistemas WINDOWS. 
 
Assim, pode-se incluir um servidor UNIX para compartilhamento e gerenciamento de arquivos em 
uma rede formada por dispositivos MICROSOFT, uma vez que o SAMBA permite a interpretação e 
envio de mensagens SMB. Vale inclusive mencionar que os controladores de domínio do Windows 
(Active Directory) e do Linux (Samba) possuem interoperabilidade, podendo integra-se com o 
Windows Server Domain, tanto no modo controlador primário como membro de domínio. 
 
Algumas questões têm abordado alguns aspectos de instalação, configuração e comandos do 
SAMBA. Desse modo, vamos comentar a respeito. 
 
O samba é encontrado nos repositórios de ambientes UNIX sob o daemon smbd. Para se verificar a 
versão do SAMBA instalado, pode-se utilizar o comando “smbd –V”. 
 
O arquivo de configuração padrão do SAMBA e seu caminho é: /etc/samba/smb.conf 
 
A seguir temos um exemplo de um arquivo de configuração do: 
#==================== Global Settings ======================= 
[global] 
workgroup = COMPUTACAO 
server string = Samba Server %v 
NetBIOS name = samba 
security = user 
map to guest = bad user 
dns proxy = no 
#==================== Diretório Publico ====================== 
[aula] 
path = /home/aula 
valid users = @publico 
browsable =yes 
writable = yes 
guest ok = yes 
read only = no 
#==================== Diretório Restrito ===================== 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 23 
94 
[install] 
path = /home/install 
valid users = @administrador 
guest ok = no 
writable = yes 
browsable = yes 
 
Os principais parâmetros que merecem destaque nesse arquivo é a configuração global através do 
mapeamento do servidor na rede e principalmente da configuração dos diretórios nos dois blocos a 
seguir. 
 
Analisando a sessão de DIRETORIO PUBLICO, podemos ver a identificação do mapeamento [aula] 
será como o mapeamento será identificado e mostrado na rede, sendo que o diretório a ser 
mapeado está no parâmetro “path = /home/aula/”. 
 
No campo “Valid Users” pode-se definir quais usuários ou grupos poderão ter acesso ao diretório 
em questão. Outra possibilidade de restrição é através do parâmetro “hosts allow” em que se pode 
definir endereços IP que serão permitidos o acesso. Já o parâmetro “guest ok = yes”, permite que 
qualquer um tenha acesso ao diretório. Este é muito utilizado para distribuição de arquivos de 
atualização para os usuários. 
 
O parâmetro “available=yes” é um valor padrão e por isso não aparece. Caso ele seja mudado para 
“no”, tem-se que o diretório ficará congelado e não acessível, apesar de estar todo configurado. 
 
O parâmetro “Browsable=yes” define que o mapeamento estará disponível na rede sendo visível. 
Caso se mude para “no”, será um mapeamento oculto e deverá ser mapeado pelo cliente de forma 
manual. 
 
O parâmetro “Writable=yes” permite a leitura e escrita no diretório. Caso seja mudado para “no”, 
será permitido apenas a leitura.Falando ainda sobre algumas características e implementações no arquivo de configuração, temos 
a possibilidade de se utilizar variáveis de substituição, que nada mais são do que expressões 
regulares que possibilitam a recuperação de informações em relação a diversos aspectos. 
 
Como exemplo, podemos citar a configuração do path da seguinte forma: “path = /tmp/%u”. Nesse 
caso, interpreta-se como a variável %u como o usuário conectado. Caso o usuário seja andre, 
teríamos o arquivo como /tmp/andre. 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 24 
94 
Assim, listo abaixo as principais variáveis: 
 
Lista de variáveis 
%u Nome de sessão do usuário 
%g Nome do grupo primário do usuário %u 
%h O hostname na Internet do servidor onde está 
rodando o samba 
%a A arquitetura da máquina remota que está 
conectando. 
%i Endereço IP do cliente 
%T A data e horário corrente 
%m O nome NETBIOS da máquina do cliente 
 
 
Como há uma série de parâmetros e configurações a serem respeitadas no arquivo de configuração, 
foi desenvolvido uma aplicação capaz de validar essas configurações, chamado de TESTPARM. 
 
Como todo serviço implementado em Unix, temos os daemons que são os programas que de fato se 
mantêm operacional como forma de processos nos hosts disponibilizando assim os serviços. 
 
No caso do SAMBA, temos dois daemons que são os mais utilizados em termos dos recursos que 
eles fornecem. 
 
O primeiro é o SMBD, responsável por fornecer a maior parte das funcionalidades do SAMBA. 
Dessas, listamos o compartilhamento de arquivos e impressoras, autenticação e autorização de 
usuários e fornecimento de serviços de horário. 
 
O segundo é o NMDB, cujo funcionamento básico reside em tarefas relacionas a nomes. Dessas 
citamos a capacidade de responder transmissões de nomes, registrar nomes de NETBIOS, entre 
outros. 
 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 25 
94 
 
Continuando a nossa discussão a respeito do SAMBA, vamos verificar os cinco modos de segurança 
que podem ser utilizados pelo SAMBA. Reparem que o modo é definido através do parâmetro 
“security” que consta no contexto GLOBAL do nosso exemplo acima. 
 
Os cinco modos são: 
 
• USER – Segurança a nível de usuário. Sob essa perspectiva, o servidor se aterá a avaliar um 
nome de usuário e senha fornecido pelo cliente. Em nenhum momento será considerado as 
raízes de diretórios para efeitos de autenticação por compartilhamento. Pode-se utilizar 
também o nome da máquina para efeito desse modo de autenticação. Este é o modo padrão 
de configuração do SAMBA. 
 
• SHARE – Segurança a nível de compartilhamento. Nesse caso, utiliza-se autenticação isolada 
para cada tipo de compartilhamento fornecido. Nesse caso, o usuário se autentica para ter 
acesso a um ramo da árvore de compartilhamento. Caso deseje acessar outro ramo, deverá 
realizar uma nova autenticação. E aqui já temos a organização de domínios no próprio 
servidor. 
 
• DOMAIN – Segurança baseada na autenticação de um controlador de domínio. Aqui, o 
servidor SAMBA se torna uma entidade confiável de um controlador de domínio. Todas as 
requisições de autenticação serão encaminhadas ao controlador. Nesse modo deve ser 
incluído na configuração o grupo no qual será inserido o servidor Samba. “workgroup = 
nomedogrupo”. 
 
• ADS – Modo utilizado para que o SAMBA faça parte de um domínio de um Active Directory. 
Desse modo, ele irá utilizar a estrutura de autenticação do AD através do protocolo 
KERBEROS. 
 
• SERVER – Modo em desuso. Era utilizado quando o servidor SAMBA não podia atuar como 
um membro de algum domínio. 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro 
Aula 10 
 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 26 
94 
 
 
Um outro ponto que já tem aparecido em provas são os comandos do 
próprio SAMBA. Dessa forma, apresento a vocês uma lista dos principais 
comandos: 
 
Smbclient: acessa recursos SMB/CIFS em um servidor de forma parecida 
com ftp (ftp-like); 
 
Smbprint: utilizado para o unix acessar impressoras em um ambiente 
SMB/CIFS; 
 
Smbprint.sysv: o mesmo anterior, mas para system V; 
 
Smbstatus: mostra as conexões SMB; 
 
Smbrun: permite executar comandos de shell para o smbd (“programa de 
interface entre o smbd e programas externos”); 
 
Smbmount (descontinuado): montagem de compartilhamentos. 
Atualmente se utiliza o mount.cifs ou mount -t cifs; 
 
Swat: interface web para configuração do samba (Samba Web 
Administration Tool); 
 
Smbpasswd: altera a senha SMB de um usuário; 
 
Testparm: verifica o arquivo de configuração do samba. 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
 Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
Segurança de Redes de Computadores 
www.estrategiaconcursos.com.br 
 27 
94 
 
 
 
EXERCÍCIOS COMENTADOS 
X.500 E LDAP 
1. CESPE – TCE-SC/AFCE – Área TI/2016 
O método de autenticação básico no LDAP implementa criptografia AES para proteger o 
tráfego da senha entre o cliente e o servidor LDAP no momento em que a conexão TCP é 
estabelecida. 
 
Comentários: 
O LDAP nativo roda na porta 389/TCP e não implementa recursos de segurança. 
Entretanto, pode-se utilizar recursos de segurança de maneira estendida, como pela 
criação de túneis TLS para tal finalidade. Nesse caso, muda-se inclusive, a porta de 
operação do protocolo, também conhecido como LDAPS – 636/TCP. Pode-se verificar tais 
informações diretamente nas RFCs do LDAP: 4511 – Definição do protocolo e 4513 – 
Mecanismos de autenticação. Desse modo, ainda considerando o termo “básico” da 
assertiva, temos que o gabarito deveria ser INCORRETO. 
Gabarito: E 
 
2. CESPE – MS/Analista Administrativo/2013 
O uso do LDAP (lightweight directory access protocol) permite que colaboradores, 
aplicativos e recursos de rede utilizem informações armazenadas em um repositório 
central. 
 
Comentários: 
Questão bem tranquila para iniciarmos nossos exercícios, certo pessoal? Vimos que o 
LDAP permite o acesso às informações dos objetos e recursos na rede a partir de um 
repositório central. 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 28 
94 
Gabarito: C 
 
3. CESPE – SERPRO/Analista de Redes/2013 
O protocolo LDAP foi desenvolvido para ser executado sobre uma camada de transporte 
confiável, orientada a conexões. Dessa forma, é adequado o uso do protocolo de camada de 
transporte UDP para implementações do LDAP. 
 
Comentários: 
De fato, o LDAP foi desenvolvido para ser executado sobre uma camada de transporte 
confiável, orientado a conexões. Entretanto, o protocolo que executa tais funções é o TCP. 
Mas especificamente, para o LDAP, temos a utilização da porta 389/TCP. 
 
Gabarito: E 
 
 
4. CESPE – CGE-PI/Auditor Governamental/2015 
 Durante um teste de varredura de rede para auditoria de segurança, constatou-se o uso 
de serviço LDAP com autenticação simples. O servidor LDAP em uso era o OpenLDAP na 
versão 2.4. 
 
Considerando essa situação hipotética, julgue o próximo item. 
 
Na situação em apreço, a técnica de autenticação com DIGEST-MD5 pode ser utilizada, já 
que o CRAM-MD5 está depreciado em versões 2.4 do OpenLDAP. 
 
Comentários: 
Atualmente, a função HASH utilizadapelo LDAPv3 é de fato o MD5. A questão apresenta 
ainda a função anterior que era utilizada e que atualmente está depreciada conforme 
especificação da ferramenta openLDAP. Vale mencionar que esta não é a única forma de 
armazenamento dos dados do LDAPv3, conforme vimos na parte teórica. Pode ser 
considerado ainda o armazenamento em texto em claro ou em um arquivo criptografado. 
 
Gabarito: C 
 
5. CESPE – SERPRO/Técnico – Operação de Redes/2013 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 29 
94 
Todo serviço de diretório do tipo LDAP emprega uma estrutura hierárquica que armazena 
informações sobre objetos na rede. O que diferencia as diversas implementações são os 
tipos de objetos rastreados. 
 
Comentários: 
Essa estrutura hierárquica é que permite a identificação e rastreamento dos objetos na 
rede. 
Gabarito: C 
 
 
 
 
6. CESPE – SERPRO/Técnico – Operação de Redes/2013 
O LDAP, dada sua complexa organização em árvore, não permite a localização rápida e 
precisa de complementos e, consequentemente, de informações e arquivos 
disponibilizados na rede. 
 
Comentários: 
Não né pessoal? Justamente devido à organização hierárquica em árvore, o LDAP 
identifica de forma rápida e precisa dos objetos na rede. Vale sempre lembrar que ele foi 
desenvolvido e customizado para otimização dos recursos de leitura de informações dos 
objetos na rede. 
Gabarito: E 
 
7. CESPE – SERPRO/Técnico – Operação de Redes/2013 
O LDAP, serviço utilizado para acessar um serviço de diretório, é executado sobre o 
protocolo SSH, com o cliente dedicado. 
 
Comentários: 
Detalhe para o posicionamento do CESPE preciso em relação ao LDAP ser um serviço ou 
protocolo para acesso de serviço de diretório. Entretanto, não há a utilização do 
protocolo SSH em sua implementação. 
Gabarito: E 
 
8. CESPE – TRE-RJ/Analista Judiciário – Análise de Sistemas/2012 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 30 
94 
O LDAP é um protocolo executado sobre TCP/IP e exclusivo para redes Unix que permite 
organizar recursos de forma hierárquica, tais como árvores de diretório. 
 
Comentários: 
O LDAP é um protocolo da camada de aplicação que não se restringe a redes UNIX. 
Conforme comentamos, o próprio AD da Microsoft utiliza o protocolo LDAP. 
Gabarito: E 
 
9. CESPE – Banco da Amazônia/Técnico Científico – Suporte Técnico/2012 
O servidor de arquivos Samba, utilizado no sistema operacional Linux, permite o 
compartilhamento de arquivos, diretórios e impressoras. 
 
Comentários: 
Faltou o complemento da questão para que ela ficasse mais precisa. Entretanto, usou-se 
o termo “permite” o que deixou a questão totalmente correta. O mais preciso seria dizer 
que realiza o compartilhamento entre Windows e Linux. 
Gabarito: C 
 
10. CESPE – Banco da Amazônia/Técnico Científico – Suporte Técnico/2012 
É possível integrar a autenticação do servidor de arquivos Samba a um serviço de 
diretório já instalado, como o Active Directory da Microsoft, desde que o arquivo de 
configuração smb.conf contenha a opção security=share e configure o Kerberos. 
 
Comentários: 
Conforme vimos, o modo que permite a integração em domínio AD é o ADS. 
 
Gabarito: E 
 
11. CESPE – MEC/Administrador de Redes/2011 
A versão 3 do protocolo LDAP não suporta servidores hierárquicos; assim, consultas feitas 
a um servidor para um bloco de dados não resultam em referências recursivas para outros 
servidores. 
 
Comentários: 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 31 
94 
O modelo de consultas recursivas segue a mesma estrutura do protocolo DNS. Caso se 
faça uma consulta a um servidor e este não saiba a resposta à consulta, esse servidor 
repassa a consulta a outro servidor em uma hierarquia superior. Sob a perspectiva do 
cliente, faz-se sempre apenas uma consulta, sendo transparente o modo recursivo. 
 
Gabarito: E 
 
12. CESPE – Correios/Analista de Correios – Analista de Sistemas/2011 
O protocolo LDAP (lightweight directory access protocol) não possui utilidade em uma 
infraestrutura de chave pública. 
 
Comentários: 
O padrão de infraestrutura de chave pública X.509 faz parte da família X.500. Uma vez 
que o LDAP é a sua implementação em redes TCP/IP, o X.509 também faz uso do 
protocolo LDAP para a implementação prática de seu modelo hierárquico e referência de 
nomes para acesso aos objetos da árvore. Dessa forma, dizemos que o LDAP é totalmente 
integrado com o sistema de certificados digitais. 
 
Gabarito: E 
 
13. CESPE – TJ-ES/Analista Judiciário – Análise de Suporte/2011 - ADAPTADA 
Para a disponibilização de um serviço de diretórios na rede interna do tribunal, é 
adequada a implantação de serviços que utilizem o protocolo LDAP, que, a partir do 
armazenamento das informações na forma de árvore, é capaz de organizar e localizar 
permissões, recursos e usuários de rede. 
 
Comentários: 
Questão bem tranquila que apresenta uma recomendação de utilização do LDAP para os 
propósitos apresentados. 
 
Gabarito: C 
 
14. CESPE – ABIN/Agente Técnico de Inteligência/2010 
Se um servidor de autenticação de usuário embasado em servidor do tipo LDAP for 
utilizado na rede, o operador deverá interromper o serviço do LDAP, uma vez ao dia, para 
realizar as cópias dos dados do LDAP. Isso se deve ao fato que o serviço LDAP trava, por 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 32 
94 
padrão, a base e nega acesso a qualquer outro dispositivo ou usuário do sistema para 
realizar backup. 
 
Comentários: 
Não né pessoal? Se um serviço totalmente embasado nas informações de armazenamento 
de informações dos objetos e recursos da rede não possibilitar a realização de backup, 
seria um protocolo de alto risco em relação à perda dos dados. 
Gabarito: E 
 
15. CESPE – ABIN/Agente Técnico de Inteligência/2010 
O LDAP permite que a estrutura hierárquica da organização esteja representada no 
serviço de diretório e que o processo de autenticação de usuários seja distribuído entre um 
servidor mestre e vários servidores escravos. 
 
Comentários: 
Não só permite esse modelo como é bastante utilizado em organizações de médio e 
grande porte. 
Gabarito: C 
 
16. CESPE – ABIN/Agente Técnico de Inteligência/2010 
O LDAP versão 3 suporta tanto a autenticação por meio de certificados quanto o uso de 
TLS. 
 
Comentários: 
Conforme comentamos nas questões anteriores, o LDAP é plenamente integrado ao 
sistema de certificados digitais. Além disso, vimos que o estabelecimento de um túnel 
TLS se dá a partir do comando STARTTLS. 
 
Gabarito: C 
 
17. CESPE – ABIN/Agente Técnico de Inteligência/2010 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 33 
94 
 
 
O DN (distinguished name) do usuário denominado BABS, que faz parte da estrutura 
organizacional hipotética apresentada, é d a d o p o r : dc=com, dc=example, ou=people, 
uid=babs,dn=person. 
 
Comentários: 
Pessoal, vimos que o arranjo e combinação do DN é do mais específico para o mais geral. 
Nesse sentido,o correto seria: uid=babs, ou=people, dc=example, dc=com 
 
Vale ressaltar que o parâmetro PERSON não faz parte da estrutura, mas tão somente a 
identificação do tipo de objeto. 
 
Gabarito: E 
 
18. CESPE – ABIN/Agente Técnico de Inteligência/2010 
Um serviço de diretório embasado no LDAP possibilita que haja um controle centralizado 
de usuários e que seja armazenado e acessível por métodos padronizados. 
 
Comentários: 
Mais uma questão abordando o conceito de utilização do LDAP. 
 
Gabarito: C 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 34 
94 
 
19. CESPE – MPU/Analista de Informática/2010 
O acesso aos serviços de diretórios no padrão X.500, que devem estar organizados em 
forma de tabela, é feito por intermédio do LDAP, o qual atua na camada de aplicação. 
 
Comentários: 
Nada de estruturação em tabela. Como vimos, o X.500 e o LDAP utiliza uma organização 
hierárquica em árvore (DIT). 
 
Gabarito: E 
 
20. CESPE – Banco da Amazônia/Técnico Científico – TI/2010 
No LDAP, os dados são relacionados entre si por meio de uma estrutura hierárquica 
arborescente. 
 
Comentários: 
Uma forma diferente de dizer o que comentamos na questão anterior. 
 
Gabarito: C 
 
 
21. CESPE – Banco da Amazônia/Técnico Científico – TI/2010 
A utilização do LDAP é conveniente para dados sobre os quais a operação de leitura é 
mais frequente do que a operação de gravação. 
 
Comentários: 
Vimos que o LDAP foi criado com base nessa característica. Nesses ambientes o volume 
de requisições de leitura é muito maior do que as requisições de escrita. 
 
Gabarito: C 
 
22. CESPE – Banco da Amazônia/Técnico Científico – TI/2010 
Com o active directory implantado, perde-se a possibilidade de utilização de strings LDAP 
em linha de comando. 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 35 
94 
 
Comentários: 
Vimos que o AD utiliza o protocolo LDAP em sua implementação. Nesse sentido, não há 
limitações da forma de utilização desse protocolo, podendo ser feito inclusive em linha 
de comando. 
 
Gabarito: E 
 
23. CESPE – TRE-BA/Analista Judiciário – Análise de Sistemas/2010 
Active Directory implementa o conceito de LDAP (lightweight directory access protocol) 
reunindo, em um único local, as bases de dados de usuários, de permissões e de recursos. 
 
Comentários: 
Pessoal, a dúvida nessa questão fica no termo “único local”. Devemos entender esse 
termo em seu sentido lógico, isto é, uma base centralizada dessas informações, ainda que 
estes dados estejam replicados ou organizados hierarquicamente em um conceito físico. 
 
Gabarito: C 
 
24. CESPE – INMETRO/Analista Executivo/2009 
As opções de autenticação no LDAP se restringem a autenticação simples com SSL/TLS e 
com Security Layer. 
 
Comentários: 
Vimos que o LDAP suporta diversos modos de autenticação, entre eles o SSL/TLS. 
Portanto, não há exclusividade desse modo. 
 
Gabarito: E 
 
25. CESPE – DEPEN/Agente Penitenciário – Área 7/2015 
O software OpenLDAP permite ao usuário fazer pesquisa no serviço Active Directory da 
Microsoft. Para possibilitar esse procedimento, o Active Directory deve suportar o 
protocolo HTTPS, uma vez que o OpenLDAP transfere dados por meio desse protocolo. 
 
Comentários: 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 36 
94 
Pessoal, vimos que o AD implementa o LDAP nativamente. Desse modo, não há 
necessidade de suporte do HTTPS para tal procedimento. 
 
Gabarito: E 
 
26. CESPE – DEPEN/Agente Penitenciário – Área 7/2015 
O padrão LDAP é uma derivação do serviço de diretórios X.500. Em ambientes Linux, o 
sistema OpenLDAP é considerado a principal implementação aberta desse padrão. 
Comentários: 
Reforçando a questão anterior, temos ainda que o openLDAP, conforme vimos, é a 
implementação em código aberto do LDAP, sendo amplamente utilizado em ambientes 
LINUX. 
 
Gabarito: C 
 
27. CESPE – TJ-SE/Analista Judiciário – Redes/2014 
No modo SSL, o servidor LDAP atende, além da porta padrão de serviço (389), uma porta 
para conexões criptografadas (ldaps, a porta padrão 636), de modo que clientes que 
desejarem conexões criptografadas devem usar a porta 636. 
 
Comentários: 
Questão bem tranquila, porém, exigia o conhecimento das portas padrões utilizados pelo 
serviço LDAP no modo padrão e modo seguro, com SSL. 
Gabarito: C 
 
 
ACTIVE DIRECTORY 
28. CESPE – SERPRO/Analista de Redes/2013 
Na estrutura do Microsoft Active Directory, cada objeto é associado a um LDAP 
distinguished name (DN), que é sua representação LDAP completa, ou seja, totalmente 
qualificada. 
 
Comentários: 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 37 
94 
Conforme vimos na nossa teoria, o DN (distinguished name) é uma combinação de 
parâmetros de identificação que torna cada objeto único, com uma representação 
completa do seu nome a partir da raiz da estrutura. Vale lembrar que é o mesmo padrão 
utilizado pelo FQDN do DNS. Lembramos ainda que o RDN (relative distinguished name) 
provê uma identificação parcial, ou seja, um ramo da árvore de diretórios. 
 
Gabarito: C 
 
 
NFS 
29. CESPE – TCU/Analista de Controle Externo – TI/2009 
Ao averiguar o comportamento da rede TCP/IP dessa organização, um analista constatou 
que um dos protocolos de sistema de arquivos distribuídos empregado nessa rede usa 
External Data Representation (XDR) e Remote Procedure Call (RPC). Analisando 
detalhadamente o funcionamento dos processos servidores de arquivos que implementam 
esse protocolo, o analista constatou, ainda, que informações sobre o estado dos arquivos 
abertos são mantidas pelo servidor. Nessa situação, em razão dessas características, o 
analista pode afirmar corretamente que o protocolo empregado é o Network File System 
(NFS) e que esse protocolo é implementado na camada de transporte. 
 
Comentários: 
Sem entrar nas demais características, verificamos o erro na questão ao afirmar que o 
NFS pertence à camada de transporte, quando, na verdade, pertence à camada de 
aplicação. 
 
Gabarito: E 
 
30. CESPE – MEC/Gerente de Segurança/2011 
O serviço de compartilhamento de arquivos via NFS (Network File System) é uma 
tecnologia padrão da Microsoft. No caso de redes Unix, o cliente NFS se conecta 
nativamente a um compartilhamento de rede Microsoft e apresenta suas credenciais de 
acesso. 
 
Comentários: 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 38 
94 
Tranquilo, certo pessoal? NFS não é padrão da Microsoft, mas sim Unix. Detalhe que o 
fato de não ser padrão não implica em não ser suportado, são coisas distintas. Na parte 
final, para o cliente da rede Unix, esse pode utilizar o protocolo SAMBA para tal. 
Gabarito: E 
 
 
31. CESPE – MEC/Administrador de Redes/2011 
No Linux, o arquivo /etc/exports enumera os sistemas de arquivos exportados por meio do 
NFS e os clientes que podem acessar cada um deles. 
 
Comentários: 
Vimos que a configuração de permissionamento e quais diretórios serão visualizados se 
dá através do arquivo de configuração/etc/exports. 
 
Gabarito: C 
 
32. CESPE – HEMOBRÁS/Técnico de Informática/2008 
O compartilhamento de arquivos entre uma plataforma Linux e uma Windows é possível 
mediante o NFS (network file system) que é nativo no Windows. 
Comentários: 
Não né pessoal? Essa integração se dá por intermédio do SAMBA. 
 
Gabarito: E 
 
33. CESPE – INPI/Analista de Planejamento – Infraestrutura de TI/2013 
O procedimento de criar discos virtuais em dispositivos remotos e operá-los como se 
fossem dispositivos físicos locais, empregado pelo protocolo NFS, pode ser executado pela 
versão 4 do protocolo TCP. 
 
Comentários: 
Versão 4 do TCP? Não sei se o examinador tinha o objetivo de confundir com o suporte à 
versão 4 do próprio protocolo NFS ou a versão 4 do protocolo IP, no caso, ambos estariam 
corretas, mas não no protocolo TCP. 
 
Gabarito: E 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 39 
94 
 
 
SAMBA 
34. CESPE – TJ-RO/Analista Judiciário – Analista de Sistemas/2012 
Determinado servidor de arquivos de endereço IP 192.168.1.5, utilizando Samba, 
disponibiliza um compartilhamento de nome FINANCEIRO mediante dispositivo ISCSI, 
para ser montado a partir de uma estação de trabalho Linux no ponto de montagem 
/mnt/samba. Para que o compartilhamento seja montado automaticamente sempre que a 
estação de trabalho Linux se iniciar, a linha que deve ser adicionada ao arquivo 
/etc/fstab, para o sucesso da operação, é 
 
 a) //192.168.1.5/FINANCEIRO /mnt/samba xfs defaults 0 0. 
 b) //192.168.1.5/FINANCEIRO /mnt/samba nfs _netdev,defaults 0 0. 
 c) //192.168.1.5/FINANCEIRO /mnt/samba ntfs_netdev,defaults 0 0. 
 d) //192.168.1.5/FINANCEIRO /mnt/samba fat32_netdev,defaults 0 0. 
 e) //192.168.1.5/FINANCEIRO /mnt/samba cifs_netdev 0 0. 
 
 
Comentários: 
Temos aí uma questão bem técnica a respeito do SAMBA. Esse é o tipo de questão que 
raramente estuda-se a fundo para chegar com todo certeza em uma prova. Porém, os 
conceitos atrelados aos protocolos são extremamente importantes e teríamos condições 
de resolver a questão facilmente. 
 
Vimos que o SAMBA é um protocolo que permite a visibilidade de servidores LINUX em 
ambientes de rede WINDOWS que utilizam o protocolo CIFS. Esse já é um grande indício 
da questão a ser marcada. 
 
Em nenhum momento entramos no mérito do sistema de arquivos dos servidores em 
relação à disponibilização dos recursos na rede. Desse modo, descartaríamos as 
alternativas A, C e D. A letra B nos mostra uma configuração de NFS. Entretanto, como 
vimos, precisamos de um mapeamento em CIFS por se tratar do protocolo SAMBA e de 
sua visibilidade em redes WINDOWS. Logo, nos restaria a alternativa E. 
 
Gabarito: E 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 40 
94 
35. CESPE – INMETRO/Analista Executivo/2009 
Os modos de segurança user, ads e domain são implementados pelo SAMBA. 
 
Comentários: 
Além desses três, temos os modos SHARE e SERVER 
 
Gabarito: C 
 
36. CESPE – Banco da Amazônia/Técnico Científico – TI/2010 
As configurações do Samba são armazenadas em um arquivo denominado , 
que pode ser dividido em várias seções, e cada seção possui seu nome entre colchetes. 
 
Comentários: 
Vimos um exemplo na parte teórica que representa exatamente essa organização. 
 
Gabarito: C 
 
37. CESPE – SERPRO/Analista – Redes/2008 
O arquivo de configuração padrão do Samba, smb.conf, permite especificar o endereço IP 
dos hospedeiros que poderão acessar os serviços disponibilizados pelo Samba. 
 
Comentários: 
Conforme vimos, uma das possibilidades do Samba é exatamente controlar o acesso a 
nível de usuário ou IP para o acesso aos serviços. 
 
Gabarito: C 
 
 
38. CESPE – Banco da Amazônia/Técnico Científico – TI/2010 
Para validar o arquivo de configuração do Samba, pode ser utilizado o programa 
testparm. 
 
Comentários: 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 41 
94 
Vimos que essa é exatamente a função do TESTPARM. 
 
Gabarito: C 
 
39. CESPE – TJ-SE/Analista Judiciário – Redes/2014 
O comando smbcontrol do SAMBA pode ser empregado para mostrar as conexões 
atualmente ativas e os arquivos bloqueados, informações que podem ser especialmente 
úteis na monitoração dos problemas de bloqueio. 
 
Comentários: 
Vimos uma lista dos principais comandos e funções utilizados no SAMBA. Nesse contexto, 
vimos que o comando SMBSTATUS é responsável por mostrar as conexões SMB ativas. 
 
Gabarito: E 
 
40. CESPE – CPRM/Analista em Geociências – Sistemas/2013 
Além de poder ser membro de um domínio Active Directory executado no Windows, o 
servidor de arquivos Samba executado no sistema operacional Linux tem a capacidade de 
compartilhar arquivos e diretórios e autenticar os usuários utilizadores do servidor de 
arquivos Samba no Active Directory. 
 
Comentários: 
Como vimos, atualmente há uma grande interoperabilidade entre o SAMBA e o AD, 
possibilitando a implementação dos recursos acima. Vimos ainda que o SAMBA pode 
inclusive exercer papel de controlador de domínio. 
 
Gabarito: C 
 
 
 
 
41. CESPE – TJ-AC/Analista Judiciário – Analista de Suporte/2012 
No Samba, podem-se gerar logs customizados, incluindo-se variáveis na opção log file do 
arquivo de configuração (smb.conf). Para que seja possível separar os logs por nomes de 
hosts, utiliza-se a variável %T. 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 42 
94 
Comentários: 
Vimos que a variável de substituição %T é responsável por coletar a data e horário 
corrente. A variável muito utilizada e que busca o nome NETBIOS dos hosts é o %m. 
Gabarito: E 
 
42. CESPE – TJ-AC/Analista Judiciário – Analista de Suporte/2012 
O serviço Samba, que pode ser utilizado como um servidor de arquivos, tem a capacidade 
de compartilhar arquivos em uma rede com clientes que consigam montar 
compartilhamentos utilizando CIFS (Common Internet File System). 
 
Comentários: 
Tranquilo, certo pessoal? Esse é o princípio básico do SAMBA. 
Gabarito: C 
 
43. CESPE – ANAC/Analista Administrativo – Área 5/2012 
No Samba, para especificar os diretórios e impressoras que devem ser compartilhados, 
bem como os direitos de acesso e parâmetros operacionais genéricos, é necessário editar o 
arquivo smb.conf. 
 
Comentários: 
Pessoal, toda a configuração de acesso e compartilhamento é feita no smb.conf. 
Gabarito: C 
 
44. CESPE – TJ-SE/Analista Judiciário – Redes/2014 
A maior parte das funcionalidades do SAMBA é implementada por dois daemons: 
smbd e nmbd. O smbd destina-se a implementar serviços de arquivos, serviços de 
impressão, conversão de nomes e anúncio de serviços. O nmbd fornece os outros principais 
serviços: autenticação e autorização. 
 
Comentários: 
Temos aqui uma inversão das características dos daemons em relação à conversão de 
nomes e a parte de autenticação e autorização. O primeiro está atrelado ao NMBD, 
enquanto o segundo, ao SMBD. 
Gabarito: E 
 
 
André Castro
Aula 09
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 10 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 43 
94 
CUPS 
45. CESPE