Ir para o conteúdo
ou

Software livre Brasil

0 comunidades

Nenhum(a)

 Voltar a Blog
Tela cheia

Réplica da base LDAP com SSL/TLS e SASL

4 de Agosto de 2009, 0:00 , por Software Livre Brasil - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 1578 vezes
<!-- Easy AdSense V2.72 --> <!-- Post[count: 3] -->

A réplica na base LDAP é um elemento de fundamental importância para segurança dos dados e para balanceamento de carga. Como mostra a figura 1, podemos ter um servidor “master” que recebe os dados e distribui para outros “slave” que pode estar em qualquer parte da empresa, desde um servidor ao lado até em um servidor na matriz em outro país.

 

Figura 01 – Réplica da base LDAP

A réplica é uma solução bastante utilizada, porém também é um dos momentos mais críticos, pois os dados “inteiros” são transferidos pela rede e até pela Internet. Por isso é de fundamental importância a implementação de métodos que protejam essas informações de curiosos. Neste artigo vamos utilizar duas formas de proteção dos dados, que são:

 

  • TLS/SSL – Criação de um canal criptografado para transferência dos dados; e
  •  SASL – Vamos utilizar Cyrus-SASL, que implementa uma camada de segurança na autenticação.

Para demonstrar os recursos do LDAP, vamos começar desde a instalação até a réplica da base LDAP. Vamos utilizara distribuição Ubuntu-Server.

 1- Instalação do servidor LDAP

Para instalação do OpenLDAP vamos utilizar os pacotes pré-compilados da distribuição.

[root@master]# apt-get install slapd ldap-utils

Com a instalação feita, o próximo passo é a configuração do LDAP. Para isso apague o diretório slapd.d que está dentro do diretório /etc/ldap e crie o arquivo slapd.conf, conforme o exemplo a seguir:

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/openldap.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/misc.schema

password-hash           {CRYPT}

defaultsearchbase       dc=curso,dc=ldap

pidfile         /var/run/slapd/slapd.pid
argsfile        /var/run/slapd/slapd.args

loglevel        1024

modulepath      /usr/lib/ldap
moduleload      back_bdb
moduleload      back_monitor

access to dn.base=""
        by * read

access to dn.base="cn=Subschema"
        by * read

access to dn.subtree=cn=Monitor
        by * read

database        monitor

database        bdb
cachesize       5000
mode            0600

suffix          "dc=curso,dc=ldap"
checkpoint      512 720

rootdn  "cn=manager,dc=curso,dc=ldap"
rootpw  pedra

# Indexing
index   default                                                 sub
index   uid,mail                                                eq
directory       "/var/lib/ldap "
lastmod on

 

Mude o dominio (dc=curso,dc=ldap) LDAP para aquele que desejar. Em seguida altere o arquivo /etc/default/slapd, e acresce altere a seguinte linha:

SLAPD_CONF="/etc/ldap/slapd.conf"

Feito essas configurações, já podemos iniciar o slapd.

[root@master]# /etc/init.d/slapd restart

Verifique se a porta 389 está aberta.

1.2 –  Criação da base

A figura 2 mostra a estrutura que vamos utilizar na base LDAP.

Segue o arquivo estrutura.ldif

dn: dc=curso,dc=ldap
objectClass: top
objectClass: dcObject
objectClass: organization
dc: curso
o: Sistema de Backup

dn:ou=people,dc=curso,dc=ldap
objectClass: top
objectClass: organizationalunit
objectClass: dcObject
dc: curso
ou:people

dn:ou=group,dc=curso,dc=ldap
objectClass: top
objectClass: organizationalunit
objectClass: dcObject
dc: curso
ou:group

dn:uid=jose,ou=people,dc=curso,dc=ldap
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: inetOrgPerson
cn:jose
sn: sila
mail:
jose@jose.com
telephonenumber:11-11-1-11
uid: jose
userPassword: x
homeDirectory: /home/jose
displayName: Jose Silva
loginShell: /dev/null
uidNumber: 512
gidNumber: 100

dn: cn=administrador,ou=group,dc=curso,dc=ldap
objectClass: posixGroup
cn: administrador
gidNumber: 999
memberUid: jose

 

Com o arquivo criado, vamos utilizar o comando ldapadd para importar o arquivo LDIF para a base LDAP

[root@master]# ldapadd –f estrutura.ldif –x –D cn=manager,dc=curso,dc=ldap –W

2 – SSL

Com a estrutura da base LDAP feita, vamos implementar o TLS/SSL no servidor LDAP. Para isso certifique que o pacote opessl esteja instalado. No primeiro passo vamos criar o diretório que será criado o CA (certificador).

[root@master]# mkdir /opt/CAtls

Dentro do diretório criado, execute o script CA.sh –newca para criar um novo CA.

[root@master]opt/CAtls# /usr/lib/ssl/misc/CA.sh –newca

No campo Enter PEM pass phrase defina a senha para validação do certificado. Esta Senha vai ser usada para validação das chaves. Preencha os campos como mostra a figura 03;

 

}  No campo “A challenge password []:”, não defina nada, pressione enter. Essa é uma senha além da chave. Toda vez que for utilizar a chave terá que digitar a senha.

}  No campo “Enter pass phrase for” digite a senha definida no “Enter PEM pass phrase”

Após a criação do CA, vamos criar a chave:

[root@master]opt/CAtls# openssl req -newkey  rsa:1024  -nodes -keyout newreq.pem -out newreq.pem

E para finalizar é necessário assinar a chave utilizando o CA criado.

[root@master]opt/CAtls# /usr/lib/ssl/misc/CA.sh –sign

}  Digite a senha do CA e responda todos os questionamentos como yes

Agora temos as seguintes chaves:

Copie as chaves para o diretório LDAP:

Crie o diretório para chave no slapd:
[root@master]# mkdir /etc/ldap/tls

Copie as chaves:

[root@master]# cp /opt/CAtls/demoCA/cacert.pem /etc/ldap/tls/
[root@master]# mv /opt/CAtls/newcert.pem /etc/ldap/tls/servercrt.pem
[root@master]# mv /opt/CAtls/newreq.pem /etc/ldap/tls/serverkey.pem

E para terminar a configurar, temos que incluir as seguintes linhas no arquivo slapd.conf:

TLSCACertificateFile /etc/ldap/tls/cacert.pem
TLSCertificateFile /etc/ldap/tls/servercrt.pem
TLSCertificateKeyFile /etc/ldap/tls/serverkey.pem
# Verificação no cliente não é requirida
TLSVerifyClient never

Para o LDAP iniciar automaticamente o SSL, é necessário novamente alterar o arquivo /etc/default/slapd e mudar a seguinte linha:

SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///“

Reinicie o servidor LDAP e verifique se a porta 636 está aberta.

2.1 – Cliente LDAP com SSL

Antes de iniciar a réplica da base LDAP, vamos testar se o servidor LDAP está respondendo corretamente com o SSL. Para fazermos os testes, crie as chaves no cliente igualmente como criamos no servidor.

Copei as chaves para o diretório /home/tls

[root@master]# cp /opt/CAtls/demoCA/cacert.pem /home/tls/
[root@master]# mv /opt/CAtls/newcert.pem /home/clientecrt.pem
[root@master]# mv /opt/CAtls/newreq.pem /home/clientekey.pem

 No primeiro teste vamos utilizar o próprio openssl para fazer a conexão com o servidor.

[root@master]# openssl s_client –connect  master.curso.ldap:636 –showcerts –state –CAfile /home/cacert.pem

Perceba o “Verify Return Code”, deve estar ok. Para finalizar o programa utilize o CTRL+ C.

 Para ldapsearch ou alguém outro programa do LDAP poder funcionar utilizando a conexão SSL, vamos editar o arquivo /etc/ldap/ldap.conf acrescentando as configurações das chaves criadas no cliente.

BASE    dc=curso,dc=ldap
URI     ldaps://localhost

TLS_CACERT /etc/ldap/cliente_tls/cacert.pem
TLS_CERT     /etc/ldap/cliente_tls/ldap.cliente.pem
TLS_KEY      /etc/ldap/cliente_tls/ldap.cliente.key.pem

TLS_REQCERT never

Feito isso já podemos testar a conexão utilizando o comando LDAPSEARCH. Como mostra o comando seguinte:

[root@master]#  ldapsearch -b dc=curso,dc=ldap -D cn=manager,dc=curso,dc=ldap -w pedra –Z

A opção “-Z” faz o ldapsearch utilizar a conexão tls. Esse comando deve retornar toda a estrutura da base LDAP.

3 – SASL

SASL é um acrônimo para Simple Authentication and Security Layer, como o nome diz é uma camada de segurança para autenticação simples, provendo uma camada de criptografia para os protocolos orientados à conexão.

A implementação SASL do slapd utiliza o software Cyrus SASL com suporte a vários mecanismos, incluindo DIGEST-MD5 e CRAM-MD5. Vamos instalar o SASL com suporte ao LDAP usando os pacotes do ubuntu-server, como mostra os comandos a seguir.

[root@master]# apt-get install sasl2-bin libsasl2-2 libsasl2-modules libsasl2-modules-ldap

O LDAP e o SASL irão se comunicar em ambas os lados. Isso significa que vamos fazer o LDAP reconhecer os usuário da base SASL e fazer o SASL reconhecer os usuários do LDAP.

3.1 –  LDAP para SASL

Nessa primeira parte vamos fazer a configuração para que o SASL reconheça os usuários da base LDAP. Para fazer isso, primeiramente vamos configurar o arquivo /etc/default/ saslauthd.

START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="ldap"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/run/saslauthd"

Neste arquivo o mais importante é mudar o comando “START” para “yes”, assim o SASL vai ser inicializado automaticamente, a outra alteração é o “MECHANISMS” para buscar os usuários no LDAP. Também é preciso configurar o arquivo /etc/ saslauthd.conf para fazer o SASL buscar as informações na base LDAP.

ldap_servers: ldap://localhost/
ldap_bind_dn: cn=manager,dc=curso,dc=ldap
ldap_bind_pw: pedra
ldap_version: 3
ldap_port: 389
ldap_search_base: dc=curso,dc=ldap
ldap_uidattr: uid
ldap_password_attr: userPassword

Neste arquivo mude os atributos, ldap_bind_dn e o ldap_bind_pw para as informações da sua base LDAP. Faça a mesma coisa com o atributo ldap_search_base.

Antes teste o SASL lembre-se de reinicar o SASL

[root@master]# /etc/init.d/saslauthd restart

Vamos testar para saber se o SASL tá buscando os usuário na base LDAP.

[root@master]# root@ldapserver:/etc# testsaslauthd -u jose -p x

0: OK "Success."

A parâmetro “–u” especifica o usuário e o “–p” a senha. Como você pode ver a configuração do SASL com LDAP tá funcionando perfeitamente.

Em alguns casos é necessário ajustar a permissão do diretório /etc/sasldb2 para que a autenticação funcione.

 3.2 –  SASL para LDAP

Neste ponto vamos fazer o LDAP reconhecer os usuários criados na base do SASL.

Primeiramente crie um usuário na base do SASL. É aconselhável ser o mesmo usuário do rootdn do LDAP. O comando que cria usuário no SASL

[root@master]#  saslpasswd2 -c admin

Ao executar esse comando, será pedida uma senha para a criação do usuário.

Também é preciso executar o comando ldapsearch para verificar se o LDAP tem suporte ao SASL.

[root@master]# ldapsearch -x  -LLL -s "base" -b "" supportedSASLMechanisms
dn:
supportedSASLMechanisms: DIGEST-MD5
supportedSASLMechanisms: LOGIN
supportedSASLMechanisms: PLAIN
supportedSASLMechanisms: NTLM
supportedSASLMechanisms: CRAM-MD5



A saída à cima mostra que o LDAP está com suporte ao SASL. O próximo comando que vamos utilizar é o ldapwhoami e ldapsearch para autenticar o usuário do SASL.

[root@master]# ldapwhoami -h localhost -U admin
SASL/DIGEST-MD5 authentication started
Please enter your password: senha
SASL username: admin
SASL SSF: 128
SASL data security layer installed.
dn:uid=admin,cn=digest-md5,cn=auth

Como mostra o comando acima, o LDAP autenticou o usuário do SASL corretamente. E agora podemos usar o usuário do SASL para outras aplicações do LDAP, tais como ldapsearch.

[root@master]# ldapsearch -U admin@ldapserver -b ‘dc=curso,dc=ldap’ ‘(objectclass=*)’

SASL/DIGEST-MD5 authentication started
Please enter your password:
SASL username: admin@ldapserver
SASL SSF: 128

SASL data security layer installed.

# curso.ldap
dn: dc=curso,dc=ldap
objectClass: top
objectClass: dcObject
objectClass: organization
dc: curso
o: Clodonil Trigo

# people, curso.ldap

dn: ou=people,dc=curso,dc=ldap
objectClass: organizationalUnit
ou: people

 

O ldapsearch autenticou o SASL corretamente, como mostra a saída acima.

4 – Réplica

Agora com o SSL/TLS e SASL configurados e funcionando, podemos passar para configuração da réplica de conforma segura. Vamos utilizar a réplica com Syncrepl, que é a forma mais moderna.

As principais características do syncrepl são:

  • Trabalha no modo stateful. A réplica é baseado em status, não precisa de arquivo de logs;
  • Sincronização completa;
  • Cliente inicia a réplica;
  • Sincronização baseado em eventos ou por períodos (rajadas);
  •  Multi-Master;

Vamos dividir a configuração em duas partes, sendo o master o servidor que recebe as alterações na base LDAP. Já o slave é o servidor que recebe as mudanças do servidor master.

MASTER:

A configuração do master que é o provider são as seguintes:

moduleload  syncprov

overlay syncprov
syncprov-checkpoint 100 10
syncprov-sessionlog 100

index entryCSN   eq
index entryUUID eq

Acrescente essas configurações no slapd.conf do master. Segue o slapd.conf do master completo.

SLAVE:

Já do lado slapd.conf do slave vamos mostar duas configurações que podem trocar a transferência dos arquivos durante a réplica bem segura.

O primeiro é usando SSL, mas com autenticação simple. As linhas a seguir deve ser incluídas no slapd.conf do slave (link do slapd.conf completo):

moduleload  syncprov
syncrepl rid=007
        provider=ldaps://10.0.0.102:636
        type=refreshOnly
        interval=00:00:00:10
        searchbase="dc=curso,dc=ldap"
        filter="(objectClass=*)"
        scope=sub
        schemachecking=off
        bindmethod=simple
        binddn="cn=Manager,dc=curso,dc=ldap"
        credentials=pedra

A configuração do slave que estamos utilizando trabalha com SSL (ldaps://10.0.0.102:636) e trabalha em modo de rajada em cada 10 segundos. Perceba a tabulação após a primeira linha. Essa tabulação é de fundamental importância para o funcionando da réplica.

A outra configuração alternativa para slapd.conf dá réplica é utilizar o SSL com autenticação SASL.

A seguir estão as linhas para implementar a réplica com SASL e SSL juntos (slapd.conf completo com sasl).

moduleload  syncprov
syncrepl rid=007
        provider=ldaps://10.0.0.102:636
        type=refreshOnly
        interval=00:00:00:10
        searchbase="dc=curso,dc=ldap"
        filter="(objectClass=*)"
        scope=sub
        schemachecking=off
        bindmethod=sasl
        authcid=admin
        credentials=x

A configuração do syncrepl com SASL e SSL é muito parecida com o anterior. As principais mudanças são os “bindmethod” que foi mudado para sasl e o “authcid” que define o usuário do SASL.

Após ter escolhido uma das formas de réplica, inicie o servidor master e em seguida inicie o servidor slave que automaticamente os atributos do master serão replicados no slave.

Em caso de erro, inicie o slapd em modo de debug para identificar os erros.

[root@master]# slapd –d 123 –u openldap

E com isso temos a configuração de um dos principais recursos do LDAP que é a réplica em modo seguro com SSL/TLS e com autenticação segura com SASL. Lembrando que esses recursos estão disponíveis para outros recursos.

 


Fonte: http://www.nisled.org/?p=1163

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.