LDAP - Protocolo de Autenticação de Usuários

O LDAP garante essa autenticação e autorização nos mais diversos serviços, como o Zimbra, que é um cliente de e-mail, dentre outras centenas de serviços (BUTCHER, 2017). Além disso, seu protocolo oferece serviços de segurança e de diretório integrado com capacidade de gerenciamento de armazenamento das informações do usuário em um diretório exclusivo (BUTCHER, 2017). Portanto, ao mesmo tempo, o usuário pode determinar o aplicativo, o serviço, o servidor a ser acessado e os privilégios do usuário (CORAL, 2012). Neste trabalho foi realizada a apresentação técnica e teórica deste protocolo. A metodologia utilizada foi a pesquisa explicativa, tendo como coleta de dados o levantamento bibliográfico. O objetivo deste artigo é sugerir uma possível solução para este problema, que se destina a minimizar o número de senhas a serem usadas sem minimizar a segurança oferecida aos sistemas de informação.

Uma rede de computadores é um conjunto de dispositivos conectados por links de comunicação. Um dispositivo pode ser um computador, uma impressora ou outro equipamento de envio ou recepção de dados, que estejam conectados a outros dispositivos de rede (FOROUZAN, 2015). Este trabalho justifica-se na necessidade que todo ambiente de rede precisa armazenar informações para possibilitar o seu gerenciamento (autenticação, grupos de usuários, permissões, cotas de armazenamento e impressão, compartilhamentos e etc. Atualmente, a maioria das organizações possuem ambientes de rede heterogêneos, com vários sistemas operacionais presentes conectadas e muitas vezes distribuídas geograficamente, o que lhes gera sérios problemas gerenciais que se traduzem em excessivos procedimentos de autenticação, determinando lentidão do sistema, além de trabalho desnecessário. Existem três tipos de autenticação: Autenticação de conhecimento específico: o nome de algum parente específico, a senha para o caixa, uma palavra-chave; Autenticação por posse: um smartcard; Autenticação de identidade: impressão digital, retina, voz ou outras características físicas.

O desafio Atualmente, cada sistema operacional tem sua própria maneira de autenticar. O mesmo se aplica a aplicativos e sistemas de informação que as organizações utilizam. Isto faz com que o usuário final seja forçado a usar várias formas diferentes de autenticação, como nomes de usuário ou senhas diferentes, o que torna o acesso difícil, confuso e inseguro para estes sistemas, uma vez que em muitos casos, as pessoas tendem a usar senhas fáceis ou o que é pior, anotar as senhas ou deixá-las no computador, carteira ou em outro lugar onde não só o proprietário pode encontrá-la, mas também qualquer um. O desafio é conseguir que o usuário tenha uma senha exclusiva, que sirva para acessar todos os serviços, obtendo maior segurança em sistemas e aplicações; para alcançar este objetivo, é necessário recorrer a uma arquitetura de autenticação centralizada.

Como resultado, os diretórios não possuem sistemas de "roll-back", os bancos de dados usados pelo alto volume de atualizações. Os diretórios podem ser ajustados para dar uma resposta rápida às pesquisas de grandes volumes de dados. Talvez tenham a capacidade de replicar informações através de vários sites para aumentar a disponibilidade e confiabilidade, mantendo um tempo mínimo em resposta (SCRIMGER et al, 2012). Funciona como LDAP O serviço de diretório LDAP é baseado em uma arquitetura entre cliente e servidor, ou entre mais servidores LDAP que contêm os dados que compõem a árvore de diretórios. Como mostrado, um cliente se conecta a um servidor LDAP e lhe faz uma pergunta, o servidor responde com informações ou um ponteiro indicando onde o cliente pode obter mais informações (normalmente, outro servidor LDAP).

O custo de adicionar informações é simplesmente o tempo que se atrasou na inserção de dados para o sistema e o mesmo armazenamento. Os diretórios “online” são flexíveis pois pode-se pesquisar somente as mesmas informações de maneiras diferentes, por exemplo, no diretório de telefone você pode pesquisar informações pelo nome enquanto diretórios eletrônicos podem ser feitos também pelo endereço, número de telefone e até mesmo por partes do mesmo nome (BAHLOUL, 2014). Segurança Os diretórios tradicionais não fornecem nenhuma segurança, já que uma vez que são comprados é possível acessar todas as informações contidas neles, enquanto em um diretório "online" o administrador pode decidir até que ponto um usuário podem consultar determinadas informações.

Capacidade de personalização Outra diferença entre os diretórios tradicionais e os que são "online" é que em poucos segundos pode definir ou obter informações relevantes e não relevantes para a organização e a aparência de um projeto com o qual se deseja exibir informações (BAHLOUL, 2014). Serviços do diretório LDAP Existem várias implementações de diretórios LDAP, algumas implementações estão mais de acordo com o padrão, enquanto outras à procura de mais flexibilidade se desviam um pouco 7 deste modelo, mas sempre procuram o melhor desempenho para as funções que foram implementadas. O LDAP é mais fácil de ser implementado do que o DAP, além de exigir menos recursos da rede e de memória. Ele foi desenvolvido, e não adaptado como o DAP, para aplicações TCP/IP, obtendo, portanto, maior desempenho.

Por esses motivos recebeu o nome Lightweight Directory Access Protocol (protocolo leve de acesso a diretórios). Segundo Butcher (2017), o LDAP era apenas um protocolo de rede usado para obter dados de um diretório X. uma arquitetura de servidor de diretório, projetada na década de 1980 e padronizada em 1988). Distribuição hierárquica A flexibilidade do LDAP se dá em função da organização das informações de maneira hierárquica através de um elemento raiz, local por onde as buscas se iniciam e nós filhos que são percorridos até que a informação desejada seja encontrada. TRIGO, 2017) Sendo assim, a raiz e os nós são as representações de diretórios, sendo que cada um poderá conter um ou mais atributos que serão referência a um ou mais valores associados a eles, de acordo com o tipo definido previamente.

TRIGO, 2017) Segundo Trigo (2017), “[. uma característica herdada do padrão X. foi o uso de mnemônicos para definir nomes de atributos de diretórios e entradas [. Segue a seguir um exemplo de composição de DN e seus atributos: dn: uid=ramos, ou=marketing, dc=mkt, dc=ieducar, dc=BR dn: uid=carla, ou=analista, dc=ti, dc=ieducar, dc=BR 2. O caso da Universidade de Los Andes Afim de demonstrar a funcionabilidade e aplicabilidade do LDAP frente as redes e a organização de autenticação de usuários, o artigo “Autenticação Centralizada com a Tecnologia LDAP, publicado em 2012 por Andrés Holguíns na Universidade de Los Andes, sugere uma 11 aplicação da tecnologia, determinando a orientação e organização do uso dos sistemas internos da própria universidade, a partir dos mais diversos setores e perfis de usuário diferenciados.

Trata-se aqui, um exemplo da aplicação da tecnologia na facilitação e resolução da situação mencionada, além de servir de exemplo para problemas similares que ainda ocorrem nos mais diversos meios universitários no Brasil. CORAL, 2012). Problema Segundo o autor, a Universidad de los Andes tem mais de 20. Este sistema basicamente contém as informações sobre o PH e mais alguns atributos exigidos pelo LDAP; No terceiro trimestre de 2011 foi concluída a implementação de diretório LDAP com todas as entradas necessárias para operar como um repositório de senhas. A integração entre o Microsoft Active Directory e o serviço de diretório Iplanet testes foram realizados no primeiro trimestre de 2011; 2. Solução Procurando por este problema e usando a tecnologia de Iplanet LDAP com a conta que Universidade pretende implementar o sistema de autenticação centralizada proposto neste documento, desenvolvou-se o móduo LAD.

Ao se desenvolver um módulo chamado LAD, ao qual busca autenticar os aplicativos antigos que usam AUTHD, que é um protocolo para autenticação de aplicações baseadas em pop3 que foi usado para a autenticação de sicua, onde se tem como desvantagem comprometer as senhas dos usuários, já que eles viajam pela rede perfeitamente, com o módulo que pretende trazer o regime centralizado de aplicativos de autenticação e que não oferecem suporte a protocolo de comunicação LDAP (HOWES et al, 2013). Irá configurar os servidores Solaris que usam as bibliotecas na autenticação LDAP e assim garantir que o IMAP, POP3, FTP serviços e gerenciamento de usuários dentro dos servidores é executada no diretório e não sobre a máquina (HOWES et al, 2013).

Outra limitação dessa implementação é que só funciona se todas as informações são tratadas centralmente, uma vez que seria complexo o gerenciamento de usuário se existam vários diretórios para Iplanet e Microsoft. Desenvolvimentos do futuro A evolução a seguir, segundo Coral (2012), ainda se faria necessária a partir da resolução dos pontos que foram tratados neste tópico. Logo, resolvendo-se a questão da autenticação centralizada, ainda ficaria pendente: 15 Criação do aplicativo que faz mudanças-chave, uma vez que ele deve tratar todas as exceções que podem ocorrer no momento de fazer as alterações como, por exemplo, que um dos diretórios é baixo ou não pode responder (CORAL, 2012); Modificar os scripts em perl para criar contas simultâneas no Active Directory e o serviço de diretório (CORAL, 2012); Verificar se o nome de todos os campos que são necessários para manter as informações entre os dois diretórios sincronizados (CORAL, 2012); Criar um padrão para o desenvolvimento de aplicações que exigem a autenticar em diretórios LDAP (CORAL, 2012); Criar políticas de gestão da solução, que deverá conter os planos de emergência, em caso de falha na solução (CORAL, 2012); Fazer um projeto de rede da Microsoft para utilizar a plataforma de autenticação centralizada da solução para implantar as ferramentas de trabalho de grupo (CORAL, 2012).

Conclusão A arquitetura de qualquer sistema computacional reflete a sua segurança, principalmente quando acessíveis através de redes públicas, e estas envolvem os aspectos de Identificação de usuários e serviços, acesso seletivo aos recursos, confidencialidade e disponibilidade. Sem esses aspectos garantidos corretamente, um usuário mal-intencionado pode se passar por um usuário legítimo, analogamente para os servidores, sem essas garantias, um serviço malicioso pode se passar pelo serviço autêntico e interceptar dados indevidamente. Olton: Packt Publishing Ltda. CORAL, A. Autenticação Centralizada com Tecnologia LDAP. Universidade de Los Andes. Artigo. ed. Addison Wesley, 2013. MENDES, D. R. Redes de Computadores: Teoria e Prática. OpenLDAP: Uma abordagem integrada. São Paulo: Novatec, 2017. TUTTLE, S. et al. Understanding LDAP: Design and Implementation.