UNIÃO DOS INSTITUTOS BRASILEIROS DE TECNOLOGIA – UNIBRATEC CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES
ALESSANDRO JOSÉ BRASIL PEREIRA CLAUDIANO JOSÉ DE LIRA ERIC MALONE COSTA SILVA
ANÁLISE COMPARATIVA ENTRE O ACTIVE DIRECTORY E O
SAMBA 4
ALESSANDRO JOSÉ BRASIL PEREIRA CLAUDIANO JOSÉ DE LIRA ERIC MALONE COSTA SILVA
ANÁLISE COMPARATIVA ENTRE O ACTIVE DIRECTORY E O
SAMBA 4
Trabalho de conclusão de curso apresentado ao Curso de Tecnologia de Redes de Computadores, para obtenção do título acadêmico de graduação em Redes de Computadores, da UNIBRATEC, sob a orientação dos Professores Dailson Fernandes e Marcos Gondim.
ALESSANDRO JOSÉ BRASIL PEREIRA CLAUDIANO JOSÉ DE LIRA ERIC MALONE COSTA SILVA
ANÁLISE COMPARATIVA ENTRE O ACTIVE DIRECTORY E O
SAMBA 4
Este trabalho de conclusão de curso foi julgado adequado como parte dos requisitos para obtenção do título acadêmico em Redes de Computadores, Faculdade de Tecnologia IBRATEC.
Recife, 21 de novembro de 2013.
____________________________________________________________ Prof. DAILSON DE OLIVEIRA FERNANDES
UNIBRATEC – FACULDADE DE TECNOLOGIA IBRATEC
____________________________________________________________ Prof. PAULO ANDRÉ DA ROCHA PÉRRIS
AGRADECIMENTOS
Alessandro Jose Brasil Pereira
Agradeço a Deus por ter chegado até aqui, pois não foi fácil essa caminhada, e à minha família. Aos professores, em especial Dailson Fernandes, Carlos Schuler e Marcos Gondim pelo apoio na realização deste trabalho e, aos meus colegas de classe que contribuíram muito: Claudiano Jose de Lira; Eric Malone Costa Silva. Agradeço juntamente aos professores que nos ajudaram nessa caminha deste curso.
Claudiano José de Lira
Agradeço a Deus pelo sopro da vida. Aos meus filhos Daniel e Dulce, minha esposa e meus pais, razões da minha vida. A todos os meus professores por partilharem do fruto do conhecimento. Aos meus amigos e companheiros de TCC que me apoiaram e acreditaram em mim. E a todos aqueles que de forma direta ou indiretamente, contribuíram para este momento.
Eric Malone Costa Silva
Primeiramente, venho agradecer a Deus por nascer em uma família maravilhosa. Agradeço a todos os meus familiares e minha namorada em apoiar nos meus estudos, aos professores por passarem seus conhecimentos e aos amigos de faculdade. Você é do tamanho do seu sonho.
"O único lugar aonde o sucesso vem antes do trabalho é no dicionário."
RESUMO
Este projeto em nível de conclusão de curso tem por objetivo principal a realização de uma análise comparativa entre o software proprietário da Microsoft, o Active Directory (Microsoft
Active Directory Domain Service) e o software de iniciativa Open Source (código aberto), o Samba atualizado na sua versão 4.0.9. Visando uma melhor solução com base nas
necessidades gerenciais corporativas, serão apresentadas aqui as principais características dessas duas ferramentas, tais como: comparação na instalação de ambas as ferramentas verificando as facilidades e dificuldades neste processo, criação e análise de objetos do tipo usuários, computadores, grupos e unidades organizacionais assim como a comparação de políticas de grupos entre estes serviços (GPO’s). Sabendo que estes sistemas são importantes na administração de redes corporativas mais complexas (ambientes estes que possuem necessidades em se manter o controle de seus níveis de acesso a dados e diretórios, apenas por usuários realmente autorizados), foram realizados testes que serão apresentados neste sentido como análise comparativa entre os dois sistemas. Para tal, foi desenvolvido um laboratório de estudo de casos com a capacidade de simular um ambiente corporativo e que possuí todas as necessidades de implementação destas soluções, para um gerenciamento de arquivos e diretórios em serviços de TI (Tecnologia da Informação), capaz de proporcionar as comparações funcionais destas ferramentas em ação.
Palavras-chave: Active Directory, Samba 4, Análise de desempenho, Arquitetura aberta,
ABSTRACT
This project on the level of course completion is primarily the realization of a comparative analysis between the proprietary software of Microsoft, Active Directory (Microsoft Active Directory Domain Service) and software Open Source Initiative (open code), Samba upgraded in its version 4.0.9.Aiming a better solution based on the needs corporate management, will be presented here the main characteristics of these two tools, such as in the installation compared to tools on both checking the facilities and difficulties in this process, creating and analyzing objects like users, computers, groups and organizational units as well as the comparison group policies between these services (GPO's). Knowing that these systems are important in the management of corporate networks more complex environments (those who own needs into to keep track of their levels of access to data and directories, really only for authorized users), tests were made to be presented in this sense as comparative analysis between the two systems. To this end, it was developed a laboratory case study with the ability in simulating an enterprise environment and who has all the necessities of implementing these solutions for managing files and directories in IT services (Information Technology), capable of providing functional the comparisons of these tools in action.
Keywords: Active Directory, Samba 4, Performance analysis, Open architecture, Proprietary
LISTA DE ABREVIATURAS E SIGLAS
ACL Access Control List
AD Active Directory
AD DS Active Directory Domain Service
ADSL Asymmetric Digital Subscriber Line
BIOS Basic Input Output System
BIND Berkeley Internet Name Domain
CIFS Common Internet File System
DAP Directory Access Protocol
DC Domain Controller
DES Data Encryption Standard
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
DOS Disk Operating System
GPO Group Policy
IBM International Business Machines
IDA Identity and Access
IP Internet Protocol
KDC Key Distribution Center
LDAP Lightweight Directory Access Protocol
LMB Local Master Browser
MIT Massachusetts Institute of Technology
NBNS NetBIOS Naming Service
NETBEUI NetBIOS Extended User Interface NETBIOS Network Basic Input/Output System
OSI Open Systems Interconnection
OU Organizational Unit
PDC Primary Domain Controller
PHP Hipertext Preprocessor
RDN Relative Distinguished Name
RODC Read-Only Domain Controller
SACL Access Control List of the system
SID Security Identifier
SMB Server Message Block
SO Operating System
SWAT Samba Web admin Tool
TCP/IP Transmission Control Protocol/Internet Protocol
LISTA DE TABELAS
Tabela 1 Valor de SO nível de sistemas operacionais...37
Tabela 2 Ferramentas comuns entre as duas plataformas...49
Tabela 3 Configuração dos hosts da rede...51
Tabela 4 Configuração do host onde serão alocados os servidores...52
Tabela 5 Configuração dos servidores Virtuais...52
LISTA DE FIGURAS
Figura 1 Arquitetura Active Directory...17
Figura 2 Protocolo LDAP em funcionamento...19
Figura 3 Replicando a base do Active Directory por controlares de domínio...20
Figura 4 NTDS dividido em Partições...22
Figura 5 Exemplos de Sites...22
Figura 6 Objetos em um domínio Active Directory...23
Figura 7 Representação esquemática de domínio Active Directory...24
Figura 8 Representação esquemática de uma árvore Active Directory...25
Figura 9 Exemplo de Floresta...26
Figura 10 Relação de Confiança entre Domínios...26
Figura 11 Relação de Confiança do tipo Externa...28
Figura 12 Relação de Confiança do tipo Shortcut...28
Figura 13 Relação do protocolo SMB no modelo OSI...34
Figura 14 Relação do protocolo SMB no modelo OSI...36
Figura 15 Demonstração da tela principal do SWAT do Samba...38
Figura 16 Demonstração da tela Globals do Swat do Samba...40
Figura 17 Demonstração nível de permissão do usuário...41
Figura 18 Demonstração dos serviços de impressão e arquivos do Samba...42
Figura 19 Demonstração do serviço de PDC...44
Figura 20 Árvore de diretório LDAP...45
Figura 21 Funcionamento do Kerberos...48
Figura 22 Definição da topologia para teste dos serviços...50
Figura 23 Assistente de Instalação do DNS...53
Figura 24 Parâmetros da Configuração do DNS no Samba...53
Figura 25 Definição da topologia para teste dos serviços...55
Figura 26 Assistente de Instalação do Serviço Active Directory...55
Figura 27 Criação de Usuários e Grupos no Active Directory...56
Figura 28 Criação de Usuários e Grupos no Samba 4...56
Figura 29 Criação de Unidade Organizacional (OU) no Active Directory...58
Figura 30 Criação de Unidade Organizacional (OU) no Samba 4, via Admin Pack...58
Figura 31 Criação de Política de Grupo (GPO) no Active Directory...59
Figura 32 Criação de Política de Grupo (GPO) no Samba 4...59
Figura 33 Habilitar nível de aplicação de (GPO) no Samba 4...60
Figura 34 Verificação das regras aplicadas a estação de trabalho com o Active Directory e Samba 4. .61 Figura 35 Habilitando regra para (GPO)...62
SUMARIO
1 INTRODUÇÃO...13
1.1 OBJETIVO...15
1.2 OBJETIVOS ESPECÍFICOS...15
2 FUNDAMENTAÇÃO TEÓRICA...16
2.1 ACTIVE DIRECTORY DOMAIN SERVICE (AD DS)...16
2.1.1 FUNCIONAMENTO DO ACTIVE DIRECTORY E A INTEGRAÇÃO COM O DNS...17
2.1.2 O SEGREDO DO SUCESSO DO ACTIVE DIRECTORY: O LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP)...18
2.1.3 ARQUITETURAS DE FUNCIONAMENTO DO ACTIVE DIRECTORY... ...19
2.1.4 IDA (IDENTITY AND ACCESS)...30
2.1.5 AUDITORIA EM ACTIVE DIRECTORY...30
2.1.6 DIRETIVAS DE SENHAS REFINADAS...31
2.1.7 DIRETIVAS DE SEGURANÇA NO ACTIVE DIRECTORY...31
2.2 O SAMBA...33
2.2.1 O SAMBA EM EXECUÇÃO...35
2.2.2 SWAT...37
2.2.3 SAMBA COMO SERVIDOR DE ARQUIVOS E IMPRESSORA...40
2.2.4 SAMBA COMO CONTROLADOR DE DOMÍNIO...42
2.2.5 OPEN LDAP...44
2.2.6 HEIMDAL KERBEROS...46
2.2.7 SERVIÇO DE DIRETÓRIOS DO SAMBA 4...48
3 ANÁLISE COMPARATIVA...50
3.1 SERVIDORES...51
3.2 INSTALAÇÃO DAS FERRAMENTAS...52
3.3 CRIAÇÃO E ANÁLISE DE OBJETOS DO TIPO USUÁRIOS, COMPUTADOR E GRUPOS...56
3.4 CRIAÇÃO E ANÁLISE DE OBJETOS DO TIPO UNIDADE ORGANIZACIONAL (OU)...57
3.5 CRIAÇÃO E ANÁLISES DE POLÍTICAS DE GRUPO (GPO’S)...59
3.6 COMPARAÇÕES DAS USABILIDADES DOS CLIENTES NO USO DAS GPO’S ...61
3.7 QUADRO COMPARATIVA DOS SERVIÇOS ANALISADOS NO ACTIVE
DIRECTORY E NO SAMBA 4...63
4 CONSIDERAÇÃO FINAL...64
5 TRABALHOS FUTUROS...65
1 INTRODUÇÃO
De acordo com André Luiz Delai [2012], a informação é um bem precioso para qualquer pessoa, pois seria quase impossível nos dias atuais viver em um mundo em que não houvesse informação. Ao longo do tempo, estas informações podem ser coletadas, organizadas e utilizadas para um determinado fim.
“É fato que o ‘bem’ mais precioso atualmente em nossa sociedade é a informação, seja ela relacionada aos hábitos de consumo, entretenimento, clima, comportamento social, internet, bolsa de valores ou qualquer outro segmento. Não é de surpreender que as maiores empresas do mundo estão no ramo das tecnologias de informação. Mas afinal o que é informação? Conceitualmente, informação pode ser definida, de forma simplista, como um conjunto de dados que possui algum significado. Na natureza a informação é codificada de várias formas e tem sido o maior desafio do homem descobrir como decodificá-la e aplicá-la em benefício próprio.” André Luiz Delai, Guia do Hardware, 2012. Com a popularização do computador e o advento de novas tecnologias, amplia-se cada vez mais a busca incessante por informações e de que forma estas podem ser utilizadas. As pessoas não se limitam apenas a conversas e livros, mas a toda uma gama de diversidades tecnológicas, que utilizadas no dia-a-dia, servem para a busca, coleta e inserção de mais informações, que podem e serão compartilhadas por milhares de pessoas todos os dias no mundo inteiro. Contudo, seria interessante compartilhar informações, que por muitas vezes diz respeito apenas a um grupo restrito de pessoas, com todo o planeta?
Em um ambiente corporativo, as informações também são importantes, pois são responsáveis pela garantia da confiabilidade dos serviços prestados à clientes e fornecedores.
“A informação é o bem mais precioso da organização, fato que não precisa de muitos esclarecimentos, uma vez que, através de alterações dos dados pode se obter benefícios ou prejuízos à organização como de fato a mídia vem demonstrado a todo instante.” Fernando C. G. D. Guerra, 2012.
As relações entre clientes e fornecedores tornar-se-iam bastante abaladas se houvessem um “vazamento” indevido de informações. Como exemplo de um impacto negativo entre as relações, pode-se citar o roubo de informações pessoais das contas de usuários e clientes da empresa Sony, divulgados em reportagem pela Folha de São Paulo no dia 03 de maio de 2011, que causaram a Sony um prejuízo de quase US$ 2 bilhões de
dólares e a perda da credibilidade na relação com seus usuários. Conforme Fernando C. G. D. Guerra [2012], em um mundo extremamente competitivo, uma informação preciosa seria de grande utilidade para uma empresa concorrente, ou até mesmo para pessoas mal intencionadas. Vendo a necessidade de integrar e estender suas fronteiras físicas a uma vasta gama de clientes espalhados pelo mundo, as empresas precisam controlar melhor as permissões para o gerenciamento de seus arquivos e diretórios, inclusive em lugares diferentes. Surgem então como propostas para a pergunta sugerida, ferramentas capazes de proteger estas informações e partilhá-las com uma quantidade necessária de pessoas e de uma forma bem controlada. Essas ferramentas devem ser capazes de limitar o acesso de informações à pessoas realmente autorizadas, e ainda, permitir que determinadas ações como, por exemplo, apenas visualização, sejam atribuídas garantindo assim integridade aos dados corporativos.
Em uma rede de computadores de uma corporação de médio e grande porte, há uma necessidade ainda maior na adoção de ferramentas que tenham capacidade de controlar o acesso à informações e ainda, em determinadas situações, permitir que sejam compartilhadas a um grupo de usuários. O gerenciamento de controladores de diretórios, como usuários e dispositivos, existem atualmente em quase todas as empresas. Muitas destas instituições têm investido altos valores para aperfeiçoar seus serviços, proporcionando assim mais qualidade, segurança e controle estrutural em sua rede.
“No caso da Vara de Execuções Criminais, o projeto usou inicialmente o Active Directory do Windows Server para garantir a segurança de acesso às aplicações usadas no setor. ‘Chegamos a migrar, em um único dia, 900 equipamentos para a nova estrutura do Active Directory, de modo rápido, confiável e com o menor impacto possível’, afirma Edivaldo Sartor, coordenador do Núcleo de Operações e Controle do TJ-SP.” Microsoft Brasil, 2010. A ferramenta proprietária da Microsoft, o Active Directory, também conhecido simplesmente como AD, vem sendo uma das mais utilizadas soluções para a proteção e limitação de informações em um ambiente corporativo, como o gerenciamento de dados e suas classificações de acesso de acordo com uma política de grupo, que reza quais usuários e que níveis de acesso estes possuem às informações, proporcionando ao administrador de redes, a capacidade de gerenciar “quem pode ver”, “quem pode ler” e “quem pode escrever”.
Recentemente verificou-se que a ferramenta de iniciativa Open Source, o Samba, atualizado em sua versão 4.0.9, vem oferecendo recursos de proteção de arquivos e controle de diretórios, onde através de políticas de grupo e de acesso à usuários, proporciona ao administrador a capacidade de controlar seus dados de forma centralizada. Tendo em vista a
importância da preservação dos dados corporativos em uma quantidade controlada e limitada, surge a oportunidade de proporcionar a um administrador de redes, soluções que o ajudarão na escolha da ferramenta certa e a que melhor se adéqua as suas necessidades. Com base na compreensão dos mecanismos dados como solução, caracterizou-se o caráter experimental desta pesquisa que por meio de comparações realizadas a partir de uma topologia de rede montada pelos pesquisadores, tornou-se possível apresentar as principais funcionalidades analisadas dessas ferramentas, desenvolvendo todo um cenário capaz de explorar os recursos providos por estas soluções. De forma experimental, foram definidos e realizados testes em ambos os softwares, os quais apresentam ao âmbito da pesquisa: desempenho, segurança, procedimentos de instalação e configuração, podendo apontar seus pontos fortes e fracos de forma a tornar possível uma boa percepção da solução que influenciará na escolha de um diagnóstico usado pelo administrador da rede.
1.1 OBJETIVO
Comparar a ferramenta Active Directory da Microsoft Windows Server 2008 R2, com a ferramenta Open Source, Samba na sua versão 4.0.9.
1.2 OBJETIVOS ESPECÍFICOS
Comparar a instalação das ferramentas e citar as facilidades e dificuldades encontradas;
Criar e comparar objetos do tipo usuários, computadores e grupos; Criar e comparar objetos do tipo Unidade Organizacional (UO); Criar e comparar GPO (Group Policy Object);
2 FUNDAMENTAÇÃO TEÓRICA
A fundamentação teórica aqui apresentada terá como objetivo apresentar pontos e características que serão levados em consideração neste trabalho com relação às ferramentas
Active Directory e Samba 4, para que se possa ter um melhor entendimento sobre estes
serviços de diretórios, como a origem destas ferramentas e suas características de trabalho.
2.1 ACTIVE DIRECTORY DOMAIN SERVICE (AD DS)
Desenvolvido a partir da versão Windows 2000 Server em 1996, o Active Directory, conhecido como AD, só veio a ganhar força a partir de sua versão para Windows Server 2003 e recebendo ainda mais funcionalidades na sua versão para Windows Server 2008 e 2008 R2, tais como: Active Directory Services Installation Wizard, que proporciona uma instalação rápida e fácil do recurso; Domain Name System (DNS), que é responsável pela organização de grupos de computadores em domínios e ainda pela resolução de nomes de hosts para endereços IP; Read-Only Domain Controller (RODC), que possibilita a implantação de controladores de domínio em locais que exijam uma autenticação mais rápida e confiável, em locais que não se pode garantir a segurança física; Unattended Installation (Instalação não assistida), onde o usuário não precisa estar presente, ou seja, o programa de instalação é executado e finalizado automaticamente sem que esteja fisicamente presente um usuário;
Global Catalog Servers, importante no processo de Logon de usuários ou grupos na rede,
inclusive em domínios diferentes. Na Figura 1 pode-se verificar a estrutura do Active
Figura 1 Arquitetura Active Directory
Fonte: Adaptado de http://www.rkeytec.com/Pages5/AD%28General%29.aspx?track=Welcome, 2013.
2.1.1 FUNCIONAMENTO DO ACTIVE DIRECTORY E A INTEGRAÇÃO COM O DNS
O Active Directory utiliza um banco de dados, conhecido por diretório, que armazenará todas as informações sobre recursos e dispositivos disponíveis em uma rede de computadores, tais como grupos de usuários, computadores, impressoras, políticas de segurança, contas de usuários, senhas e outros elementos necessários ao funcionamento dessa rede, fornecendo uma administração centralizada capaz de proporcionar ao administrador desta rede, uma capacidade mais dinâmica na tomada de decisões.
De acordo com William R. Stanek [2008], devido à hierarquização de domínios na topologia do Active Directory, é necessário que o DNS Server seja configurado antes de instalar o Active Directory. A integração DNS/Active Directory pode ser de forma total, onde as informações DNS pertencem ao Active Directory e são disponibilizadas por um contêiner do objeto dnsZone, podendo os dados ser acessados por qualquer controlador de domínio que
facilitará no processo de atualização dinâmica através do DHCP, proporcionando a segurança do diretório no controle do acesso às informações do DNS; e de forma parcial, onde as informações DNS são armazenadas em arquivos do tipo texto com extensão .dns, com um local padrão em %SystemRoot%\System32\Dns, possibilitando atualizações por meio de um único servidor autoritativo, designado como DNS primário da zona, não ocorrendo contudo, atualizações por meio do DHCP se este servidor DNS primário estiver desligado. Um assistente o ajudará no processo de criação e configuração de um Domain Controller (DC) ao qual integrará de forma automática novos domínios que sejam interligados a este, os chamados domínios filhos. Com isso, o DNS poderá mapear os nomes das estações de trabalho e relacioná-los a seus respectivos endereços IP, seja em redes públicas ou em redes privadas no caso de empresas, tornando possível que os computadores encontrem uns aos outros.
2.1.2 O SEGREDO DO SUCESSO DO ACTIVE DIRECTORY: O LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP)
A toda essa facilidade permissível pelo Active Directory com relação ao seu funcionamento centralizado, se deve ao trabalho de um dos protocolos do TCP/IP (Transmission Control Protocol/Internet Protocol). O Lightweight Directory Access Protocol, conhecido por LDAP, que já está em sua versão 3, é um conjunto de protocolos responsáveis pela atualização e pesquisa de diretórios. Por se tratar de um protocolo multiplataforma, o LDAP foi definido para atuar em um sistema do tipo cliente/servidor permitindo assim que um cliente LDAP consulte ou altere diretórios por intermédio de um servidor LDAP que verificará se este cliente possui credenciais para permitir ou não, que este possa consultar ou até modificar informações. Segundo a Equipe Kioskea.net [2013] este protocolo é regido pelos princípios do modelo X.500 do modelo OSI/ISO (Open Systems
Interconnection/International Organization for Standardization) que se baseia em uma árvore
de nós, sendo que cada um desses nós representam um conjunto de atributos. Ele determina a forma como as informações no servidor são acessadas pelos usuários, sem levar em conta a maneira como as informações são armazenadas, o tipo de gerenciamento de bancos de dados ou o sistema operacional de base. Criado em 1993 pela Universidade de Michigan, como
solução ao antigo protocolo DAP (Directory Access Protocol), ele demonstra os diversos limites políticos, geográficos e organizacionais apresentados pelos domínios. O LDAP utiliza o DNS na representação dos níveis básicos da hierarquia, no que se refere aos nomes das máquinas dispostas na rede; quando estes nós apresentam nomes de usuários, Unidades Organizacionais (OU’s), impressoras, grupos, documentos ou quaisquer outros elementos que precisem ser representados, o LDAP se torna de grande utilidade, fazendo a representação destes, também por meio de nós permitindo assim um acesso e administração de forma centralizada. Na Figura 2 observa-se o funcionamento da autenticação do protocolo LDAP.
Figura 2 Protocolo LDAP em funcionamento
Fonte: http://www.qnap.com/images/products/Application/notes/nastoldap01.JPG, 2013
2.1.3 ARQUITETURAS DE FUNCIONAMENTO DO ACTIVE DIRECTORY
Segundo William R. Stanek [2008], para poder ter uma melhor compreensão, o Active
Directory pode ser dividido em duas estruturas, estrutura física e lógica, onde dessa forma se
pode verificar seu funcionamento de uma forma mais detalhada. À Arquitetura Física é a estrutura responsável pelo controle de acesso aos diretórios, bem como a seus dados, inclusive a forma como estes são armazenados no servidor, podendo ser verificadas pelos seguintes elementos: Domain Controllers, Partições Active Directory, Sites do Active Directory. A
Acesso do Usuário Autenticação LDAP
Pedindo acesso Acesso concedido
Verificando senha Senha está correta
Arquitetura Lógica é a estrutura que irá determinar a forma como as informações
armazenadas serão exibidas e quem as acessará. Para definir estas diretrizes de acesso e controle aos dados, torna-se necessário a familiarização com os seguintes elementos: Objetos do Active Directory, Domínios, Árvores, Florestas, Relações de confiança do Active
Directory, Namespace do Active Directory.
2.1.3.1 DC’S (DOMAIN CONTROLLERS OU CONTROLADORES DE DOMÍNIO)
Literalmente são os servidores encarregados da execução das funcionalidades do
Active Directory Domain Service (AD DS) como os serviços de autenticação e permissão na
rede e as GPO’s (Group Policies ou Políticas de Grupo). Segundo William R. Stanek [2008], para aumentar a disponibilidade do Active Directory são utilizados mais de um DC (Domain
Controller). Para que isto ocorra, a base de dados do Active Directory precisa ser replicada
entre todos. Esta base de dados é dividida em partições e armazenada no arquivo NTDS. Distribuídos e replicado para todos os DC’s para que caso um falhe os outros possam garantir a disponibilidade do Active Directory. A Figura 3 apresenta a replicação da base de dados entre os controladores de domínio.
Figura 3 Replicando a base do Active Directory por controlares de domínio Fonte: http://i.technet.microsoft.com/dynimg/IC595320.png, 2013
2.1.3.2 PARTIÇÕES ACTIVE DIRECTORY
Toda vez que um Domain Controllers sofrer uma alteração por parte do administrador da rede, estas alterações devem ser replicadas para todos os outros DC’s de uma forma transparente e que não gere conflitos nem incompatibilidades destas informações. Segundo a Equipe Microsoft Corporation [2012], quando o DC for alterado, este emite pacotes a cada 15 segundos para os demais um pacote conhecido por Change Notification que se trata de uma solicitação de atualização para que os demais DC’s, solicitem ao alterado a nova atualização (pacote Update). Atualizações do tipo Urgent Replication, que representa atributos sensíveis de segurança (como travamento de contas, alteração de senhas, adição de mais máquinas,) essas atualizações quebram a regra dos 15 segundos e são enviadas imediatamente. Para causar redução no tráfego de rede melhorando sua velocidade para uma melhor convergência, a base de dados do Active Directory é dividida em partições, as quais possuem funções específicas, que também podem ser verificados de forma ilustrativa na Figura 4.
Partição de Schema: Esta partição contém as definições de todos os objetos e atributos criados no diretório, assim como suas regras de criação e manipulação, podendo todos os DC’s da floresta possuem essa partição;
Partição de Configuração: Possui informações sobre a estrutura do Active Directory dentre as quais: domínios, sites, DC’s e cada serviço existente na floresta, podendo todos DC’s da floresta possuem essa partição;
Partição de Domínio: Está é guardada em cada um DC do domínio, podendo existir várias partições de domínio em uma mesma floresta. É nesta partição que os dados de todos os objetos e informações do domínio como usuários, grupos, computadores e unidades organizacionais são armazenados. As informações desta partição são guardadas no Global Catalog apenas pelos seus cabeçalhos;
Partição de Aplicação: As informações de aplicações como o Exchange, SQL Server, dentre outros que se adicionam ao Active Directory são armazenadas nesta partição. Estas informações não entram no Global Catalog.
Dc’s do mesmo Domínio Dc’s da Floresta Dc’s da Floresta Dc’s especificados Domínio Configuração Esquema Aplicativo
Réplicas dos objetos do domínio
A Topologia da Floresta
Esquema de toda a Floresta
Objetos a serem escolhidos Replicado para: NTDS.dit Contém:
Figura 4 NTDS dividido em partições
Fonte: http://i.technet.microsoft.com/dynimg/IC595324.png, 2013
2.1.3.3 SITES DO ACTIVE DIRECTORY
São localizações físicas de um grupo de computadores de uma determinada localidade geograficamente distintas. Os sites são conectados por Links de rede como cabos e fibras óticas de alta velocidade, onde os controladores de domínio por meio de uma relação de confiança com o banco de dados do Active Directory replicam suas informações com um tempo médio estimado pelo fornecedor de cerca de 180 minutos, para evitar congestionamento e sobrecarga de suas larguras de banda de internet, podendo também ser definido pelo administrador do servidor (TECHNET, 2011), pode ser verificado de forma ilustrativa pela Figura 5.
Figura 5 Exemplos de Sites
Fonte: http://www2.expta.com/uploaded_images/SiteReplication-739222.png, 2013
2.1.3.4 OBJETOS DO ACTIVE DIRECTORY
Conforme observado anteriormente, o LDAP é responsável por coletar e armazenar os dados, fazendo uso de uma estrutura em forma de árvore de nós como diretórios. De acordo com a Equipe Microsoft Corporation [2012], cada elemento identificado é definido como um objeto que irá conter atributos que determinam as informações que se deseja armazenar sobre ele. Os objetos podem ser do tipo folha (aqueles que não contêm outros objetos), e do tipo
recipiente (aqueles que podem conter outros objetos ou até mesmo outros recipientes). Para o
objeto criado em um dado diretório possui um tipo ou classe específica, que podem ser do tipo: Usuário (User), Grupo (Group), Computador (Computer), Impressora (Printer) ou Unidade Organizacional (Organizational Unit), que devem seguir as regras do schema. As regras do schema determinam quais dos atributos são opcionais e obrigatórios, ou seja, um objeto pode possuir um atributo que não seja um requisito obrigatório para definir, e outros que devem ser definidos para que possa ser criado o objeto. Um exemplo à estrutura de objetos em um domínio pode ser verificado na Figura 6.
Figura 6 Objetos em um domínio Active Directory Fonte: http://i.technet.microsoft.com/dynimg/IC296774.gif, 2013
2.1.3.5 DOMÍNIOS
Segundo Willian R. Stanek [2008], domínios são estruturas fundamentais do Active
Directory, pois elas são consideradas unidades funcionais básicas da estrutura lógica do Active Directory. Para criar um domínio no Active Directory podem ser necessários um ou
mais controladores de domínio que irão inicialmente replicar a partição do armazenamento dos dados desse domínio entre si, como identidades de usuários, computadores e grupos do domínio. Por isso, qualquer DC pode autenticar qualquer identidade de um domínio. A Figura 7 representa os principais elementos que compõem um domínio. Bloqueios de contas e complexidades de senha também fazem parte do escopo de diretivas administrativas de um domínio que só afetam todas as contas daquele domínio e não em contas de outros domínios.
Figura 7 Representação esquemática de domínio Active Directory Fonte: Criado pelos autores
2.1.3.6 ÁRVORES
Segundo Equipe Microsoft Corporation [2012], são chamados de árvores os agrupamentos lógicos de domínios. Quando o domínio primário é definido, a árvore recebe o
mesmo nome dele, conforme apresentado na Figura 8. Por isso, quando um administrador precisa criar mais de um domínio para os diferentes tipos de departamentos de uma empresa, não é necessário criar domínios diretamente. Basta para isso, atribuir ao domínio principal, o chamado domínio raiz, conjuntos de domínios abaixo deste, conhecidos como subdomínios. Podemos fazer também uma analogia entre a hierarquia de domínios como sendo o domínio pai e domínios filhos. Aqui entra o DNS como elemento rotulador para a árvore de domínios para a resolução de nomes, a partir do domínio pai, refletindo sua relação.
Figura 8 Representação esquemática de uma árvore Active Directory Fonte: Criado pelos autores
2.1.3.7 FLORESTAS
Ao conjunto de agrupamentos lógicos de árvores de domínio, chamamos de floresta a qual estabelece as relações de confiança entre os domínios árvores ou domínios distintos. Serve para estabelecer limites nas relações de confiança do compartilhamento de recursos com outros domínios de filiais e ou empresas diferentes. Segundo Equipe Microsoft Corporation [2012], todos os domínios de uma floresta compartilham um único catálogo global. Quando estes domínios possuem uma relação de confiança entre si, as contas de um domínio confiável podem obter acesso a recursos de um domínio confiante. Como exemplo ilustrativo com relação a exemplo de floresta pode ser verificado na Figura 9;
Domínio Pai
Figura 9 Exemplo de Floresta
Fonte: http://conteudo.imasters.com.br/1080/dominio.png, 2013
2.1.3.8 RELAÇÕES DE CONFIANÇA DO ACTIVE DIRECTORY
É a relação estabelecida entre domínios, ao qual permite aos controladores de domínio realizar a autenticação de usuários de um domínio para outro. Segundo Equipe Microsoft Corporation [2012], as relações de confiança podem ser estabelecidas de um lado por vez ou os dois lados simultaneamente, onde dependendo do tipo e a direção, podem afetar a autenticação. Pode-se observar na Figura 10 um exemplo de relação de confiança entre domínios confiante e confiável.
Figura 10 Relação de confiança entre domínios
Com isso, a relação pode ser feita quanto à sua direção, que pode ser: Unidirecional, quando a relação entre dois domínios ocorre apenas em um único sentido, ou seja, a autenticação e o acesso às informações ocorrem apenas em um único sentido. Por exemplo, na relação de confiança entre dois domínios A e B, onde os usuários de A podem acessarem recursos do domínio B, mas os usuários do domínio B não podem acessar os recursos do domínio A; e Bidirecional, quando a relação entre dois domínios ocorre nos dois sentidos. Um exemplo mais prático seria quando ao criar domínios filhos a relação existente entre esse domínio e o domínio pai é bidirecional, sendo automaticamente relacionada a eles no momento da criação do domínio filho. Tomando o exemplo anterior seria o domínio A confia no domínio B e vice versa, gerando com isso uma relação bidirecional de autenticação entre eles, ou seja, nas duas direções. A transitividade de uma relação de confiança é a grande responsável por estender os limites de acesso aos domínios, podendo dessa forma estabelecer relações de confiança com outros domínios.
Contudo, pode-se também negar uma relação de confiança, marcando-a como intransitiva, Relação Transitiva, Ao criar um novo domínio em uma floresta, uma relação de confiança do tipo bidirecional e transitiva é estabelecida entre pai e filho. As autenticações ocorrem sempre entre esses caminhos, onde, por exemplo, cada conta de qualquer domínio da floresta podem ser autenticadas em outro domínio dessa mesma floresta, desde que estas contas possuam as permissões apropriadas de acesso aos recursos em qualquer domínio da floresta; e Relação Intransitiva, Uma relação de confiança do tipo intransitiva é restrita a dois domínios, não seguindo na direção de nenhum outro domínio da floresta. Pode ser do tipo unidirecional ou bidirecional. Por padrão, as relações intransitivas são unidirecionais podendo ser estabelecida a relação como bidirecional no momento em que a relação unidirecional estiver sendo definida.
Já quanto ao tipo da relação de confiança esta pode ocorrer de quatro tipos: Externa, utilizada quando se deseja que usuários acessem recursos de um domínio Windows NT 4.0 ou domínios que estejam em uma floresta diferente. Assim, o Active Directory cria no domínio interno um objeto de entidade de segurança e confiável para cada elemento externo permitido, não podendo ser modificados manualmente. Na Figura 11, é ilustrado a relação de confiança do tipo externa de um domínio Windows NT 4.0;
Figura 11 Relação de Confiança do tipo Externa
Fonte: http://i.technet.microsoft.com/dynimg/IC232414.gif. 2013
Realm, Usa-se este tipo de relação de confiança entre quaisquer Kerberos versão 5 não
Windows e um Active Directory, permitindo interoperabilidade entre plataformas distintas de forma segura. Estas relações podem ser intransitivas e transitivas, unidirecionais ou bidirecionais; Floresta, Utilizado para compartilhar recursos entre florestas distintas; Atalho
(Shortcut), Utiliza-se para otimizar o tempo de logon de usuários dentro da floresta Active Directory. Em florestas mais complexas, as solicitações de autenticação pode levar um tempo
considerável, desta forma, utilizam-se atalhos para reduzir esse processo de autenticação, geralmente quando usuários precisam autenticar-se a domínios em árvores distintas de que esteja. Verifica-se a relação de confiança do tipo Shortcut na Figura 12;
Figura 12 Relação de Confiança do tipo Shortcut Fonte: http://i.technet.microsoft.com/dynimg/IC232307.gif, 2013
Lembrando que ao se estabelecer uma relação de confiança, seja de qualquer um dos tipos informados anteriormente, pode-se verificar que estes acessos estão de acordo com a política de segurança da empresa. Pode-se realizar autenticações em apenas um sentido (unidirecional), definindo isso no momento que se é estabelecido a relação e a qual tipo se necessita. Os protocolos responsáveis pela autenticação de usuários e aplicativos por um controlador de domínio é o Kerberos, que atualmente encontra-se na sua Versão 5,e o NTLM (NT LAN Manager). O Kerberos V5 é o protocolo padrão utilizados por computadores em um domínio Active Directory, porém se este não oferecer suporte ao Kerberos, devido à utilização de redes híbridas, o NTLM entra em ação. O Kerberos é o principal protocolo de segurança em autenticação de domínios, pois ele verifica a veracidade na identificação do usuário solicitante com o servidor que fornecerá a autenticação. Ele emite uma espécie de tíquete que contêm dados criptografados e a senha criptografada, que checará a identidade do usuário. Por meio do KDC (Centro de Distribuição de Chaves), mecanismo que cada controlador de domínios utiliza para armazenar todas as senhas e informações de contas, é emitido o tíquete TGC (Concessão de Tíquete) especial para o cliente, para poder ter acesso ao serviço de concessão de tíquete (TGS), onde o cliente apresenta este último tíquete para comprovação da sua identidade de usuário para se ter acesso às informações. Já o NTLM é utilizado como protocolo de autenticação em transações entre máquinas de redes mistas que executem versões do Windows NT 4.0 ou anteriores e também para autenticação de computadores que não fazem parte de um domínio ou em casos de autenticações de usuários remotos na WEB. Detalhes mais específicos do funcionamento e origem do protocolo Kerberos, será tratado no item 2.2.6;
2.1.3.9 NAMESPACE DO ACTIVE DIRECTORY
Segundo Equipe Microsoft Corporation, para todos os elementos que são adicionados no banco de dados do Active Directory são representados de forma lógica como objetos e estes possuem no diretório um RDN (Relative Distinguished Name ou Nome Distinto Relativo) relacionado ao recipiente pai, que é armazenado como um atributo deste objeto e deve ser único para este recipiente. Estes objetos possuem além do RND um DN
(Distinguished Name ou Nome Distinto) que informa a posição deste objeto na árvore do diretório e serve como identificador da série do recipiente, do mais alto ao mais baixo, de onde este objeto se localiza e serve para distinguir objetos de nomes parecidos, sendo utilizado de forma única. O Active Directory utiliza partições para dividir, de forma lógica, o diretório para que cada DC não precise armazenar uma cópia completa do diretório.
2.1.4 IDA (IDENTITY AND ACCESS)
A IDA é responsável pela segurança de arquivos, e-mails, programas e o banco de dados em uma corporação. Uma identidade nada mais é do que a representação do elemento que realizara as ações na rede. Um exemplo prático seria um documento que esteja protegido por uma Lista de Controle de Acesso (ACL), este acesso só será permitido se a identificação do usuário for compatível com as normas e exigências desta ACL, determinando o acesso a este documento e até que nível de acesso este usuário possui ou simplesmente negando seu acesso caso este não esteja dentro das normas da ACL.
2.1.5 AUDITORIA EM ACTIVE DIRECTORY
Este serviço é habilitado por padrão assim que o Windows Server 2008 R2 for instalado e permite que sejam registradas por meio de logs, as alterações feitas em atributos de objetos, conferindo os valores antigos e os que foram alterados; através de uma SACL (Lista de Controle de Acesso do Sistema) que os administradores do servidor definem os objetos que se desejem auditar, sendo apenas possível serem feitas por estes grupos de usuários.
2.1.6 DIRETIVAS DE SENHAS REFINADAS
Através desta função podem-se aplicar exigências mais críticas para utilização de bloqueios de senhas e contas para diferentes usuários e grupos em um domínio. Para aplicar essas diretivas, deve-se criar um grupo de sombra, que pertencem logicamente a uma unidade organizacional, para depois atribuir usuários a esta como membro deste grupo, em seguida aplicar as imposições de senha refinada a este grupo.
2.1.7 DIRETIVAS DE SEGURANÇA NO ACTIVE DIRECTORY
Para garantir a segurança definindo controle e proteção a recursos, o administrador precisa implementar soluções para proteger as informações em uma empresa, centralizando suas ações por meio do Active Directory, onde por meio das diretivas de grupos que se pode determinar políticas para toda organização, a domínios, sites ou unidade organizacional. Segundo Equipe Microsoft Corporation, conhecendo as principais estruturas podem-se definir ações mais centradas e focadas ao tipo certo de proteção sem afetar as atividades da corporação.
Unidades Organizacionais (OU): Unidades Organizacionais são estruturas lógicas que servem como uma espécie de contêineres que possibilitam ao administrador a criação de estruturas que facilitem a organização dos objetos em um domínio. Como são estruturas de caráter hierárquico, estas são representações de departamentos ou estruturas organizações da empresa, onde é através delas que se torna possível a aplicação de limites de acessos a recursos disponíveis na própria máquina do usuário ou no acesso deste pela rede. Desta forma, ao invés de criar vários domínios que representem as estruturas empresariais, basta apenas criar unidades organizacionais dentro do domínio para esta estrutura. Este recipiente lógico pode inclusive além de objetos, comportar outras unidades organizacionais dentro deles, como por exemplo: usuários, computadores, contatos, grupos, impressoras e pastas compartilhadas de recursos. Podem-se utilizar unidades organizacionais para princípios administrativos,
ou seja, para definir nível de permissão ou totais sobre apenas uma parte do domínio ou para gerenciar grupos de objetos como uma unidade única.
Usuários: Para que os empregados de uma empresa possam ter acesso à computadores e serviços da organização, precisam de permissão para tal. Desta forma, são criados os chamados usuários que representam estas pessoas físicas que terão esta finalidade. Os usuários são criados num domínio dentro da unidade organizacional aos quais farão parte. Sua autenticação segue uma série de opções de contas como configuração de senha e informação específica de segurança para contas de usuário. Deve-se ter bastante atenção com relação à distinção de usuários com nomes semelhantes, para que o acesso não seja comprometido, ou algum tenha privilégio no espaço de outro. Os perfis de usuários podem ser de quatro tipos: Local, que possuem acesso apenas no computador local ao qual foram especificados; Roaming, para usuários que prestam serviços de suporte a outros, onde as informações deste tipo de usuários permanecem em um servidor central e são atreladas diretamente ao computador no qual precisem de suporte; Mandatory, perfil de somente leitura; Temporary, é uma espécie de perfil criado toda vez que ocorre uma condição de erro, onde estas modificações são perdidas após o usuário logar no sistema.
Computadores: Assim como os usuários, os computadores são entidades de segurança. Assim que um computador é adicionado a um domínio, caso sua conta ainda não tenha sido criada, o Windows define automaticamente uma. Deve-se ter bastante atenção por parte do administrador, com relação a reposições ou acréscimo de computadores, pois assim como os usuários estes participam das políticas de grupo da empresa, e podem perder seu acesso, sendo necessário habilitá-los ou desabilita-los caso sejam trocados.
Grupos: Os grupos são contêineres especiais que podem conter objetos do tipo usuários e computadores denominados neste caso de membros. Nos grupos são definidas as funções, direitos ou permissões definidas a usuários e computadores em uma rede, permitindo aplicar regras a uma quantidade maior de elementos sem a necessidade de aplicar um a um.
“Além das contas de usuários, o Windows Server 2008 fornece grupos. Falando-se de um modo geral, você pode usar os grupos para conceder permissões a tipo semelhantes de usuários e simplificar a administração de contas. Se um usuário for membro de um grupo que pode acessar um recurso, esse usuário específico
poderá acessar o mesmo recurso”. William R. Stanek, Windows Server 2008 - Guia de Bolso do Administrador, 2009, cap. 9, p. 283.
Os grupos podem ser de dois tipos: grupo de segurança, que são utilizados para definir permissões a recursos e grupo de distribuição, que são empregados para lista de distribuição de e-mails, os grupos podem ser criadores no contêiner usuários ou em uma nova unidade organizacional em um domínio Active Directory, onde o administrador pode aplicar funcionalidades ou limitações de acesso por meio das GPO’s (Group Policy Object – Objeto de Política de Grupo).
Políticas de Grupo: São regras que estabelecem um gerenciamento e configuração de usuários e computadores de forma centralizada. Com as políticas de grupo pode-se bloquear configurações à áreas de trabalho do computador, bloquear usuários ao acesso às unidades do computador (C:, D:, por exemplo), limitar acesso a funções do Painel de Controle, permitir acesso à placa de redes, desabilitar a execução de comando pelo prompt de comando do DOS. Por meio das GPO’s o administrador configurará uma ou mais definições de configuração a um usuário ou diretamente ao computador.
2.2 O SAMBA
De acordo com o site do desenvolvedor EQUIPE, samba [2013], entre as ferramentas de livre iniciativa ou Open Source, o Samba foi desenvolvido como um conjunto de softwares que trabalham juntos permitindo assim que usuário possam acessar os compartilhamentos de arquivos e impressoras. O nome Samba apareceu simplesmente de uma busca no dicionário onde seu fundador queria uma palavra que tivesse as letras do protocolo S, M e B de (Server
Message Block) posicionados na mesma ordem, onde a partir daí fora escolhido o nome
Samba. Dessa forma, pode-se definir que ele foi desenvolvido para que uma máquina UNIX
pudesse usar o protocolo SMB, para compartilhar recursos em uma rede de computadores com características hibridas Linux e Windows. É importante saber que o Samba tanto pode oferecer seus recursos como usar o serviço de outra máquina que utilize o protocolo SMB. O principal criador do Samba, Andrew Trigell, viu a necessidade de fazer compartilhamento e isso o motivou em 1992, ao desenvolvimento dessa ferramenta que utiliza um script em PHP
(Hipertext Preprocessor), como a principal maneira de enviar conteúdo para o servidor Linux, mas quando se fala em redes locais o principal protocolo atualmente utilizado é o CIFS (Common Internet File System), o principal protocolo usado em redes Microsoft. O CIFS é a mais nova versão do SMB; o primeiro protocolo criado por Andrew Trigell, só começou a ser utilizado a partir do Windows 2000. Essa modificação começou em 1984 com a IBM (International Business Machines), empresa de tecnologia que criou o protocolo NetBIOS (Network Basic Input/Output) que tinha como principal função a comunicação entre computadores ligados em rede. Inicialmente ele funcionava como uma ferramenta associada à BIOS (Basic Input Output System) dos computadores oferecendo serviços de redes. Um ano após sua criação, por volta de 1985, o protocolo foi obtendo uma grande repercussão no mercado, ganhando outro nome o NetBEUI (NetBIOS Extended User Interface) que foi utilizado em redes locais.
A Microsoft utilizou o SMB integralmente com o Windows 3.11, como o principal protocolo de compartilhamento de arquivos e impressoras em redes Microsoft, garantindo tanto a navegação da rede como a transferência de dados; o NetBIOS faz com que as estações de trabalho estabeleçam a comunicação através de mensagens atualizando o protocolo que funciona sobre o regimento do TCP/IP (Transmission Control Protocol/Internet Protocol). Caso deseje verificar no Windows XP, nas propriedades TCP/IP da placa de rede pode ser encontrado a função NetBIOS que foi implementada com a finalidade da compatibilidade entre SO’s (Sistemas Operacionais) anteriores da Microsoft.
Na Figura 13, verifica-se como são distribuídos os protocolos do SMB no computador, seguindo o modelo ISO/OSI (International Standard Organization/Open System
Interconnect), modelo utilizado como referência para estudos acadêmicos. Figura 13 Relação do protocolo SMB no modelo OSI Fonte: http://www.linuxjournal.com/article/2716, 2013 Aplicação SMB (Server Message Block) NetBIOS Over TCP / IP Interface máquina-rede especifica de cada sistema operacional juntamente com o meio físico da rede.
Aplicação Apresentação Sessão Transporte Rede Enlace Física
2.2.1 O SAMBA EM EXECUÇÃO
De acordo com Carlos E. Mortimoto em [2002], os serviços dispostos pelo Samba 4 são como processos que estão rodando em determinado servidor esperando o momento para ser solicitados e atender as necessidades de determinado serviço quando este for solicitado. O servidor Samba roda em um computador como um serviço smbd na porta 139 e o nmbd na porta 137, onde este serviço smbd trabalha em segundo plano aguardando o administrador ou que algum programa o execute a função do smbd. A definição de smbd é servidor que provê serviços SMB/CIFS, ele é definido como daemon servidor, onde é alimentado o compartilhamento de arquivos e serviços de impressão dos clientes. Já o nmbd é outro daemon secundário, cuja principal função no servidor Samba é tratar as resoluções de nomes em NetBIOS, onde este serviço trabalha quase como um DNS (Domain Name System), com menos recursos que o DNS normal. As suas principais especificações de execução são:
Responder a transmissões de nomes: de forma natural as estações de trabalho transmitem consultas para a rede local, o servidor snmbd verifica estas solicitações e procura trata-los quando o serviço é configurado para realizar consultas de nomes, mas também pode ser configurado como Proxy, fazendo o mesmo papel de resolução de nomes para outro computador da rede local;
Registrar um nome de NetBIOS: Nesta configuração o nmbd é responsável pelo servidor NetBIOS, visando responder e tratar as requisições de resolução de nomes sobre IP utilizando o servidor NetBIOS. Esta resolução pode ser desenvolvida via
broadcast fazendo varredura em toda a rede ou Ponto-a-Ponto entre duas estações de
trabalho. A configuração adotada que se aproxima da característica do NetBIOS em sua origem é a de broadcast, onde Sempre que uma máquina desejar conectar-se com outro computador, uma mensagem é enviada para a rede. Todas as máquinas recebem este pacote e a máquina com a qual se deseja estabelecer a conexão responde com seu número IP;
Funcionar como um servidor NBNS (NetBIOS Naming Service): Um importante serviço de resolução de nomes que tem a mesma finalidade do DNS traduz nomes para endereços IP, o NBNS tem uma dificuldade enfrentada que ele só dá suporte a endereços IP v4 e não suporta o IPv6;
Funcionar como navegador mestre: Segundo Robert Eckstein, David Collier e Peter Kelly [1999], esta funcionalidade permite que o administrador da rede, caso deseje fazer uma navegação por outros servidores em uma rede, verifique diretórios em disco rígidos, quando o Samba funcionar como navegador mestre, onde é o nmbd que tem de realizar toda essa função. Na Figura 14, demonstra os servidores máster de cada local.
Figura 14 Relação do protocolo SMB no modelo OSI
Fonte: http://oreilly.com/openbook/samba/book/ch05_01.html, 2013
Para esta escolha é feita uma eleição em cada rede local de forma distinta, onde a máquina que tiver o maior nível de SO (Sistema Operacional) será eleita como LMB (Local
Master Browser), não importa o sistema operacional da máquina que pode ser desde desktop a
servidores; ambas entrarão nesta eleição. Para este conhecimento é enviado um Broadcast na rede criando uma tabela para a escolha da LMB, caso a máquina seja desligada é realizada uma nova eleição a cada 36 minutos. Podem ser visualizados na Tabela 1 alguns exemplos de valores de SO nível.
Tabela 1 Valor de SO nível de sistemas operacionais Fonte: http://www.vivaolinux.com.br, 2013
Sistema Operacional
SO nível
Windows Server 2008 R2 45 Windows NT Server 4.x 33 Windows NT Server 3.x 32 Samba 34 Windows 2000 Server 32 Windows NT Workstation 4.x 17 Windows NT Workstation 3.x 16 Windows 2000 Professional 16 Windows 98 2 Windows 95 2 Windows 3.1 1
As eleições são decididas da seguinte maneira: A máquina com maior OS nível ganha.
Se houver outro problema, a máquina com maior tempo na rede ganha.
E por último, se houver só problemas, o cliente cujo nome seja o primeiro da ordem alfabética ganha.
2.2.2 SWAT
Para Carlos E. Mortimoto [2011], o serviço SWAT (Samba Web Admin Tool) é uma ferramenta de configuração via WEB similar a paginas de configuração de modem ADSL (Asymmetric Digital Subscriber Line). Dessa forma é possível acessar este recurso remotamente via navegador de internet e facilitar o gerenciamento em servidores sem
interface gráfica instalada. O samba recebeu este recurso a partir da versão 2.0.0 onde os seus arquivos estão alocados no diretório /usr/local/samba/swat, o servidor utiliza a porta 901, definida como padrão pelo fornecedor do samba para que dessa forma possa trazer segurança no acesso, pois é possível realizar este acesso de forma criptografada permitida tanto na estação como no servidor de forma segura.
“A estrutura de diretórios do Linux, que não lembra em nada o que temos no Windows. No Windows temos os arquivos do sistema concentrados nas pastas ‘Windows’ e ‘Arquivos de programas’, e você pode criar e organizar suas pastas da forma que quiser. No Linux é basicamente o contrário. O diretório raiz está tomado pelas pastas do sistema e espera-se que você armazene seus arquivos pessoais dentro da sua pasta no diretório ‘/home’. Naturalmente, é possível ajustar as permissões de uma maneira que você possa salvar arquivos em outros locais, mas isso nem sempre é uma boa ideia.” Carlos. E. Morimoto, Guia do Hardware, 2009.
Na tela Home do SWAT, a ferramenta possui links para a documentação sobre o
Samba de forma aprofundada do sistema, juntamente com esses links possui outra seção de
configuração.
Figura 15 Demonstração da tela principal do SWAT do Samba Fonte: http://www.dimap.ufrn.br, 2013
Na seção password pode ser definido o cadastro de usuário, substituindo os comandos via terminal do Linux, smbpasswd –a e Adduser, onde com este recurso o administrador de rede pode realizar a edição tanto do Login do administrador do servidor Samba como também a criação de Logins para usuários dos recursos do Samba, onde seus níveis de acessos são variados dependendo do que seja utilizado pelo usuário. Em seguida temos uma tela chamada,
Globals, onde nesta seção possui as configurações de rede onde é possível visualizar a opção
NetBIOS, definindo o nome do servidor Windows responsável pela resolução de nomes e IP
(Internet Protocol). Outra seção esta a opção Workgroup, indicando qual o grupo de trabalho pertence o computador, podendo assim agrupar as estações de trabalho no mesmo grupo ou em grupos distintos. Nesta interface possui também uma função chamada, Interfaces, que permite ao administrador de rede limitar os acessos ao servidor caso o servidor possuía mais de uma placa de rede; caso não seja definido a interface que será utilizada neste campo o
Samba permite o acesso de todas as solicitações feitas pelos usuários que chegar a placa de
rede ativas no Linux. Na opção, Security Options, pode ser escolhido com as seguintes configurações; User; Share; Server e Domain. As opções Share e Server são configurações utilizadas em redes de pequeno porte onde não é necessária a utilização de níveis de segurança, pois essa opção trata o nível de compartilhamento semelhante ao de uma máquina Windows 98, onde os compartilhamentos são acessados por todos os usuários. A função
Domain é utilizada quando deseja utilizar o servidor Samba como cliente, em um domínio
sobre controle de outro servidor. Mas caso ele seja configurado como servidor de grupo de trabalho, ou como controlador de domínio a opção correta é a User. Com essa definição os compartilhamentos do Samba ficam restritas, onde as permissões de acesso devem ser dadas a cada usuário individualmente. Também existem duas opções na tela: a Host Allow, onde é necessário incluir o IP dos computadores que terá permissão para acessar os recursos do servidor. E a outra opção chamada de Host Deny, utilizando endereço IP permite que seja bloqueado o acesso ao servidor, dessa forma com esses parâmetros pode ser criado uma lista de acessos aos recursos do servidor. Na Figura 15 da página 38, é possível visualizar a seção Password.
Figura 16 Demonstração da tela Globals do Swat do Samba Fonte: http://www.linuxvirgins.com/networking.html, 2013
Existe uma configuração importante que deve ser sempre ativa: o Encrypt passwords, pois o servidor não permite que senhas sejam transportadas de formas claras em textos limpos, não permitindo a vulnerabilidade para que sejam lidas essas senhas, onde mesmo que elas sejam capturadas, as senhas estarão criptografadas. Na Figura 16 é possível visualizar a seção Globals do Swat.
2.2.3 SAMBA COMO SERVIDOR DE ARQUIVOS E IMPRESSORA
Segundo Carlos E Mortimoto no site guia do Hadware [2009], o Samba realiza a tarefa de compartilhamento de arquivos e servidor de impressora desde a versão 2.0, onde possuí um arquivo no diretório Samba definido como smb.conf, que localiza todos os parâmetros de configuração do serviço do Samba. Este arquivo pode ser editado pelo administrador do servidor. Com essas definições, configuradas neste arquivo, é possível que usuários de
ambientes coorporativos realizem instalações de impressoras alocadas no servidor. Este serviço faz o compartilhamento de impressoras de ambiente local que por sua vez estejam com seus arquivos de instalação configurados neste servidor, mesmo sendo estações de plataforma Linux ou Windows. Ao realizar o compartilhamento de arquivos, o serviço pode ser configurado no arquivo smb.conf, com destino de onde estará à pasta compartilhada para o usuário e suas permissões, tais como; leitura, escrita e execução, sobre a pasta e arquivos, como esta funcionalidade pode ser utilizada em ambiente Linux as permissões são visualizadas em formas de letras, onde cada letra representa o nível de acesso dos usuários aos compartilhamentos favorecidos. Veja Figura 17 uma tela de permissões.
Figura 17 Demonstração nível de permissão do usuário Fonte: http://www.daruma.com.br/ddemkt/dde023_2012.html, 2013
As letras, “r”, “w” e “x”, representam cada uma o nível de permissão que o usuário possui sobre determinado compartilhamento de arquivos e diretórios. Cada uma dessas letras tem seus seguintes significados:
r - read (permissão de leitura); w - write (permissão de escrita); x - execute (permissão de execução).
No terminal, utilizando o comando chmod 755 “nome do compartilhamento”, o usuário possui a flexibilidade de trabalhar com valores decimais de 0 a 7, onde cada valor tem uma combinação de letras que servem para dar a permissão aos compartilhamentos de arquivos desejados. 0 = --- (nenhuma permissão) 1 = --x (somente execução) 2 = -w- (somente escrita) 3 = -wx (escrita e execução) 4 = r-- (somente leitura)
5 = r-x (leitura e execução) 6 = rw- (leitura e escrita)
7 = rwx (leitura, escrita e execução)
Toda essa edição pertinente ao arquivo smb.conf é transparente, como pode ser visto na Figura 18, pois o usuário verifica de forma clara os compartilhamentos tanto de impressora como de arquivos, mesmo estando em outras plataformas de sistemas operacionais. As formas de compartilhamentos podem ser realizadas via cliente/servidor, onde os dados estão alocados no próprio servidor, ou em estações de trabalho realizando o compartilhamento entre si, definido como cliente/cliente, sendo esta configuração realizada após a instalação do serviço
Samba em uma estação de trabalho quando o ambiente for Linux.
Figura 18 Demonstração dos serviços de impressão e arquivos do Samba Fonte: http://www.hardware.com.br/tutoriais/impressoras-samba/pagina2.html, 2013
2.2.4 SAMBA COMO CONTROLADOR DE DOMÍNIO
De acordo Carlos E. Mortimoto [2012], o PDC (Primary Domain Controller) é um serviço de controlador primário de domínio que esta incluída no Samba desde sua versão 3.0.0, visando controlar a rede local de forma centralizada, onde é responsável por fornecer autenticação para os usuários, sejam eles Linux ou Windows. Dessa forma, recursos
administrativos são disponibilizados como perfis móveis, onde o conteúdo do usuário em sua estação de trabalho é lido e armazenado no servidor Samba, independente de qual máquina o usuário efetuar o Logon na rede local os seus dados são copiados para a estação onde o usuário realizou sua autenticação com seu Login e senha de domínio.
“Tem o mesmo significado que ‘login’. Os dois termos possuem uma tradução ligeiramente diferente, ‘logon’ seria ‘logar em’ ou ‘logar sobre’ enquanto ‘login’ seria ‘logar no’ ou ‘logar dentro’, mas a ideia transmitida é a mesma, ou seja: fornecer uma senha ou algum outro tipo de credencial para ganhar acesso a determinado sistema.” Carlos E. Morimoto. Guia do Hardware, 2005.
Outra forma é a logon local, onde suas vantagens é a redução do consumo de processamento do servidor e redução de consumo de banda da rede, fazendo com que o perfil do usuário seja armazenado na estação de trabalho e a cada vez que o usuário logar em uma estação diferentes o seu login é criado novamente não havendo seus dados migrados para esta estação. Em uma infraestrutura com mais de 10 estações de trabalho, é recomendado pelo fornecedor à utilização de PDC para melhorar o desempenho e tonar a administração de forma dinâmica, pois estão centralizados em um controle de domínio.
Também é possível no servidor Samba ser realizado o serviço de administração, tanto na criação, como de bloqueio e até mesmo de exclusão de usuário, onde este usuário receberá algumas dessas configurações, que em seguida serão replicadas para todas as estações de trabalho onde ele efetuar o Logon. É possível utilizar o arquivo “smbpasswd” como um PDC mais não é recomendado pelo fornecedor, pois ele possui desvantagem diante dos atributos referente aos usuários como, por exemplo, o SID (Security Identifier), código de valor único que identifica cada usuário (o SID fica em branco ou é gerado automaticamente durante os acessos). O arquivo recomendado pelo fornecedor do Samba para ser utilizado como PDC é o smb.conf, que existem alguns parâmetros que devem ser obedecidos neste arquivo: quando o
Samba é utilizado como controlador de domínio, no arquivo smb.conf deve estar ativado no
modo de segurança (security = user), para que suas senhas sejam informadas ao servidor de forma criptografada, executando juntamente com a configuração (encrypt passwords = yes). É recomendado pelo fornecedor a configuração do uso do tdbsam como back-end sendo necessário adicionar esta linha no arquivo smb.conf, onde sua função principal é de permitir que usuários possam efetuar o Logon no servidor Samba. Toda esses parâmetros devem ser escritos na seção global do arquivo smb.conf, da seguinte forma.
[global]
netbios name = Sparta workgroup = Grupo server string = Servidor encrypt passwords = yes wins support = yes preferred master = yes os level = 100
enable privileges = yes passdb back-end = tdbsam
Pode ser visto na Figura 19, um exemplo de PDC onde servidores controla estação de trabalho de forma centralizada.
Figura 19 Demonstração do serviço de PDC
Fonte: http://www.broexperts.com/2011/06/how-to-configure-primary-domain-controller-on-redhat/, 2013
2.2.5 OPEN LDAP
De acordo com o site do fornecedor Openldap [2011], LDAP (Lightweight Directory
