MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

Embed Size (px)

Citation preview

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    1/61

    i

    ANDERSON VIGNATTI

    IMPLANTAO E ESTUDO DE UM SISTEMA UTILIZANDO O ACTIVE

    DIRECTORY

    Monografia de graduao apresentada ao Departamentode Cincia da Computao da Universidade Federal deLavras como parte das exigncias do curso de Cinciada Computao para obteno do ttulo de Bacharel emCincia da Computao.

    LAVRAS

    MINAS GERAIS - BRASIL2007

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    2/61

    ii

    ANDERSON VIGNATTI

    IMPLANTAO E ESTUDO DE UM SISTEMA UTILIZANDO O ACTIVE

    DIRECTORY

    Monografia de graduao apresentada ao Departamentode Cincia da Computao da Universidade Federal deLavras como parte das exigncias do curso de Cinciada Computao para obteno do ttulo de Bacharel emCincia da Computao.

    rea de Concentrao:Redes de Computadores

    Orientador:Prof. Luiz Henrique Andrade Correia

    LAVRAS

    MINAS GERAIS - BRASIL2007

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    3/61

    iii

    Ficha Catalogrfica preparada pela Diviso de Processos Tcnicos da BibliotecaCentral da UFLA

    Vignatti, Anderson

    Implantao e estudo de um sistema utilizando o Active Directory / Anderson Vignatti. Lavras

    Minas Gerais, 2007

    Monografia de Graduao Universidade Federal de Lavras. Departamento de Cincia daComputao.

    1. Redes de Computadores. 2. Windows Server 2003 (Active Directory). 3. O protocoloLDAP. 3. Modelo de redes Workgroups. 4. Modelo de redes Domnio. I. VIGNATTI, A. II.

    Universidade Federal de Lavras. III. Ttulo.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    4/61

    iv

    ANDERSON VIGNATTI

    IMPLANTAO E ESTUDO DE UM SISTEMA UTILIZANDO O ACTIVE

    DIRECTORY

    Monografia de graduao apresentada ao Departamentode Cincia da Computao da Universidade Federal deLavras como parte das exigncias do curso de Cinciada Computao para obteno do ttulo de Bacharel emCincia da Computao.

    Aprovada em 30 de maro de 2007

    _________________________________________________Prof. Marluce Pereira Rodrigues

    _________________________________________________Prof. Thiago de Souza Rodrigues

    _________________________________________________Prof. Luiz Henrique Andrade Correia

    (orientador)

    LAVRAS

    MINAS GERAIS BRASIL2007

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    5/61

    v

    A Deus primeiramente, aos meus pais Angelo e

    Guanair, a minha noiva Vanessa, a minha irm

    Andria Vignatti e ao meu irmo AdrianoVignatti e meus amigos.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    6/61

    vi

    Agradecimentos

    Agradeo primeiramente a Deus, que se no fosse pela tua vontade nada teria se

    realizado.

    Aos amigos de turma, pelas alegrias e tristezas compartilhadas, mas que acima de tudo, os

    momentos inesquecveis ficaro guardados para sempre.

    Agradeo a todos que me apoiaram e ajudaram durante toda minha graduao, sem os

    quais eu no poderia ter realizado este trabalho.

    Ao meu amor, Vanessa, por todo apoio e incentivo.

    Aos meus pais e familiares, que sempre me incentivaram durante a minha jornada.

    A todos meus amigos do Centro de Informtica (CinUfla), companheiros de trabalho,

    especialmente aos meus chefes Luiz e Anderson.

    Ao meu orientador Luiz Henrique Correia por me guiar durante a elaborao deste

    trabalho.

    A todos os professores do DCC, que contriburam para minha formao profissional.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    7/61

    vii

    IMPLANTAO E ESTUDO DE UM SISTEMA UTILIZANDO OACTIVE

    DIRECTORY

    RESUMO

    A evoluo no tratamento de informaes veio a revolucionar o mundo em que

    vivemos, abrindo as fronteiras com novas formas de comunicao e permitindo maior

    eficincia dos sistemas computacionais.

    As redes de computadores so uma realidade nesse contexto e tambm fazem parte

    de todo esse processo. Como resultado, os sistemas operacionais de rede se aperfeioaram

    e passaram a gerar muito mais que simples arquivos de rede e servios de impresso. Elesagora necessitam de um gerenciamento transparente das relaes entre os recursos de rede

    distribudos e seus usurios.

    Portanto, o aumento no tamanho das redes e as constantes mudanas pelas quais as

    mesmas esto inseridas, fizeram com que as pessoas e as organizaes de modo geral,

    passassem a necessitar de servios que disponibilizem um acesso cada vez mais

    transparente. Contudo, surge necessidade de trabalhar com uma base de dadoscentralizada, possibilitando a simplificao do gerenciamento; fortalecendo a segurana;

    aumentando a interoperabilidade, dentre outros benefcios que tragam mais facilidade em

    criar e manipular essas informaes.

    Um problema bastante usual em empresas o de criar um sistema unificado de

    autenticao. Com a interao do protocolo LDAP ao Active Directorypode garantir que

    todos os usurios dessa empresa possam ter suas contas de acesso unificadas em umdomnio. Uma opo que pode ser disponibilizada ao usurio permitir a interao entre

    um servidor Windows e um computador Linux (usurio), possibilitando um maior nmero

    de usurios na rede e maior utilizao de softwares livres. Essa interao s realizada

    mediante os dois sistemas operacionais utilizarem o mesmo padro de protocolos, o LDAP.

    Este trabalho faz tambm uma breve descrio de outros softwares de rede que utilizam o

    protocolo LDAP.

    Palavras-chaves: Redes de Computadores, Windows Server 2003 (Active Directory), O

    protocolo LDAP, Modelo de redes Workgroups, Modelo de redes Domnio.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    8/61

    viii

    IMPLANTATION AND STUDY OF A SYSTEM USING THE ACTIVE

    DIRECTORY

    ABSTRACT

    The evolution in the treatment of information came to revolutionize the world

    where we live, opening the borders with new forms of communication and allowing bigger

    efficiency of the computational systems.

    The computer networks are a reality in this context and also they are part of all this

    process. As result, the operational systems of net if had perfected and started to generate

    much more that simple archives of net and services of impression. They now need atransparent management of the relations between the resources of net distributed and its

    users.

    Therefore, the increase in the size of the nets and the constant changes for which the

    same ones are inserted, had made with that the people and the organizations in general

    way, started to need services that disponibilizem an access each more transparent time.

    However, it appears to the necessity to work with a database centered, making possible the

    simplification of the management; fortifying the security; increasing the interoperabilidade,amongst other benefits that bring more easiness in creating and manipulating these

    information.

    A sufficiently usual problem in companies is to create a unified system of

    authentication. With the interaction of protocol LDAP to Active Directory it can guarantee

    that all the users of this company can have its unified accounts of access in a domain. An

    option that can be disponibilizada to the user is to allow to the interaction between aWindows server and a Linux computer (using), making possible a bigger number of users

    in the net and greater free use of softwares. This interaction alone is carried through by

    means of the two operational systems to use standard of protocols, the LDAP the same.

    This work also makes one brief description of others softwares of net that use protocol

    LDAP.

    Key-Words: Computer networks, Windows Server 2003 (Active Directory), protocol

    LDAP, Model of Workgroups networks, Model of networks domain.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    9/61

    ix

    SUMRIO

    LISTA DE SIGLAS.......................................................................................................................................XI

    1 INTRODUO ............................................................. .................................................................. ............. 1

    1.1OBJETIVOS....................................................... ................................................................ ........................ 21.2MOTIVAO ............................................................... ............................................................... .............. 31.3ESTRUTURA DO TRABALHO.............................................................. ........................................................ 4

    2 O PROTOCOLO LDAP .................................................................. ............................................................ 5

    2.1HISTRICO....................................................... ................................................................ ........................ 52.2CARACTERSTICAS...................................................... ............................................................... .............. 62.3APLICAES DO LDAP..................................................................... ....................................................... 7

    3 ACTIVE DIRECTORY.......... ..................................................................... ............................................. 10

    3.1DNS 123.2CAMADAS DE ESTRUTURA LGICA DO ACTIVE DIRECTORY........................................................ ........... 14

    3.2.1 Domnios................................................. ........................................................... ........................... 143.2.2 Objetos do Active Directory ................................................................... ...................................... 163.2.3 Unidades Organizacionais (UOs)........................................................................ .......................... 163.2.4 rvore ................................................... ........................................................... ............................. 183.2.5 Floresta............................................................................................. ............................................. 193.2.6 Relao de confiana .......................................................... .......................................................... 203.2.7 Esquema do AD ........................................................... .............................................................. ... 213.2.8 Integrao do DNS ao Active Directory ............................................................. .......................... 22

    3.3TRANSFORMANDO UMA REDE DE MODELO WORKGROUPS PARA MODELO DOMNIO............................ 233.4AUTENTICAO NO AD......................................................... ................................................................ 253.5CRIANDO GRUPOS DE USURIOS E DEFININDO DIRETIVAS POR GRUPOS. ............................................... 263.6PASTAS COMPARTILHADAS ............................................................. ...................................................... 31

    4 UTILIZAO DO PROTOCOLO LDAP NO ACTIVE DIRECTORY .............................................. 33

    4.1SUPORTE DO LDAPAO AD ............................................................. ...................................................... 334.2AUTENTICANDO UM USURIO LINUX NO WINDOWS SERVER 2003........................................................ 34

    5APLICAES PRTICAS ........................................................... ........................................................... 36

    5.1OBJETIVO ........................................................ ................................................................ ...................... 365.2DESCRIO DO PROBLEMA .............................................................. ...................................................... 365.3INSTALAO DO AD.......... ............................................................... ..................................................... 36

    5.3.1 Exemplos de aplicao 1: DRCA................................................................................................ .. 405.3.2 Exemplo de aplicao 2: Laboratrio Institucional....................................................................... 42

    6CONCLUSO .................................................................... ............................................................ ............ 44

    7 TRABALHOS FUTUROS................................................................... ...................................................... 468 REFERNCIAS BIBLIOGRFICAS..................................................................................................... 47

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    10/61

    x

    NDICE DE FIGURAS

    Figura 2-1 Alguns servios que o protocolo LDAP fornece suporte. (Fonte: www.ldap.org) .......................... 9Figura 3-1Exemplo do funcionamento do DNS. (Fonte: Autor) ................................................................. .... 13

    Figura 3-2 Exemplo de um domnio. (Fonte: Macromedia, Inc- Flash Player)............................... ................ 15

    Figura 3-3Criao de unidades Organizacionais dentre de um Domnio. (Fonte: Macromedia, Inc- Flash

    Player) .................................................................. .................................................................... ....................... 17

    Figura 3-4 Exemplo de uma rvore de Domnio compartilhando o mesmo nome.(Fonte: Macromedia, Inc-

    Flash Player)............................................................ ................................................................. ....................... 19

    Figura 3-5 Exemplo de uma Floresta. (Fonte: Macromedia, Inc- Flash Player).............................................. 20

    Figura 3-6Exemplo de uma relao de confiana. (Fonte Windows Server 2003 A Bblia)........................... 21Figura 3-7Exemplo de uma rede baseada no modelo Workgroups. (Fonte : Julio Battisti, 2002). ................. 24

    Figura 3-8Uma rede baseada no conceito de Diretrio - Domnio. (Fonte: Julio Battisti, 2002) .................... 25

    Figura 3-9Criando permisses especiais a usurio. (Fonte: Tulloch, 2005).................................................... 28

    Figura 3-10 O usurio herda as permisses do grupo. (Fonte: Julio Battisti)................................... .............. 29

    Figura 5-1 Compatibilidade de sistema operacional. (Fonte: instalao do AD no servidor) ......................... 38

    Figura 5-2 Controlador de domnio. (Fonte : instalao do AD no servidor).................................................. 39

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    11/61

    xi

    LISTA DE SIGLAS

    ACE-AccessControl Entries

    AD-Active Directory

    DNS-Domain Name System

    LDAP- Lightweight Directory Access Protocol

    TCP- Transmission Control Protocol

    IP-Internet Protocol

    DAP-Directory Access Protocol

    OSI- OpenSource Initiative

    ISODE-International Organization for Standardization Development Environment

    ITU-International Telecommunications Union

    IETF-Internet Engineering Task Force

    ADSI-Active Directory System Interface

    URL- Universal Resource Locator

    UOs- Unidades Organizacionais

    DHCP-Dynamic Host Configuration Protocol

    DC-Domain Controler

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    12/61

    xii

    SO- Sistema Operacional

    WAN- Wide Area Network

    LAN-Local Area Network

    MSI-Microsft Sistem Installer

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    13/61

    1 . INTRODUO

    No mundo globalizado, as informaes sobre pessoas, aplicaes e recursos se

    espalham pela maioria dos sistemas de informao e continuam se ploriferando. Como

    resultado, os sistemas operacionais de rede precisam gerar muito mais que simples

    arquivos de rede e servios de impresso. Agora, necessitam de um gerenciamento

    transparente dos recursos de rede distribudos. O sistema operacional Microsoft Windows

    Server, com seu servio integrado de diretrio ativo (Active Directory), deixam as redes

    mais fceis de usar, facilitam o gerenciamento da rede.

    Em uma rede que utiliza como o software de rede Microsoft Windows Server, o

    Active Directory (AD) o elemento central, fundamental, sobre o qual planejada e

    implementada uma infra-estrutura de rede, sendo o seu elemento principal. O AD

    utilizado para centralizar a administrao da rede, devido a grande dificuldade que se tem

    de trabalhar com a base de dados de usurio descentralizado e por reconhecer que

    indispensvel um melhor gerenciamento dos recursos para os usurios.

    Os sistemas distribudos freqentemente conduzem a uma administrao demorada

    e redundante. Como as companhias acrescentam aplicaes sua infra-estrutura e

    contratam mais pessoal, eles precisam distribuir software adequadamente para a rea de

    trabalho e administrar diretrios de aplicaes mltiplas. O Active Directory permite s

    companhias baixar, significativamente, os custos com gerenciamento, gerando um nico

    espao para os usurios, grupos e recursos de rede, bem como distribuir software e

    administrar configuraes da rea de trabalho do usurio.

    A segurana integrada ao Active Directory atravs da autenticao de logon e

    controle de acesso a objetos no diretrio. Com um nico logonna rede, os administradores

    podem gerenciar a organizao e os dados de diretrio em suas redes. Desta forma, os

    usurios de rede autorizados podem acessar recursos em qualquer lugar da rede. A

    administrao com base em diretivas facilita o gerenciamento at mesmo das redes mais

    complexas. As permisses de acesso sero atribudas aos usurios e grupos do ActiveDirectory. Esta abordagem de um diretrio nico tem inmeras vantagens: O logonnico e

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    14/61

    2

    o fato de que atualizaes feitas no diretrio j so feitas automaticamente em todas as

    aplicaes, uma vez que o diretrio nico.

    Um problema bastante usual em empresas o de criar um sistema unificado de

    autenticao. Com a interao do protocolo LDAP ao Active Directorypode-se garantir

    que todos os usurios dessa empresa tero suas contas de acesso cadastradas em um nico

    servidor. Com a autenticao unificada, um conjunto de mquinas compartilham

    informaes diversas para identificar e validar a identidade dos usurios, facilitando o

    trabalho de usurios e administradores de um sistema distribudo. Atualmente, programas e

    linguagens de programao tm suporte ao protocolo LDAP(Lightweight Directory Access

    Protocol). O LDAP pode exercer um papel vital em redes de todos os tamanhos.

    Este trabalho um resultado de experincia prtica, onde so mostrados todos os

    passos que foram efetuados, desde a instalao do AD, criando um DNS (Domain Name

    System), que ser o n raiz desta rvore e o domnio. A instalao de alguns servios do

    Windows Server 2003, proporcionam maior eficincia ao administrador deste domnio.Dessa forma, apresentamos algumas caractersticas da principal ferramenta do Server

    2003, que oActive Directory. Neste trabalho abordamos a interao do protocolo LDAP

    com o Active Directory. No captulo 2 mostraremos sua histria, os servios do Active

    Directory, citaremos outras ferramentas que utilizam o protocolo LDAP.

    1.1 Objetivos

    O principal objetivo deste trabalho centralizar a administrao da rede, utilizando

    a principal ferramenta do Windows Server 2003, o Active Directory; para gerenciar todos

    os computadores de um domnio.

    Apresentar os principais benefcios que o AD pode trazer para as redes,

    transformando um modelo de rede Workgroups para um modelo de redeDomnio.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    15/61

    3

    Os objetivos secundrios deste trabalho so:

    Estudar como estabelecida a comunicao entre um computador cliente,

    utilizando um sistema operacional Linux, e um servidor, utilizando o

    sistema operacional Windows Server 2003, com a sua principal ferramenta

    Active Directory.

    1.2 Motivao

    Na migrao das redes Windows Workgroups para domnio, apenas usurios

    autenticados podem logarneste domnio. Essa autenticao aumenta a segurana da rede,

    evitando que usurios no cadastrados venham a utilizar o sistema. Os usurios

    cadastrados no sistema tm a facilidade de logarem qualquer computador deste domnio.

    Entretanto, necessrio um logine uma senha para que o usurio tenha as permisses a ele

    concedidas pelo administrador.

    Devido a grande dificuldade que se tem de trabalhar com a base de dados de

    usurios descentralizada e por reconhecer que indispensvel um melhor gerenciamento

    dos recursos da rede para os usurios, vislumbramos a soluo de administrar a rede por

    meio do AD. Com a administrao da rede centralizada, podemos criar grupos de usurios

    sendo que cada grupo possuir diretivas ou polticas adotadas pela empresa. A

    administrao do sistema pode permitir e fornecer acesso a esses grupos. Ao cadastrarmoso usurio em determinado grupo, ele passar a ter os privilgios deste determinado grupo,

    podendo ser cadastrado em mais de um grupo.

    A implantao do AD ir permitir a interao entre os sistemas operacionais Linux

    e Windows, permitindo um nmero maior de usurios trabalharem no mesmo domnio,

    alm da maior disseminao de softwares livres.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    16/61

    4

    1.3 Estrutura do trabalho

    Este trabalho dividido em 5 captulos, descritos a seguir.

    No captulo 2, descrevemos o principal protocolo que utilizado pelo AD,

    protocolo LDAP. Apresentamos sua definio, vantagens, desvantagens e outras empresas

    que utilizam o padro protocolo LDAP.

    No captulo 3, mostramos a principal ferramenta do Windows Server 2003, AD.

    Apresentamos as vantagens da transformao de uma rede Workgroups para uma rede

    Domnio e a interao do DNS ao AD. Mostramos tambm as camadas de estrutura lgica

    do AD, a maneira como o AD apresentado aos administradores e usurio e outros

    servios que o AD utiliza para uma melhor administrao da rede.

    No captulo 4, mostramos a utilizao do protocolo LDAP no AD e algumas

    verses do protocolo LDAP que o AD tem suporte. Apresentamos como feita a

    autenticao de um usurio Linux no Windows Server 2003, criando uma comunicao

    entre um computador cliente, utilizando um sistema operacional Linux, e um servidor,utilizando o sistema operacional Windows Server2003.

    No captulo 5, mostramos algumas aplicaes prticas que o AD nos proporciona,

    como a criao e o gerenciamento de um laboratrio institucional.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    17/61

    2 . O PROTOCOLO LDAP

    O protocolo LDAP (Lightweight Directory Access Protocol) empregado para

    acessar servios de diretrio, ou seja, uma definio de protocolo para acesso a bancos de

    dados especializados nos chamados diretrios.

    Segundo (Allem e Puckett, 2002), o LDAP pode ser usado em qualquer tipo de rede

    TCP/IP (Transmission Control Protocol / Internet Protocol) sendo um padro aberto e que,

    permite que existam produtos para vrias plataformas. O LDAP organiza os recursos da

    rede de forma hierrquica, como uma rvore de diretrios, na qual temos primeiramente

    um diretrio raiz, em seguida a rede da empresa, o departamento e por fim o computador

    do funcionrio e os recursos de rede (arquivos, impressoras e outros) compartilhados por

    ele.

    2.1 Histrico

    No incio da dcada de 80 para criar um servio de mensagens (a srie X.400), ou

    seja, um protocolo que especifica servios do tipo store-and-forward, houve a necessidade

    de desenvolver um protocolo que organizasse as entradas em um servio de nomes de

    forma hierrquica, capaz de suportar grandes quantidades de informao e com uma

    enorme capacidade de procura de informao. Esse servio criado pela Universidade de

    Michigan, com apoio do Consortium do ISODE (International Organization for

    Standardization Development Environment), foi apresentado em 1988. Ele especificava a

    comunicao entre o cliente e o servidor do Diretrio que usava o DAP (Directory Access

    Protocol) e era executado sobre a pilha de protocolos do modelo OSI (Open Source

    Initiative). O DAP um protocolo complexo, que roda sobre uma camada OSI completa, e

    precisa de uma quantidade significante de recursos computacionais para ser executado.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    18/61

    6

    O X.500 um Servio de Diretrio universal padronizado pela ITU (International

    Telecommunications Union), com o objetivo de definir a ligao entre Servios de

    Diretrios locais para assim formar um diretrio global distribudo. O fato do protocolo

    X.500 ser muito complexo e de custo incompatvel, levou os pesquisadores da

    Universidade de Michigan a criar um servidor LDAP (Lightweight Directory Access

    Protocol).

    Em 1993 o LDAP foi ento apresentado como alternativa ao protocolo DAP para

    acesso a Diretrios baseados no modelo X.500. O LDAP roda diretamente sobre o TCP e

    fornece a maioria das funcionalidades do DAP, a um custo muito menor. Foi

    implementado pela primeira vez na prpria universidade de Michigan. Esse grupo depesquisadores disponibilizou o cdigo fonte do protocolo LDAP na Internet e criou listas

    de discusso para divulgar e aperfeioar o novo servio, sendo a sua evoluo

    acompanhada por pessoas do mundo inteiro.

    O LDAP foi reconhecido como um padro da IETF (Internet Engineering Task

    Force), em Dezembro de 1997, o IETF lanou a verso trs do LDAP como proposta

    padro Internet para Servios de Diretrio.

    2.2 Caractersticas

    Conforme (Bialaski, 2000),uma das principais vantagens do LDAP a facilidade

    em localizar informaes e arquivos disponibilizados. Pesquisando pelo sobrenome de um

    funcionrio possvel localizar dados sobre ele, como telefone, departamento onde

    trabalha, projetos em que est envolvido e outras informaes includas no sistema, alm

    de arquivos criados por ele ou que lhes faam referncia. Cada funcionrio deve ter uma

    conta de acesso no servidor LDAP, para que possa cadastrar informaes sobre si e

    compartilhar arquivos.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    19/61

    7

    As informaes do LDAP esto guardadas segundo uma estrutura em rvore e

    raramente se efetuam atualizaes. O servidor est otimizado para responder a um grande

    nmero de pesquisas e tem um alto nvel de segurana.

    O LDAP centraliza toda a informao trazendo assim enormes benefcios, como por

    exemplo, um nico ponto de administrao e menor duplicao de dados. Alm disso,

    utiliza um mecanismo de replicao que funciona de forma hierrquica, passando de pai

    para filho. O n pai tem privilgios sobre o n filho, logo, o n pai pode conceder e

    remover privilgios. Ele fornece um mecanismo de segurana tanto para a autenticao,

    quanto para troca de dados.

    Atualmente, vrias aplicaes tm suporte para LDAP, uma delas a principal

    ferramenta do sistema operacional Windows Serve 2003. O LDAP vem sendo usado cada

    vez mais por administradores de rede porque as suas caractersticas e as suas vantagens em

    muitos casos compensam a sua complexidade. A prova disso que cada vez mais

    aplicaes e sistemas operacionais possuem suporte para LDAP. Apesar disso, o LDAP

    apresenta algumas restries, como:

    Em alguns casos no substitui as Bases de Dados Relacionais.

    As atualizaes so raramente efetuadas.

    Permite o armazenamento confivel somente de dados estticos.

    No possvel relacionar dois atributos, visto que no se trata de uma Base de

    Dados Relacionais, mas sim de uma base de dados estruturada hierarquicamente.

    O LDAP pode ser utilizado em vrias aplicaes como mostrado a seguir.

    2.3Aplicaes do LDAP

    Segundo (Kanies, 2001), para compreender porque e como o LDAP est sendo uma

    ferramenta to importante na vida de um administrador da rede, necessrio compreender

    como as dificuldades de administrar uma rede com uma base de dados descentralizada e

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    20/61

    8

    como o protocolo LDAP pode ser muito til para uma eficiente administrao da rede. Isto

    significa que, o LDAP pode ser visto como uma tecnologia e como uma ferramenta.

    Vrias grandes empresas participaram do desenvolvimento de aplicaes que

    empregam o LDAP, entre elas:

    Apache (atravs do Apache Directory Server)

    Apple (atravs do Open Directory/OpenLDAP)

    AT&T

    Banyan

    eB2Bcom (atravs do View500)

    Hewlett-Packard

    IBM/Lotus

    ISODE (atravs do M-Vault server)

    Microsoft (atravs do Active Directory)

    Netscape (agora em Sun Microsystems and Red Hat products)

    Novell (atravs do eDirectory)

    OctetString (atravs do VDE server)

    Oracle (atravs do Oracle Internet Directory)

    Radiant Logic (atravs do RadiantOne Virtual Directory Server)

    Red Hat (atravs do Red Hat Directory Server)

    Siemens AG (atravs do DirX server)

    SGI and

    Sun (atravs do iPlanet and Sun ONE directory servers)

    Symlabs (atravs do Directory Extender)

    Na figura 2.1, podemos ver alguns servios e aplicaes que o protocolo LDAP

    fornece suporte, entre elas duas em que utilizamos em nossas aplicaes prticas, como a

    sua utilizao nas redes Microsoft e Linux.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    21/61

    9

    .

    Figura 2-1 Alguns servios que o protocolo LDAP fornece suporte. (Fonte: www.ldap.org)

    O LDAP usado atualmente pela maioria dos administradores de rede em

    detrimento das Bases de Dados Tradicionais, porque alm das suas caractersticas jreferidas, cada vez mais existem aplicaes com suporte LDAP uma das tecnologias mais

    difundidas e menos compreendidas da Internet o LDAP est em todo lugar, entretanto,

    desconhecido da maioria dos profissionais.

    Note que embora seja possvel ter acesso base de dados remotamente, o LDAP

    no um protocolo freqentemente usado na Internet, apenas em Intranets, sobretudo de

    grandes empresas, j que quanto maior o nmero de usurios e de documentos

    disponveis, maior sua utilidade.

    Neste captulo vimos teoria do protocolo LDAP, sua histria, caractersticas,

    aplicaes e algumas empresas que utilizam o protocolo, como a Microsoft (AD) e Linux.

    O AD umas das ferramentas que utiliza o protocolo LDAP para servios de

    diretrios, mais caractersticas so apresentadas a seguir:

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    22/61

    3 . ACTIVE DIRECTORY

    Criado em 1996, oActive Directoryfoi implementado no Windows Server 2000. O

    Active Directoryfoi, sem dvidas, a grande novidade do Windows Server 2000 em relao

    ao Windows NT Server 4.0. Algumas revises para aumentar a funcionalidade e melhorar

    a administrao foram necessrias para incorporar ao AD Windows Server 2003, sendo

    hoje, a sua principal ferramenta. O Active Directory tambm o elemento central,

    fundamental, sobre o qual planejada e implementada uma infra-estrutura de rede, sendo o

    elemento principal da Microsoft no Windows Server.

    OActive Directory o servio de diretrios para os sistemas operacionais Windows

    Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition e Windows

    Server 2003,Datacenter Edition. Ele armazena informaes sobre objetos na rede, fazendo

    com que estas informaes sejam fceis de encontrar e utilizar por administradores e

    usurios. Possui um arquivo de dados estruturado como a base de uma organizao lgica

    e hierrquica de informaes de diretrio.

    Conforme (Picoto, 1999), o AD permite que qualquer controlador de domnio seja o

    nico ponto de administrao necessrio para recursos publicados, os quais podem incluir

    perifricos, usurios, qualidade da ligao de rede para grupos de usurios e outros objetos.

    Segundo (Anderson et al, 2001), o Active Directory uma execuo de servios de

    diretrio do protocolo LDAP pela Microsoft, para o uso em ambientes Windows. O Active

    Directory permite que os administradores atribuam polticas a grandes empresas,

    instalaes de programas automaticamente, apliquem atualizaes crticas a uma

    organizao inteira. As redes doActive Directorypodem variar de uma instalao pequena

    com alguns objetos, a uma instalao grande com milhes dos objetos.

    Segundo (Param, 2001), o Active Directory um servio de diretrio do Windows

    2000 que permite as organizaes mantenham as informaes centralizadas dos recursos e

    usurios da rede. Uma caracterstica significativa do Active Directory a utilizao do

    protocolo LDAP. Infelizmente, ainda muito difcil utilizar o Active Directory, sem usar

    os servios (ADSI)Active Directory System Interface.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    23/61

    11

    Conforme (Schley, 2004), oActive Directory um componente essencial da ltima

    gerao da arquitetura de rede do Windows Server. Oferece um servio de diretrio que

    permite que as organizaes controlem de maneira centralizada as informaes dos

    recursos dos usurios da rede. Ele armazena tambm as informaes de segurana da rede

    de Windows. O Windows faz com que o servidor de rede, utilize oActive Directorye um

    controlador de domnio em uma rede. Todos os objetos armazenados no Active Directory

    so acessveis atravs do protocolo LDAP. OActive Directorysuporta as verses LDAPv2

    e LDAPv3.

    OActive Directoryd suporte aos sistemas operacionais Microsoft Windows 2000

    Professional, Windows XP Professional, Windows 98 e Linux. Porm, a atualizao doWin98 foi descontinuada em julho de 2006, impedindo assim sua atualizao e no

    permitindo a migrao de redes modelo Workgroupspara modelos de domnio (ver seo

    3.3).

    O servio de diretrio do Active Directory pode ser instalado em servidores que

    executem o Microsoft Windows Server 2003. Ele armazena informaes sobre objetos na

    rede e facilita o acesso de administradores e usurios a essas informaes. Essearmazenamento de dados, tambm conhecido como diretrio, contm informaes sobre os

    objetos do Active Directory. Geralmente, os objetos incluem recursos compartilhados

    como servidores, arquivos, impressoras, contas de usurio e de computador da rede.

    A segurana integrada ao Active Directory atravs da autenticao de logon e

    controle de acesso a objetos no diretrio. Com um nico logonna rede, os administradores

    podem gerenciar a organizao e os dados de diretrio em suas redes e os usurios de redeautorizados podem acessar recursos em qualquer lugar da rede. A administrao com base

    em diretivas facilita o gerenciamento at mesmo das redes mais complexas.

    Segundo (Oliver, 2003) o Active Directory, sem sombra de dvida, foi a principal

    ferramenta dos Windows Serves, sendo agora, uma ferramenta padro em muitas empresas

    de todo mundo. Sua entrada no mercado foi marcada radicalmente no corao da

    plataforma dos usurios de Windows. Hoje, seria muito difcil administrar uma rede

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    24/61

    12

    Windows com a base de dados descentralizada, e com o Active Directory, a rede torna-se

    mais segura e mais fcil de ser administrada.

    O Active Directory e o DNS so ligados por completo, no podendo instalar o

    Active Directorysem o DNS. De fato, oActive Direcory est construdo no DNS (Domain

    Name System).

    3.1 DNS

    O sistema de nomes de domnios DNS (Domain Name System) oferece um servio

    de nomes de computadores e redes organizado em uma hierarquia de domnios. Os nomes

    DNS so usados em redes TCP/IP, como a Internet, para localizar computadores e servios

    por meio de nomes amigveis para o usurio. Quando um usurio insere um nome DNS ou

    uma URL (Universal Resource Locatorem) em um aplicativo, o servio DNS pode

    resolver o nome para outra informao associada ao nome, como um endereo IP.

    Por exemplo, a maioria dos usurios prefere um nome amigvel, como a URL

    labinst.ufla.br,para localizar um computador como um servidor de correio ou da Webem

    uma rede. Um nome amigvel pode ser mais fcil de aprender e lembrar do que um

    nmero. No entanto, os computadores se comunicam em rede usando endereos

    numricos. Para utilizar os recursos da rede de maneira mais fcil, os sistemas de nomes

    como o DNS fornecem um modo de mapear o nome amigvel do usurio de um

    computador ou servio para seu endereo numrico conforme figura 3.1.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    25/61

    13

    Figura 3-1Exemplo do funcionamento do DNS. (Fonte: Autor)

    O exemplo da figura 3.1, um cliente consulta um servidor DNS, solicitando o

    endereo IP de um computador configurado para usar host-alabinst.ufla.brcomo nome de

    domnio DNS. Como o servidor DNS capaz de responder consulta com base no banco

    de dados local, ele envia com uma resposta que contm as informaes solicitadas: um

    registro de recurso de host (A) que contm as informaes de endereo IP para host-a

    labinst.ufla.br.

    O sistema de nomes de domnios DNS foi projetado originalmente como um

    protocolo aberto e, conseqentemente, vulnervel a invasores. O DNS do Windows

    Server 2003 melhorou a capacidade de impedir um ataque na infra-estrutura do DNS com a

    adio de recursos de segurana.

    Em seguida mostraremos a camadas de estrutura lgica do AD, a maneira de como

    o AD apresentado aos usurios e administradores deste domnio.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    26/61

    14

    3.2 Camadas de estrutura lgica do Active

    Directory

    Os elementos que compem a estrutura do AD, so apresentadas ao administrador e

    aos usurios, quando estes utilizam as ferramentas de administrao e pesquisa do AD.

    A estrutura fsica determina onde so armazenadas as informaes do Active

    Directory, como as informaes so sincronizadas entre os diferentes DCs (controlador de

    Domnio). Por outro lado, a estrutura fsica pode ser diferente, e normalmente , daestrutura lgica que composta por: Domnios, rvore, Floresta, Relao de Confiana,

    Objeto do AD, Unidades Organizacionais e Esquemas. Mostraremos agora cada uma delas

    nos prximas sees.

    3.2.1 Domnios

    Os domnios so unidades de replicao. Um domnio a fronteira administrativa

    para gerenciar objetos, como usurios, grupos e computadores. Alm disso, cada domnio

    possui diretivas de segurana individuais e relaes de confiana com outros domnios.

    Todos os controladores de domnio em determinado domnio podem receber alteraes e

    replic-las em todos os outros controladores do domnio. Cada domnio do Active

    Directory identificado por um sistema de nomes de domnios (DNS) e requer um ou mais

    controladores. Se a rede precisar de mais de um domnio, o administrador poder criar

    facilmente vrios domnios.

    Para (Santos e Cmara, 2002) os domnios representam uma partio lgica do

    Active Directoryque serve tanto para a segurana quanto para replicao de diretrios. Os

    administradores de domnio podem criar, excluir e gerenciar todos os objetos que residem

    no domnio pelo qual so responsveis. Tambm podem atribuir e redefinir senhas, alm

    de delegar uma autoridade administrativa para recursos de rede a outros usurios

    confiveis.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    27/61

    15

    O administrador no precisa criar domnios separados apenas para a organizao de

    divises e departamentos da sua empresa. Em um domnio, possvel usar unidades

    organizacionais para esse fim. A criao de um novo grupo facilita o gerenciamento das

    contas e os recursos existentes no domnio. Em seguida, o administrador pode atribuir

    configuraes de diretiva de grupo e incluir usurios, grupos e computadores. O uso de um

    nico domnio simplifica bastante a sobrecarga administrativa. Com a facilidade de criar

    diretiva por grupo (GPO) ele pode estabelecer a forma como os recursos de domnio so

    acessados, configurados e usados. Essas diretivas so aplicadas somente no domnio e no

    entre domnios.

    Conforme (Shimonski, 2005), importante saber controlar os nveis funcionais do

    usurio no Windows 2003 e podem ser de grande uso quando solicitado. Muitas vezes,

    preciso adicionar a funcionalidade a seu domnio, e se estiver usando verses diferentes de

    Windows Server 2000/2003, tm que considerar os nveis funcionais, ajustando o seu

    domnio ou mesmo a floresta. Caso esteja utilizando outros servidores diferentes,

    transforme o seu Server 2000 para nvel funcional do Server 2003, assim aumentar o nvel

    funcional de seu domnio.

    Figura 3-2 Exemplo de um domnio. (Fonte: Macromedia, Inc- Flash Player)

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    28/61

    16

    Pela figura 3.2, podemos ver claramente um domnio. Dentro de um domnio temos

    os objetos que so os usurios, computadores, grupos, impressoras, aplicativos, entre

    outros. Na prxima seo descrevemos os objetos do AD.

    3.2.2 Objetos do Active Directory

    Cada objeto representa uma nica entidade, que pode ser um usurio, um

    computador, uma impressora, uma aplicao, ou dados compartilhados. Os objetos podem

    tambm ser recipiente de outros objetos. Por exemplo, os atributos de um objeto Arquivo

    incluem seu nome, localizao e tamanho, enquanto os atributos de um objeto Usurio do

    Active Directorydevem incluir o nome, sobrenome e endereo de emaildo usurio.

    De acordo (Possey, 2006), quando criamos objetos no Active Directory, temos a

    possibilidade de incorporar a informao relacionada aos atributos de um nmero de

    objeto. Por exemplo, se estivermos criando um objeto do usurio devemos incorporar toda

    a informao usual tal como o user_namee a senha, mas podemos tambm incorporar aoutra informao tal como o endereo do usurio e o nmero de telefone.

    3.2.3 Unidades Organizacionais (UOs)

    Algumas vezes um domnio uma rea grande demais para ter o acesso concedido.Por exemplo, suponha que precisamos contratar algumas pessoas para trabalharem com

    alguns servios do Active Directorysem que esta pessoa tenha acesso a todo o domnio.

    Ento criamos um novo usurio com certos privilgios, que por exemplo, ficar

    responsvel pela folha de pagamento do grupo contabilidade, conforme mostrado na figura

    3.3. Dessa forma, o administrador do domnio dar certos privilgios a este usurio

    administrador, podendo ter acesso total ou parcial da folha de pagamento. Pode criar um

    novo administrador para um grupo, como por exemplo, o gerente do setor Jurdico ter

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    29/61

    17

    controle total sobre o grupo jurdico, conforme mostrado na figura 3.3. A idia subdividir

    o domnio em unidades organizacionais ou UOs.

    Figura 3-3Criao de unidades Organizacionais dentre de um Domnio. (Fonte: Macromedia, Inc-

    Flash Player)

    Segundo (Anderson et al, 2001) o UO responsvel por dar o controle de um

    conjunto de contas de usurios e/ou mquinas para um conjunto de usurios, permitindo,

    por exemplo, definirmos um conjunto de pessoas que podero redefinir senhas em um

    determinado departamento sem ter de torn-los administradores com mais poderes do que

    o desejvel e, alm disso, podemos restringir o grupo de pessoas em que as senhas possam

    ser alteradas.

    Conforme (Shimonski, 2005), durante a instalao Active Directory em uma

    organizao, sempre importante considerar o sistema desta organizao e verificar que

    algumas configuraes importantes esto sendo utilizadas. Uma das mais importante o

    planejamento do sistema local do usurio, criando diretivas para usurios, restringindo

    assim seus acessos e permitindo alguns privilgios.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    30/61

    18

    3.2.4 rvore

    Se vrios domnios tiverem nomes de DNS contguos, essa estrutura ser chamadade rvore de domnio. No DNS, a estrutura de rvore hierrquica invertida usada para

    indexar nomes de domnio. As rvores de domnio so semelhantes, quanto ao propsito e

    ao conceito, s rvores de diretrios usadas pelos sistemas de arquivamento do computador

    para armazenamento em disco. Por exemplo, quando houver vrios arquivos armazenados

    em disco, os diretrios podero ser usados para organiz-los em conjuntos lgicos. Quando

    uma rvore de domnio tiver uma ou mais ramificaes, cada uma poder organizar nomes

    de domnio usados no espao para nome nos conjuntos lgicos.

    Conforme (Santos e Camara, 2002) uma rvore uma reunio hierrquica de

    domnios organizados em um espao de nome contguo. Uma rvore tambm constitui em

    um nico domnio do Windows 2000. Podemos criar um espao de nome contguo maior,

    unindo diversos domnios em uma estrutura hierrquica. O primeiro domnio AD criado

    chamado de raiz da rvore.

    Neste trabalho, criamos um domnio chamado labinst.ufla.br edrca.ufla.br. Vale a

    pena ressaltar, porm, no colocamos em prtica em nosso trabalho, o funcionamento dos

    domnios de forma hierrquica. O Active Directory cria relacionamentos de confiana

    automaticamente entre cada domnio e seus domnios filhos. Facilitando permisses aos

    seus domnios filhos, como por exemplo, servio de impresso, entre outros.

    Observe que exibida uma rvore com 3 diretrios, conforme mostrado na figura

    3.4. O domnio inicial, tambm conhecido como domnio pai ou domnio raiz, ufla.br.

    Os domnios filhos seguintes so: dcc.ufla.br ecin.ufla.br.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    31/61

    19

    Figura 3-4 Exemplo de uma rvore de Domnio compartilhando o mesmo nome.(Fonte: Macromedia,

    Inc- Flash Player)

    Quando formada uma hierarquia de diretrios, h um compartilhamento de

    nomes. Significa que os nomes dos objetos filho de segundo nvel, por exemplo,dcc.ufla.br ecin.ufla.br, contm o nome do objeto pai (ufla.br). Por exemplo, dcc.ufla.br

    contm ufla.br.

    Com isso uma rvore de diretrios deste tipo forma um espao de nomes contnuo,

    no qual o nome do objeto filho sempre contm o nome do objeto pai.

    3.2.5 Floresta

    Suponha, porm, que uma empresa esteja dividida em ufla.br e ufes.br, conforme

    figura 3.5. Suponha, ainda, que esta empresa resolveu continuar com uma empresa de

    domnios mltiplos e quer manter uma parte de sua firma como ufla.br e outra como

    ufes.com. Entretanto, bastante provvel que tenhamos dois domnios e esses dois

    domnios no cabero na mesma rvore.

    Podemos optar por construir esses dois domnios do AD em uma mesma estruturaunificada, mas ela no poder ser uma rvore devido aos nomes desiguais. Em vez disso,

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    32/61

    20

    optaremos pela criao de uma floresta. Uma floresta nada mais do que um grupo de

    rvores, como podemos observar na figura 3.5.

    Figura 3-5 Exemplo de uma Floresta. (Fonte: Macromedia, Inc- Flash Player)

    O primeiro domnio em uma floresta chamado de domnio raiz da floresta. Para o

    DNS e o Active Directory, so nomes diretamente acima de outros nomes de domnio

    derivativos (domnios filho). Por exemplo, ufla.br poderia ser o domnio pai para

    dcc.ufla.br (um domnio filho).

    3.2.6 Relao de confiana

    Quando uma nova rvore de domnio criada em uma floresta existente, ou mesmo

    um n filho de mesma extenso, uma relao de confiana da raiz de rvore estabelecida

    por padro. No Active Directory, h uma estrutura hierrquica de um ou mais domnios.

    Vrias rvores de domnio podem pertencer mesma floresta. Em uma floresta, uma

    relao de confiana criada automaticamente entre o domnio raiz de floresta e os

    domnios raiz de cada rvore.

    Conforme (Santana, 2000), com a utilizao de domnios, podemos fazer com que

    nossa rede reflita a estrutura de uma empresa. Quando utilizamos vrios domnios temos o

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    33/61

    21

    conceito de relao de confiana. A relao de confiana permite que os usurios de ambos

    os domnios acessem os recursos localizados nesses domnios. No Windows 2000, as

    relaes de confianas so bidirecionais e transitivas, ou seja, se o servidor X confia no

    servidor Y, e Y confia no servidor W, o servidor X tambm confia no servidor W, o

    servidor Y confia no servidor P, o servidor P confia no servidor M que este confia no

    servidor W, o servidor H confia no servidor P e T, e assim por diante, como mostra a

    figura 3.6.

    Figura 3-6Exemplo de uma relao de confiana. (Fonte Windows Server 2003 A Bblia)

    3.2.7 Esquema do AD

    O Esquema doActive Directory o conjunto de definies que estabelecem os tipos

    de objetos e os tipos de informaes sobre estes objetos, que podem ser armazenados no

    Active Directory. As definies em si so armazenadas como objetos para que o Active

    Directory possa gerenciar os objetos do esquema com as mesmas operaes de

    gerenciamento usadas para os demais objetos no diretrio. Existem dois tipos de definies

    no esquema: atributos e classes, que tambm so chamados de objetos.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    34/61

    22

    3.2.8 Integrao do DNS ao Active Directory

    Para (Posey, 2005), o Active Directory e o DNS possuem a mesma estrutura

    hierrquica, embora separados e implementados de diferentes formas para diversas

    finalidades. O nome do DNS o mesmo usado para oActive Directorye possuem estrutura

    idntica para mesma organizao. Por exemplo, microsoft.com um domnio DNS e um

    domnioActive Directory.

    As zonas de DNS podem ser armazenadas no Active Directory. Se estivermos

    usando o servio DNS do Windows Server 2003, os arquivos da zona primria podero ser

    armazenados no Active Directorypara replicao em outros controladores de domnio. O

    Active Directoryusa o DNS como um servio localizador, resolvendo o domnio, o site e

    os nomes de servio do AD para um endereo IP.

    O acesso do usurio ao domnio do AD, permite que o cliente doADconsulte seu

    servidor DNS configurado em busca do endereo IP do servio LDAP que est sendoexecutado em um controlador de um domnio especfico.

    Conforme ( Droubi, et al, 2003) quando a Microsoft comeou o desenvolvimento do

    AD, criar uma compatibilidade com o DNS era a grande prioridade. O AD foi construdo

    no apenas para ser inteiramente compatvel com DNS, mas tambm para fazer com que os

    dois no possam ficar separados. Caso o DNS no estiver funcionando, o AD tambm no

    funcionar.

    Alm da necessidade da interao com servidor DNS, se fez uma configurao

    automtica do endereo IP, para facilitar e evitar problemas de conflito de IP. Numa rede

    de Arquitetura TCP/IP, todo computador deve possuir um endereo IP distinto. O DHCP

    (Dynamic Host Configuration Protocol) o protocolo que prov um meio para alocar estes

    endereos dinamicamente.

    Conforme (Arajo, 1997), para o perfeito funcionamento de um computador ligadoa uma rede Internet, no apenas precisa-se configurar o seu endereo IP, mas tambm uma

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    35/61

    23

    srie de outros parmetros de rede. Um cliente DHCP busca encontrar um ou mais

    servidores DHCP que possam fornecer os parmetros desejados, para que sua mquina

    possa ser configurada automaticamente.

    Na prxima seo, mostramos a transformao de uma rede modelo Workgroups

    para uma rede modelo domnio a qual, ter uma base de dados centralizada.

    3.3 Transformando uma Rede de Modelo

    Workgroups para Modelo Domnio

    Nas redes Windows no existe domnio sem o Active Directory. Um domnio

    criado quando o Active Directory instalado no primeiro servidor. Ao instalar o Active

    Directory, o servidor torna-se um DC (Domain Controler). O DC contm uma cpia da

    base de dados do Active Directory. Na base de dados do Active Directory ficam, dentre

    outras, informaes tais como: contas e senhas de todos os usurios, grupos de usurios emembros de cada grupos, contas de computador e assim por diante. Um domnio pode ter

    vrios DCs. Qualquer alterao feita nas informaes doActive Directory, em qualquer um

    dos DCs ser replicada, automaticamente, para todos os demais DCs do domnio. O

    resultado prtico que todos os DCs possuem uma cpia idntica do AD. Em um domnio

    baseado no Active Directory e no Windows Server 2003 possvel ter dois tipos de

    servidores Windows Server 2003.

    Quando os servidores Windows Server 2003 so configurados para trabalhar com

    Workgroups, no existe o conceito de domnio e nem de Controlador de Domnio. Cada

    servidor mantm uma lista separada para contas de usurios, grupos e polticas de

    segurana, conforme descrito anteriormente. Com isso se um usurio precisa acessar

    recursos em trs servidores, por exemplo, ser necessrio criar uma conta para esse usurio

    nos trs servidores diferentes. Uma rede Workgroupssomente recomendada para redes

    extremamente pequenas, no mais do que 10 estaes clientes.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    36/61

    24

    Em uma rede baseada no modelo de Workgroupscada servidor independente do

    outro. Em outras palavras, os servidores do Workgroupsno compartilham uma lista de

    usurios, grupos e outras informaes. Cada servidor tem a sua prpria lista de usurios e

    grupos, conforme mostrado na Figura 3.7.

    Figura 3-7Exemplo de uma rede baseada no modelo Workgroups. (Fonte : Julio Battisti, 2002).

    Nesta rede temos trs servidores (ver figura 3.7), onde cada servidor tem a sua

    prpria base de usurios, senhas e grupos. Conforme pode ser visto na figura 3.7, as bases

    no esto sincronizadas, existem contas de usurios que foram criadas em um servidor,

    mas no foram criadas nos demais. Por exemplo, a conta Paulo somente existe no Servidor

    01, a conta Mauro s existe no Servidor 02 e a conta Cassia s existe no servidor 03.

    Logo, se os trs funcionrios precisassem utilizar os trs servidores, teriam que ter uma

    senha para cada servidor. Agora imagine o problema em uma rede de grandes propores,

    com dezenas de servidores e milhares de funcionrios. Fica fcil concluir que o modelo de

    Workgroupsficaria insustentvel, impossvel de ser implementado na prtica, para redes de

    mdia a grande porte.

    Agora mostraremos uma rede de modelo Domnio. Vamos iniciar considerando a

    figura 3.8 a seguir:

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    37/61

    25

    Figura 3-8Uma rede baseada no conceito de Diretrio - Domnio. (Fonte: Julio Battisti, 2002)

    No modelo baseado em diretrio, temos uma base de usurios nica, ou seja, todos

    os servidores da rede compartilham a mesma base de usurios. O que ocorre na prtica,

    que todos os servidores contm uma cpia da base de informaes do diretrio. Alteraes

    efetuadas em um dos servidores so repassadas para os demais servidores da rede, para que

    todos fiquem com uma cpia idntica da base de dados do diretrio. Esta sincronizao

    entre os servidores do domnio conhecida como Replicao doActive Directory.

    3.4 Autenticao no AD

    A autenticao crucial para a comunicao segura. Os usurios devem comprovar

    suas identidades para as pessoas com quem se comunicam e verificar a identidade de

    outras pessoas. difcil a comprovao de identidade em uma rede, pois as pessoas no se

    encontram fisicamente durante a comunicao, permitindo que um usurio mal-

    intencionado intercepte mensagens ou se faa passar por outra pessoa fsica ou jurdica.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    38/61

    26

    O certificado digital uma credencial comum que permite a verificao da

    identidade. Os certificados usam tcnicas de criptografia para solucionar a falta de contato

    fsico entre as partes em comunicao. O uso dessas tcnicas diminui a possibilidade de

    uma pessoa mal-intencionada interceptar, alterar ou falsificar mensagens. Essas tcnicas de

    criptografia dificultam a adulterao de certificados. Isso impede que uma entidade

    obtenha a identidade de outra pessoa.

    Segundo (Melber, 2005),para uma boa administrao de uma rede, a maioria dos

    administradores querem saber quem est utilizando o sistema, a que computador, quais

    recursos os usurios tem acesso, entre vrios outros recursos da rede. Porm, no

    necessariamente qualquer usurio pode utilizar o sistema desta rede, apenas usuriosautenticados no domnio tero o privilegio de logar no domnio desejado. Quando o

    usurio coloca seu logine sua senha, oActive Directory(controlador de domnio) verifica

    se o usurio tem permisses de acesso ao domnio pretendido. Com a autenticao de

    usurios, o AD torna essa rede mais segura e limitada entrada de usurios no

    autenticados.

    A seguir sero mostrados os benefcios de se trabalhar com usurios cadastrados emgrupo, criando polticas por grupo e no para usurios individuais, assim, facilitando a

    administrao da rede para o administrador.

    3.5 Criando Grupos de Usurios e definindo

    diretivas por grupos.

    Um grupo um conjunto de contas de usurios e computadores, contatos e outros

    grupos que podem ser gerenciados como uma unidade. Os usurios e os computadores que

    pertencem a um grupo especfico so chamados de membros do grupo. Os grupos so

    caracterizados pelo escopo e pelo tipo. O escopo de um grupo determina a extenso qual

    o grupo aplicado no domnio ou na floresta.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    39/61

    27

    As configuraes de Diretivas de Grupo definem os vrios componentes do

    ambiente da rea de trabalho do usurio que o administrador do sistema precisa gerenciar.

    Por exemplo, os programas que esto disponveis para usurios, os programas que

    aparecem na rea de trabalho do usurio e as opes do menu Iniciar. As configuraes de

    Diretiva de Grupo especificadas esto contidas em um objeto de Diretiva de Grupo que,

    por sua vez, est associado aos objetos selecionados do Active Directory, como sites,

    domnios ou unidades organizacionais.

    Usar grupos pode simplificar a administrao ao atribuir um conjunto comum de

    permisses e direitos a vrias contas simultaneamente, em vez de atribuir as permisses e

    os direitos a cada conta individualmente. Dessa forma pode simplificar a administrao,atribuindo permisses sobre um recurso compartilhado a um grupo e no a usurios

    individuais. Isso atribui o mesmo acesso ao recurso compartilhado a todos os membros do

    grupo.

    Segundo (Tulloch, 2005), o usurio cadastrado em grupo ou grupos pelo

    administrador do domnio conforme necessidade de seu perfil, porm, este usurio pode a

    vir necessitar de algumas permisses especiais alm das fornecidas pelo administrador. Porexemplo, conforme mostra figura 3.9 somente os usurios Bob Smith, Mary Jones, e Tom

    Lee receberem a poltica em execuo, primeiramente so usados usurios e computadores

    do Active Directory para criar um grupo global chamado Snior Venda e usurios

    introduzindo no mercado que tem somente estes trs usurios como membros. Esses

    usurios tero algumas permisses especiais, alm das que possuam at mesmo um

    controle total do grupo.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    40/61

    28

    Figura 3-9Criando permisses especiais a usurio. (Fonte: Tulloch, 2005)

    Conforme (Tulloch, 2005) um usurio pode ter permisses de grupo a ele concedido

    pelo administrador e alm dessas permisses, o administrador pode dar a este usurio

    permisses especiais diretamente a sua conta, podendo tambm cadastrar em vrios outros

    grupos.

    Na figura 3.10, apresentada uma ilustrao do conceito de grupo de usurios. O

    grupo Contabilidade possui direito para um recurso compartilhado, o qual pode ser

    acessado atravs da rede. Todos os usurios que pertencem ao grupo Contabilidade,

    tambm possuem permisso para acessar o recurso compartilhado, com os mesmos nveis

    de acesso do grupo Contabilidade, uma vez que os usurios de um grupo, herdam as

    permisses do grupo.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    41/61

    29

    Figura 3-10 O usurio herda as permisses do grupo. (Fonte: Julio Battisti)

    Para os grupos de usurios, podemos considerar alguns fatos a seguir:

    Grupos so colees de contas de usurios.

    Os membros de um grupo herdam as permisses atribudas ao grupo. Os usurios podem ser membros de vrios grupos.

    Grupos podem ser membros de outros grupos.

    Contas de computadores podem se membros de um grupo.

    A Diretiva de Grupo se aplica no apenas a usurios e computadores clientes, mas

    tambm a servidores membros, a controladores de domnio e a qualquer computador com o

    que esteja contido no domnio, dentro do escopo de gerenciamento.

    Por padro, a Diretiva de Grupo aplicada a um domnio, ou seja, aplicada no

    nvel do domnio logo acima da raiz de Usurios e Computadores do Active Directory, o

    que afeta todos os computadores e usurios no domnio.

    A Diretiva de Grupo inclui as configuraes de diretiva para Configurao do

    usurio X, as quais afetam os usurios, e a configurao do computador X. Dessa forma,

    podemos colocar a diretiva por computador ou por usurio, isso depender tambm da

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    42/61

    30

    hierarquia de prioridade, conforme a poltica que adotaremos segundo cada departamento

    ou organizao da empresa. Se colocarmos uma diretiva por computador e esta estiver em

    primeiro plano, no topo da diretiva adotada para aquele domnio, ento todos os usurios

    seguiro a poltica adotada para este computador, seguindo assim as normas imposta pelo

    administrador deste domnio.

    As diretivas por grupos facilitam o gerenciamento do administrador da rede. Um

    exemplo poderia ser a chegada de um novo funcionrio, ao invs de colocar polticas para

    este usurio, basta analisar o que ele precisa ter acesso e coloc-lo em um determinado

    grupo ou grupos. Assim, conforme a necessidade deste usurio, ou mesmo uma promoo

    de um funcionrio, podendo colocar e tirar acessos apenas sendo cadastrado nos grupos dediretivas.

    Conforme (Tulloch, 2005), a poltica de grupo muito importante e seria

    indispensvel criao de um projeto no Active Directory com um planejamento de

    diretiva de grupos. Caso os locais, domnios e OUs sejam criados de maneira errada, a

    poltica OU do grupo ser difcil de se usar e de localizar problemas. Assim, a primeira

    etapa durante o planejamento, criar regras para a poltica do grupo na rede, planejandocomo executar o prprioActive Directory. Tal planejamento inclui decises como: Quantas

    florestas sero abertas (uma ou diversas)? Quantas rvores do domnio? Haver quantos

    domnios filho? Que tipo de estrutura de cada domnio tem? E assim por diante. Cada uma

    destas OU de decises deve sempre ser feita fazendo a pergunta: Que impacto sofrer

    minhas decises? Como a poltica do grupo ser executada em minha empresa? Fazendo

    sempre essas perguntas, podendo assim gerenciar melhor as diretivas e grupos, evitando

    erros futuros e facilitando o gerenciamento do administrador da rede.

    Computadores e Usurios so os nicos tipos de objetos do Active Directory que

    recebem a diretiva. Especificamente, a diretiva no se aplica a grupos de segurana. Em

    vez disso, por motivos de desempenho, os grupos de segurana so usados para filtrar a

    diretiva atravs de uma entrada de controle de acesso ACE (Access Control Entries)Aplicar

    Diretiva de Grupo, que pode ser definida como Permitir ou Negar, ou no ser configurada.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    43/61

    31

    Em se tratando de diretivas, necessrio saber se um usurio pode ter acesso a

    qualquer computador deste domnio. Um usurio pode logar em qualquer computador

    dentro de um domnio, porm, se este computador estiver utilizando uma diretiva de

    computador para autenticao, apenas usurios locais tm acesso a estes computadores.

    Contudo, a diretiva de computador sobrepe a diretiva de usurio.

    Na prxima seo, ser mostrado o compartilhamento de pastas por grupos, apenas

    usurios cadastrados no grupo, tero permisses de acesso s pastas compartilhadas pelo

    grupo.

    3.6 Pastas Comparti lhadas

    As pastas compartilhadas so usadas para listar os recursos compartilhados

    disponveis no computador. Em alguns casos, uma conexo uma impressora monitorada

    como uma conexo. Os recursos compartilhados podem ser uma pasta compartilhada, uma

    impressora compartilhada ou um recurso de tipo no reconhecido.

    Um recurso compartilhado fornece acesso para aplicativos, informaes ou dados

    pessoais de um usurio. O administrador pode conceder ou negar permisses para cada

    recurso compartilhado. Atravs de diversos mtodos a atribuio de permisses a grupos

    simplifica o gerenciamento dos recursos compartilhados, com isso o administrador pode

    adicionar ou remover usurios nos grupos sem precisar retribuir as permisses.

    Cada usurio poder ter uma pasta para armazenar seus arquivos, sendo essa pasta

    uma pasta privada, e dependendo, esta mesma ter uma cota. Pode ser criada uma ou vrias

    pastas compartilhadas, onde todos usurios deste domnio podero ter acesso de leitura,

    controle total ou alterao, conforme poltica adotada pelo administrador da rede, ou

    apenas usurios de determinado grupo podero ter acesso determinada pasta.

    Apresentamos nesse captulo a principal ferramenta do Windows Server 2003. A

    ligao do DNS ao domnio do AD, onde o DNS tem o mesmo nome do Domnio. As

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    44/61

    32

    camadas de estrutura lgicas, que maneira de como o AD apresentado aos usurios e

    administradores. A transformao de uma rede Workgroupspara uma rede Domnio, na

    qual o AD s reconhece uma rede domnio. A importncia da autenticao de usurios no

    domnio que, aumenta a segurana da rede.

    Na prxima seo ser mostrada a utilizao do protocolo LDAP no AD, os

    servios que o protocolo LDAP fornece ao AD, a interao entre o sistema operacional

    Windows Server 2003 e Linux, tendo assim um maior nmero de usurios e uma maior

    utilizao de softwares livres.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    45/61

    4 . UTILIZAO DO PROTOCOLO LDAP NO

    ACTIVE DIRECTORYComo est implcito em seu nome, o LDAP foi desenvolvido como um mtodo

    eficaz para o acesso a servios de diretrio sem a complexidade de outros protocolos de

    servios de diretrio. O LDAP define as operaes que podem ser executadas para

    consultar e modificar informaes em um diretrio e a forma como as informaes em um

    diretrio podem ser acessadas com segurana. Ele pode ser usado para localizar ou

    enumerar objetos de diretrio e para consultar ou administrar oActive Directory

    .

    Os clientes do Active Directory tm que se comunicar com computadores de

    domnio ao se conectarem rede e ao procurarem recursos compartilhados. O acesso a

    controladores de domnio e catlogos globais realizado com o protocolo de acesso a

    pastas (LDAP).

    O protocolo LDAP define a forma como um cliente de diretrio pode acessar um

    servidor de diretrio e a forma como o cliente pode executar as operaes de diretrio ecompartilhar dados de diretrio.

    4.1 Suporte do LDAP ao AD

    O LDAP um padro aberto da Internet, ao utiliz-lo, o Active Directorypermite a

    interoperabilidade com servios de diretrio de outros fornecedores. O suporte do Active

    Directory ao LDAP inclui um objeto de provedor LDAP como parte do recurso ADSI

    (Active DirectoryServiceInterfaces). O ADSI oferece suporte a interfaces de programao

    de aplicativos vinculadas linguagem C para LDAP. Outros aplicativos de servios de

    diretrio podem ser facilmente modificados para acessarem informaes no Active

    Directoryusando ADSI e LDAP.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    46/61

    34

    4.2Autenticando um usurio Linux no Windows

    Server 2003

    Segundo (Del, 2002) A autenticao LDAP baseada em suportar os sistemas

    operacionais mais recentes da Microsoft, incluindo o Windows Professional 2000 e o

    Windows XP, e suporta tambm o sistema operacional Linux e outros sistemas Unix. Em

    qualquer um dos sistemas operacionais citados, faz-se um logon utilizando o Active

    Directory, porm, pode haver algumas limitaes. Primeiramente, os clientes Microsoft

    nos Windows Professional 2000 e XP so especficos autenticao, tendo um acesso a

    todos recursos a ele permitido fornecido pelo administrador doActive Directory.

    O sistema operacional Linux implanta o servio de diretrio usando o LDAP, sendo

    conhecido como o OpenLDAP.Embora o OpenLDAPuse o mesmo protocolo de LDAP,

    h outras caractersticas do Active Directory que o OpenLDAPno possui. Em geral, os

    clientes do Active Directoryno necessariamente autenticam em uma mquina servidora

    utilizando o OpenLDAP. Mas, um cliente utilizando um sistema operacional Linux pode

    autenticar, configurar um domnio para que faa parte do grupo.

    Para (Henderson, 2004), o planejamento de integrar uma estao de trabalho Linux

    (usurio) a uma rede de Windows (servidor), um dos fatores que deveramos nos preocupar

    a autenticao e o encontro ao DNS (domain name server) do Windows. Isto , fazer com

    que uma mquina Linux (usurio), possa ser configurada no domnio do Active Directory

    (Windows Server).

    Qualquer Programa ou Sistema habilitado ao padro LDAP, ser capaz de acessar

    as informaes do AD, ou seja, com o uso deste padro possvel desenvolver sistemas

    integrado ao AD. Contudo, podemos concluir que, a utilizao do SO Linux (cliente) em

    um servidor Windows s se concretiza mediante os dois SOs trabalharem com o mesmo

    protocolo, o protocolo LDAP por padro.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    47/61

    35

    Neste captulo observamos o que o protocolo LDAP o principal protocolo para o

    AD e seus servios para o AD. A interao dos dois sistemas operacionais, mediante os

    dois SO trabalharem com o mesmo padro que o protocolo LDAP.

    No prximo captulo apresentamos como o AD possibilita implantar alguns servios

    atravs das operaes prticas na UFLA, como o labinst.ufla.bre o drca.ufla.br.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    48/61

    36

    5 APLICAES PRTICAS

    5.1 Objetivo

    Neste trabalho, centralizaremos a administrao da rede utilizando a principal

    ferramenta do Windows Server 2003, o Active Directory, para gerenciar todo os

    computadores deste domnio. Faremos uma comunicao entre diferentes sistemas

    operacionais utilizando Active Directory, em um servidor (Windows Server 2003) para

    usurios Linux.

    5.2 Descr io do problema

    Devido a grande dificuldade que se tem de trabalhar com a base de dados de

    usurios descentralizada e por reconhecer que indispensvel um melhor gerenciamento

    dos recursos da rede para os usurios, vislumbramos a soluo de administrar a rede por

    meio do AD.Ser feita uma instalao do SO Windows Server 2003 em um computador,

    sendo este computador um controlador de domnio (Active Directory), transformando

    assim uma rede de modelo Workgroupspara uma rede de modelo domnio.

    A implantao do AD ir permitir a interao entre os sistemas operacionais Linux

    e Windows, permitindo um nmero maior de usurios trabalharem no mesmo domnio,

    alm da maior disseminao de softwares livres.

    5.3 Instalao do AD

    Em um servidor, foi instalado o Sistema Operacional Windows Server 2003. Antes

    de colocar o servidor em rede, foi instalado o antivrus Norton Corporate (Symantec),

    como servidor para dar suporte a todas as mquinas ligadas a seu domnio.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    49/61

    37

    Foram feitas todas as atualizaes do sistema operacional pelo Windows update.

    Com o trmino das atualizaes, comeou-se a utilizar a gerenciamento de servio do

    Server 2003, onde se encontram vrias ferramentas de servidor do SO. Iniciou-se pelo

    DHCP, e para que o servidor tambm funcionasse como servidor de DHCP, foi feita a

    instalao de duas placas de rede, uma para WAN e outra como LAN, funcionando como

    roteador.

    Aps a configurao dos computadores do laboratrio para utilizao de IP

    automtico, empregando o mesmo servidor, foi feito um acesso remoto a um outro servidor

    do Campus da UFLA, um servidor de DNS, criando assim, um novo DNS, que por sua vezesse DNS ser o domnio, n raiz de uma nova rvore, indispensvel criao de DNS no

    servidor. Sem a instalao do DNS seria impossvel utilizar os servios do Active

    Directory. Na verdade oActive Directorynada mais que um controlador de domnio.

    Em seguida configuramos a principal ferramenta dos servidores, oActive Directory.

    Ao criarmos um domnio no AD, uma substituio ao Windows Workgroups, os

    computadores com os sistemas operacionais Windows 95, Windows 98 e Windows NTno podero mais se conectar ao AD do Windows Server 2003. Esses sistemas

    operacionais que reconhecem apenas rede s de modelo Workgroups, logo, para utilizar

    uma rede de modelo domnio, precisam aderir normas para acesso ao domnio.

    Esses sistemas operacionais mais antigos no do suporte a instalao de um

    domnio, como podemos ver na figura 5.1. A Microsoft no oferece nenhum software que

    o faa suport-lo; assim, simplesmente esses clientes no tero mais acesso. O Windows98 pode acrescentar essa funcionalidade por meio de pequeno software cliente (Active

    Directory Clientfor Windows 98), portanto precisamos acrescent-lo antes que qualquer

    sistema Windows 98 comunique-se com um domnio AD baseado no Server 2003.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    50/61

    38

    Figura 5-1 Compatibilidade de sistema operacional. (Fonte: instalao do AD no servidor)

    Conforme (Anderson et al, 2002) recomendvel minimizar o nmero de domnio

    ao mximo, se possvel apenas para um s domnio. Os domnios do Active Directory

    podem ser enormes, capazes de conter milhes de objetos, grandes o suficiente para a

    maior parte das empresas. A utilizao de mais de um domnio por servidor, sobrecarrega a

    memria e a CPU. Alm disso, ter muitos domnios por servidor significa ter muito trfego

    na LAN, j que eles se mantm atualizados quanto s alteraes no AD.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    51/61

    39

    Figura 5-2 Controlador de domnio. (Fonte : instalao do AD no servidor)

    No Laboratrio Institucional e no departamento DRCA foi criado somente um

    domnio por servidor, o n raiz, onde somente ele a raiz, conforme mostrado na figura

    5.2. Com apenas um domnio, ele chamado de rvore. A segunda opo desta figura 5.2,

    domnio filho de uma rvore existente, precisa de um domnio raiz existente, um DNS

    controlador de domnio, criando-se, assim, um filho para este domnio. A partir do

    momento que criado uma nova rvore e j existe um n raiz chamado ufla.br, cria-se um

    outro n chamado dcc.ufla.br. Esta rvore passa a ter uma relao de confiana, funciona

    como uma hierarquia, uma relao de pai para filho. Em nosso trabalho, foi criado apenas

    um domnio, conforme polticas adotadas pelo administrador da rede, mais vale lembrar

    que, podemos criar novos domnios, ou at mesmo uma floresta.

    Aps o trmino da instalao do Active Directory, utilizamos uma interface do AD

    para toda a administrao dos usurios e computadores.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    52/61

    40

    Ao cadastrar o usurio noActive Directory, a configurao da mquina cliente deve

    ser alterada do modelo Workgroupspara o modelo de rede domnio. No entanto, algumas

    empresas utilizam um SO modificado para automatizar a converso de Workgroupspara

    domnio.

    Aps a troca de Workgroupspara domnio, faz-se um logoffe ao fazer novamente

    um login, ter uma opo de domnio: mquina local ou domnio desejado, caso o

    administrador no tenha tirado a opo mquina local. Assim, o usurio entrar com sua

    senha e seu login, sendo que este usurio autenticado no domnio.

    Muitas empresas, que utilizam o AD, adotam polticas onde apenas administradores

    podem instalar programas. Entretanto, usurios podem instalar programas apenas os que

    esto em sua rea de trabalho, eles ficam em modo de espera, conforme necessidade do

    usurio instala ou no o programa.

    O AD reconhece apenas programas do tipo MSI (Microsft Sistem Installer), que

    uma extenso da Microsoft para instalaes de programas para usurios do domnio, ondemuitos programas fornecem uma instalao desses pacotes MSI. Porm, nem todos so

    fornecidos neste formato e devemos utilizar um software chamado Veritas que faz essa

    converso. Por exemplo, um programa lanking.exe, convertido para lanking.msi, sendo

    este programa lanking.msi reconhecido pelo AD. Neste programa cria-se um pacote de

    instalao que instala todos os programas solicitados pelo administrador do domnio.

    5.3.1 Exemplos de aplicao 1: DRCA

    A primeira aplicao prtica realizada foi no departamento do DRCA. Conforme a

    necessidade de compartilhamento e segurana no departamento DRCA, foi instalado o AD.

    Aps a instalao do AD foi feito a troca dos computadores (cliente) de modelo

    Workgroupspara um modelo de domnio. Entretanto, foi visto que, nem todos Sistemas

    Operacionais existentes no departamento no eram passveis de realizar a troca de

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    53/61

    41

    Workgroupspara domnio. Havia computadores utilizando o Sistema Operacional Win98 e

    outros utilizando WinXP. Segundo tcnicos da Microsoft, pode-se baixar no site

    www.microsoft.com, um programa para transformar uma rede Workgroupspara domnio,

    porm, a Microsoft forneceu esse servio at o dia 11/07/2006 sendo descontnuo aps esta

    data. Conforme poltica adotada pelos administradores do DRCA, s sero utilizado

    sistemas operacionais WinXP, no departamento DRCA.

    Aps todos os computadores (clientes) estarem configurado no domnio

    drca.ufla.br, foram criados novos usurios, como por exemplo, funcionrios do

    departamento DRCA, caracterizados por um login, como sobrenome e uma senha

    qualquer. Adota-se uma poltica, em que o usurio, ao logarpela primeira vez no domnio

    DRCA, deve criar uma nova senha com 8 dgitos e alfanumrica, com letras maisculas e

    minsculas, aumentando o nvel de segurana.

    No DRCA, foi criada uma pasta particular onde este usurio (cliente) ter uma

    quota para que possa armazenar dados, arquivos pessoais, mas somente ele ter acesso a

    esta pasta. J com a criao de uma outra pasta pblica, todos os usurios deste domnio,drca.ufla.br, podero armazenar dados e informaes que sejam teis a todos os usurios

    do grupo drca.ufla.br, facilitando a troca de informaes. Um backup desta pasta pblica

    realizado diariamente, segundo poltica adotada pelo DRCA.

    Notamos com a utilizao do AD no DRCA, aumentamos a segurana do

    departamento, onde para utilizar o sistema tem que ser cadastrado no domnio, alm da

    facilidade de compartilhamento entre os usurios do drca.ufla.br.

    Mostraremos agora uma outra implantao em que o AD possibilitou na instituio

    UFLA, que o Laboratrio Institucional.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    54/61

    42

    5.3.2 Exemplo de aplicao 2: Laboratrio Institucional

    A segunda aplicao foi no Laboratrio Institucional (labinst.ufla.br). Foi feita ainstalao do AD no Pavilho II, com cerca de 110 computadores e todos ligado no

    domnio labinst.ufla.br. Com a instalao do AD no labinst.ufla.br, adotamos polticas

    neste domnio para o uso dos alunos, onde cada aluno ter o seu logine sua senha para

    autenticao nos computadores. A instalao dos programas foi realizada usando-se

    pacotes MSI (Microsft Sistem Installer). A instalao desses pacotes MSI pode ser

    realizada apenas no logondo usurio na mquina, ou mesmo, ficar na rea de trabalho para

    o usurio, caso este usurio venha a precisar.

    Aps instalarmos o AD (Labinst.ufla.br), foi criado usurios, porm, no colocamos

    em prtica o cadastro de todos os alunos, colocamos uma senha e um login para cada

    computador, que ficam armazenadas no prprio computador. Entretanto, para o uso deste

    laboratrio necessrio apresentao de identificao para um funcionrio da UFLA no

    Laboratrio Institucional, no a melhor maneira, mas foi a poltica adotada. Para isso

    seria preciso cadastrar todos os alunos, um processo mais lento, porm, mais eficiente.

    Aps uma soluo temporria para a autenticao de alunos, ser a preparao de

    diretivas de grupo por computadores ou usurios, como as instalaes de programas para

    usurios do domnio labinst.ufla.br. Foram instalados programas que tinham pacotes

    prontos MSI e outros foram produzidos com o programa Veritas, transformando os

    softwares a serem instalados em MSI. Este pacote foi criado conforme necessidade do

    departamento e conforme a necessidade dos usurios deste domnio.

    Foram instalados softwares utilizando poltica de grupo, aps o usurio logarneste

    computador, aparecer o cone de instalao na barra de ferramentas, como se ficasse em

    espera, por exemplo, Word, Excel, Power Pointe caso o usurio necessite utiliz-lo, clica a

    primeira vez no programa, que ser instalado. Foi tambm instalado programas por diretiva

    de computador, sendo este computador desligado e ligado pela primeira vez aps a

    ativao no AD de instalao, este programa ser instalado automaticamente antes que o

    usurio venha a fazer logonneste computador.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    55/61

    43

    Aps a instalao de programas para os usurios, o sistema est pronto para ser

    administrado, permitindo acesso ou negando acesso ao usurio de seu computador ligado

    ao domnio. A poltica adotada pelo administrador em relao diretiva do grupo do

    labinst.ufla.br.

    Foram impressas todas as partes de diretivas de computador e de diretiva de

    usurio, totalizando mais de 100 pginas de diretivas. Podero ser adotadas polticas de

    usurio ou mesmo de computador. Se colocarmos uma poltica de computador, apenas

    usurios deste domnio podero logar, Por outro lado, se criarmos uma hierarquia de

    primeira ordem para computador, somente usurio o local ter acesso, um usurio globalno ter como logarneste computador. Todas as diretivas so analisadas para uma melhor

    administrao da rede, conforme necessidade do grupo de usurios.

    Ao utilizarmos o AD no Laboratrio Institucional, notamos um melhor

    gerenciamento dos usurios ao trabalhar com uma base de dados centralizada, maior

    facilidade na instalao de programas e um melhor gerenciamento dos recursos dos

    usurios, restringindo as permisses do usurio e permitindo apenas o essencial para umautilizao do sistema, conforme o perfil do usurio.

  • 7/24/2019 MONOGRAFIA Implanta%C3%A7%C3%A3o e Estudo de Um Sistema Utilizando o Active Directory

    56/61

    6 . CONCLUSO

    Cada dia que passa aumenta a necessidade de uma rede mais segura e um melhor

    gerenciamento para os usurios de uma rede. Entretanto, com o aumento no tamanho das

    redes e as constantes mudanas pelas quais as redes passam, os usurios passaram a

    necessitar de um servio que permitisse um acesso transparente aos recursos da rede. Com

    isso surge a necessidade de se trabalhar com uma base de dados centralizados, para um

    melhor gerenciamento de computadores e usurios.

    Neste trabalho, mostramos os principais benefcios do servio de modelo de rede

    domnio (Active Directory),permitindo um gerenciamento mais transparente das relaes

    entre os recursos de rede distribudos. Este um fator de grande importncia para as

    organizaes, proporcionando maior segurana, reduo de custos e melhorando a

    funcionalidade desejada. Dessa forma, o AD gera um n