Embed Size (px)
Citation preview
Pontifícia Universidade Católica do Paraná
Curso de Especialização em Redes e Segurança de Sistemas – 2008
Aluno:
Jorge Antonio Rolim Jr.
Matrícula: 10189049333-8
Descrição Resumida das Atividades:
– Levantamento da proposta e negociação junto ao cliente
– Levantamento do estudo de execução da proposta
– Elaboração da proposta do artigo – Estudo de Caso
– Execução das tarefas realizadas
– Elaboração da apresentação
– Apresentação
Curitiba, novembro de 2009
Unificação de Serviços de Rede da SEED (Secretaria de Estado da Educação do Paraná)
Jorge Antônio Rolim Jr, Reverson Luis de Melo Follador
Curso de Especialização em Redes e Segurança de Sistemas – 2008
Pontifícia Universidade Católica do Paraná
Curitiba, novembro de 2009
Resumo
O presente artigo, tem como foco ilustrar como foi possível que diversos setores da
Secretaria de Educação pudessem compartilhar dos mesmos recursos de redes em ambientes e infra-
estruturas diferentes, centralizando estes recursos. Atualmente a implantação desse estudo está
finalizada, a proposta é mostrar como o LDAP (Lightweight Directory Access Protocol) [1], ajudou
a unificar essas redes e centralizar a administração da rede como um todo.
1 Introdução
A Secretaria de Estado da Educação criou uma necessidade junto à Celepar – empresa esta
responsável pela administração de redes dos órgãos do Estado do Paraná – de fazer com que seus
diferentes setores da educação se comunicassem e compartilhassem seus recursos de informática. A
equipe técnica responsável da qual fazemos parte, elaborou e executou os procedimentos citados
neste artigo.
A organização administrativa da SEED funciona da seguinte forma:
Secretaria de Estado da Educação – SEED: prédio Sede, onde funcionam a maioria dos
serviços de Educação.
Conselho Estadual de Educação – CEE: responsável pelas diretrizes de educação do Estado.
Superintendência de Educação – SUDE: responsável pela infra-estrutura da educação.
Diretoria de Educação – DITEC: responsável pela capacitação dos professores
Tv Paulo Freire: tv da educação com sinal de satélite com conteúdo voltado para as escolas
estaduais do Paraná.
Todos os órgãos da Educação funcionam em prédios e ambientes totalmente diferentes com
localizações distantes um do outro. O desafio era de que todos estes se unificassem para criar um
domínio de redes único da Educação.
Neste projeto de execução de ambiente, foram instaladas e configuradas 5 (cinco) máquinas
virtuais que foram hospedadas no datacenter da CELEPAR e que respondem pelos serviços de rede
já definidos (Controlador de domínio, servidor de arquivos, impressão, proxy Internet [2], DNS [3],
WINS [4], DHCP [3] e serviços Web).
O novo domínio estabelecido, substituiu os antigos domínios “EDUCACAO (SUDE)” e
“SEEDCWB (SEED)” criados sob tecnologia proprietária, e “SEEDSL”, em tecnologia livre. Nas
máquinas virtuais que proveram a infra-estrutura comum de serviços à SEED, foi utilizado
software livre em todos os pontos necessários para funcionamento da estrutura, racionalizando
custos e possibilitando o crescimento escalar de toda a solução.
Os servidores de arquivo antigos, passaram por uma reestruturação de forma que, os
arquivos são agora armazenados de forma centralizada, usando uma das máquinas virtuais atuando
como servidor de arquivos comum às unidades da SEED.
Todos os serviços de rede que porventura necessitam realizar autenticação de usuários (ex.:
Samba [4], SSH, etc), hoje passam a utilizar a base de usuários LDAP do Expresso da SEED. O
Expresso Livre [5] é uma solução completa de comunicação que reúne Email, Agenda, Catálogo de
Endereços, Workflow e Mensagens Instantâneas em um único ambiente. Por ser uma versão
customizada do E-GroupWare, seu desenvolvimento também é totalmente baseado em software
livre. Sendo assim, o Expresso da SEED é o “mail” institucional da Secretaria.
As vantagens que se obteve com a aplicação do projeto foram:
– Racionalização de custos de manutenção do parque de servidores;
– Alta disponibilidade dos serviços providos aos usuários;
– Centralização da administração de dados e serviços, o que diminui custos, melhora a segurança
global dos serviços disponibilizados e diminui pontos críticos de falha;
– Estabelecer um mecanismo de autenticação de usuários centralizado e confiável;
– Centralização dos dados dos usuários da rede, o que permite a implementação de uma política
unificada de acesso a estes dados;
– Implementação de uma política para realização de cópias de segurança (backup) transparente
dos dados que serão armazenados no novo servidor, proporcionando maior comodidade,
segurança e capacidade de recuperação de dados e serviços de rede;
– Maior segurança no acesso remoto aos servidores, proporcionado pelos ajustes a serem
implementados no serviço de acesso remoto “SSH”, passa identificar e registrar o acesso dos
usuários, com base nos usuários do Expresso Livre;
– Integração das senhas para acesso a diversos serviços providos aos usuários da rede da SEED.
Os usuários passam a ter uma única senha para acesso a seus arquivos na rede, para utilização
do seu correio eletrônico no Expresso e para utilizar a Internet;
– Administração dos usuários feita de forma centralizada, mais prática e amigável através da
ferramenta “ExpressoAdmin”;
– O uso do Sistema Operacional GNU/Linux Debian nos servidores, proporcionou maior
segurança, robustez e sustentabilidade, e além disso, atende as diretivas voltadas à informática
pública do Estado para utilização de software livre;
– Maior segurança física e lógica para os dados do cliente que são armazenados no servidor, uma
vez que este está hospedado no datacenter da CELEPAR, um ambiente controlado e monitorado
em tempo integral.
2 Ambiente Antigo:
Anteriormente a essa implantação, cada órgão vinculado à Educação possuía ambientes de
rede descentralizados, cada qual com seu domínio, servidor de arquivos, autenticação de usuários,
backup, etc. A grande maioria dos serviços e sistemas rodados nos servidores eram proprietários e já
estavam ultrapassados tecnologicamente.
Com a implantação do LDAP, foi possível que a maior parte destes serviços fossem trocados
por soluções de software livre e permitiu que os ambientes fossem centralizados, um funcionário
alocado em determinado órgão vinculado à Educação pode acessar os recursos de rede sem estar no
seu ambiente de trabalho no qual está lotado. Anteriormente o usuário estava limitado ao ambiente
físico em que ele trabalhava, visto que é muito comum termos usuários que visitam com frequência
todos os ambientes da SEED e também da rotavidade dos usuários entre os órgãos da Secretaria,
nesse caso o usuário não tinha à sua disposição seus arquivos pessoais ou aos arquivos de interesse
do seu trabalho.
Anteriormente também os backups dos servidores de arquivos ou não eram feitos porque
não tinham infra-estrutura para tal ou eram feitos de forma precária, pois seu armazenamento não
era adequado.
Não se tinha uma base única de dados do usuários, portanto não se tinha um controle
adequado da quantidade de usuários. A troca de senha era feita pelo administrador de rede, hoje o
próprio usuário pode definir sua senha à qual ficou vinculada à sua conta no Expresso da Seed.
Não se tinha um controle ou um padrão para os nomes das máquinas e de onde elas eram,
com a implementação de um controle de inventário foi possível resolver estes problemas.
3 Ambiente Atual
A solução teve como objetivo transportar os serviços que eram executados localmente em
cada desdobramento da rede da SEED para dentro do datacenter da CELEPAR, formando uma
estrutura única, centralizada e altamente disponível que denominamos de “infra-estrutura comum de
serviços”. Para obter este nível de qualidade técnica do novo ambiente, este projeto fez uso de
máquinas virtuais em vez de máquinas físicas, configurações redundantes, e também, do storage do
cliente para armazenamento centralizado de dados, o que elevou a disponibilidade das informações
e simplificou consideravelmente a administração.
Para implementação adequada desta proposta, o projeto focou-se na criação de um domínio
(Samba) denominado “SEED”, no qual uma máquina atua como controlador de domínio, servidor
de resolução de nomes (WINS e DNS primário) e DHCP, realiza a autenticação dos usuários com
base no LDAP do Expresso Livre da SEED e, é responsável pelo gerenciamento da segurança
global de acesso a dados do domínio.
O processo de autenticação dos usuários que passa pela base no LDAP do Expresso da
SEED, tem todo o processo de criação de contas unificado com o sistema do portal “Dia-à-Dia
Educação”, utilizado amplamente pela SEED. A manutenção das contas dos usuários e grupos do
sistema, é feita pelos administradores locais através da ferramenta “ExpressoAdmin”, uma interface
web criada para esta finalidade, acessível através do Expresso Livre. Neste domínio, cada usuário
possui um script de logon próprio, que é gerado automaticamente por meio de outro script, no caso
do último, gerenciado diretamente pelos administradores das redes locais da SEED.
No domínio da SEED, é configurado um servidor de arquivos comum a todas as divisões do
cliente envolvidos neste projeto. O servidor centraliza os dados do cliente e possui acesso
controlado, tanto no nível dos usuários como no de administração. Nesta máquina também é
implementado o serviço de cotas, que permite controlar a quantidade de espaço utilizada pelos
usuários e grupos do domínio. Todos arquivos institucionais da SEED, que antes eram armazenados
nos servidores nas redes locais de cada divisão, agora são armazenados neste servidor.
As devidas permissões para acesso aos arquivos deste servidor, foram estabelecidas durante
o processo de migração dos dados para o novo domínio, visando a adequação da segurança de
acesso aos dados. Também foi necessária, a reconfiguração dos computadores da rede das unidades
da SEED, para que pudessem acessar os dados no novo servidor de arquivos, além da recriação dos
perfis locais (diretórios que contém as configurações privadas de cada usuário) dos usuários, nas
máquinas que executam os Sistemas Operacionais GNU/Linux e Microsoft Windows
2000/2003/XP/Vista.
Para controlar o acesso dos usuários a Internet nas unidades do cliente, foi disponibilizado
dois servidores virtuais, que fazem o papel de proxy das redes além de DNS secundários, que as
estações utilizam para resolução de nomes Internet. O acesso aos servidores proxy é balanceado
através da implementação de uma técnica denominada “Round Robin [6]”, onde cada consulta ao
serviço DNS é resolvida devolvendo-se um endereço IP diferente de servidor. Além disso, há um
dispositivo de controle que possibilita que estes servidores sejam monitorados de forma que em
caso de indisponibilidade de um, o outro passe a atender as requisições dos usuários, até que o
primeiro volte a execução normal de suas atividades.
Para finalizar a infra-estrutura comum de serviços, foi feita uma configuração de um
servidor web para abrigar nesse primeiro momento o serviço OCS Inventory [7]. Este serviço é
utilizado para realizar o inventário de hardware e software de todos os ambientes da SEED, mesmo
aqueles que ainda não usufruam diretamente desta camada de serviços. Caso seja necessário
porventura a agregação de outras aplicações web de pequeno porte, estas poderão ser
disponibilizadas neste servidor no futuro.
Pensando na segurança com relação aos dados da SEED, foi implementado o software de
backup TSM [8] nas máquinas virtuais utilizadas no projeto, para que a cópia de segurança
(backup) dos dados dos usuários e arquivos de configuração contidos nestas máquinas, fiquem
armazenados de forma segura e possam ser recuperados de modo mais rápido e prático.
A seguir, descreveremos os recursos que foram utilizados no que diz respeito as
características técnicas das máquinas virtuais e as funções que cada uma desempenha, bem como o
espaço em storage alocada para cada uma delas:
Máquina Virtual 01 (Controlador de domínio, servidor DNS primário, WINS e DHCP) :
• Um processador padrão VM (Intel Xeon 2.66 Ghz);
• 1 Gb de memória RAM;
• 5 Gb de espaço para a partição de sistema (partição raiz “/”);
• Uma interface de rede padrão VM;
• Sistema Operacional GNU/Linux Debian (versão 5.0, codinome “lenny”).
Máquina Virtual 02 (Servidor de arquivos) :
• Um processador padrão VM (Intel Xeon 2.66 Ghz);
• 2 Gb de memória RAM;
• 5 Gb de espaço para a partição de sistema (partição raiz “/”);
• 830 Gb de espaço para armazenamento de dados (storage da SEED);
• Uma interface de rede padrão VM;
• Sistema Operacional GNU/Linux Debian (versão 5.0, codinome “lenny”).
Máquina Virtual 03 (Proxy e DNS secundário) :
• Um processador padrão VM (Intel Xeon 2.66 Ghz);
• 1 Gb de memória RAM;
• 5 Gb de espaço para a partição de sistema (partição raiz “/”);
• 50 Gb de espaço para armazenamento de dados (storage da SEED);
• Uma interface de rede padrão VM;
• Sistema Operacional GNU/Linux Debian (versão 5.0, codinome “lenny”).
Máquina Virtual 04 (Proxy e DNS secundário) :
• Um processador padrão VM (Intel Xeon 2.66 Ghz);
• 1 Gb de memória RAM;
• 5 Gb de espaço para a partição de sistema (partição raiz “/”);
• 50 Gb de espaço para armazenamento de dados (storage da SEED);
• Uma interface de rede padrão VM;
• Sistema Operacional GNU/Linux Debian (versão 5.0, codinome “lenny”).
Máquina Virtual 05 (OCS Inventory) :
• Um processador padrão VM (Intel Xeon 2.66 Ghz);
• 1 Gb de memória RAM;
• 5 Gb de espaço para a partição de sistema (partição raiz “/”);
• 30 Gb de espaço para armazenamento de dados (storage da SEED);
• Uma interface de rede padrão VM;
• Sistema Operacional GNU/Linux Debian (versão 5.0, codinome “lenny”).
Como recomendação à SEED, sugerimos a contratação de links de rede redundantes nas
unidades que estão englobadas neste projeto. Estas novas conexões poderiam ser de menor
velocidade que as já instaladas atualmente, e seriam utilizadas, para resolver o único ponto de falha
crítico existente na solução implementada, que surge quando ocorrem problemas na comunicação
entre uma unidade e a CELEPAR, fazendo com que todos os serviços de rede fiquem indisponíveis
até que o problema seja corrigido.
4 Descrição das Tarefas Executadas
Atividades Responsável
Definição do projeto Técnicos Administradores dos Ambientes, Analistas da Celepar,
Cliente
Ajustar contas do Expresso para criação do domínio Analistas e Técnicos
Avisar os usuários da rede da SEED sobre os eventos relacionados a migração dos servidores (parada, trocas de senhas no Expresso, etc)
Técnicos do Ambiente
Requisitar a disponibilização das máquinas virtuais Analistas Celepar
Configurar o Sistema Operacional dos servidores Analistas, Técnicos
Instalar/Configurar serviços de rede Analistas, Técnicos
Criar estrutura de pastas para armazenamento dos dados de usuários e grupos Técnicos
Configurar permissões nos dados de usuários e grupos do sistema Técnicos
Configurar as máquinas no novo domínio Técnicos
Migrar os perfis locais dos usuários para o novo domínio Técnicos
Prestar suporte pós-migração Técnicos
Instalar software para realização de backup (TSM) no servidor Analistas Celepar
Solicitar implementação de política de backup para o servidor junto a CELEPAR/DIOPE
Analistas Celepar
Validação do processo de migração Técnicos/Analistas
5 Tempo de Execução das Tarefas
Foi estimado um tempo de execução das tarefas aproximado de 3 meses, porém com alguns
problemas que ocorreram no transcorrer da execução, fez-se necessário que o prazo fosse estendido.
Hoje com o projeto finalizado, a execução de todo o processo demandou 6 meses, o dobro do
previsto inicialmente.
6 Procedimento de Migração do Domínio
Inicialmente, foi solicitado a liberação da ferramenta “ExpressoAdmin” aos respectivos
administradores, para que fosse possível organizar e preparar (criar contas, criar grupos, associar
usuários aos grupos, etc) o novo ambiente. Esta ferramenta foi liberada aos Técnicos
Administradores dos Ambientes, que estão envolvidos neste projeto. O acesso ao ExpressoAdmin é
necessário para que este grupo de pessoas possa realizar todas as tarefas relacionadas a
administração de contas de usuários/grupos do novo domínio.
Todas as contas de usuários que necessitem porventura serem criadas, deverão seguir um
ritual obrigatório:
1) O usuário criará uma conta no LDAP da SEED através do seu cadastro no portal
“Dia-à-Dia Educação”;
2) Caso o portal “Dia-à-Dia Educação” não permita que a conta de usuário seja criada,
então os administradores locais deverão criar a conta em questão através do
ExpressoAdmin, sempre observando o padrão para o nome de exibição da conta que
deverá ter a primeira letra do nome e sobrenomes em maiúsculas e todas as demais
minusculas sem o uso de acentuação, exemplo: Paulo Cesar de Oliveira;
3) Conferir os dados dos usuários que sejam criados através do portal “Dia-à-Dia
Educação” para assegurar que estejam corretos;
4) A conta será associada aos grupos a que o usuário deva fazer parte;
5) Os atributos SAMBA da conta deverão ser ativados;
6) O usuário trocará sua senha sempre que necessário, através do portal “Dia-à-Dia
Educação [9]” ou através do “Expresso Livre”.
A equipe do projeto possui uma conta (smb-seed-admin) no LDAP da SEED com alguns
atributos especiais, que permitem que o SAMBA realize algumas atividades sobre a base LDAP.
Esta conta especial, também conhecida como “conta de bind”, é necessária para o funcionamento do
servidor SAMBA, na função de controlador de domínio.
Além da conta de bind, também existe contas de grupos especiais que permitem o acesso
dos usuários a Internet (grupo-seed-internet) através da validação feita pelo serviço de proxy, para
acesso SSH aos servidores (grupo-seed-suportessh) necessário para acesso dos administradores
locais às máquinas e o grupo de usuários do SUDO (grupo-seed-suportesudo) que permite aos
administradores executar tarefas especificas dentro dos servidores.
O passo seguinte no procedimento de migração do domínio, foi a realização da instalação e
configuração dos serviços de rede que foram disponibilizados em cada uma das máquinas virtuais.
Os procedimentos de instalação para os serviços que estão sendo executados sob os servidores
(SAMBA, DHCP, DNS, WINS, PROXY e OCS Inventory), estão disponíveis no item “7
Procedimentos de Instalação dos Serviços de Rede” deste documento.
Os serviços DNS e Proxy foram implementados de forma a garantir a redundância destes
sistemas. Há um dispositivo de monitoramento baseado num script, que é implementado nos
servidores que disponibilizam estes serviços, pela equipe responsável pelo projeto, e que permite,
que as requisições dos usuários sejam redirecionadas para a máquina que se encontrar ativa no caso
de falha em uma das máquinas.
Nesta etapa, foi dado o início ao processo de estruturação dos diretórios que armazenam os
dados dos usuários e dos setores de cada divisão. A equipe responsável pela execução do projeto,
providenciou a árvore de diretórios conforme a necessidade de cada unidade do cliente, sempre
respeitando os espaços destinados a cada uma das divisões da SEED através do esquema de
particionamento. Coube à equipe responsável pela execução do projeto, a criação de meios para
controlar as cópias dos dados dos antigos repositórios para o novo servidor, evitando todos os
problemas já conhecidos relacionados a migração de dados.
Uma observação importante também, a ser feita neste ponto, é a de que os dados foram
copiados para o novo servidor de arquivos, utilizando-se do serviço SAMBA em vez de outros
mecanismos como o SSH (scp), isto evitou problemas com a nomenclatura dos arquivos com
acentos e caracteres especiais. Tomou-se o cuidado de verificar se as configurações de localidade
(locales) de origem e destino dos dados eram as mesmas.
No servidor de arquivos que está disponível na infra-estrutura comum de serviços, foi
implementado pelos administradores locais, o sistema de cotas, tanto para usuários como para
grupos do sistema. Este serviço permite um acompanhamento mais efetivo do espaço utilizado para
armazenamento de dados de cada setor ou individuo de cada uma das divisões da SEED.
Paralelamente à execução das atividades citadas até aqui, também foi feita outras tarefas a
saber como: o ajuste nas permissões de acesso aos dados, a configuração das máquinas para que
pudessem acessar os dados no novo domínio, a reconfiguração dos perfis locais dos usuários nas
máquinas que executam GNU/Linux ou Windows 2000/2003/XP/Vista e a configuração do agente
OCS Inventory nas estações de trabalho apontando para o servidor central “ocs.educacao.parana”.
Ainda com relação ao agente OCS, é válido lembrar que máquinas que executem o MS Windows,
devem ter o agente instalado e configurado automaticamente quando qualquer usuário efetuar seu
logon no novo domínio, estações com o GNU/Linux, demandam a instalação e configuração
manual do software através do uso do pacote GNU/Debian “ocs-parana”.
É importante salientar que as atividades de suporte pós-migração deverão ser executadas
pelos administradores de rede alocados nas unidades, com intuito de solucionar os problemas
oriundos do trabalho de migração das estações e no sentido de explicar o novo sistema de
autenticação adotado pelo órgão, já que agora, todo usuário que utilizar as máquinas da rede,
passará a usar suas credenciais do Expresso Livre.
No momento em que os usuários começaram a fazer uso do novo domínio, os servidores que
fazem parte da infra-estrutura comum de serviços, foi feita a implementação de uma rotina de
backup, em cada servidor, para proteger os dados do cliente, e também, para preservar as
configurações de cada máquina. Para isto, foi preciso fazer a instalação/configuração do software de
backup “TSM” em cada uma das máquinas virtuais que foram disponibilizadas para o projeto.
As senhas que foram utilizadas na máquina para os serviços locais, como a do superusuário
(root) por exemplo, foram definidas pelo cliente. O técnico responsável pela execução do projeto,
ficou responsável por executar o procedimento de mudança de senha conforme a definição do
cliente.
É válido lembrar também, que cada atividade deste projeto que porventura sofreu a parada
de um determinado serviço, foi previamente negociada com antecedência com a equipe de
informática do cliente em cada uma de suas unidades, para que esta equipe pudesse tomar todas as
providências cabíveis no intuito de amenizar o impacto destas situações em seu ambiente.
7 Procedimentos de Instalação dos Serviços de Rede
Após a configuração básica do Sistema Operacional dos servidores, foi necessário configurar os serviços de rede que devem ser executados em cada uma das máquinas. Para melhor entendimento do processo, separamos a seguir, os procedimentos de instalação de cada um destes serviços.
Procedimentos de Instalação Para Acesso a Base LDAP
– Instalação e configuração do acesso ao servidor LDAP:
A instalação do pacote “cliente-ldap-servidor”, é o primeiro procedimento que deverá ser
executado em todos os sistemas.
1 – Executar o APT para obter e instalar o pacote:
# apt-get install cliente-ldap-servidor
2 – O script de configuração, irá fazer alguns questionamentos, que deverão ser
respondidos conforme a tabela abaixo:
PERGUNTA RESPOSTA
Identificador Uniforme de Recursos do servidor LDAP
ldaps://ldap.seed.parana
Nome distinto da base de pesquisa ou=corporativo,ou=seed,dc=pr,dc=gov,dc
=br
Versão do LDAP a usar 3
Tornar a conta root local o administrador da base de dados
Não
A base de dados LDAP requer autenticação Não
Conta LDAP para o root cn=admin,dc=pr,dc=gov,dc=br
Password da conta root do LDAP <Deixar em branco>
Digite o nome dos grupos com direito ao acesso SSH neste servidor
grupo-seed-suportessh
Digite o nome dos grupos com direito a acesso sudo neste servidor
grupo-seed-suportesudo
3 – Verifique se o arquivo de configuração “/etc/libnss-ldap.conf”, está configurado
conforme o quadro abaixo:
base ou=corporativo,ou=seed,dc=pr,dc=gov,dc=br
uri ldaps://ldap.seed.parana
ldap_version 3
4 – Verifique se o arquivo de configuração “/etc/pam_ldap.conf”, está configurado
conforme o quadro abaixo:
base ou=corporativo,ou=seed,dc=pr,dc=gov,dc=br
uri ldaps://ldap.seed.parana
ldap_version 3
pam_password crypt
5 – Executar o comando de reinicialização do sistema de cache:
# /etc/init.d/nscd restart
Os serviços “SSH” e o “SUDO”, serão instalados juntamente com o pacote “cliente-ldap-
servidor”, não sendo necessário sua instalação a parte.
Procedimentos de Instalação dos Serviços de Rede
– Instalação do “SAMBA”:
O SAMBA deverá ser instalado nos servidores “sseed00027” e “sseed00028”.
1 – Executar o APT para obter e instalar o pacote:
# apt-get install samba-parana
2 – O script de configuração, irá fazer alguns questionamentos, que deverão ser
respondidos conforme a tabela abaixo, para cada um dos servidores de maneira distinta:
Servidor “sseed00027”
PERGUNTA RESPOSTA
Digite o nome do grupo de trabalho SEED
Nome netbios sseed00027
Conta bind do LDAP smb-seed-admin
OU do LDAP seed
O servidor é Domain Master Sim
Drive do Grupo g:
Drive do Usuário u:
Servidor de Logon sseed00027
Servidor “sseed00028”
PERGUNTA RESPOSTA
Digite o nome do grupo de trabalho SEED
Nome netbios sseed00028
Conta bind do LDAP smb-seed-admin
OU do LDAP seed
O servidor é Domain Master Nao
Drive do Grupo g:
Drive do Usuário u:
Servidor de Logon sseed00027
3 – Depois de configurar o arquivo “/etc/samba/smb.conf” de ambas as máquinas, será
necessário ajustar a senha da conta de bind (smb-seed-admin) entre os serviços SAMBA e
LDAP, após o término da configuração do SAMBA e sua reinicialização. Para isso,
execute o seguinte comando, informando a senha desse usuário:
# smbpasswd -w “senha fornecida pela DISER”
4 – Ajustar o SID do domínio em ambos os servidores:
# net setlocalsid S-1-5-21-3508782238-555914363-833147497
5 – Na console do servidor “sseed00027”, realizar o mapeamento entre o grupo “smb-
seed-administrators” e o grupo especial do NT “Domain Admins”:
# net groupmap delete ntgroup=”Domain Admins”
# net groupmap add rid=512 unixgroup=smb-seed-administrators ntgroup=”Domain
Admins” type=d
6 – Colocar o servidor de arquivos no domínio. Para isso, será necessário criar uma conta
de máquina no LDAP para o servidor em questão (“sseed00028”) e executar o comando
abaixo com uma conta de usuário que faça para do grupo “smb-seed-administrators”:
# net rpc join MEMBER -U “conta_domain_admin%senha_da_conta”
– Instalação do “DDNS” (Zona Primária DNS):
Procedimentos a serem executados no servidor “sseed00027”
1 – Executar o APT para obter e instalar o pacote:
# apt-get install ddns-parana
2 – O script de configuração, irá fazer alguns questionamentos, que deverão ser
respondidos conforme a tabela abaixo:
PERGUNTA RESPOSTA
Nome do domínio local: educacao.parana
Endereço IP do servidor DNS: 10.74.54.5
Endereço IP do servidor DNS Primário: 10.15.61.248
Endereço IP do servidor DNS Secundário: 10.15.61.246
Endereço Reverso do servidor local: 54.74.10
Endereço IP da subnet: 10.74.54.0
Máscara da subnet a ser utilizada no DHCP: 255.255.255.0
Informe o endereço de início da faixa de restrição: 10.74.54.15
Informe o endereço de fim da faixa de restrição: 10.74.54.254
Endereço IP do gateway: 10.74.54.1
IP do servidor WINS: 10.74.54.5
Endereço IP de distribuição (broadcast): 10.74.54.255
3 – Criar os arquivos das zonas reversas e ajustar as permissões necessárias:
# touch /etc/bind/db.60.74.10.in-addr.arpa
# touch /etc/bind/db.53.74.10.in-addr.arpa
# touch /etc/bind/db.50.74.10.in-addr.arpa
# touch /etc/bind/db.0.45.10.in-addr.arpa
# touch /etc/bind/db.0.74.10.in-addr.arpa
# chown root.bind /etc/bind/db.*
# chmod 770 /etc/bind/db.*
4 – Configurar os arquivos relativos ao serviço de DNS (“/etc/bind/named.conf”,
“/etc/bind/db.educacao.parana”, etc) e o referente ao serviço DHCP (“/etc/dhcp3-
server/dhcpd.conf”).
5 – Reinicializar a máquina virtual.
– Instalação do “DNS” (Zonas Secundárias DNS):
Os procedimentos descritos a seguir, deverão ser executados nos servidores “sseed00029”
e “seed00004”.
1 – Realizar a instalação do BIND:
# apt-get install bind9 dnsutils
2 – Criar os arquivos das zonas reversas e ajustar as permissões necessárias:
# touch /etc/bind/db.educacao.parana
# touch /etc/bind/db.54.74.10.in-addr.arpa
# touch /etc/bind/db.60.74.10.in-addr.arpa
# touch /etc/bind/db.53.74.10.in-addr.arpa
# touch /etc/bind/db.50.74.10.in-addr.arpa
# touch /etc/bind/db.0.45.10.in-addr.arpa
# touch /etc/bind/db.0.74.10.in-addr.arpa
# chown root.bind /etc/bind/db.*
# chmod 770 /etc/bind/db.*
# chown bind.bind /etc/bind
3 – Configurar os arquivos relativos ao serviço de DNS (“/etc/bind/named.conf”,
“/etc/bind/db.educacao.parana”, etc), para cada um dos servidores em questão.
5 – Reinicializar o serviço DNS:
# /etc/init.d/bind9 restart
– Instalação do “Squid”:
Os procedimentos descritos a seguir, deverão ser executados nos servidores “sseed00029” e
“seed00004”.
1 – Executar o APT para obter e instalar o pacote:
# apt-get install proxy-parana
2 – O script de configuração, irá fazer alguns questionamentos, que deverão ser
respondidos conforme a tabela a seguir:
PERGUNTA RESPOSTA
Órgão ao qual pertence o servidor SEED
Escolha o sistema de autenticação Expresso
Memória cache 784
Endereço da rede 10.74.0.0/255.255.252.0
Nome do usuário admin
Senha AdminProxy@
3 – Configurar os arquivos relativos ao serviço de Proxy (“/etc/squid/squid.conf”), para
cada um dos servidores em questão.
– Instalação do sistema de cotas “QUOTA”:
O procedimento abaixo deverá ser executado somente no servidor “sseed00028”.
1 – Executar o APT para obter e instalar o pacote:
# apt-get install quota
2 – Editar o arquivo “/etc/fstab” e deixá-lo conforme o quadro abaixo:
# /etc/fstab: static file system information.
#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
/dev/sda2 / xfs defaults 0 1
/dev/sda1 /boot ext3 defaults 0 2
/dev/sda3 none swap sw 0 0
/dev/sdb5 /home xfs defaults,usrquota 0 2
/dev/sdc5 /dados/sude00 xfs defaults,grpquota 0 2
/dev/sdd5 /dados/ditec00 xfs defaults,grpquota 0 2
/dev/sdd6 /dados/tvpf00 xfs defaults,grpquota 0 2
/dev/sde5 /dados/sede00 xfs defaults,grpquota 0 2
/dev/hda /media/cdrom0 udf,iso9660 user,noauto 0 0
/dev/fd0 /media/floppy0 auto rw,user,noauto 0 0
3 – Remontar os dispositivos de armazenamento:
# mount -o remount /dev/sdb5
# mount -o remount /dev/sdc5
# mount -o remount /dev/sdd5
# mount -o remount /dev/sdd6
# mount -o remount /dev/sde5
– Instalação do “DHCP”:
O serviço DHCP, não necessita de nenhuma configuração, pois é configurado juntamente
com o serviço DDNS.
– Instalação do “WINS”:
O serviço WINS, não necessita de nenhuma configuração, pois é configurado juntamente
com o serviço Samba (parâmetro “wins support = yes”, da seção “global”).
– Instalação do “SSH”:
O serviço SSH, não necessita de nenhuma configuração adicional, pois é configurado
juntamente com o pacote “cliente-ldap-servidor”.
– Instalação do “SUDO”:
O serviço SUDO, não necessita de nenhuma configuração adicional, pois é configurado juntamente
com o pacote “cliente-ldap-servidor”.
8 Conclusão
Este artigo teve como principal objetivo mostrar como a integração de diversas ferramentas
e soluções foram capazes de resolver o problema da Unificação e Centralização da Rede de
Administrativa de Dados da Secretaria de Educação do Estado do Paraná. Este objetivo foi atingido
graças aos estudos que foram feitos paralelamente ao curso de especialização e com isso foi
possível encontrar a melhor solução para determinada dificuldade que nos foi apresentada.
Como aspectos positivos do artigo, podemos citar o comprometimento da equipe envolvida
em busca do resultado, pois como os ambientes eram grandes e complexos as dificuldades também
eram, tanto que o prazo previsto inicialmente foi extrapolado em dobro, mas ao final foi alcançado
o objetivo. Também podemos citar o ganho de conhecimento com o projeto, pois o curso de
especialização auxiliou-nos a encontrar e estudar as melhores soluções para sanarmos os problemas.
Os aspectos negativos, podemos citar a resistência dos usuários às mudanças que foram
feitas, mesmo sendo uma mudança quase que transparente para o usuário, visto que era apenas
necessário que ele alterasse a senha do login, nem sempre os usuários vêem com bons olhos e daí
tem-se a resistência.
Ainda deve-se levar em conta a possibilidade de melhorias no ambiente, o trabalho não
cessa e deve-se procurar automatizar processos e gerar o mínimo de impacto para o usuário. O
volume de dados gerados pela Secretaria cresce constantemente, e por isso é preciso elaborar um
plano de expansão do espaço em disco do storage. Também futuramente deve-se levar em
consideração a proposta de um link de fibra redundante como foi proposto inicialmente, visto que
este é um ponto falho no projeto, pois se o link que existe hoje ficar indisponível, consequentemente
os usuários sofrerão com a indisponibilidade da rede de dados.
9 Referências
[1] OPENLDAP.ORG, Community Developed LDAP Software. Disponível em:
<http://www.openldap.org/> Acesso em: novembro/2009.
[2] SQUID-CACHE.ORG, Optimising Web Delivery. Disponível em: <http://www.squid-
cache.org/> Acesso em: novembro/2009.
[3] BIND9.NET, DNS, BIND, DHCP, LDAP and Directory Services <http://www.bind9.net/>
Acesso em: novembro/2009.
[4] SAMBA.ORG, Opening Windows to a Wider World <http://www.samba.org/> Acesso em:
novembro/2009.
[5] EXPRESSO LIVRE, Powered by E-GroupWare <http://www.expressolivre.org/> Acesso em:
novembro/2009.
[6] Stallings, William (2004). Operating Systems Internals and Design Principles (fifth
international edition). Prentice Hall.
[7] OCSINVENTORY-NG.ORG, OCS Inventory Team <http://www.ocsinventory-ng.org/>
Acesso em: novembro/2009.
[8] STORE-MGR, Tivoli Storage Manager, Storage management software that automates data
backup and restore functions <http://www-01.ibm.com/software/tivoli/products/storage-mgr/>
Acesso em: novembro/2009.
[9] DIAADIAEDUCACAO.PR.GOV.BR, Portal Educacional do Estado do Paraná
<http://www.diaadiaeducacao.pr.gov.br/> Acesso em: novembro/2009.
