Embed Size (px)
Citation preview
www.ufmg.br/dti
Centro de Computação - CECOM
Divisão de Infraestrutura de Serviços - DIS
05/05/2017
AD Corporativo - Samba
2
AD Corporativo - Samba
• Infraestrutura Física
• Infraestrutura Lógica
• Migração para Novell
• Inclusão de Órgãos Administrativos
• Provisionamento de Usuários
• Inclusão de Unidades Acadêmicas
• Problemas conhecidos
• Perguntas
3
Infraestrutura Física
• Controladores de Domínio• Máquinas virtuais executando CentOS 7 e Samba
4 (empacotamento Sernet Samba Plus)
• Sites Atuais• DFSN – Controlador FSMO• ICEX – 2 Controladores RW• REITORIA – 2 Controladores RW
• Novos Sites• Controladores serão distribuídos geograficamente
pelos Campi• Controladores do tipo RODC
4
Infraestrutura Física
• Servidores para serviços auxiliares• Servidores descentralizados (responsabilidade de
gestão do administrador local)
• Exemplos:• Servidores de Arquivos
• Servidores de Impressão
• Servidores de Correio
• Servidores de Banco de dados
5
Infraestrutura Lógica
• Unidades Organizacionais• Sub-árvore Administrativa (ADM)• Sub-árvore Acadêmica (ACAD)• Cada órgão/unidade/departamento receberá OU
própria• Computadores ingressados são distribuídos entre
as OUs• Objetos de Política de Grupos (GPOs) por OU• Usuários provisionados pertecem ao Container
CN=Users• Possibilidade de “Usuários Locais” diretamente nas
OUs
6
Infraestrutura Lógica
• Unidades Organizacionais• Controle de acesso baseado em grupos por OU
• Usuários só terão acesso de visualização em OUsem que estejam associados a grupos
• Papéis (delegação) para gerência própria de OUs• Administração de Computadores (criação/movimentação)
• Administração de Grupos
• Administração de Impressoras
• Administração de Políticas
• Administração de Usuários
• Ingresso de computadores
7
Infraestrutura Lógica
• Padronização de nomes• Equipamentos
• Nomes únicos com 15 dígitos = <N1> + <N2> + <Tipo> + <ID Livre>
• N1 + N2 = 6 Dígitos – Órgão/Divisão | Unidade/Departamento
• Tipo = 1 Dígito – Tipo do Equipamento – Desktop, Notebook, Virtual, Impressora, 0-9 (Virtual por NAT) ...
• ID Livre = 8 Dígitos – Patrimônio | IPv4 e IPv6 (2 últimos blocos com complementação de 0 a esquerda) ...
8
Infraestrutura Lógica
• Padronização de nomes• Usuários
• Formato adotado para evitar colisão com processo de provisionamento automático
• <Árvore>-<Tipo>-<Login>
• Árvore = Iniciando em uma das sub-árvores até a OU final – Ex.: adm-cecom
• Tipo = Identificador de tipo de usuário – Ex.: conv(convidado), cv (cruz vermelha), tmp (temporário)
• Exemplo: adm-cecom-cv-thiago
9
Infraestrutura Lógica
• Padronização de nomes• Grupos
• Formato adotado para evitar colisão com processo de provisionamento automático
• <Árvore>_<Papel>_<Extra>
• Árvore = Iniciando em uma das sub-árvores até a OU final – Ex.: adm_cecom
• Papel = Identificador de papel de grupo – Ex.: acesso (grupo para controle de acesso), adm (grupo para administração)
10
Infraestrutura Lógica
• Padronização de nomes• Grupos
• acesso = Grupo de acesso para uso geral (sem delegação)• adm = Grupo de leitura (sem delegação) de todos os objetos
da OU (Contém os outros grupos administrativos com delegação)
• admarq = Gerência de arquivos (sem delegação – para usoem servidores de arquivos)
• admcom = Gerência de computadores• admgru = Gerência de grupos• admimp = Gerência de impressoras• admlocal = Privilégios de administrador em estações da OU
(sem delegação)• admpol = Gerência de políticas• admusu = Gerência de usuários• ingcom = Ingressar computadores
11
Infraestrutura Lógica
• Padronização de nomes• Grupos
• adm_cecom_acesso• adm_cecom_acesso_cecom• adm_cecom_acesso_cecom_adm• adm_cecom_acesso_cecom_dis• adm_cecom_acesso_cecom_drc• adm_cecom_adm• adm_cecom_admarq• adm_cecom_admcom• adm_cecom_admgru• adm_cecom_admimp• adm_cecom_admlocal• adm_cecom_admpol• adm_cecom_admusu• adm_cecom_ingcom
12
Migração para Novell
• Processo concluído
• Iniciado em Janeiro de 2016
• Finalizado em Março de 2017
• Mais de 50 órgãos administrativos migrados
• Mais de 1300 computadores ingressados
• Servidor de arquivos único gerenciado pela DIS/CECOM
• Servidor de arquivos utilizando software FreeNAS 9.10
• Aproximadamente 3 TB de dados
• Scripts de mapeamentos de unidades de rede através de execução de programas nas GPOs
13
Inclusão de Órgãos Administrativos
• Órgãos que não utilizavam Novell• DIARQ – Já incluído
• CAED – Em processo de inclusão
• GIZ – Em planejamento (problemas com MAC)
• Centro de Microscopia – Em planejamento
14
Provisionamento de Usuários
• Agente Java
• Busca informações de usuários na Base Gerus(Oracle)
• Adiciona/Modifica usuários no AD Samba via utilitários LDB
• Fase de testes
• Conclusão prevista para o próximo mês
• Usuários provisionados do Gerus sãoadicionados no container CN=Users
15
Provisionamento de Usuários
• Após a conclusão do agente, o mesmo seráexpandido para provisionar grupos
• Após a conclusão de provisionamentos de grupos, aplicações deverão ser redirecionadaspara autenticação/autorização via LDAP AD
• Com o provisionamento de usuários/grupos, a solução de diretório baseada em OpenLDAPserá desativada
16
Inclusão de Unidades Acadêmicas
• Aguardando conclusão do agente de provisionamento
• Unidades deverão formalizar interesse por email ou ofício do diretor/chefe de departamento aoemail [email protected]
• Algumas unidades já demonstraram interesse:• ECI• ENG• FAE• FACE• ICEX• ICB• VET
17
Problemas conhecidos
• Vazamento de memória no software• Bug existente em toda série Samba 4 até a versão
4.6.3 (mais nova atualmente)
• Devido ao volume de objetos na base (aproximadamente 113 mil), ocorre o vazamentodurante a pesquisa, manipulação dos mesmos no componente LDAP
• Necessidade de reinício periódico do serviço
18
Problemas conhecidos
• Vulnerabilidades devido a incompatibilidadecom sistemas operacionais legados
• Windows XP (todas as versões)
• Windows Vista (todas as versões)
• Incompatibilidade com equipamentos Mac*• O sistema ingressa mas não realiza autenticação
• Ainda em testes
19
Perguntas
?????
www.ufmg.br/dti
Centro de Computação - CECOM
Divisão de Infraestrutura de Serviços - DIS
05/05/2017
Emerson Henrique Kfuri Pereira
Obrigado!
