ÌýÌýLDAP Descentralizado
LDAP Sunc Python
O LDAP Sync Python - LSP é um projeto desenvolvido colaborativamente no IFSP, com a supervisão da Coordenadoria de Segurança em TI da Diretoria de Infraestrutura e Redes.
A motivação do projeto foi a falta de padronização de logins no IFSP como um todo, não tendo uma ferramenta adequada para que o usuário tenha a mesma experiência no trânsito entre um ÈÕ±¾ÎÞëÖгö e outro.
A ideia do projeto nasceu como o LDAP descentralizado. A princÃpio seria elaborada uma forma de disponibilizar o acesso ao diretório LDAP da reitoria de forma segura e consistente, sem onerar os administradores locais com responsabilidades adicionais.
Algumas soluções já disponÃveis no mercado foram levantadas, incluindo o mecanismo de sincronização do próprio openLDAP. Durante o desenrolar dos testes e adequações, devido à não inerência e inconformidades com os nossos requisitos de segurança, o projeto caminhou para o rumo de solução própria envolvendo desenvolvimento interno.
Como funciona o LSP
O sistema LDAP Sync Python, ou LSP, opera com os módulos HTTP/HTTPS e/ou RADIUS. Em uma autenticação (seja por uma página de login ou pelo protocolo AAA), o LSP faz a validação dos dados do usuário entre uma cadeia de servidores de autenticação cadastrados. Quando o usuário e senha estão corretos em um servidor, todos os demais são atualizados automaticamente. Mesmo que haja falha em um dos serviços, a cadeia de autenticação e sincronização não é interrompida.
Os dados são cadastrados no openLDAP central da Reitoria, alimentado pelo SUAP que consulta a base confiável do Ministério do Planejamento. O SUAP também possui um módulo de cadastro de visitantes, possibilitando a abertura de contas até mesmo para fornecedores, visitantes de eventos, servidores de outros órgãos e outros que não fazem parte do quadro de administrativos, docentes ou discentes do IFSP.
E o que que o Ecossistema de Autenticação tem a ver com o LDAP descentralizado? Simples: o mesmo ecossistema pode ser disponibilizado para os campi, mantendo a sincronização com a reitoria, orquestrado pelo LSP.
Hoje o LSP permite a sincronização de diretórios openLDAP, Active Directory e MySQL, sendo possÃvel adicionar módulos para outros diretórios conforme a demanda. Com isso, podemos manter os dados de um diretório replicado em outro sem dependências.
A natureza modular do software permite um nÃvel de customização não encontrado em nenhuma solução disponÃvel atualmente no mercado, principalmente no que tange as soluções de harware e software ofertadas atualmente pela Reitoria do IFSP.
Com esses diretórios ativos e consistentes entre si podemos ofertar serviços como WiFi, autenticação em AD e serviço de impressão em rede com as mesmas credenciais.
O conjunto formado pelo LSP, SUAP, diretórios LDAP, AD, MySQL e portal captive, bem como FreeRadius, foi denominado como Ecossistema de Autenticação do IFSP, tendo o LSP como elemento central.
Ao integrar todos estes serviços, ofertando aos usuários a mesma experiência, o projeto LSP proporcionará um enorme ganho na produtividade da TI, pois libera recursos informatizados e humanos de inúmeras tarefas repetitivas de criação de usuários e manutenção dos mesmos.
A sincronização ou replicação ocorrerá de modo lazy, ou seja, a cada novo login o usuário e senha inserido é comparado com a base central e, caso esteja correto, é cadastrado na base local.
Usuários que não estão lotados no ÈÕ±¾ÎÞëÖгö alvo não serão replicados, ou seja, qualquer pessoa extrÃnseca ao ÈÕ±¾ÎÞëÖгö em questão, mesmo que de passagem, não terá os dados cadastrados na base local do ÈÕ±¾ÎÞëÖгö.
O ÈÕ±¾ÎÞëÖгö terá a livre leitura dos dados da base replicada dos usuários pertencentes quadro de funcionários e discentes locais, mesmo em casos de queda de link, não comprometendo o andamento das atividades do ÈÕ±¾ÎÞëÖгö.
As CTIs então poderão utilizar a base local para autenticar seus sistemas locais, novamente, mantendo as mesmas credenciais de login disponÃveis na base central da Reitoria do IFSP.
Toda movimentação cadastral dos usuários no ecossistema é gerido pelo SUAP. Cadastro de novos usuários, alteração e e-mail pessoal, senha, nome, ÈÕ±¾ÎÞëÖгö de exercÃcio, entre outros dados, não tem mais a interação com a TI para ser efetuada.
Disponibilização do Software
O LSP deve ser disponibilizado em formato de imagem docker com todo o ecossistema necessário para que o ÈÕ±¾ÎÞëÖгö faça a sincronização com os diretórios da reitoria, de forma segura via VPN site-to-site. Toda a base de usuários do ÈÕ±¾ÎÞëÖгö será replicado na base local do servidor LSP.
OBS.: Por razões de segurança, o LSP somente será disponibilizado para os ÈÕ±¾ÎÞëÖгö que possuem o Forcepoint NGFW e a VPN Site-to-Site implementados e em produção.
Para maiores informações sobre o Forcepoint NGFW e a VPN Site-to-Site, acesse o link.
³§¾±³Ù³Ü²¹Ã§Ã£´Ç
13/11/2017 - Apresentação do projeto para a comunidade interna no Workshop de TI, realizado no ÈÕ±¾ÎÞëÖгö de Boituva.
08/02/2018 - Na reunião do Comitê de TI, ocorrerá a definição do cronograma para a disponibilização do LSP para testes.
01/03/2018 - Conclusão da primeira etapa de testes.
02/03/2018 - InÃcio do desenvolvimento de novo protótipo a partir dos feedbacks de testes.
10/04/2018 - Aprimoramentos de segurança e remodelagem da base do LDAP.
18/06/2018 - Automatização do processo de instalação dos serviços.
23/07/2018 - Finalização do novo protótipo para testes.
09/08/2018 - Apresentação do progresso do desenvolvimento no WTI 2018 - Campus São Carlos.
Redes Sociais