LDAP Descentralizado
LDAP Sunc Python
O LDAP Sync Python - LSP é um projeto desenvolvido colaborativamente no IFSP, com a supervisão da Coordenadoria de Segurança em TI da Diretoria de Infraestrutura e Redes.
A motivação do projeto foi a falta de padronização de logins no IFSP como um todo, não tendo uma ferramenta adequada para que o usuário tenha a mesma experiência no trânsito entre um campus e outro.
A ideia do projeto nasceu como o LDAP descentralizado. A princípio seria elaborada uma forma de disponibilizar o acesso ao diretório LDAP da reitoria de forma segura e consistente, sem onerar os administradores locais com responsabilidades adicionais.
Algumas soluções já disponíveis no mercado foram levantadas, incluindo o mecanismo de sincronização do próprio openLDAP. Durante o desenrolar dos testes e adequações, devido à não inerência e inconformidades com os nossos requisitos de segurança, o projeto caminhou para o rumo de solução própria envolvendo desenvolvimento interno.
Como funciona o LSP
O sistema LDAP Sync Python, ou LSP, opera com os módulos HTTP/HTTPS e/ou RADIUS. Em uma autenticação (seja por uma página de login ou pelo protocolo AAA), o LSP faz a validação dos dados do usuário entre uma cadeia de servidores de autenticação cadastrados. Quando o usuário e senha estão corretos em um servidor, todos os demais são atualizados automaticamente. Mesmo que haja falha em um dos serviços, a cadeia de autenticação e sincronização não é interrompida.
Os dados são cadastrados no openLDAP central da Reitoria, alimentado pelo SUAP que consulta a base confiável do Ministério do Planejamento. O SUAP também possui um módulo de cadastro de visitantes, possibilitando a abertura de contas até mesmo para fornecedores, visitantes de eventos, servidores de outros órgãos e outros que não fazem parte do quadro de administrativos, docentes ou discentes do IFSP.
E o que que o Ecossistema de Autenticação tem a ver com o LDAP descentralizado? Simples: o mesmo ecossistema pode ser disponibilizado para os campi, mantendo a sincronização com a reitoria, orquestrado pelo LSP.
Hoje o LSP permite a sincronização de diretórios openLDAP, Active Directory e MySQL, sendo possível adicionar módulos para outros diretórios conforme a demanda. Com isso, podemos manter os dados de um diretório replicado em outro sem dependências.
A natureza modular do software permite um nível de customização não encontrado em nenhuma solução disponível atualmente no mercado, principalmente no que tange as soluções de harware e software ofertadas atualmente pela Reitoria do IFSP.
Com esses diretórios ativos e consistentes entre si podemos ofertar serviços como WiFi, autenticação em AD e serviço de impressão em rede com as mesmas credenciais.
O conjunto formado pelo LSP, SUAP, diretórios LDAP, AD, MySQL e portal captive, bem como FreeRadius, foi denominado como Ecossistema de Autenticação do IFSP, tendo o LSP como elemento central.
Ao integrar todos estes serviços, ofertando aos usuários a mesma experiência, o projeto LSP proporcionará um enorme ganho na produtividade da TI, pois libera recursos informatizados e humanos de inúmeras tarefas repetitivas de criação de usuários e manutenção dos mesmos.
A sincronização ou replicação ocorrerá de modo lazy, ou seja, a cada novo login o usuário e senha inserido é comparado com a base central e, caso esteja correto, é cadastrado na base local.
Usuários que não estão lotados no campus alvo não serão replicados, ou seja, qualquer pessoa extrínseca ao campus em questão, mesmo que de passagem, não terá os dados cadastrados na base local do campus.
O campus terá a livre leitura dos dados da base replicada dos usuários pertencentes quadro de funcionários e discentes locais, mesmo em casos de queda de link, não comprometendo o andamento das atividades do campus.
As CTIs então poderão utilizar a base local para autenticar seus sistemas locais, novamente, mantendo as mesmas credenciais de login disponíveis na base central da Reitoria do IFSP.
Toda movimentação cadastral dos usuários no ecossistema é gerido pelo SUAP. Cadastro de novos usuários, alteração e e-mail pessoal, senha, nome, campus de exercício, entre outros dados, não tem mais a interação com a TI para ser efetuada.
Disponibilização do Software
O LSP deve ser disponibilizado em formato de imagem docker com todo o ecossistema necessário para que o campus faça a sincronização com os diretórios da reitoria, de forma segura via VPN site-to-site. Toda a base de usuários do campus será replicado na base local do servidor LSP.
OBS.: Por razões de segurança, o LSP somente será disponibilizado para os campus que possuem o Forcepoint NGFW e a VPN Site-to-Site implementados e em produção.
Para maiores informações sobre o Forcepoint NGFW e a VPN Site-to-Site, acesse o link.
Situação
13/11/2017 - Apresentação do projeto para a comunidade interna no Workshop de TI, realizado no campus de Boituva.
08/02/2018 - Na reunião do Comitê de TI, ocorrerá a definição do cronograma para a disponibilização do LSP para testes.
01/03/2018 - Conclusão da primeira etapa de testes.
02/03/2018 - Início do desenvolvimento de novo protótipo a partir dos feedbacks de testes.
10/04/2018 - Aprimoramentos de segurança e remodelagem da base do LDAP.
18/06/2018 - Automatização do processo de instalação dos serviços.
23/07/2018 - Finalização do novo protótipo para testes.
09/08/2018 - Apresentação do progresso do desenvolvimento no WTI 2018 - Campus São Carlos.
Redes Sociais