LDAP no Gerenciamento de Rede

Péricles Silva de Oliveira1, Adriano Luiz do Vale Soares2,

Edson Nascimento da Silva Junior1, Edjair de Souza Mota1

Departamento de Ciência da Computação – Universidade Federal do Amazonas

1

(UFAM)
Av. General Rodrigo Otávio, 3000 Mini-Campus – 69.077-000 – Manaus – AM – Brazil

Empresa Brasileira de Infra-Estrutura Aeroportuária

2

Av. Santos Dumont, 1350 – Tarumã – 69.041-000 – Manaus – AM – Brazil

{periclesoliveira,edson} @ufam.edu.br, edjair@dcc.fua.br
1

2
{adriano_soares,rcoutinho} @infraero.gov.br
Abstract. Currently, any network management tools have been development
for network equipment manufactures. This manufactures search to provide a
tool that integrate the equipments´s network neighborhood, but this task is
ardous, because in the corporative´s network neighborhood is common the
systems, equipments, protocols and other technologies used for attend your
needs. By this, have viewed a necessity of integrate in network management.
Resumo. Atualmente, diversas ferramentas de gerenciamento de rede têm sido
desenvolvidas por fabricantes de equipamentos de rede. Esses fabricantes
procuram disponibilizar uma ferramenta que integre todo o ambiente de rede
de seus equipamentos, mas esta tarefa é árdua, pois, em um ambiente de rede
de uma instituição é comum a diversidade de sistemas, equipamentos,
protocolos e outras tecnologias utilizadas para atender as suas necessidades.
Com isto, temos assistido uma grande necessidade de integração no
gerenciamento de rede.
Palavras-chave: LDAP, Nagios, NXE, Open-LDAP, Apache, Tomcat, JNDI,
Gerenciamento de Rede

1. Introdução
Dentro dos mais diversos ambientes de rede existe uma necessidade comum entre os
administradores de rede, que é a integração da informação gerenciada.
Diversas ferramentas de gerenciamento de rede têm sido desenvolvidas por
fabricantes de equipamentos de rede. Esses fabricantes procuram disponibilizar uma
ferramenta que integre todo o ambiente de rede de seus equipamentos, mas esta tarefa é
árdua, pois em um ambiente de rede de uma instituição é comum a diversidade de
sistemas, equipamentos, protocolos e outras tecnologias utilizadas para atender às suas
necessidades. A indústria tem utilizado frequentemente o protocolo SNMP como base
do gerenciamento de rede, onde fabricantes demandam esforços para produzirem MIB’s
que possam ser utilizadas por uma estação de gerenciamento de rede que utilize o
SNMP. Porém, nem todos os itens gerenciados se esgotam com este protocolo. A
autenticação, personalização, informações de usuários e políticas de rede são os itens
necessários à utilização de outras ferramentas.
 Neste contexto o LDAP pode ser utilizado para integração de informações
gerenciadas, para que usuários de rede, aplicações autônomas e ferramentas de gerência
possam acessar as informações, utilizando protocolos básicos, de maneira padronizada.
Neste artigo, iremos mostrar uma estação de gerenciamento utilizando o protocolo
SNMP e a integração com um servidor de diretório que utiliza o LDAP.

2. Ganhos pretendidos
Nossa contribuição neste artigo é mostrar a utilização do LDAP no gerenciamento de
rede, com objetivo de integração de informações gerenciadas. Além disto, mostraremos
em nossos experimentos a utilização de programas regidos e compatíveis com a licença
GNU/GPL.
As informações gerenciadas que deverão ser armazenadas em diretórios, não
possuem freqüência de atualização, ou seja, não são objetos com valores dinâmicos e
geralmente possuem um longo tempo de vida. Os servidores de diretório LDAP são
conhecidos por terem em suas operações de leitura e pesquisa um acesso muito rápido,
mas em alguns casos de tamanho de diretório possuem um baixo desempenho nas
operações de escrita, adicionar e remover entradas.
Em nossos experimentos utilizamos dispositivos de rede, usuários, serviços,
políticas e configurações que são exemplos de elementos gerenciáveis que, uma vez
criados, têm um longo tempo de vida.

3. Abordagem proposta
No arcabouço que disponibilizamos neste artigo, descrevemos a integração de diversos
serviços de rede, dentre os quais estão: contas e informações de usuários, configurações
de roteadores e algumas informações de profile de usuários. A principal contribuição é a
maneira padronizada de acesso às informações de gerência, assim como a utilização do
LDAP no contexto de gerência de rede. Outro ponto relevante nesta abordagem está
descrito nos experimentos realizados, que trata-se da utilização de programas de código-
aberto, possibilitando a implementação de imediato nas instituições, sendo necessário
apenas a aquisição de conhecimento das tecnologias utilizadas.

Figura 1. Estrutura da Abordagem

4. Estudo de caso
Com objetivo de validar o arcabouço que disponibilizamos neste artigo, realizamos
experimentos com cada componente de programa que atende os requisitos necessários
para estes experimentos, conforme descrevemos nas seções seguintes.
4.1 Infra-estrutura da rede
A infra-estrutura de rede que utilizamos para o experimento está composta por
equipamentos ativos de rede do tipo: switches da marca Enterasys e 3COM e roteadores
da marca 3com e CISCO. Os servidores utilizados operam sobre diversos sistemas
operacionais, dentre os quais: Linux das distribuições Conectiva, RedHat e Debian,
UNIX da Sun na sua versão Solaris 9, Windows NT 4.0 e Windows 2000.
O programa de gerência de rede (NMS) que utilizamos é denominado como
NAGIOS, e não necessita de compra de licença de uso, e suas características estão
descritas na seção 4.2. O serviço de diretório LDAP utilizado trata-se da distribuição
Open-LDAP, que também não necessita de compra de licença de uso, apesar de não
obedecer à licença GPL como os outros, conforme descrevemos na seção 4.3..
Para disponibilidade de acesso a informações pela internet ou intranet,
utilizamos o programa, denominado Apache com integração com o Tomcat, que são
responsáveis por documentos HTML, XML/XSL e outros que utilizem o protocolo http.
O Tomcat foi utilizado para que programas em linguagem java (servlet) possam ser
interpretados, e possibilitar a utilização da api java, denominada JNDI que possibilita o
acesso a diretórios LDAP, tornando possível as operações disponíveis no protocolo
LDAP, como por exemplo: search, add e delete.

4.2 Programa de gerência de rede – NMS

Regido sob a licença GNU/GPL [1], o Nagios®[2,5] é um sistema de monitoramento de
rede, responsável por fornecer informações sobre os equipamentos ativos de rede:
roteadores, switches, servidores, bem como todos os dispositivos gerenciáveis da rede.
Também permite que sejam configurados mensagens de alerta (críticas) e outras ações,
conforme um problema seja detectado na rede.
O Nagios® monitora uma grande variedade de propriedades do sistema [3,4],
tais como:
recursos dos hosts e serviços, como métricas de desempenho, espaço em disco e
memória, arquivos de log, processos em execução, disponibilidade dos hosts e serviços;
serviços de rede como telnet, ssh, pop3, ping, nntp, http e smtp, necessários para
consulta (poll) e recebimento de alertas (traps);
plug-ins necessários para que todos os usuários possam criar rotinas de verificação dos
hosts e serviços gerenciáveis, além de definir a hierarquia dos hosts da rede,
diferenciando os hosts em estado 'down' dos hosts inacessíveis (unreachable).
Os administradores podem definir os eventos significativos de cada host, assim
como especificar o que será executado quando determinado tipo de alerta for
diagnosticado. Um problema pode provocar um alerta a ser enviado a um usuário através
de vários mecanismos (e-mail, mensagens, pager), até mesmo da execução de um
programa quando um problema for detectado, impedindo outros problemas mais sérios
ocorram, causando maior tempo de indisponibilidade dos equipamentos ativos da rede. O
monitoramento é executado com intermitentes checagens nos hosts e serviços
configurados para gerenciamento através de ambiente web. Os arquivos contendo os
logs referentes às informações dos ativos de rede são armazenados no direório /
usr/local/nagios/var/archives, onde são acumulados os status diários das informações
obtidas pelo Nagios®.

4.3 Serviço de diretório LDAP

Utilizamos o Open-LDAP [14] em sua versão 3 como serviço de diretório LDAP, por
não possuir custo de licença de uso e obedecer a padronização estabelecida na RFC
2251 [13]. Um serviço de diretório LDAP é um processo de servidor que utiliza o
protocolo TCP para conexões em sua porta, que por padrão é a 389, para realizar
operações em um diretório que obedece a um esquema estabelecido pelo administrador
da rede. O diretório é constituído por entradas que possui um identificador distinto,
denominado DN (Distinguished Name), e que podem possuir diversos pares de atributo
e valor. Estes atributos obedecem a um Object Class, que por sua vez é padronizado em
RFC e que foi previamente definido no esquema do diretório LDAP, quando o
administrador de rede realizou a configuração.

Em nosso experimento utilizamos os esquemas: core.schema, cosine.schema,

inetorgperson.schema, nis.schema, corba.schema e java.schema para as definições dos
atributos para o diretório LDAP.

4.4 Servidor WEB

O Nagios® permite que as informações coletadas sejam exibidas automaticamente em
formato html, facilitando o administrador e usuários do sistema a visualizar o status da
rede através de qualquer ponto de conexão da rede. Para isto, é necessário a instalação
do servidor web, denominado Apache, um programa de código aberto compatível com a
licença GPL [6,7,8].
O desenvolvimento do software Apache é feito de forma colaborativa,
disponibilizando o código-fonte ao usuário, caracterizando-o como open-source. O
Apache foi utilizado visando à construção de um código robusto como referência ao
protocolo http [9]. Desde 1995, quando foi criado o projeto Apache, o objetivo de
estender o uso do Apache em pequenas, médias e grandes corporações, instituições de
pesquisa, estudantes, ambientes Intranet tem sido uma evolução constante devido à
disponibilidade e confiabilidade do Apache, utilizado em 67,9 % dos servidores web no
mundo [10].
Porém, o Apache atende apenas requisições de páginas estáticas. Para atender
requisições dinâmicas, será utilizado o Tomcat [11] para atender especificamente as
requisições de páginas dinâmicas. A integração entre Tomcat e Apache permite que este
atenda requisições de páginas estáticas (código html, imagens, etc.) enquanto aquele
atende requisições dinâmicas (servlets e Java Server Pages).
O servidor Tomcat tem a capacidade de converter automaticamente qualquer página
JSP em um servlet equivalente. Ou seja, o Tomcat é capaz de criar código-fonte em Java
a partir de um documento html. A criação dinâmica do código funciona da seguinte
forma:
 um usuário, através de um cliente web-browser, solicita um documento do servidor
Tomcat;
 o servidor executa a servlet ou JSP específica à URL do documento recebido.
 o usuário recebe o documento gerado e exibe o resultado no web-browser.
O conteúdo gerado pela servlet ou JSP, geralmente um documento html, é formado
por tags html e o resultado de um algoritmo Java ou acesso a um banco de dados.
Para realizar a integração entre o Tomcat e o Apache é necessário um elemento
connector, sendo adotado o Webapp[], o mais fácil de configurar e utilizado apenas em
sistemas Unix. O Webapp é um conector web que realiza a comunicação entre o Apache
e o Tomcat através do protocolo WARP, responsável pela integração do Tomcat com o
servidor web Apache já instalado.

4.5 Integração entre LDAP e a NMS

A integração entre o servidor de gerência de rede, denominada NMS, que em nosso

experimento utilizamos o programa Nagios, e o servidor LDAP, o qual utiliza o Open-
LDAP, foi realizado através de um outro programa que opera junto com o Nagios,
nomeado como NXE (Nagios XML Engine). Este programa é um processo de servidor
que coleta informações de gerencia e disponibiliza em documentos XML, os quais podem
ser acessados remotamente por aplicações autônomas ou usuários, através do protocolo
http. O NXE é aplicação desenvolvida em Perl que trabalha em ambas as plataformas
Win32 e Unix.

Uma aplicação desenvolvida, utilizando a linguagem java, para acessar

documentos XML foi utilizada para migrar as informações disponíveis nos documentos
para o diretório LDAP. Este programa utiliza a api Xerces/Xalan para leitura de
documentos XML, e depois foi utilizada outra api, denominada JNDI, que é responsável
pela conexão e operação em serviços de diretório.

A informação que foi armazenada no diretório trata-se de informações de

características de ativos de rede e informações da estrutura da rede, como por exemplo:
faixa de endereçamento IP, as informações de status dos elementos que estão sendo
gerenciado não foram armazenados em diretório, protegendo o desempenho do serviço
de diretório. Com isto as informações que consideramos pseudo-estáticas foram
migradas para o nosso serviço de diretório.

5. Resultados obtidos
Esse artigo apresentou uma proposta de Gerenciamento de rede utilizando LDAP para
integração de informações de gerência de rede, onde foram abordados detalhes de
componentes para criação de uma aplicação integrada e centralizadora de informações
de itens gerenciáveis, onde será possível a navegabilidade da infra-estrutura de rede,
obtendo os seguintes ganhos de administração:
visualização centralizada de toda infra-estrutura;
navegabilidade da infra-estrutura de rede, podendo sair de uma visão de todos os
switches para detalhe em nível de estação de usuário ou Servidores;
flexibilidade;
administração remota pela Web;
compatibilidade de plataformas, considerando a Web como plataforma (Web-based)
inventário do ambiente;

Outro resultado considerado relevante é a utilização de ferramentas que podem trabalhar

integradas no gerenciamento de rede e que não possuem custo de licença. Fato este que
impulsiona a instalação imediata pelos administradores de rede.

6. Conclusões e Trabalhos Futuros

6.1 Conclusões

Neste trabalho, analisamos ferramentas de código-aberto para criar um ambiente de

gerenciamento de rede de alta qualidade e disponibilidade. O Nagios, Open-LDAP, a
integração do servidor web Apache com o Tomcat, todos os programas baseados em
licenças GPL mostram o quão é possível aos administradores de rede criar plataformas
de gerenciamento independentes de aplicações proprietárias e com restrições de
aprimoramento, ideologia inaplicável aos administradores de rede.

6.2 Trabalhos futuros

Nos experimentos utilizados neste artigo realizamos a integração de um ambiente de rede

existente e obtivemos os resultados mostrados na seção 5. Em um outro trabalho iremos
utilizar outros protocolos utilizados em estações de gerência, como por exemplo: o CIM.
Após a validação em outros ambientes de rede tentaremos diminuir o trabalho de
modelagem de esquemas de diretórios LDAP, utilizando o arcabouço para migração
automática de diagramas de classe em notação UML para uma representação
intermediária em XML que possa facilitar a implantação de novos serviços de diretório.

Outro ponto que já estamos trabalhando é a tentativa de minimizar a consulta de

informações em diretórios LDAP, tornando mais flexível as consultas e que as respostas
possam ter um grau de relevância com a consulta do usuário.

7. Referências
[1] GNU General Public License. Disponível em http://www.gnu.org/licenses/gpl.html .
Acesso em outubro 2004.
[2] NAGIOS. Disponível em http://www.nagios.org/. Acesso em outubro 2004.
[3] NAGIOS. Disponível em http://www.nagios.org/about.php . Acesso em outubro
2004.
[4] ONLamp.com: Installing Nagios. Disponível em
http://www.onlamp.com/pub/a/onlamp/2002/09/05/nagios.html . Aceso em outubro
2004.
[5] NAGIOS. http://directory.fsf.org/all/nagios.html . Acesso em outubro 2004.
[6] Portal Java: Conheça o Apache Tomcat. Disponível em
http://portaljava.com/home/modules.php?name=News&file=article&sid=41 . Acesso
em outubro 2004.
[7] Apache. Disponível em http://directory.fsf.org/all/apache.html . Acesso em outubro
2004.
[8] Licenses – The Apache Software Foundation. Disponível em
http://www.apache.org/licenses/ . Acesso em outubro 2004.
[9] The Jakarta Site – Apache Jakarta Tomcat. Disponível em
http://jakarta.apache.org/tomcat/. Acesso em outubro 2004.
[10] Netcraft. Disponível em http://news.netcraft.com/archives/web_server_survey.html .
Acesso em outubro 2004.
[11] J2EE Brasil. Disponível em
http://www.jspbrasil.com.br/jsp/tutoriais/tutorial.jsp?idTutorial=018_003 . Acesso em
outubro 2004.
[12] Server Configuration Reference – The Webapp Connector. Disponível em
http://jakarta.apache.org/tomcat/tomcat-4.1-doc/config/webapp.html . Acesso em
outubro 2004.
[13] Networking Group. RFC 2251: Lightweight directory access protocol (v3).
http://www.rfc-editor.org/rfc/rfc2251.txt
[14] OpenLDAP Foundation. OpenLDAP schema specification: Extending schema.
http://www.openldap.org/doc/admin22/schema.html, 2004.