Com a base de dados centralizada a atenção para segurança em volta das informações contidas no SLDAP deve ser multiplicada, pois a quebra de seu sigilo se tornará muito mais crítica, pois ao se descobrir um login e senha o intruso terá acesso a tudo que for permitido ao usuário X acessar, ressaltando que ele pode fazer isto de qualquer ponto da rede.

Um dos recursos providos pelo OpenLDAP é seu vinculo com softwares de criptografia, provendo um nível a mais na segurança da transmissão. O OpenSSL quando integrado faz com que o OpenLDAP passe a transmitir dados criptografados, onde chaves criptográficas e certificações digitais podem ser configuradas pelo administrador do sistema.

O OpenSSL, como o OpenLDAP, é multiplataforma e já vem instalado em algumas distribuições Linux além de poder ser facilmente encontrado em repositórios.

Pode-se implementar chaves criptográficas para proteger as informações mais importes como senhas e informações críticas, criptografando os dados para armazenamento. É importante ressaltar que dados criptografados sempre que utilizados é necessário decriptá-los, isso faz com que a resposta ao solicitante seja mais demorada por isso para melhor desempenho não convém criptografar todo o banco de dados.

Outro recurso de suma importância para a proteção de qualquer rede é a utilização de políticas de segurança, as quais o administrador cria regras a serem seguidas pelos usuários tais como: proibição da divulgação de senhas, além de nunca deixar dados pessoais salvos em locais publicamente acessíveis dentro outras muitas outras ações que podem ser citadas, como prover pequenos cursos nesse sentido.

A troca de senhas periodicamente também é uma prática importante. O OpenLDAP pode ser configurado para fazer com que uma senha seja espirada de tempo em temos, 15 em 15 dias por exemplo, onde sempre haverá uma rotatividade de senhas.

O administrador deve monitorar a acessos e ações dos usuários a fim de se certificar que estão cumprindo a política de segurança e restringir acessos a locais externos inseguros, pensando inclusive em seus possíveis deslizes.

Uma atividade indispensável que deve ser feita tanto na configuração inicial como durante a utilização, é a criação da política de acessos. Deve-se exigir que o usuário se identifique através de login e senha para ter acesso a base de dados e definir o nível de acesso dos usuários.

Definir quem pode acessar o que é de suma importância para uma manutenção segura onde por exemplo não há necessidade de uma funcionário da recepção saber informações sobre a contabilidade. O OpenLDAP provem o controle de acesso através das ACLs (Access Control List - Listas de Controle de Acesso, que deverão ser definidas e configuradas pelo administrador do sistema.

Segurança envolve mais do que do simplesmente manter os dados a salvo de acessos não autorizados. É também assegurar que eles não serão perdidos por alguma eventualidade, entre os mais variados defeitos de software e hardware, isso porque atualmente as informações são o coração das maiorias das empresas e na falta delas, elas simplesmente param.

A primeira preocupação é a utilização de uma rede elétrica e de dados confiável elaboradas de forma estruturada. Outro ponto imprescindível é a utilização de equipamento de hardware confiáveis, diminuindo o risco da ocorrência de defeitos. A utilização de backups é sempre necessário, ele pode ser feito de várias maneiras, como manualmente e através de um RAID.

Na forma manual o administrador deverá fazer a cópia dos dados armazenando-os em um local seguro. O RAID (Redundant Array of Independent Disks - Matriz Redundante de Discos Independentes), de acordo com Alecrim (2004, doc. eletrônico) "É um conjunto de HDs que funcionam como se fossem um só. Isso permite ter uma tolerância alta contra falhas, pois se um disco tiver problemas, os demais continuam funcionando, disponibilizando os dados".

O RAID é dividido em seis níveis. Para fazer um backup de forma automática é preciso a utilização do nível um, que consiste em dois HDs trabalhando juntos.

A informação gravada no primeiro HD também será gravada no segundo onde, na falta do primeiro o secundário continuara funcionando no seu lugar.

Replicação de Base

Visando a segurança dos dados, podemos enxergar mais um nível o de garantir que o serviço nuca pare de funcionar, a menos que solicitado pelo administrador.

Iremos passa de forma rápida por mais um conceito, o que é Cluster, ele é um aglomerado de computadores conectados, para melhor desempenho, via rede de alta velocidades, que trabalham juntos para oferecer melhor processamento ou continuidade continua de serviços. Um cluster pode chegar ao nível de processamento de dados em nível de mainframes, hoje os principais servidores de internet do mundo usam clusters. Os cluster possuem diversas aplicações, as principais são:

• Beowulf (Processamento Paralelo): os computadores compartilham os processos e assim processando-os mais rápido, priorizando o desempenho de processamento.
• Balanceamento de carga: distribui os processos entre os computadores de forma a não deixar nenhum sobrecarregado.
• Alta disponibilidade: são usados em sistemas que não podem parar de funcionar, trabalham mantendo um servidor primário e outro secundário, se necessário um terceiro e assim por diante, quando o primário para de funcionar ele coloca o secundário no lugar.
• Combo: é a junção do cluster de balanceamento de carga e do de alta disponibilidade, claro que se temos 2 computadores trabalhando no modo de balanceamento de carga teremos que ter 2 de "reserva" para assumir seu lugar e assim consecutivamente.

Os clusters podem ser usados de duas maneiras com o nosso servidor LDAP a principal é a de alta disponibilidade para que se garanta que o serviço não irá parar. Se por um acaso o servidor tenha que atender uma rede que exija tal ferramenta pode-se usar um cluster combo.

Implica-se para que o servidor reserva continue servido a rede conforme o primário, que os dados nos dois sejam iguais, e é aí que entra a replicação de base. A mesma realiza uma clonagem imediata de todo dado gravado no primário para secundário, gerando uma réplica do nosso SLDAP. Servidores que não trazem com sigo o software de réplica podem usar softwares de terceiro como o DRBD, CODA ou RSYNC, mas o OpenLDAP trás em seu pacote o Slurpd e em versões mais recentes o Syncrepl. Os dois tem a mesma finalidade contudo o syncrepl é mais versátil e possui mais opções.

Para que o cluster de alta disponibilidade trabalhe de maneira correta precisamos de programas auxiliares como o Headerbeat que monitora se o servidor primário esta funcionando e avisa imediatamente ao secundário se o primeiro falhar, isso em nível de hardware, e também temos o Mon que coloca o secundário em prática bastando apenas que o serviço pare. Imagine que o serviço de diretório pare por problemas de inconsistência no software, se você não estiver utilizando o Mon o servidor secundário não será ativado visto que o primário ainda está conectado na rede.

No caso de diretórios distribuídos tem que ser feito um cluster em cada um, pois o cluster não assume a forma de Servidos de Diretórios distribuídos, visto que ele irá assumir a forma de um único sistema processado mais de uma maquina.

Com o servidor de réplica devidamente configurado ficará muito difícil que o serviço pare, garantindo mais este nível de segurança em nosso SLDAP( Servidor LDAP).