Index: head/pt_BR.ISO8859-1/articles/ldap-auth/Makefile =================================================================== --- head/pt_BR.ISO8859-1/articles/ldap-auth/Makefile (nonexistent) +++ head/pt_BR.ISO8859-1/articles/ldap-auth/Makefile (revision 52213) @@ -0,0 +1,24 @@ +# +# The FreeBSD Documentation Project +# The FreeBSD Brazilian Portuguese Documentation Project +# +# $FreeBSD$ +# +# Article: LDAP Auth + +MAINTAINER=ebrandi@FreeBSD.org + +DOC?= article + +FORMATS?= html html-split +WITH_ARTICLE_TOC?= YES + +INSTALL_COMPRESSED?= gz +INSTALL_ONLY_COMPRESSED?= + +SRCS= article.xml + +URL_RELPREFIX?= ../../../.. +DOC_PREFIX?= ${.CURDIR}/../../.. + +.include "${DOC_PREFIX}/share/mk/doc.project.mk" Property changes on: head/pt_BR.ISO8859-1/articles/ldap-auth/Makefile ___________________________________________________________________ Added: svn:keywords ## -0,0 +1 ## +FreeBSD=%H \ No newline at end of property Index: head/pt_BR.ISO8859-1/articles/ldap-auth/article.xml =================================================================== --- head/pt_BR.ISO8859-1/articles/ldap-auth/article.xml (nonexistent) +++ head/pt_BR.ISO8859-1/articles/ldap-auth/article.xml (revision 52213) @@ -0,0 +1,562 @@ + + +
+ + Autenticação LDAP + + + Toby Burress
+ kurin@causa-sui.net +
+ + + 2007 2008 Projeto de Documentação do FreeBSD + + + FreeBSD is a registered trademark of the FreeBSD Foundation. + Many of the designations used by manufacturers and sellers to distinguish their products are claimed as trademarks. Where those designations appear in this document, and the FreeBSD Project was aware of the trademark claim, the designations have been followed by the or the ® symbol. + + + $FreeBSD$ + + $FreeBSD$ + + + Este documento pretende ser um guia para a configuração de um servidor LDAP (principalmente um servidor OpenLDAP) para autenticação no FreeBSD. Isso é útil para situações em que muitos servidores precisam das mesmas contas de usuário, por exemplo, como substituto do NIS. + + + + + Prefácio + + Este documento destina-se a fornecer ao leitor uma compreensão suficiente do LDAP para configurar um servidor LDAP. Este documento tentará fornecer uma explicação de net/nss_ldap e security/pam_ldap para uso com serviços de máquinas cliente para uso com o servidor LDAP. + + Quando terminar, o leitor deve ser capaz de configurar e implantar um servidor FreeBSD que possa hospedar um diretório LDAP e configurar e implantar um servidor FreeBSD que possa autenticar em um diretório LDAP. + + Este artigo não pretende ser um relato exaustivo da segurança, robustez ou considerações sobre práticas recomendadas para configurar o LDAP ou os outros serviços discutidos aqui. Embora o autor tenha o cuidado de fazer tudo corretamente, ele não aborda problemas de segurança além do escopo geral. Este artigo deve ser considerado para estabelecer as bases teóricas somente, e qualquer implementação real deve ser acompanhada por uma análise cuidadosa dos requisitos. + + + + Configurando o LDAP + + LDAP significa Lightweight Directory Access Protocol e é um subconjunto do X.500 Directory Access Protocol. Suas especificações mais recentes estão na RFC4510 e documentos amigaveis. Essencialmente, é um banco de dados que espera ser lido com mais frequência do que é escrito. + + O servidor LDAP OpenLDAP será usado nos exemplos deste documento; embora os princípios aqui devam ser geralmente aplicáveis ​​a muitos servidores diferentes, a maior parte da administração concreta é especificamente para OpenLDAP. Existem várias versões de servidor nos ports, por exemplo net/openldap24-server. Os servidores clientes precisarão das bibliotecas net/openldap24-client correspondentes. + + Existem (basicamente) duas áreas do serviço LDAP que precisam de configuração. A primeira é a configuração de um servidor para receber as conexões corretamente, e o segundo é adicionar entradas ao diretório do servidor para que as ferramentas do FreeBSD saibam como interagir com ele. + + + Configurando o servidor para conexões + + + Esta seção é específica do OpenLDAP. Se você estiver usando outro servidor, precisará consultar a documentação desse servidor. + + + + Instalando o <application>OpenLDAP</application> + + Primeiro, instale o OpenLDAP: + + + Instalando o <application>OpenLDAP</application> + + # cd /usr/ports/net/openldap24-server +# make install clean + + + Isso instala os binários slapd e slurpd, juntamente com as bibliotecas OpenLDAP requeridas. + + + + Configurando o <application>OpenLDAP</application> + + Em seguida, devemos configurar o OpenLDAP. + + Você desejará exigir criptografia em suas conexões com o servidor LDAP; caso contrário, as senhas de seus usuários serão transferidas em texto simples, o que é considerado inseguro. As ferramentas que usaremos suportam dois tipos muito semelhantes de criptografia, SSL e TLS. + + TLS significa Segurança da Camada de Transporte. Serviços que empregam TLS tendem a se conectar nas mesmas portas que os mesmos serviços sem TLS; assim, um servidor SMTP que suporte o TLS escutará as conexões na porta 25 e um servidor LDAP escutará no 389. + + SSL significa Secure Sockets Layer, e serviços que implementam SSL não escutam nas mesmas portas que seus equivalentes não-SSL. Assim, o SMTPS atende na porta 465 (não 25), HTTPS escuta na 443 e LDAPS na 636. + + A razão pela qual o SSL usa uma porta diferente do TLS é porque uma conexão TLS começa como texto simples e alterna para o tráfego criptografado após a diretiva STARTTLS. As conexões SSL são criptografadas desde o início. Além disso, não há diferenças substanciais entre os dois. + + + Ajustaremos o OpenLDAP para usar o TLS, já que o SSL é considerado obsoleto. + + + Uma vez que o OpenLDAP esteja instalado via ports, os seguintes parâmetros de configuração em /usr/local/etc/openldap/slapd.conf irão ativar o TLS: + + security ssf=128 + +TLSCertificateFile /caminho/para/seu/cert.crt +TLSCertificateKeyFile /caminho/para/sua/cert.key +TLSCACertificateFile /caminho/para/seu/cacert.crt + + + Aqui, ssf=128 diz ao OpenLDAP para exigir criptografia de 128 bits para todas as conexões, tanto de pesquisa quanto de atualização. Esse parâmetro pode ser configurado com base nas necessidades de segurança do seu site, mas raramente é necessário enfraquecê-la, pois a maioria das bibliotecas de clientes LDAP oferece suporte à criptografia forte. + + Os arquivos cert.crt, cert.key e cacert.crt são necessários para que os clientes autentiquem você como o servidor LDAP válido. Se você simplesmente quiser um servidor que seja executado, poderá criar um certificado autoassinado com o OpenSSL: + + + Gerando uma chave RSA + + % openssl genrsa -out cert.key 1024 +Generating RSA private key, 1024 bit long modulus +....................++++++ +...++++++ +e is 65537 (0x10001) +% openssl req -new -key cert.key -out cert.csr + + + Neste ponto, você deve ser solicitado para digitar alguns valores. Você pode inserir os valores que quiser; no entanto, é importante que o valor Common Name seja o nome de domínio totalmente qualificado do servidor OpenLDAP. No nosso caso, e os exemplos aqui, o servidor é server.example.org. Definir incorretamente esse valor fará com que os clientes falhem ao fazer conexões. Isso pode causar uma grande frustração, portanto, certifique-se de seguir atentamente estas etapas. + + Por fim, a requisição de assinatura de certificado precisa ser assinada: + + + Auto-assinando o certificado + + % openssl x509 -req -in cert.csr -days 365 -signkey cert.key -out cert.crt +Signature ok +subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd +Getting Private key + + + Isso criará um certificado auto-assinado que pode ser usado para as diretivas em slapd.conf, onde cert.crt e cacert.crt são o mesmo arquivo. Se você for usar muitos servidores OpenLDAP (para replicação via slurpd), você vai querer ver para gerar uma chave CA e usá-la para assinar certificados de servidor individuais. + + Feito isso, coloque o seguinte em /etc/rc.conf: + + slapd_enable="YES" + + Em seguida, execute /usr/local/etc/rc.d/slapd start. Isso deve iniciar o OpenLDAP. Confirme que está escutando em 389 com + + % sockstat -4 -p 389 +ldap slapd 3261 7 tcp4 *:389 *:* + + + + Configurando o Cliente + + Instale o port net/openldap24-client para as bibliotecas do OpenLDAP. As máquinas cliente sempre terão bibliotecas OpenLDAP, já que é todo o suporte a security/pam_ldap e net/nss_ldap, pelo menos por enquanto. + + O arquivo de configuração para as bibliotecas OpenLDAP é /usr/local/etc/openldap/ldap.conf. Edite este arquivo para conter os seguintes valores: + + base dc=example,dc=org +uri ldap://server.example.org/ +ssl start_tls +tls_cacert /path/to/your/cacert.crt + + + É importante que seus clientes tenham acesso ao cacert.crt, caso contrário, eles não poderão se conectar. + + + + Existem dois arquivos chamados ldap.conf. O primeiro é este arquivo, que é para as bibliotecas OpenLDAP e define como falar com o servidor. O segundo é /usr/local/etc/ldap.conf e é para pam_ldap. + + + Neste ponto, você deve conseguir executar ldapsearch -Z na máquina cliente; significa usar o TLS. Se você encontrar um erro, então algo está configurado errado; muito provavelmente são seus certificados. Use os comandos s_client e s_server do openssl1 para assegurar que você os tenha configurado e assinado corretamente. + + + + + Entradas no banco de dados + + A autenticação em um diretório LDAP geralmente é realizada pela tentativa de vincular ao diretório como o usuário de conexão. Isso é feito estabelecendo um vinculo simples no diretório com o nome de usuário fornecido. Se houver uma entrada com o uid igual ao nome do usuário e o atributo userPassword da entrada corresponder à senha fornecida, o vinculo será bem-sucedido. + + A primeira coisa que temos que fazer é descobrir onde no diretório os nossos usuários irão estar. + + A entrada de base para nosso banco de dados é dc=example,dc=org. O local padrão para usuários que a maioria dos clientes parece esperar é algo como ou=people, base , então é isso que será usado aqui. No entanto, tenha em mente que isso é configurável. + + Assim, a entrada ldif para a unidade organizacional people será semelhante a: + + dn: ou=people,dc=example,dc=org +objectClass: top +objectClass: organizationalUnit +ou: people + + Todos os usuários serão criados como subentradas dessa unidade organizacional. + + Alguma consideração pode ser dada à classe de objeto a que seus usuários pertencerão. A maioria das ferramentas, por padrão, usará people, o que é bom se você quiser simplesmente fornecer entradas para autenticar. No entanto, se você for armazenar informações do usuário no banco de dados LDAP, provavelmente usará inetOrgPerson, que possui muitos atributos úteis. Em ambos os casos, os esquemas relevantes precisam ser carregados em slapd.conf. + + Para este exemplo, usaremos a classe de objeto person. Se você estiver usando inetOrgPerson, as etapas são basicamente idênticas, exceto que o atributo sn é necessário. + + Para adicionar um usuário testuser, o ldif seria: + + dn: uid=tuser,ou=people,dc=example,dc=org +objectClass: person +objectClass: posixAccount +objectClass: shadowAccount +objectClass: top +uidNumber: 10000 +gidNumber: 10000 +homeDirectory: /home/tuser +loginShell: /bin/csh +uid: tuser +cn: tuser + + Eu inicio os UIDs dos meus usuários LDAP em 10000 para evitar colisões com contas do sistema; você pode configurar o número que desejar aqui, desde que seja menor que 65536. + + Também precisamos de entradas de grupo. Eles são configuráveis ​​como entradas do usuário, mas usaremos os padrões abaixo: + + dn: ou=groups,dc=example,dc=org +objectClass: top +objectClass: organizationalUnit +ou: groups + +dn: cn=tuser,ou=groups,dc=example,dc=org +objectClass: posixGroup +objectClass: top +gidNumber: 10000 +cn: tuser + + Para inseri-los em seu banco de dados, você pode usar slapadd ou ldapadd em um arquivo contendo essas entradas. Alternativamente, você pode usar o sysutils/ldapvi. + + O utilitário ldapsearch na máquina cliente deve agora retornar essas entradas. Em caso afirmativo, o banco de dados está configurado corretamente para ser usado como um servidor de autenticação LDAP. + + + + + Configuração do Cliente + + O cliente já deve ter bibliotecas do OpenLDAP do , mas se você estiver instalando várias máquinas clientes, precisará instalar o net/openldap24-client em cada um deles. + + O FreeBSD requer que dois ports sejam instalados para autenticação em um servidor LDAP, security/pam_ldap e net/nss_ldap. + + + Autenticação + + O security/pam_ldap é configurado através do /usr/local/etc/ldap.conf. + + + Este é um arquivo diferente que o arquivo de configuração das funções da biblioteca OpenLDAP, /usr/local/etc/openldap/ldap.conf; no entanto, são necessárias muitas das mesmas opções; na verdade, é um superconjunto desse arquivo. Para o resto desta seção, referências a ldap.conf irão significar o arquivo /usr/local/etc/ldap.conf. + + + Assim, vamos querer copiar todos os nossos parâmetros de configuração originais do openldap/ldap.conf para o novo ldap.conf. Feito isso, queremos informar ao security/pam_ldap o que procurar no servidor de diretório. + + Estamos identificando nossos usuários com o atributo uid. Para configurar isso (embora seja o padrão), defina a diretiva pam_login_attribute no ldap.conf: + + + Definindo <literal>pam_login_attribute</literal> + + pam_login_attribute uid + + + Com esta definição, o security/pam_ldap pesquisará todo o diretório LDAP na base para o valor uid=username . Se encontrar uma e apenas uma entrada, ela tentará se vincular como aquele usuário com a senha que foi fornecida. Se vincular corretamente, então permitirá o acesso. Caso contrário, falhará. + + Os usuários cujo shell não está em /etc/shells não poderão efetuar login. Isto é particularmente importante quando o Bash é definido como o shell do usuário no servidor LDAP. O Bash não está incluído em uma instalação padrão do FreeBSD. Quando instalado a partir de um pacote ou port, ele está localizado em /usr/local/bin/bash. Verifique se o caminho para o shell no servidor está definido corretamente: + + % getent passwd username + + Existem duas opções quando a saída mostra /bin/bash na última coluna. A primeira é alterar a entrada do usuário no servidor LDAP para /usr/local/bin/bash. A segunda opção é criar um link simbólico no computador cliente LDAP para que o Bash seja encontrado no local correto: + + # ln -s /usr/local/bin/bash /bin/bash + + Certifique-se de que /etc/shells contenha entradas para ambos /usr/local/bin/bash e /bin/bash. O usuário poderá então efetuar login no sistema com Bash como seu shell. + + + PAM + + PAM, que significa Pluggable Authentication Modules, é o método pelo qual o FreeBSD autentica a maioria de suas sessões. Para dizer ao FreeBSD que desejamos usar um servidor LDAP, teremos que adicionar uma linha ao arquivo PAM apropriado. + + Na maioria das vezes o arquivo PAM apropriado é /etc/pam.d/sshd, se você quiser usar SSH (lembre-se de definir as opções relevantes em /etc/ssh/sshd_config, caso contrário o SSH não usará o PAM). + + Para usar o PAM para autenticação, adicione a linha + + auth suficiente /usr/local/lib/pam_ldap.so no_warn + + Exatamente onde essa linha aparece no arquivo e quais opções aparecem na quarta coluna, determine o comportamento exato do mecanismo de autenticação; veja pam.d5 + + Com essa configuração, você deve conseguir autenticar um usuário em um diretório LDAP. O PAM executará uma ligação com suas credenciais e, se for bem-sucedido, informará ao SSH para permitir o acesso. + + No entanto, não é uma boa idéia permitir que todo usuário no diretório dentro de todo computador cliente. Com a configuração atual, tudo o que um usuário precisa para efetuar login em uma máquina é uma entrada LDAP. Felizmente, existem algumas maneiras de restringir o acesso do usuário. + + O ldap.conf suporta uma diretiva pam_groupdn; Cada conta que se conecta a essa máquina precisa ser membro do grupo especificado aqui. Por exemplo, se você tem + + pam_groupdn cn=servername,ou=accessgroups,dc=example,dc=org + + em ldap.conf, somente os membros desse grupo poderão efetuar login. Entretanto, há algumas coisas a serem lembradas. + + Os membros desse grupo são especificados em um ou mais atributos memberUid e cada atributo deve ter o nome distinto completo do membro. Então memberUid:someuser não funcionará; deve ser: + + memberUid: uid=algum usuário, ou=pessoas, dc=exemplo, dc=org + + Além disso, essa diretiva não é verificada no PAM durante a autenticação, ela é verificada durante o gerenciamento de contas, portanto, você precisará de uma segunda linha em seus arquivos PAM sob account. Isso exigirá, por sua vez, que todo usuário seja listado no grupo, o que não é necessariamente o que queremos. Para evitar o bloqueio de usuários que não estão no LDAP, você deve ativar o atributo ignore_unknown_user. Finalmente, você deve definir a opção ignore_authinfo_unavail para que você não fique bloqueado em todos os computadores quando o servidor LDAP estiver indisponível. + + Seu pam.d/sshd pode acabar ficando assim: + + + Exemplo <filename>pam.d/sshd</filename> + + auth required pam_nologin.so no_warn +auth sufficient pam_opie.so no_warn no_fake_prompts +auth requisite pam_opieaccess.so no_warn allow_local +auth sufficient /usr/local/lib/pam_ldap.so no_warn +auth required pam_unix.so no_warn try_first_pass + +account required pam_login_access.so +account required /usr/local/lib/pam_ldap.so no_warn ignore_authinfo_unavail ignore_unknown_user + + + + Como estamos adicionando essas linhas especificamente para pam.d/sshd, isso só terá um efeito nas sessões SSH. Os usuários LDAP não poderão efetuar login no console. Para mudar este comportamento, examine os outros arquivos em /etc/pam.d e modifique-os de acordo. + + + + + + Switch de serviço de nome + + NSS é o serviço que mapeia atributos para nomes. Assim, por exemplo, se um arquivo é de propriedade do usuário 1001, um aplicativo consultará o NSS para o nome de 1001, e ele pode obter bob ou ted ou qualquer que seja o nome do usuário. + + Agora que nossas informações sobre o usuário são mantidas no LDAP, precisamos dizer ao NSS para procurar lá quando perguntado. + + O port net/nss_ldap faz isso. Ele usa o mesmo arquivo de configuração como security/pam_ldap e não deve precisar de nenhum parâmetro extra depois de instalado. Em vez disso, o que resta é simplesmente editar é /etc/nsswitch.conf para aproveitar o diretório. Simplesmente substitua as seguintes linhas: + + group: compat +passwd: compat + + com + + group: files ldap +passwd: files ldap + + Isso permitirá que você mapeie nomes de usuários para UIDs e UIDs para nomes de usuários. + + Parabéns! Agora você deve ter autenticação LDAP em funcionamento. + + + + Ressalvas + + Infelizmente, a partir do momento em que isso foi escrito, o FreeBSD não suportava a mudança de senhas de usuário com passwd1. Por causa disso, a maioria dos administradores estão deixando para implementar uma solução por conta própria. Eu forneço alguns exemplos aqui. Observe que, se você escrever seu próprio script de alteração de senha, há alguns problemas de segurança dos quais você deve estar ciente; veja + + + Script de shell para alteração de senhas + + #!/bin/sh + +stty -echo +read -p "Old Password: " oldp; echo +read -p "New Password: " np1; echo +read -p "Retype New Password: " np2; echo +stty echo + +if [ "$np1" != "$np2" ]; then + echo "Passwords do not match." + exit 1 +fi + +ldappasswd -D uid="$USER",ou=people,dc=example,dc=org \ + -w "$oldp" \ + -a "$oldp" \ + -s "$np1" + + + + Esse script dificilmente faz qualquer verificação de erros, mas, o mais importante, é muito indiferente sobre como ele armazena suas senhas. Se você fizer algo assim, ajuste pelo menos o valor de sysctl security.bsd.see_other_uids: + + # sysctl security.bsd.see_other_uids=0 + + + Uma abordagem mais flexível (e provavelmente mais segura) pode ser usada escrevendo um programa personalizado, ou até mesmo uma interface web. A seguir, parte de uma biblioteca Ruby que pode alterar senhas LDAP. Ele vê o uso na linha de comando e na web. + + + Script Ruby para Alterar Senhas + + require 'ldap' +require 'base64' +require 'digest' +require 'password' # ruby-password + +ldap_server = "ldap.example.org" +luser = "uid=#{ENV['USER']},ou=people,dc=example,dc=org" + +# get the new password, check it, and create a salted hash from it +def get_password + pwd1 = Password.get("New Password: ") + pwd2 = Password.get("Retype New Password: ") + + raise if pwd1 != pwd2 + pwd1.check # check password strength + + salt = rand.to_s.gsub(/0\./, '') + pass = pwd1.to_s + hash = "{SSHA}"+Base64.encode64(Digest::SHA1.digest("#{pass}#{salt}")+salt).chomp! + return hash +end + +oldp = Password.get("Old Password: ") +newp = get_password + +# We'll just replace it. That we can bind proves that we either know +# the old password or are an admin. + +replace = LDAP::Mod.new(LDAP::LDAP_MOD_REPLACE | LDAP::LDAP_MOD_BVALUES, + "userPassword", + [newp]) + +conn = LDAP::SSLConn.new(ldap_server, 389, true) +conn.set_option(LDAP::LDAP_OPT_PROTOCOL_VERSION, 3) +conn.bind(luser, oldp) +conn.modify(luser, [replace]) + + + Apesar de não ter a garantia de estar livre de falhas de segurança (a senha é mantida na memória, por exemplo), isso é mais limpo e mais flexível do que um simples script sh. + + + + + Considerações de segurança + + Agora que suas máquinas (e possivelmente outros serviços) estão autenticando em seu servidor LDAP, este servidor precisa ser protegido pelo menos tão bem quanto /etc/master.passwd seria em um servidor regular, e possivelmente mais ainda, uma vez que um servidor LDAP corrompido quebraria todos os serviços do cliente. + + Lembre-se, esta seção não é exaustiva. Você deve revisar continuamente sua configuração e procedimentos para melhorias. + + + Definindo atributos somente leitura + + Vários atributos no LDAP devem ser somente leitura. Se deixado gravável pelo usuário, por exemplo, um usuário poderia alterar seu atributo uidNumber para 0 e obter acesso ao root! + + Para começar, o atributo userPassword não deve ser legível por todos. Por padrão, qualquer pessoa que possa se conectar ao servidor LDAP pode ler esse atributo. Para desabilitar isso, coloque o seguinte em slapd.conf: + + + Ocultar senhas + + access to dn.subtree="ou=people,dc=example,dc=org" + attrs=userPassword + by self write + by anonymous auth + by * none + +access to * + by self write + by * read + + + Isso não permitirá a leitura do atributo userPassword, enquanto ainda permite que os usuários alterem suas próprias senhas. + + Além disso, você desejará impedir que os usuários alterem alguns de seus próprios atributos. Por padrão, os usuários podem alterar qualquer atributo (exceto aqueles que os próprios esquemas LDAP negam alterações), como uidNumber. Para fechar este buraco, modifique o acima para + + + Atributos somente leitura + + access to dn.subtree="ou=people,dc=example,dc=org" + attrs=userPassword + by self write + by anonymous auth + by * none + +access to attrs=homeDirectory,uidNumber,gidNumber + by * read + +access to * + by self write + by * read + + + Isso impedirá que os usuários se disfarçam como outros usuários. + + + + Definição da conta <systemitem class="username">root</systemitem> + + Geralmente, a conta root ou a conta de administrador para o serviço LDAP será definida no arquivo de configuração. O OpenLDAP suporta isso, por exemplo, e funciona, mas pode causar problemas se o slapd.conf estiver comprometido. Pode ser melhor usar isto apenas para se autoinicializar no LDAP, e então definir uma conta root . + + Melhor ainda é definir contas com permissões limitadas e omitir totalmente uma conta root. Por exemplo, os usuários que podem adicionar ou remover contas de usuário são adicionados a um grupo, mas não podem alterar a participação desse grupo. Essa política de segurança ajudaria a mitigar os efeitos de uma senha perdida. + + + Criando um grupo de gerenciamento + + Digamos que você queira que seu departamento de TI possa alterar os diretórios pessoais dos usuários, mas não deseja que todos eles possam adicionar ou remover usuários. A maneira de fazer isso é adicionar um grupo para esses administradores: + + + Criando um grupo de gerenciamento + + dn: cn=homemanagement,dc=example,dc=org +objectClass: top +objectClass: posixGroup +cn: homemanagement +gidNumber: 121 # required for posixGroup +memberUid: uid=tuser,ou=people,dc=example,dc=org +memberUid: uid=user2,ou=people,dc=example,dc=org + + + E então mude os atributos de permissões em slapd.conf: + + + ACLs para um grupo de gerenciamento de diretório inicial + + access to dn.subtree="ou=people,dc=example,dc=org" + attr=homeDirectory + by dn="cn=homemanagement,dc=example,dc=org" + dnattr=memberUid write + + + Agora tuser e user2 podem alterar os diretórios home de outros usuários. + + Neste exemplo, demos um subconjunto de poder administrativo a certos usuários sem dar a eles poder em outros domínios. A idéia é que em breve nenhuma conta de usuário tenha o poder de uma conta root, mas todo poder que root tem seja tido por pelo menos um usuário. A conta root torna-se desnecessária e pode ser removida. + + + + + Armazenamento de Senha + + Por padrão, OpenLDAP armazenará o valor do atributo userPassword conforme ele armazena quaisquer outros dados: puro texto. Na maioria das vezes, ele é codificado na base 64, o que fornece proteção suficiente para impedir que um administrador honesto conheça sua senha, mas pouco ainda. + + É uma boa idéia, então, armazenar senhas em um formato mais seguro, como o SSHA (salted SHA). Isso é feito por qualquer programa que você use para alterar as senhas dos usuários. + + + + + Ajudas Úteis + + Existem alguns outros programas que podem ser úteis, especialmente se você tiver muitos usuários e não quiser configurar tudo manualmente. + + O security/pam_mkhomedir é um módulo PAM que sempre é bem-sucedido; Sua finalidade é criar diretórios pessoais para usuários que não os possuem. Se você tiver dezenas de servidores clientes e centenas de usuários, é muito mais fácil usar isso e configurar diretórios esqueletos do que preparar cada diretório inicial. + + O sysutils/cpu é um utilitário do tipo pw8 que pode ser usado para gerenciar usuários no diretório LDAP. Você pode chamá-lo diretamente ou encapsular os scripts em torno dele. Ele pode manipular tanto o TLS (com o sinalizador ) quanto o SSL (diretamente). + + O sysutils/ldapvi é um ótimo utilitário para editar valores LDAP em uma sintaxe semelhante a LDIF. O diretório (ou subseção do diretório) é apresentado no editor escolhido pela variável de ambiente EDITOR. Isso facilita a ativação de alterações em grande escala no diretório sem a necessidade de escrever uma ferramenta personalizada. + + O security/openssh-portable tem a capacidade de contatar um servidor LDAP para verificar as chaves SSH. Isso é extremamente bom se você tiver muitos servidores e não quiser copiar suas chaves públicas em todos eles. + + + + Certificados do <application>OpenSSL</application> para LDAP + + Se você estiver hospedando dois ou mais servidores LDAP, provavelmente não desejará usar certificados autoassinados, já que cada cliente precisará ser configurado para trabalhar com cada certificado. Embora isso seja possível, não é tão simples quanto criar sua própria autoridade de certificação e assinar os certificados de seus servidores com isso. + + Os passos aqui são apresentados como eles são, com muito pouca tentativa de explicar o que está acontecendo - mais explicações podem ser encontradas em openssl1 e aplicações iguais. + + Para criar uma autoridade de certificação, simplesmente precisamos de um certificado e chave autoassinados. As etapas para isso novamente são + + + Criando um Certificado + + % openssl genrsa -out root.key 1024 +% openssl req -new -key root.key -out root.csr +% openssl x509 -req -days 1024 -in root.csr -signkey root.key -out root.crt + + + Estas serão sua chave e certificado de CA raiz. Você provavelmente desejará criptografar a chave e armazená-la em um local seguro; qualquer pessoa com acesso a ele pode se passar por um dos seus servidores LDAP. + + Em seguida, usando as duas primeiras etapas acima, crie uma chave ldap-server-one.key e a solicitação de assinatura de certificado ldap-server-one.csr. Depois de assinar o pedido de assinatura com root.key, você poderá usar o ldap-server-one.* nos servidores LDAP. + + + Não se esqueça de usar o nome de domínio totalmente qualificado para o atributo common name ao gerar a solicitação de assinatura de certificado; caso contrário, os clientes rejeitarão uma conexão com você e poderá ser muito complicado diagnosticar. + + + Para assinar a chave, use e em vez de : + + + Assinando como uma autoridade de certificação + + % openssl x509 -req -dias 1024 \ +-em servidor ldap-one.csr -CA root.crt -CAkey root.key \ +-out ldap-server-one.crt + + + O arquivo resultante será o certificado que você pode usar em seus servidores LDAP. + + Finalmente, para os clientes confiarem em todos os seus servidores, distribua root.crt (o certificado , não a chave!) Para cada cliente, e especifique-o na directiva TLSCACertificateFile no ldap.conf. + +
Property changes on: head/pt_BR.ISO8859-1/articles/ldap-auth/article.xml ___________________________________________________________________ Added: svn:keywords ## -0,0 +1 ## +FreeBSD=%H \ No newline at end of property Added: svn:mime-type ## -0,0 +1 ## +text/xml; charset=UTF-8 \ No newline at end of property Index: head/pt_BR.ISO8859-1/articles/ldap-auth/pt_BR.po =================================================================== --- head/pt_BR.ISO8859-1/articles/ldap-auth/pt_BR.po (nonexistent) +++ head/pt_BR.ISO8859-1/articles/ldap-auth/pt_BR.po (revision 52213) @@ -0,0 +1,1983 @@ +# $FreeBSD$ +# Danilo G. Baio , 2018. #zanata +# Edson Brandi , 2018. #zanata +# Silvio Ap Silva , 2018. #zanata +msgid "" +msgstr "" +"Project-Id-Version: PACKAGE VERSION\n" +"POT-Creation-Date: 2018-09-06 00:18+0000\n" +"PO-Revision-Date: 2018-08-31 01:28+0000\n" +"Last-Translator: Silvio Ap Silva \n" +"Language-Team: \n" +"Language: pt_BR\n" +"MIME-Version: 1.0\n" +"Content-Type: text/plain; charset=UTF-8\n" +"Content-Transfer-Encoding: 8bit\n" +"X-Generator: Zanata 4.6.2\n" +"Plural-Forms: nplurals=2; plural=(n != 1)\n" + +#. Put one translator per line, in the form NAME , YEAR1, YEAR2 +msgctxt "_" +msgid "translator-credits" +msgstr "" +"Edson Brandi, ebrandi@FreeBSD.org, 2018\n" +"Kanazuchi, contato@kanazuchi.com, 2018\n" +"Danilo G. Baio, dbaio@FreeBSD.org, 2018" + +#. (itstool) path: info/title +#: article.translate.xml:5 +msgid "LDAP Authentication" +msgstr "Autenticação LDAP" + +#. (itstool) path: affiliation/address +#: article.translate.xml:14 +#, no-wrap +msgid "" +"\n" +"\t kurin@causa-sui.net\n" +"\t " +msgstr "" +"\n" +"\t kurin@causa-sui.net\n" +"\t " + +#. (itstool) path: authorgroup/author +#: article.translate.xml:8 +msgid "" +" Toby Burress <_:address-1/> " +msgstr "" +" Toby Burress <_:address-1/> " + +#. (itstool) path: info/copyright +#: article.translate.xml:21 +msgid "" +"2007 2008 The FreeBSD Documentation " +"Project" +msgstr "" +"2007 2008 Projeto de Documentação do " +"FreeBSD" + +#. (itstool) path: legalnotice/para +#: article.translate.xml:28 +msgid "FreeBSD is a registered trademark of the FreeBSD Foundation." +msgstr "FreeBSD is a registered trademark of the FreeBSD Foundation." + +#. (itstool) path: legalnotice/para +#: article.translate.xml:30 +msgid "" +"Many of the designations used by manufacturers and sellers to distinguish " +"their products are claimed as trademarks. Where those designations appear in " +"this document, and the FreeBSD Project was aware of the trademark claim, the " +"designations have been followed by the or the ® symbol." +msgstr "" +"Many of the designations used by manufacturers and sellers to distinguish " +"their products are claimed as trademarks. Where those designations appear in " +"this document, and the FreeBSD Project was aware of the trademark claim, the " +"designations have been followed by the or the ® symbol." + +#. (itstool) path: info/pubdate +#. (itstool) path: info/releaseinfo +#: article.translate.xml:38 article.translate.xml:40 +msgid "" +"$FreeBSD: head/en_US.ISO8859-1/articles/ldap-auth/article.xml 47080 " +"2015-07-25 16:21:53Z bcr $" +msgstr "" +"$FreeBSD: head/en_US.ISO8859-1/articles/ldap-auth/article.xml 47080 " +"2015-07-25 16:21:53Z bcr $" + +#. (itstool) path: abstract/para +#: article.translate.xml:43 +msgid "" +"This document is intended as a guide for the configuration of an LDAP server " +"(principally an OpenLDAP server) for " +"authentication on FreeBSD. This is useful for situations where many servers " +"need the same user accounts, for example as a replacement for " +"NIS." +msgstr "" +"Este documento pretende ser um guia para a configuração de um servidor LDAP " +"(principalmente um servidor OpenLDAP) para " +"autenticação no FreeBSD. Isso é útil para situações em que muitos servidores " +"precisam das mesmas contas de usuário, por exemplo, como substituto do " +"NIS." + +#. (itstool) path: sect1/title +#: article.translate.xml:53 +msgid "Preface" +msgstr "Prefácio" + +#. (itstool) path: sect1/para +#: article.translate.xml:55 +msgid "" +"This document is intended to give the reader enough of an understanding of " +"LDAP to configure an LDAP server. This document will attempt to provide an " +"explanation of net/nss_ldap and security/" +"pam_ldap for use with client machines services for use with the " +"LDAP server." +msgstr "" +"Este documento destina-se a fornecer ao leitor uma compreensão suficiente do " +"LDAP para configurar um servidor LDAP. Este documento tentará fornecer uma " +"explicação de net/nss_ldap e security/pam_ldap para uso com serviços de máquinas cliente para uso com o servidor " +"LDAP." + +#. (itstool) path: sect1/para +#: article.translate.xml:62 +msgid "" +"When finished, the reader should be able to configure and deploy a FreeBSD " +"server that can host an LDAP directory, and to configure and deploy a " +"FreeBSD server which can authenticate against an LDAP directory." +msgstr "" +"Quando terminar, o leitor deve ser capaz de configurar e implantar um " +"servidor FreeBSD que possa hospedar um diretório LDAP e configurar e " +"implantar um servidor FreeBSD que possa autenticar em um diretório LDAP." + +#. (itstool) path: sect1/para +#: article.translate.xml:67 +msgid "" +"This article is not intended to be an exhaustive account of the security, " +"robustness, or best practice considerations for configuring LDAP or the " +"other services discussed herein. While the author takes care to do " +"everything correctly, they do not address security issues beyond a general " +"scope. This article should be considered to lay the theoretical groundwork " +"only, and any actual implementation should be accompanied by careful " +"requirement analysis." +msgstr "" +"Este artigo não pretende ser um relato exaustivo da segurança, robustez ou " +"considerações sobre práticas recomendadas para configurar o LDAP ou os " +"outros serviços discutidos aqui. Embora o autor tenha o cuidado de fazer " +"tudo corretamente, ele não aborda problemas de segurança além do escopo " +"geral. Este artigo deve ser considerado para estabelecer as bases teóricas " +"somente, e qualquer implementação real deve ser acompanhada por uma análise " +"cuidadosa dos requisitos." + +#. (itstool) path: sect1/title +#: article.translate.xml:78 +msgid "Configuring LDAP" +msgstr "Configurando o LDAP" + +#. (itstool) path: sect1/para +#: article.translate.xml:80 +msgid "" +"LDAP stands for Lightweight Directory Access Protocol and is " +"a subset of the X.500 Directory Access Protocol. Its most recent " +"specifications are in RFC4510 and friends. Essentially it is a database that expects to " +"be read from more often than it is written to." +msgstr "" +"LDAP significa Lightweight Directory Access Protocol e é um " +"subconjunto do X.500 Directory Access Protocol. Suas especificações mais " +"recentes estão na RFC4510 e documentos amigaveis. Essencialmente, é um banco de " +"dados que espera ser lido com mais frequência do que é escrito." + +#. (itstool) path: sect1/para +#: article.translate.xml:86 +msgid "" +"The LDAP server OpenLDAP will be used in the examples in this document; while the principles " +"here should be generally applicable to many different servers, most of the " +"concrete administration is OpenLDAP-specific. " +"There are several server versions in ports, for example net/" +"openldap24-server. Client servers will need the corresponding " +"net/openldap24-client libraries." +msgstr "" +"O servidor LDAP OpenLDAP será usado nos exemplos deste documento; embora os princípios aqui " +"devam ser geralmente aplicáveis ​​a muitos servidores diferentes, a maior " +"parte da administração concreta é especificamente para " +"OpenLDAP. Existem várias versões de servidor nos " +"ports, por exemplo net/openldap24-server. Os servidores " +"clientes precisarão das bibliotecas net/openldap24-client " +"correspondentes." + +#. (itstool) path: sect1/para +#: article.translate.xml:96 +msgid "" +"There are (basically) two areas of the LDAP service which need " +"configuration. The first is setting up a server to receive connections " +"properly, and the second is adding entries to the server's directory so that " +"FreeBSD tools know how to interact with it." +msgstr "" +"Existem (basicamente) duas áreas do serviço LDAP que precisam de " +"configuração. A primeira é a configuração de um servidor para receber as " +"conexões corretamente, e o segundo é adicionar entradas ao diretório do " +"servidor para que as ferramentas do FreeBSD saibam como interagir com ele." + +#. (itstool) path: sect2/title +#: article.translate.xml:103 +msgid "Setting Up the Server for Connections" +msgstr "Configurando o servidor para conexões" + +#. (itstool) path: note/para +#: article.translate.xml:106 +msgid "" +"This section is specific to OpenLDAP. If you are " +"using another server, you will need to consult that server's documentation." +msgstr "" +"Esta seção é específica do OpenLDAP. Se você " +"estiver usando outro servidor, precisará consultar a documentação desse " +"servidor." + +#. (itstool) path: sect3/title +#. (itstool) path: example/title +#: article.translate.xml:113 article.translate.xml:119 +msgid "Installing OpenLDAP" +msgstr "Instalando o OpenLDAP" + +#. (itstool) path: sect3/para +#: article.translate.xml:115 +msgid "First, install OpenLDAP:" +msgstr "Primeiro, instale o OpenLDAP:" + +#. (itstool) path: example/screen +#: article.translate.xml:122 +#, no-wrap +msgid "" +"# cd /usr/ports/net/openldap24-server\n" +"# make install clean" +msgstr "" +"# cd /usr/ports/net/openldap24-server\n" +"# make install clean" + +#. (itstool) path: sect3/para +#: article.translate.xml:126 +msgid "" +"This installs the slapd and slurpd " +"binaries, along with the required OpenLDAP " +"libraries." +msgstr "" +"Isso instala os binários slapd e slurpd, juntamente com as bibliotecas OpenLDAP " +"requeridas." + +#. (itstool) path: sect3/title +#: article.translate.xml:132 +msgid "Configuring OpenLDAP" +msgstr "Configurando o OpenLDAP" + +#. (itstool) path: sect3/para +#: article.translate.xml:134 +msgid "Next we must configure OpenLDAP." +msgstr "Em seguida, devemos configurar o OpenLDAP." + +#. (itstool) path: sect3/para +#: article.translate.xml:137 +msgid "" +"You will want to require encryption in your connections to the LDAP server; " +"otherwise your users' passwords will be transferred in plain text, which is " +"considered insecure. The tools we will be using support two very similar " +"kinds of encryption, SSL and TLS." +msgstr "" +"Você desejará exigir criptografia em suas conexões com o servidor LDAP; caso " +"contrário, as senhas de seus usuários serão transferidas em texto simples, o " +"que é considerado inseguro. As ferramentas que usaremos suportam dois tipos " +"muito semelhantes de criptografia, SSL e TLS." + +#. (itstool) path: sect3/para +#: article.translate.xml:143 +msgid "" +"TLS stands for Transportation Layer Security. Services that " +"employ TLS tend to connect on the same ports as the " +"same services without TLS; thus an SMTP server which supports TLS will " +"listen for connections on port 25, and an LDAP server will listen on 389." +msgstr "" +"TLS significa Segurança da Camada de Transporte. Serviços que " +"empregam TLS tendem a se conectar nas mesmas portas que " +"os mesmos serviços sem TLS; assim, um servidor SMTP que suporte o TLS " +"escutará as conexões na porta 25 e um servidor LDAP escutará no 389." + +#. (itstool) path: sect3/para +#: article.translate.xml:150 +msgid "" +"SSL stands for Secure Sockets Layer, and services that " +"implement SSL do not listen on the same ports as their " +"non-SSL counterparts. Thus SMTPS listens on port 465 (not 25), HTTPS listens " +"on 443, and LDAPS on 636." +msgstr "" +"SSL significa Secure Sockets Layer, e serviços que " +"implementam SSL não escutam nas mesmas portas que seus " +"equivalentes não-SSL. Assim, o SMTPS atende na porta 465 (não 25), HTTPS " +"escuta na 443 e LDAPS na 636." + +#. (itstool) path: sect3/para +#: article.translate.xml:156 +msgid "" +"The reason SSL uses a different port than TLS is because a TLS connection " +"begins as plain text, and switches to encrypted traffic after the " +"STARTTLS directive. SSL connections are encrypted from " +"the beginning. Other than that there are no substantial differences between " +"the two." +msgstr "" +"A razão pela qual o SSL usa uma porta diferente do TLS é porque uma conexão " +"TLS começa como texto simples e alterna para o tráfego criptografado após a " +"diretiva STARTTLS. As conexões SSL são criptografadas " +"desde o início. Além disso, não há diferenças substanciais entre os dois." + +#. (itstool) path: note/para +#: article.translate.xml:164 +msgid "" +"We will adjust OpenLDAP to use TLS, as SSL is " +"considered deprecated." +msgstr "" +"Ajustaremos o OpenLDAP para usar o TLS, já que o " +"SSL é considerado obsoleto." + +#. (itstool) path: sect3/para +#: article.translate.xml:168 +msgid "" +"Once OpenLDAP is installed via ports, the " +"following configuration parameters in /usr/local/etc/openldap/" +"slapd.conf will enable TLS:" +msgstr "" +"Uma vez que o OpenLDAP esteja instalado via " +"ports, os seguintes parâmetros de configuração em /usr/local/etc/" +"openldap/slapd.conf irão ativar o TLS:" + +#. (itstool) path: sect3/programlisting +#: article.translate.xml:173 +#, no-wrap +msgid "" +"security ssf=128\n" +"\n" +"TLSCertificateFile /path/to/your/cert.crt\n" +"TLSCertificateKeyFile /path/to/your/cert.key\n" +"TLSCACertificateFile /path/to/your/cacert.crt" +msgstr "" +"security ssf=128\n" +"\n" +"TLSCertificateFile /caminho/para/seu/cert.crt\n" +"TLSCertificateKeyFile /caminho/para/sua/cert.key\n" +"TLSCACertificateFile /caminho/para/seu/cacert.crt" + +#. (itstool) path: sect3/para +#: article.translate.xml:180 +msgid "" +"Here, ssf=128 tells OpenLDAP " +"to require 128-bit encryption for all connections, both search and update. " +"This parameter may be configured based on the security needs of your site, " +"but rarely you need to weaken it, as most LDAP client libraries support " +"strong encryption." +msgstr "" +"Aqui, ssf=128 diz ao OpenLDAP " +"para exigir criptografia de 128 bits para todas as conexões, tanto de " +"pesquisa quanto de atualização. Esse parâmetro pode ser configurado com base " +"nas necessidades de segurança do seu site, mas raramente é necessário " +"enfraquecê-la, pois a maioria das bibliotecas de clientes LDAP oferece " +"suporte à criptografia forte." + +#. (itstool) path: sect3/para +#: article.translate.xml:187 +msgid "" +"The cert.crt, cert.key, and " +"cacert.crt files are necessary for clients to " +"authenticate you as the valid LDAP server. If you " +"simply want a server that runs, you can create a self-signed certificate " +"with OpenSSL:" +msgstr "" +"Os arquivos cert.crt, cert.key e " +"cacert.crt são necessários para que os clientes " +"autentiquem você como o servidor LDAP válido. Se você " +"simplesmente quiser um servidor que seja executado, poderá criar um " +"certificado autoassinado com o OpenSSL:" + +#. (itstool) path: example/title +#: article.translate.xml:196 +msgid "Generating an RSA Key" +msgstr "Gerando uma chave RSA" + +#. (itstool) path: example/screen +#: article.translate.xml:198 +#, no-wrap +msgid "" +"% openssl genrsa -out cert.key 1024\n" +"Generating RSA private key, 1024 bit long modulus\n" +"....................++++++\n" +"...++++++\n" +"e is 65537 (0x10001)\n" +"% openssl req -new -key cert.key -out cert.csr" +msgstr "" +"% openssl genrsa -out cert.key 1024\n" +"Generating RSA private key, 1024 bit long modulus\n" +"....................++++++\n" +"...++++++\n" +"e is 65537 (0x10001)\n" +"% openssl req -new -key cert.key -out cert.csr" + +#. (itstool) path: sect3/para +#: article.translate.xml:206 +msgid "" +"At this point you should be prompted for some values. You may enter whatever " +"values you like; however, it is important the Common Name " +"value be the fully qualified domain name of the OpenLDAP server. In our case, and the examples here, the server is " +"server.example.org. Incorrectly setting this " +"value will cause clients to fail when making connections. This can the cause " +"of great frustration, so ensure that you follow these steps closely." +msgstr "" +"Neste ponto, você deve ser solicitado para digitar alguns valores. Você pode " +"inserir os valores que quiser; no entanto, é importante que o valor " +"Common Name seja o nome de domínio totalmente qualificado do " +"servidor OpenLDAP. No nosso caso, e os exemplos " +"aqui, o servidor é server.example.org. Definir " +"incorretamente esse valor fará com que os clientes falhem ao fazer conexões. " +"Isso pode causar uma grande frustração, portanto, certifique-se de seguir " +"atentamente estas etapas." + +#. (itstool) path: sect3/para +#: article.translate.xml:217 +msgid "Finally, the certificate signing request needs to be signed:" +msgstr "" +"Por fim, a requisição de assinatura de certificado precisa ser assinada:" + +#. (itstool) path: example/title +#: article.translate.xml:221 +msgid "Self-signing the Certificate" +msgstr "Auto-assinando o certificado" + +#. (itstool) path: example/screen +#: article.translate.xml:223 +#, no-wrap +msgid "" +"% openssl x509 -req -in cert.csr -days 365 -signkey cert.key -out cert.crt\n" +"Signature ok\n" +"subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd\n" +"Getting Private key" +msgstr "" +"% openssl x509 -req -in cert.csr -days 365 -signkey cert.key -out cert.crt\n" +"Signature ok\n" +"subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd\n" +"Getting Private key" + +#. (itstool) path: sect3/para +#: article.translate.xml:229 +msgid "" +"This will create a self-signed certificate that can be used for the " +"directives in slapd.conf, where cert.crt and cacert.crt are the same file. If you are " +"going to use many OpenLDAP servers (for " +"replication via slurpd) you will want to see to generate a CA key and use it to sign individual " +"server certificates." +msgstr "" +"Isso criará um certificado auto-assinado que pode ser usado para as " +"diretivas em slapd.conf, onde cert.crt e cacert.crt são o mesmo arquivo. Se você for " +"usar muitos servidores OpenLDAP (para replicação " +"via slurpd), você vai querer ver para gerar uma chave CA e usá-la para assinar certificados de servidor " +"individuais." + +#. (itstool) path: sect3/para +#: article.translate.xml:239 +msgid "" +"Once this is done, put the following in /etc/rc.conf:" +msgstr "Feito isso, coloque o seguinte em /etc/rc.conf:" + +#. (itstool) path: sect3/programlisting +#: article.translate.xml:242 +#, no-wrap +msgid "slapd_enable=\"YES\"" +msgstr "slapd_enable=\"YES\"" + +#. (itstool) path: sect3/para +#: article.translate.xml:244 +msgid "" +"Then run /usr/local/etc/rc.d/slapd start. This should " +"start OpenLDAP. Confirm that it is listening on " +"389 with" +msgstr "" +"Em seguida, execute /usr/local/etc/rc.d/slapd start. " +"Isso deve iniciar o OpenLDAP. Confirme que está " +"escutando em 389 com" + +#. (itstool) path: sect3/screen +#: article.translate.xml:249 +#, no-wrap +msgid "" +"% sockstat -4 -p 389\n" +"ldap slapd 3261 7 tcp4 *:389 *:*" +msgstr "" +"% sockstat -4 -p 389\n" +"ldap slapd 3261 7 tcp4 *:389 *:*" + +#. (itstool) path: sect3/title +#: article.translate.xml:254 +msgid "Configuring the Client" +msgstr "Configurando o Cliente" + +#. (itstool) path: sect3/para +#: article.translate.xml:256 +msgid "" +"Install the net/openldap24-client port for the " +"OpenLDAP libraries. The client machines will " +"always have OpenLDAP libraries since that is all " +"security/pam_ldap and net/nss_ldap " +"support, at least for the moment." +msgstr "" +"Instale o port net/openldap24-client para as bibliotecas " +"do OpenLDAP. As máquinas cliente sempre terão " +"bibliotecas OpenLDAP, já que é todo o suporte a " +"security/pam_ldap e net/nss_ldap, pelo " +"menos por enquanto." + +#. (itstool) path: sect3/para +#: article.translate.xml:264 +msgid "" +"The configuration file for the OpenLDAP libraries " +"is /usr/local/etc/openldap/ldap.conf. Edit this file to " +"contain the following values:" +msgstr "" +"O arquivo de configuração para as bibliotecas OpenLDAP é /usr/local/etc/openldap/ldap.conf. Edite " +"este arquivo para conter os seguintes valores:" + +#. (itstool) path: sect3/programlisting +#: article.translate.xml:269 +#, no-wrap +msgid "" +"base dc=example,dc=org\n" +"uri ldap://server.example.org/\n" +"ssl start_tls\n" +"tls_cacert /path/to/your/cacert.crt" +msgstr "" +"base dc=example,dc=org\n" +"uri ldap://server.example.org/\n" +"ssl start_tls\n" +"tls_cacert /path/to/your/cacert.crt" + +#. (itstool) path: note/para +#: article.translate.xml:275 +msgid "" +"It is important that your clients have access to cacert.crt, otherwise they will not be able to connect." +msgstr "" +"É importante que seus clientes tenham acesso ao cacert.crt, caso contrário, eles não poderão se conectar." + +#. (itstool) path: note/para +#: article.translate.xml:281 +msgid "" +"There are two files called ldap.conf. The first is this " +"file, which is for the OpenLDAP libraries and " +"defines how to talk to the server. The second is /usr/local/etc/" +"ldap.conf, and is for pam_ldap." +msgstr "" +"Existem dois arquivos chamados ldap.conf. O primeiro é " +"este arquivo, que é para as bibliotecas OpenLDAP " +"e define como falar com o servidor. O segundo é /usr/local/etc/" +"ldap.conf e é para pam_ldap." + +#. (itstool) path: sect3/para +#: article.translate.xml:289 +msgid "" +"At this point you should be able to run ldapsearch -Z " +"on the client machine; means use TLS. If " +"you encounter an error, then something is configured wrong; most likely it " +"is your certificates. Use openssl1's s_client and s_server to ensure you have them configured " +"and signed properly." +msgstr "" +"Neste ponto, você deve conseguir executar ldapsearch -Z na máquina cliente; significa usar o " +"TLS. Se você encontrar um erro, então algo está configurado errado; " +"muito provavelmente são seus certificados. Use os comandos " +"s_client e s_server do " +"openssl1 para assegurar que você os tenha configurado e " +"assinado corretamente." + +#. (itstool) path: sect2/title +#: article.translate.xml:301 +msgid "Entries in the Database" +msgstr "Entradas no banco de dados" + +#. (itstool) path: sect2/para +#: article.translate.xml:303 +msgid "" +"Authentication against an LDAP directory is generally accomplished by " +"attempting to bind to the directory as the connecting user. This is done by " +"establishing a simple bind on the directory with the user " +"name supplied. If there is an entry with the uid equal to " +"the user name and that entry's userPassword attribute " +"matches the password supplied, then the bind is successful." +msgstr "" +"A autenticação em um diretório LDAP geralmente é realizada pela tentativa de " +"vincular ao diretório como o usuário de conexão. Isso é feito estabelecendo " +"um vinculo simples no diretório com o nome de usuário " +"fornecido. Se houver uma entrada com o uid igual ao nome " +"do usuário e o atributo userPassword da entrada " +"corresponder à senha fornecida, o vinculo será bem-sucedido." + +#. (itstool) path: sect2/para +#: article.translate.xml:312 +msgid "" +"The first thing we have to do is figure out is where in the directory our " +"users will live." +msgstr "" +"A primeira coisa que temos que fazer é descobrir onde no diretório os nossos " +"usuários irão estar." + +#. (itstool) path: sect2/para +#: article.translate.xml:315 +msgid "" +"The base entry for our database is dc=example,dc=org. The " +"default location for users that most clients seem to expect is something " +"like ou=people,base, so that " +"is what will be used here. However keep in mind that this is configurable." +msgstr "" +"A entrada de base para nosso banco de dados é dc=example,dc=org. O local padrão para usuários que a maioria dos clientes parece " +"esperar é algo como ou=people, base , então é isso que será usado aqui. No entanto, tenha em mente que " +"isso é configurável." + +#. (itstool) path: sect2/para +#: article.translate.xml:322 +msgid "" +"So the ldif entry for the people organizational unit will " +"look like:" +msgstr "" +"Assim, a entrada ldif para a unidade organizacional people será semelhante a:" + +#. (itstool) path: sect2/programlisting +#: article.translate.xml:325 +#, no-wrap +msgid "" +"dn: ou=people,dc=example,dc=org\n" +"objectClass: top\n" +"objectClass: organizationalUnit\n" +"ou: people" +msgstr "" +"dn: ou=people,dc=example,dc=org\n" +"objectClass: top\n" +"objectClass: organizationalUnit\n" +"ou: people" + +#. (itstool) path: sect2/para +#: article.translate.xml:330 +msgid "All users will be created as subentries of this organizational unit." +msgstr "" +"Todos os usuários serão criados como subentradas dessa unidade " +"organizacional." + +#. (itstool) path: sect2/para +#: article.translate.xml:333 +msgid "" +"Some thought might be given to the object class your users will belong to. " +"Most tools by default will use people, which is fine if " +"you simply want to provide entries against which to authenticate. However, " +"if you are going to store user information in the LDAP database as well, you " +"will probably want to use inetOrgPerson, which has many " +"useful attributes. In either case, the relevant schemas need to be loaded in " +"slapd.conf." +msgstr "" +"Alguma consideração pode ser dada à classe de objeto a que seus usuários " +"pertencerão. A maioria das ferramentas, por padrão, usará people, o que é bom se você quiser simplesmente fornecer entradas para " +"autenticar. No entanto, se você for armazenar informações do usuário no " +"banco de dados LDAP, provavelmente usará inetOrgPerson, " +"que possui muitos atributos úteis. Em ambos os casos, os esquemas relevantes " +"precisam ser carregados em slapd.conf." + +#. (itstool) path: sect2/para +#: article.translate.xml:343 +msgid "" +"For this example we will use the person object class. If " +"you are using inetOrgPerson, the steps are basically " +"identical, except that the sn attribute is required." +msgstr "" +"Para este exemplo, usaremos a classe de objeto person. Se " +"você estiver usando inetOrgPerson, as etapas são " +"basicamente idênticas, exceto que o atributo sn é " +"necessário." + +#. (itstool) path: sect2/para +#: article.translate.xml:349 +msgid "To add a user testuser, the ldif would be:" +msgstr "Para adicionar um usuário testuser, o ldif seria:" + +#. (itstool) path: sect2/programlisting +#: article.translate.xml:352 +#, no-wrap +msgid "" +"dn: uid=tuser,ou=people,dc=example,dc=org\n" +"objectClass: person\n" +"objectClass: posixAccount\n" +"objectClass: shadowAccount\n" +"objectClass: top\n" +"uidNumber: 10000\n" +"gidNumber: 10000\n" +"homeDirectory: /home/tuser\n" +"loginShell: /bin/csh\n" +"uid: tuser\n" +"cn: tuser" +msgstr "" +"dn: uid=tuser,ou=people,dc=example,dc=org\n" +"objectClass: person\n" +"objectClass: posixAccount\n" +"objectClass: shadowAccount\n" +"objectClass: top\n" +"uidNumber: 10000\n" +"gidNumber: 10000\n" +"homeDirectory: /home/tuser\n" +"loginShell: /bin/csh\n" +"uid: tuser\n" +"cn: tuser" + +#. (itstool) path: sect2/para +#: article.translate.xml:364 +msgid "" +"I start my LDAP users' UIDs at 10000 to avoid collisions with system " +"accounts; you can configure whatever number you wish here, as long as it is " +"less than 65536." +msgstr "" +"Eu inicio os UIDs dos meus usuários LDAP em 10000 para evitar colisões com " +"contas do sistema; você pode configurar o número que desejar aqui, desde que " +"seja menor que 65536." + +#. (itstool) path: sect2/para +#: article.translate.xml:368 +msgid "" +"We also need group entries. They are as configurable as user entries, but we " +"will use the defaults below:" +msgstr "" +"Também precisamos de entradas de grupo. Eles são configuráveis ​​como entradas " +"do usuário, mas usaremos os padrões abaixo:" + +#. (itstool) path: sect2/programlisting +#: article.translate.xml:371 +#, no-wrap +msgid "" +"dn: ou=groups,dc=example,dc=org\n" +"objectClass: top\n" +"objectClass: organizationalUnit\n" +"ou: groups\n" +"\n" +"dn: cn=tuser,ou=groups,dc=example,dc=org\n" +"objectClass: posixGroup\n" +"objectClass: top\n" +"gidNumber: 10000\n" +"cn: tuser" +msgstr "" +"dn: ou=groups,dc=example,dc=org\n" +"objectClass: top\n" +"objectClass: organizationalUnit\n" +"ou: groups\n" +"\n" +"dn: cn=tuser,ou=groups,dc=example,dc=org\n" +"objectClass: posixGroup\n" +"objectClass: top\n" +"gidNumber: 10000\n" +"cn: tuser" + +#. (itstool) path: sect2/para +#: article.translate.xml:382 +msgid "" +"To enter these into your database, you can use slapadd or " +"ldapadd on a file containing these entries. " +"Alternatively, you can use sysutils/ldapvi." +msgstr "" +"Para inseri-los em seu banco de dados, você pode usar slapadd ou ldapadd em um arquivo contendo essas " +"entradas. Alternativamente, você pode usar o sysutils/ldapvi." + +#. (itstool) path: sect2/para +#: article.translate.xml:387 +msgid "" +"The ldapsearch utility on the client machine should now " +"return these entries. If it does, your database is properly configured to be " +"used as an LDAP authentication server." +msgstr "" +"O utilitário ldapsearch na máquina cliente deve agora " +"retornar essas entradas. Em caso afirmativo, o banco de dados está " +"configurado corretamente para ser usado como um servidor de autenticação " +"LDAP." + +#. (itstool) path: sect1/title +#: article.translate.xml:395 +msgid "Client Configuration" +msgstr "Configuração do Cliente" + +#. (itstool) path: sect1/para +#: article.translate.xml:397 +msgid "" +"The client should already have OpenLDAP libraries " +"from , but if you are installing " +"several client machines you will need to install net/openldap24-" +"client on each of them." +msgstr "" +"O cliente já deve ter bibliotecas do OpenLDAP do " +", mas se você estiver instalando " +"várias máquinas clientes, precisará instalar o net/openldap24-" +"client em cada um deles." + +#. (itstool) path: sect1/para +#: article.translate.xml:402 +msgid "" +"FreeBSD requires two ports to be installed to authenticate against an LDAP " +"server, security/pam_ldap and net/nss_ldap." +msgstr "" +"O FreeBSD requer que dois ports sejam instalados para autenticação em um " +"servidor LDAP, security/pam_ldap e net/nss_ldap." + +#. (itstool) path: sect2/title +#: article.translate.xml:407 +msgid "Authentication" +msgstr "Autenticação" + +#. (itstool) path: sect2/para +#: article.translate.xml:409 +msgid "" +"security/pam_ldap is configured via /usr/local/" +"etc/ldap.conf." +msgstr "" +"O security/pam_ldap é configurado através do /" +"usr/local/etc/ldap.conf." + +#. (itstool) path: note/para +#: article.translate.xml:413 +msgid "" +"This is a different file than the " +"OpenLDAP library functions' configuration file, " +"/usr/local/etc/openldap/ldap.conf; however, it takes " +"many of the same options; in fact it is a superset of that file. For the " +"rest of this section, references to ldap.conf will mean " +"/usr/local/etc/ldap.conf." +msgstr "" +"Este é um arquivo diferente que o arquivo de " +"configuração das funções da biblioteca OpenLDAP, " +"/usr/local/etc/openldap/ldap.conf; no entanto, são " +"necessárias muitas das mesmas opções; na verdade, é um superconjunto desse " +"arquivo. Para o resto desta seção, referências a ldap.conf irão significar o arquivo /usr/local/etc/ldap.conf." + +#. (itstool) path: sect2/para +#: article.translate.xml:423 +msgid "" +"Thus, we will want to copy all of our original configuration parameters from " +"openldap/ldap.conf to the new ldap.conf. Once this is done, we want to tell security/pam_ldap what to look for on the directory server." +msgstr "" +"Assim, vamos querer copiar todos os nossos parâmetros de configuração " +"originais do openldap/ldap.conf para o novo " +"ldap.conf. Feito isso, queremos informar ao " +"security/pam_ldap o que procurar no servidor de diretório." + +#. (itstool) path: sect2/para +#: article.translate.xml:430 +msgid "" +"We are identifying our users with the uid attribute. To " +"configure this (though it is the default), set the " +"pam_login_attribute directive in ldap.conf:" +msgstr "" +"Estamos identificando nossos usuários com o atributo uid. " +"Para configurar isso (embora seja o padrão), defina a diretiva " +"pam_login_attribute no ldap.conf:" + +#. (itstool) path: example/title +#: article.translate.xml:437 +msgid "Setting pam_login_attribute" +msgstr "Definindo pam_login_attribute" + +#. (itstool) path: example/programlisting +#: article.translate.xml:439 +#, no-wrap +msgid "pam_login_attribute uid" +msgstr "pam_login_attribute uid" + +#. (itstool) path: sect2/para +#: article.translate.xml:442 +msgid "" +"With this set, security/pam_ldap will search the entire " +"LDAP directory under base for the value " +"uid=username. If it finds one " +"and only one entry, it will attempt to bind as that user with the password " +"it was given. If it binds correctly, then it will allow access. Otherwise it " +"will fail." +msgstr "" +"Com esta definição, o security/pam_ldap pesquisará todo o " +"diretório LDAP na base para o valor " +"uid=username . Se encontrar " +"uma e apenas uma entrada, ela tentará se vincular como aquele usuário com a " +"senha que foi fornecida. Se vincular corretamente, então permitirá o acesso. " +"Caso contrário, falhará." + +#. (itstool) path: sect2/para +#: article.translate.xml:451 +msgid "" +"Users whose shell is not in /etc/shells will not be " +"able to log in. This is particularly important when Bash is set as the user shell on the LDAP server. Bash is not included with a default installation of FreeBSD. When " +"installed from a package or port, it is located at /usr/local/bin/" +"bash. Verify that the path to the shell on the server is set " +"correctly:" +msgstr "" +"Os usuários cujo shell não está em /etc/shells não " +"poderão efetuar login. Isto é particularmente importante quando o " +"Bash é definido como o shell do usuário no " +"servidor LDAP. O Bash não está incluído em uma " +"instalação padrão do FreeBSD. Quando instalado a partir de um pacote ou " +"port, ele está localizado em /usr/local/bin/bash. " +"Verifique se o caminho para o shell no servidor está definido corretamente:" + +#. (itstool) path: sect2/screen +#: article.translate.xml:461 +#, no-wrap +msgid "% getent passwd username" +msgstr "% getent passwd username" + +#. (itstool) path: sect2/para +#: article.translate.xml:463 +msgid "" +"There are two choices when the output shows /bin/bash in " +"the last column. The first is to change the user's entry on the LDAP server " +"to /usr/local/bin/bash. The second option is to create " +"a symlink on the LDAP client computer so Bash is " +"found at the correct location:" +msgstr "" +"Existem duas opções quando a saída mostra /bin/bash na " +"última coluna. A primeira é alterar a entrada do usuário no servidor LDAP " +"para /usr/local/bin/bash. A segunda opção é criar um " +"link simbólico no computador cliente LDAP para que o Bash seja encontrado no local correto:" + +#. (itstool) path: sect2/screen +#: article.translate.xml:471 +#, no-wrap +msgid "# ln -s /usr/local/bin/bash /bin/bash" +msgstr "# ln -s /usr/local/bin/bash /bin/bash" + +#. (itstool) path: sect2/para +#: article.translate.xml:473 +msgid "" +"Make sure that /etc/shells contains entries for both " +"/usr/local/bin/bash and /bin/bash. The " +"user will then be able to log in to the system with Bash as their shell." +msgstr "" +"Certifique-se de que /etc/shells contenha entradas para " +"ambos /usr/local/bin/bash e /bin/bash. " +"O usuário poderá então efetuar login no sistema com Bash como seu shell." + +#. (itstool) path: sect3/title +#: article.translate.xml:480 +msgid "PAM" +msgstr "PAM" + +#. (itstool) path: sect3/para +#: article.translate.xml:482 +msgid "" +"PAM, which stands for Pluggable Authentication Modules, is " +"the method by which FreeBSD authenticates most of its sessions. To tell " +"FreeBSD we wish to use an LDAP server, we will have to add a line to the " +"appropriate PAM file." +msgstr "" +"PAM, que significa Pluggable Authentication Modules, é o " +"método pelo qual o FreeBSD autentica a maioria de suas sessões. Para dizer " +"ao FreeBSD que desejamos usar um servidor LDAP, teremos que adicionar uma " +"linha ao arquivo PAM apropriado." + +#. (itstool) path: sect3/para +#: article.translate.xml:488 +msgid "" +"Most of the time the appropriate PAM file is /etc/pam.d/sshd, if you want to use SSH (remember to " +"set the relevant options in /etc/ssh/sshd_config, " +"otherwise SSH will not use PAM)." +msgstr "" +"Na maioria das vezes o arquivo PAM apropriado é /etc/pam.d/sshd, se você quiser usar SSH (lembre-se de " +"definir as opções relevantes em /etc/ssh/sshd_config, " +"caso contrário o SSH não usará o PAM)." + +#. (itstool) path: sect3/para +#: article.translate.xml:495 +msgid "To use PAM for authentication, add the line" +msgstr "Para usar o PAM para autenticação, adicione a linha" + +#. (itstool) path: sect3/programlisting +#: article.translate.xml:497 +#, no-wrap +msgid "auth sufficient /usr/local/lib/pam_ldap.so no_warn" +msgstr "auth suficiente /usr/local/lib/pam_ldap.so no_warn" + +#. (itstool) path: sect3/para +#: article.translate.xml:499 +msgid "" +"Exactly where this line shows up in the file and which options appear in the " +"fourth column determine the exact behavior of the authentication mechanism; " +"see pam.d5" +msgstr "" +"Exatamente onde essa linha aparece no arquivo e quais opções aparecem na " +"quarta coluna, determine o comportamento exato do mecanismo de autenticação; " +"veja pam.d5" + +#. (itstool) path: sect3/para +#: article.translate.xml:504 +msgid "" +"With this configuration you should be able to authenticate a user against an " +"LDAP directory. PAM will perform a bind with your " +"credentials, and if successful will tell SSH to " +"allow access." +msgstr "" +"Com essa configuração, você deve conseguir autenticar um usuário em um " +"diretório LDAP. O PAM executará uma ligação com " +"suas credenciais e, se for bem-sucedido, informará ao SSH para permitir o acesso." + +#. (itstool) path: sect3/para +#: article.translate.xml:510 +msgid "" +"However it is not a good idea to allow every user in " +"the directory into every client machine. With the " +"current configuration, all that a user needs to log into a machine is an " +"LDAP entry. Fortunately there are a few ways to restrict user access." +msgstr "" +"No entanto, não é uma boa idéia permitir que todo " +"usuário no diretório dentro de todo computador cliente. " +"Com a configuração atual, tudo o que um usuário precisa para efetuar login " +"em uma máquina é uma entrada LDAP. Felizmente, existem algumas maneiras de " +"restringir o acesso do usuário." + +#. (itstool) path: sect3/para +#: article.translate.xml:517 +msgid "" +"ldap.conf supports a pam_groupdn " +"directive; every account that connects to this machine needs to be a member " +"of the group specified here. For example, if you have" +msgstr "" +"O ldap.conf suporta uma diretiva pam_groupdn; Cada conta que se conecta a essa máquina precisa ser membro do " +"grupo especificado aqui. Por exemplo, se você tem" + +#. (itstool) path: sect3/programlisting +#: article.translate.xml:522 +#, no-wrap +msgid "pam_groupdn cn=servername,ou=accessgroups,dc=example,dc=org" +msgstr "pam_groupdn cn=servername,ou=accessgroups,dc=example,dc=org" + +#. (itstool) path: sect3/para +#: article.translate.xml:524 +msgid "" +"in ldap.conf, then only members of that group will be " +"able to log in. There are a few things to bear in mind, however." +msgstr "" +"em ldap.conf, somente os membros desse grupo poderão " +"efetuar login. Entretanto, há algumas coisas a serem lembradas." + +#. (itstool) path: sect3/para +#: article.translate.xml:528 +msgid "" +"Members of this group are specified in one or more memberUid attributes, and each attribute must have the full distinguished " +"name of the member. So memberUid: someuser will not work; " +"it must be:" +msgstr "" +"Os membros desse grupo são especificados em um ou mais atributos " +"memberUid e cada atributo deve ter o nome distinto " +"completo do membro. Então memberUid:someuser não " +"funcionará; deve ser:" + +#. (itstool) path: sect3/programlisting +#: article.translate.xml:534 +#, no-wrap +msgid "memberUid: uid=someuser,ou=people,dc=example,dc=org" +msgstr "memberUid: uid=algum usuário, ou=pessoas, dc=exemplo, dc=org" + +#. (itstool) path: sect3/para +#: article.translate.xml:536 +msgid "" +"Additionally, this directive is not checked in PAM during authentication, it " +"is checked during account management, so you will need a second line in your " +"PAM files under account. This will require, in turn, " +"every user to be listed in the group, which is not " +"necessarily what we want. To avoid blocking users that are not in LDAP, you " +"should enable the ignore_unknown_user attribute. Finally, " +"you should set the ignore_authinfo_unavail option so that " +"you are not locked out of every computer when the LDAP server is unavailable." +msgstr "" +"Além disso, essa diretiva não é verificada no PAM durante a autenticação, " +"ela é verificada durante o gerenciamento de contas, portanto, você precisará " +"de uma segunda linha em seus arquivos PAM sob account. " +"Isso exigirá, por sua vez, que todo usuário seja " +"listado no grupo, o que não é necessariamente o que queremos. Para evitar o " +"bloqueio de usuários que não estão no LDAP, você deve ativar o atributo " +"ignore_unknown_user. Finalmente, você deve definir a " +"opção ignore_authinfo_unavail para que você não fique " +"bloqueado em todos os computadores quando o servidor LDAP estiver " +"indisponível." + +#. (itstool) path: sect3/para +#: article.translate.xml:549 +msgid "" +"Your pam.d/sshd might then end up looking like this:" +msgstr "Seu pam.d/sshd pode acabar ficando assim:" + +#. (itstool) path: example/title +#: article.translate.xml:553 +msgid "Sample pam.d/sshd" +msgstr "Exemplo pam.d/sshd" + +#. (itstool) path: example/programlisting +#: article.translate.xml:555 +#, no-wrap +msgid "" +"auth required pam_nologin.so no_warn\n" +"auth sufficient pam_opie.so no_warn no_fake_prompts\n" +"auth requisite pam_opieaccess.so no_warn allow_local\n" +"auth sufficient /usr/local/lib/pam_ldap.so no_warn\n" +"auth required pam_unix.so no_warn try_first_pass\n" +"\n" +"account required pam_login_access.so\n" +"account required /usr/local/lib/pam_ldap.so no_warn ignore_authinfo_unavail ignore_unknown_user" +msgstr "" +"auth required pam_nologin.so no_warn\n" +"auth sufficient pam_opie.so no_warn no_fake_prompts\n" +"auth requisite pam_opieaccess.so no_warn allow_local\n" +"auth sufficient /usr/local/lib/pam_ldap.so no_warn\n" +"auth required pam_unix.so no_warn try_first_pass\n" +"\n" +"account required pam_login_access.so\n" +"account required /usr/local/lib/pam_ldap.so no_warn ignore_authinfo_unavail ignore_unknown_user" + +#. (itstool) path: note/para +#: article.translate.xml:566 +msgid "" +"Since we are adding these lines specifically to pam.d/sshd, this will only have an effect on SSH " +"sessions. LDAP users will be unable to log in at the console. To change this " +"behavior, examine the other files in /etc/pam.d and " +"modify them accordingly." +msgstr "" +"Como estamos adicionando essas linhas especificamente para pam.d/" +"sshd, isso só terá um efeito nas sessões SSH. Os usuários LDAP não poderão efetuar login no console. Para " +"mudar este comportamento, examine os outros arquivos em /etc/pam." +"d e modifique-os de acordo." + +#. (itstool) path: sect2/title +#: article.translate.xml:578 +msgid "Name Service Switch" +msgstr "Switch de serviço de nome" + +#. (itstool) path: sect2/para +#: article.translate.xml:580 +msgid "" +"NSS is the service that maps attributes to names. " +"So, for example, if a file is owned by user 1001, an " +"application will query NSS for the name of " +"1001, and it might get bob or " +"ted or whatever the user's name is." +msgstr "" +"NSS é o serviço que mapeia atributos para nomes. " +"Assim, por exemplo, se um arquivo é de propriedade do usuário 1001, um aplicativo consultará o NSS para o " +"nome de 1001, e ele pode obter bob ou " +"ted ou qualquer que seja o nome do usuário." + +#. (itstool) path: sect2/para +#: article.translate.xml:588 +msgid "" +"Now that our user information is kept in LDAP, we need to tell " +"NSS to look there when queried." +msgstr "" +"Agora que nossas informações sobre o usuário são mantidas no LDAP, " +"precisamos dizer ao NSS para procurar lá quando " +"perguntado." + +#. (itstool) path: sect2/para +#: article.translate.xml:592 +msgid "" +"The net/nss_ldap port does this. It uses the same " +"configuration file as security/pam_ldap, and should not " +"need any extra parameters once it is installed. Instead, what is left is " +"simply to edit /etc/nsswitch.conf to take advantage of " +"the directory. Simply replace the following lines:" +msgstr "" +"O port net/nss_ldap faz isso. Ele usa o mesmo arquivo de " +"configuração como security/pam_ldap e não deve precisar " +"de nenhum parâmetro extra depois de instalado. Em vez disso, o que resta é " +"simplesmente editar é /etc/nsswitch.conf para " +"aproveitar o diretório. Simplesmente substitua as seguintes linhas:" + +#. (itstool) path: sect2/programlisting +#: article.translate.xml:600 +#, no-wrap +msgid "" +"group: compat\n" +"passwd: compat" +msgstr "" +"group: compat\n" +"passwd: compat" + +#. (itstool) path: sect2/para +#: article.translate.xml:603 +msgid "with" +msgstr "com" + +#. (itstool) path: sect2/programlisting +#: article.translate.xml:605 +#, no-wrap +msgid "" +"group: files ldap\n" +"passwd: files ldap" +msgstr "" +"group: files ldap\n" +"passwd: files ldap" + +#. (itstool) path: sect2/para +#: article.translate.xml:608 +msgid "This will allow you to map usernames to UIDs and UIDs to usernames." +msgstr "" +"Isso permitirá que você mapeie nomes de usuários para UIDs e UIDs para nomes " +"de usuários." + +#. (itstool) path: sect2/para +#: article.translate.xml:611 +msgid "Congratulations! You should now have working LDAP authentication." +msgstr "Parabéns! Agora você deve ter autenticação LDAP em funcionamento." + +#. (itstool) path: sect2/title +#: article.translate.xml:616 +msgid "Caveats" +msgstr "Ressalvas" + +#. (itstool) path: sect2/para +#: article.translate.xml:618 +msgid "" +"Unfortunately, as of the time this was written FreeBSD did not support " +"changing user passwords with passwd1. Because of this, most " +"administrators are left to implement a solution themselves. I provide some " +"examples here. Note that if you write your own password change script, there " +"are some security issues you should be made aware of; see " +msgstr "" +"Infelizmente, a partir do momento em que isso foi escrito, o FreeBSD não " +"suportava a mudança de senhas de usuário com " +"passwd1. Por causa disso, a maioria dos administradores estão deixando " +"para implementar uma solução por conta própria. Eu forneço alguns exemplos " +"aqui. Observe que, se você escrever seu próprio script de alteração de " +"senha, há alguns problemas de segurança dos quais você deve estar ciente; " +"veja " + +#. (itstool) path: example/title +#: article.translate.xml:626 +msgid "Shell Script for Changing Passwords" +msgstr "Script de shell para alteração de senhas" + +#. (itstool) path: example/programlisting +#: article.translate.xml:628 +#, no-wrap +msgid "" +"#!/bin/sh\n" +"\n" +"stty -echo\n" +"read -p \"Old Password: \" oldp; echo\n" +"read -p \"New Password: \" np1; echo\n" +"read -p \"Retype New Password: \" np2; echo\n" +"stty echo\n" +"\n" +"if [ \"$np1\" != \"$np2\" ]; then\n" +" echo \"Passwords do not match.\"\n" +" exit 1\n" +"fi\n" +"\n" +"ldappasswd -D uid=\"$USER\",ou=people,dc=example,dc=org \\\n" +" -w \"$oldp\" \\\n" +" -a \"$oldp\" \\\n" +" -s \"$np1\"" +msgstr "" +"#!/bin/sh\n" +"\n" +"stty -echo\n" +"read -p \"Old Password: \" oldp; echo\n" +"read -p \"New Password: \" np1; echo\n" +"read -p \"Retype New Password: \" np2; echo\n" +"stty echo\n" +"\n" +"if [ \"$np1\" != \"$np2\" ]; then\n" +" echo \"Passwords do not match.\"\n" +" exit 1\n" +"fi\n" +"\n" +"ldappasswd -D uid=\"$USER\",ou=people,dc=example,dc=org \\\n" +" -w \"$oldp\" \\\n" +" -a \"$oldp\" \\\n" +" -s \"$np1\"" + +#. (itstool) path: caution/para +#: article.translate.xml:648 +msgid "" +"This script does hardly any error checking, but more important it is very " +"cavalier about how it stores your passwords. If you do anything like this, " +"at least adjust the security.bsd.see_other_uids sysctl " +"value:" +msgstr "" +"Esse script dificilmente faz qualquer verificação de erros, mas, o mais " +"importante, é muito indiferente sobre como ele armazena suas senhas. Se você " +"fizer algo assim, ajuste pelo menos o valor de sysctl security.bsd." +"see_other_uids:" + +#. (itstool) path: caution/screen +#: article.translate.xml:654 +#, no-wrap +msgid "# sysctl security.bsd.see_other_uids=0" +msgstr "# sysctl security.bsd.see_other_uids=0" + +#. (itstool) path: sect2/para +#: article.translate.xml:657 +msgid "" +"A more flexible (and probably more secure) approach can be used by writing a " +"custom program, or even a web interface. The following is part of a " +"Ruby library that can change LDAP passwords. It " +"sees use both on the command line, and on the web." +msgstr "" +"Uma abordagem mais flexível (e provavelmente mais segura) pode ser usada " +"escrevendo um programa personalizado, ou até mesmo uma interface web. A " +"seguir, parte de uma biblioteca Ruby que pode " +"alterar senhas LDAP. Ele vê o uso na linha de comando e na web." + +#. (itstool) path: example/title +#: article.translate.xml:664 +msgid "Ruby Script for Changing Passwords" +msgstr "Script Ruby para Alterar Senhas" + +#. (itstool) path: example/programlisting +#: article.translate.xml:666 +#, no-wrap +msgid "" +"require 'ldap'\n" +"require 'base64'\n" +"require 'digest'\n" +"require 'password' # ruby-password\n" +"\n" +"ldap_server = \"ldap.example.org\"\n" +"luser = \"uid=#{ENV['USER']},ou=people,dc=example,dc=org\"\n" +"\n" +"# get the new password, check it, and create a salted hash from it\n" +"def get_password\n" +" pwd1 = Password.get(\"New Password: \")\n" +" pwd2 = Password.get(\"Retype New Password: \")\n" +"\n" +" raise if pwd1 != pwd2\n" +" pwd1.check # check password strength\n" +"\n" +" salt = rand.to_s.gsub(/0\\./, '')\n" +" pass = pwd1.to_s\n" +" hash = \"{SSHA}\"+Base64.encode64(Digest::SHA1.digest(\"#{pass}#{salt}\")+salt).chomp!\n" +" return hash\n" +"end\n" +"\n" +"oldp = Password.get(\"Old Password: \")\n" +"newp = get_password\n" +"\n" +"# We'll just replace it. That we can bind proves that we either know\n" +"# the old password or are an admin.\n" +"\n" +"replace = LDAP::Mod.new(LDAP::LDAP_MOD_REPLACE | LDAP::LDAP_MOD_BVALUES,\n" +" \"userPassword\",\n" +" [newp])\n" +"\n" +"conn = LDAP::SSLConn.new(ldap_server, 389, true)\n" +"conn.set_option(LDAP::LDAP_OPT_PROTOCOL_VERSION, 3)\n" +"conn.bind(luser, oldp)\n" +"conn.modify(luser, [replace])" +msgstr "" +"require 'ldap'\n" +"require 'base64'\n" +"require 'digest'\n" +"require 'password' # ruby-password\n" +"\n" +"ldap_server = \"ldap.example.org\"\n" +"luser = \"uid=#{ENV['USER']},ou=people,dc=example,dc=org\"\n" +"\n" +"# get the new password, check it, and create a salted hash from it\n" +"def get_password\n" +" pwd1 = Password.get(\"New Password: \")\n" +" pwd2 = Password.get(\"Retype New Password: \")\n" +"\n" +" raise if pwd1 != pwd2\n" +" pwd1.check # check password strength\n" +"\n" +" salt = rand.to_s.gsub(/0\\./, '')\n" +" pass = pwd1.to_s\n" +" hash = \"{SSHA}\"+Base64.encode64(Digest::SHA1.digest(\"#{pass}#{salt}\")+salt).chomp!\n" +" return hash\n" +"end\n" +"\n" +"oldp = Password.get(\"Old Password: \")\n" +"newp = get_password\n" +"\n" +"# We'll just replace it. That we can bind proves that we either know\n" +"# the old password or are an admin.\n" +"\n" +"replace = LDAP::Mod.new(LDAP::LDAP_MOD_REPLACE | LDAP::LDAP_MOD_BVALUES,\n" +" \"userPassword\",\n" +" [newp])\n" +"\n" +"conn = LDAP::SSLConn.new(ldap_server, 389, true)\n" +"conn.set_option(LDAP::LDAP_OPT_PROTOCOL_VERSION, 3)\n" +"conn.bind(luser, oldp)\n" +"conn.modify(luser, [replace])" + +#. (itstool) path: sect2/para +#: article.translate.xml:704 +msgid "" +"Although not guaranteed to be free of security holes (the password is kept " +"in memory, for example) this is cleaner and more flexible than a simple " +"sh script." +msgstr "" +"Apesar de não ter a garantia de estar livre de falhas de segurança (a senha " +"é mantida na memória, por exemplo), isso é mais limpo e mais flexível do que " +"um simples script sh." + +#. (itstool) path: sect1/title +#: article.translate.xml:712 +msgid "Security Considerations" +msgstr "Considerações de segurança" + +#. (itstool) path: sect1/para +#: article.translate.xml:714 +msgid "" +"Now that your machines (and possibly other services) are authenticating " +"against your LDAP server, this server needs to be protected at least as well " +"as /etc/master.passwd would be on a regular server, and " +"possibly even more so since a broken or cracked LDAP server would break " +"every client service." +msgstr "" +"Agora que suas máquinas (e possivelmente outros serviços) estão autenticando " +"em seu servidor LDAP, este servidor precisa ser protegido pelo menos tão bem " +"quanto /etc/master.passwd seria em um servidor regular, " +"e possivelmente mais ainda, uma vez que um servidor LDAP corrompido " +"quebraria todos os serviços do cliente." + +#. (itstool) path: sect1/para +#: article.translate.xml:721 +msgid "" +"Remember, this section is not exhaustive. You should continually review your " +"configuration and procedures for improvements." +msgstr "" +"Lembre-se, esta seção não é exaustiva. Você deve revisar continuamente sua " +"configuração e procedimentos para melhorias." + +#. (itstool) path: sect2/title +#: article.translate.xml:726 +msgid "Setting Attributes Read-only" +msgstr "Definindo atributos somente leitura" + +#. (itstool) path: sect2/para +#: article.translate.xml:728 +msgid "" +"Several attributes in LDAP should be read-only. If left writable by the " +"user, for example, a user could change his uidNumber " +"attribute to 0 and get root access!" +msgstr "" +"Vários atributos no LDAP devem ser somente leitura. Se deixado gravável pelo " +"usuário, por exemplo, um usuário poderia alterar seu atributo " +"uidNumber para 0 e obter acesso ao " +"root!" + +#. (itstool) path: sect2/para +#: article.translate.xml:734 +msgid "" +"To begin with, the userPassword attribute should not be " +"world-readable. By default, anyone who can connect to the LDAP server can " +"read this attribute. To disable this, put the following in slapd." +"conf:" +msgstr "" +"Para começar, o atributo userPassword não deve ser " +"legível por todos. Por padrão, qualquer pessoa que possa se conectar ao " +"servidor LDAP pode ler esse atributo. Para desabilitar isso, coloque o " +"seguinte em slapd.conf:" + +#. (itstool) path: example/title +#: article.translate.xml:741 +msgid "Hide Passwords" +msgstr "Ocultar senhas" + +#. (itstool) path: example/programlisting +#: article.translate.xml:743 +#, no-wrap +msgid "" +"access to dn.subtree=\"ou=people,dc=example,dc=org\"\n" +" attrs=userPassword\n" +" by self write\n" +" by anonymous auth\n" +" by * none\n" +"\n" +"access to *\n" +" by self write\n" +" by * read" +msgstr "" +"access to dn.subtree=\"ou=people,dc=example,dc=org\"\n" +" attrs=userPassword\n" +" by self write\n" +" by anonymous auth\n" +" by * none\n" +"\n" +"access to *\n" +" by self write\n" +" by * read" + +#. (itstool) path: sect2/para +#: article.translate.xml:754 +msgid "" +"This will disallow reading of the userPassword attribute, " +"while still allowing users to change their own passwords." +msgstr "" +"Isso não permitirá a leitura do atributo userPassword, " +"enquanto ainda permite que os usuários alterem suas próprias senhas." + +#. (itstool) path: sect2/para +#: article.translate.xml:758 +msgid "" +"Additionally, you'll want to keep users from changing some of their own " +"attributes. By default, users can change any attribute (except for those " +"which the LDAP schemas themselves deny changes), such as uidNumber. To close this hole, modify the above to" +msgstr "" +"Além disso, você desejará impedir que os usuários alterem alguns de seus " +"próprios atributos. Por padrão, os usuários podem alterar qualquer atributo " +"(exceto aqueles que os próprios esquemas LDAP negam alterações), como " +"uidNumber. Para fechar este buraco, modifique o acima para" + +#. (itstool) path: example/title +#: article.translate.xml:765 +msgid "Read-only Attributes" +msgstr "Atributos somente leitura" + +#. (itstool) path: example/programlisting +#: article.translate.xml:767 +#, no-wrap +msgid "" +"access to dn.subtree=\"ou=people,dc=example,dc=org\"\n" +" attrs=userPassword\n" +" by self write\n" +" by anonymous auth\n" +" by * none\n" +"\n" +"access to attrs=homeDirectory,uidNumber,gidNumber\n" +" by * read\n" +"\n" +"access to *\n" +" by self write\n" +" by * read" +msgstr "" +"access to dn.subtree=\"ou=people,dc=example,dc=org\"\n" +" attrs=userPassword\n" +" by self write\n" +" by anonymous auth\n" +" by * none\n" +"\n" +"access to attrs=homeDirectory,uidNumber,gidNumber\n" +" by * read\n" +"\n" +"access to *\n" +" by self write\n" +" by * read" + +#. (itstool) path: sect2/para +#: article.translate.xml:781 +msgid "This will stop users from being able to masquerade as other users." +msgstr "Isso impedirá que os usuários se disfarçam como outros usuários." + +#. (itstool) path: sect2/title +#: article.translate.xml:786 +msgid "root Account Definition" +msgstr "Definição da conta root" + +#. (itstool) path: sect2/para +#: article.translate.xml:789 +msgid "" +"Often the root or manager " +"account for the LDAP service will be defined in the configuration file. " +"OpenLDAP supports this, for example, and it " +"works, but it can lead to trouble if slapd.conf is " +"compromised. It may be better to use this only to bootstrap yourself into " +"LDAP, and then define a root " +"account there." +msgstr "" +"Geralmente, a conta root ou a " +"conta de administrador para o serviço LDAP será definida no arquivo de " +"configuração. O OpenLDAP suporta isso, por " +"exemplo, e funciona, mas pode causar problemas se o slapd.conf estiver comprometido. Pode ser melhor usar isto apenas para se " +"autoinicializar no LDAP, e então definir uma conta root ." + +#. (itstool) path: sect2/para +#: article.translate.xml:797 +msgid "" +"Even better is to define accounts that have limited permissions, and omit a " +"root account entirely. For " +"example, users that can add or remove user accounts are added to one group, " +"but they cannot themselves change the membership of this group. Such a " +"security policy would help mitigate the effects of a leaked password." +msgstr "" +"Melhor ainda é definir contas com permissões limitadas e omitir totalmente " +"uma conta root. Por exemplo, os " +"usuários que podem adicionar ou remover contas de usuário são adicionados a " +"um grupo, mas não podem alterar a participação desse grupo. Essa política de " +"segurança ajudaria a mitigar os efeitos de uma senha perdida." + +#. (itstool) path: sect3/title +#. (itstool) path: example/title +#: article.translate.xml:805 article.translate.xml:813 +msgid "Creating a Management Group" +msgstr "Criando um grupo de gerenciamento" + +#. (itstool) path: sect3/para +#: article.translate.xml:807 +msgid "" +"Say you want your IT department to be able to change home directories for " +"users, but you do not want all of them to be able to add or remove users. " +"The way to do this is to add a group for these admins:" +msgstr "" +"Digamos que você queira que seu departamento de TI possa alterar os " +"diretórios pessoais dos usuários, mas não deseja que todos eles possam " +"adicionar ou remover usuários. A maneira de fazer isso é adicionar um grupo " +"para esses administradores:" + +#. (itstool) path: example/programlisting +#: article.translate.xml:815 +#, no-wrap +msgid "" +"dn: cn=homemanagement,dc=example,dc=org\n" +"objectClass: top\n" +"objectClass: posixGroup\n" +"cn: homemanagement\n" +"gidNumber: 121 # required for posixGroup\n" +"memberUid: uid=tuser,ou=people,dc=example,dc=org\n" +"memberUid: uid=user2,ou=people,dc=example,dc=org" +msgstr "" +"dn: cn=homemanagement,dc=example,dc=org\n" +"objectClass: top\n" +"objectClass: posixGroup\n" +"cn: homemanagement\n" +"gidNumber: 121 # required for posixGroup\n" +"memberUid: uid=tuser,ou=people,dc=example,dc=org\n" +"memberUid: uid=user2,ou=people,dc=example,dc=org" + +#. (itstool) path: sect3/para +#: article.translate.xml:824 +msgid "" +"And then change the permissions attributes in slapd.conf:" +msgstr "" +"E então mude os atributos de permissões em slapd.conf:" + +#. (itstool) path: example/title +#: article.translate.xml:828 +msgid "ACLs for a Home Directory Management Group" +msgstr "ACLs para um grupo de gerenciamento de diretório inicial" + +#. (itstool) path: example/programlisting +#: article.translate.xml:830 +#, no-wrap +msgid "" +"access to dn.subtree=\"ou=people,dc=example,dc=org\"\n" +" attr=homeDirectory\n" +" by dn=\"cn=homemanagement,dc=example,dc=org\"\n" +" dnattr=memberUid write" +msgstr "" +"access to dn.subtree=\"ou=people,dc=example,dc=org\"\n" +" attr=homeDirectory\n" +" by dn=\"cn=homemanagement,dc=example,dc=org\"\n" +" dnattr=memberUid write" + +#. (itstool) path: sect3/para +#: article.translate.xml:836 +msgid "" +"Now tuser and user2 can change other users' home directories." +msgstr "" +"Agora tuser e user2 podem alterar os diretórios home de outros " +"usuários." + +#. (itstool) path: sect3/para +#: article.translate.xml:840 +msgid "" +"In this example we have given a subset of administrative power to certain " +"users without giving them power in other domains. The idea is that soon no " +"single user account has the power of a root account, but every power root had is had by at least one user. " +"The root account then becomes " +"unnecessary and can be removed." +msgstr "" +"Neste exemplo, demos um subconjunto de poder administrativo a certos " +"usuários sem dar a eles poder em outros domínios. A idéia é que em breve " +"nenhuma conta de usuário tenha o poder de uma conta root, mas todo poder que root tem seja tido por " +"pelo menos um usuário. A conta root torna-se desnecessária e pode ser removida." + +#. (itstool) path: sect2/title +#: article.translate.xml:850 +msgid "Password Storage" +msgstr "Armazenamento de Senha" + +#. (itstool) path: sect2/para +#: article.translate.xml:852 +msgid "" +"By default OpenLDAP will store the value of the " +"userPassword attribute as it stores any other data: in " +"the clear. Most of the time it is base 64 encoded, which provides enough " +"protection to keep an honest administrator from knowing your password, but " +"little else." +msgstr "" +"Por padrão, OpenLDAP armazenará o valor do " +"atributo userPassword conforme ele armazena quaisquer " +"outros dados: puro texto. Na maioria das vezes, ele é codificado na base 64, " +"o que fornece proteção suficiente para impedir que um administrador honesto " +"conheça sua senha, mas pouco ainda." + +#. (itstool) path: sect2/para +#: article.translate.xml:859 +msgid "" +"It is a good idea, then, to store passwords in a more secure format, such as " +"SSHA (salted SHA). This is done by whatever program you use to change users' " +"passwords." +msgstr "" +"É uma boa idéia, então, armazenar senhas em um formato mais seguro, como o " +"SSHA (salted SHA). Isso é feito por qualquer programa que você use para " +"alterar as senhas dos usuários." + +#. (itstool) path: appendix/title +#: article.translate.xml:866 +msgid "Useful Aids" +msgstr "Ajudas Úteis" + +#. (itstool) path: appendix/para +#: article.translate.xml:868 +msgid "" +"There are a few other programs that might be useful, particularly if you " +"have many users and do not want to configure everything manually." +msgstr "" +"Existem alguns outros programas que podem ser úteis, especialmente se você " +"tiver muitos usuários e não quiser configurar tudo manualmente." + +#. (itstool) path: appendix/para +#: article.translate.xml:872 +msgid "" +"security/pam_mkhomedir is a PAM module that always " +"succeeds; its purpose is to create home directories for users which do not " +"have them. If you have dozens of client servers and hundreds of users, it is " +"much easier to use this and set up skeleton directories than to prepare " +"every home directory." +msgstr "" +"O security/pam_mkhomedir é um módulo PAM que sempre é bem-" +"sucedido; Sua finalidade é criar diretórios pessoais para usuários que não " +"os possuem. Se você tiver dezenas de servidores clientes e centenas de " +"usuários, é muito mais fácil usar isso e configurar diretórios esqueletos do " +"que preparar cada diretório inicial." + +#. (itstool) path: appendix/para +#: article.translate.xml:879 +msgid "" +"sysutils/cpu is a pw8-like utility that can " +"be used to manage users in the LDAP directory. You can call it directly, or " +"wrap scripts around it. It can handle both TLS (with the " +"flag) and SSL (directly)." +msgstr "" +"O sysutils/cpu é um utilitário do tipo " +"pw8 que pode ser usado para gerenciar usuários no diretório LDAP. " +"Você pode chamá-lo diretamente ou encapsular os scripts em torno dele. Ele " +"pode manipular tanto o TLS (com o sinalizador ) quanto o " +"SSL (diretamente)." + +#. (itstool) path: appendix/para +#: article.translate.xml:885 +msgid "" +"sysutils/ldapvi is a great utility for editing LDAP " +"values in an LDIF-like syntax. The directory (or subsection of the " +"directory) is presented in the editor chosen by the EDITOR " +"environment variable. This makes it easy to enable large-scale changes in " +"the directory without having to write a custom tool." +msgstr "" +"O sysutils/ldapvi é um ótimo utilitário para editar " +"valores LDAP em uma sintaxe semelhante a LDIF. O diretório (ou subseção do " +"diretório) é apresentado no editor escolhido pela variável de ambiente " +"EDITOR. Isso facilita a ativação de alterações em grande " +"escala no diretório sem a necessidade de escrever uma ferramenta " +"personalizada." + +#. (itstool) path: appendix/para +#: article.translate.xml:892 +msgid "" +"security/openssh-portable has the ability to contact an " +"LDAP server to verify SSH keys. This is extremely " +"nice if you have many servers and do not want to copy your public keys " +"across all of them." +msgstr "" +"O security/openssh-portable tem a capacidade de contatar " +"um servidor LDAP para verificar as chaves SSH. " +"Isso é extremamente bom se você tiver muitos servidores e não quiser copiar " +"suas chaves públicas em todos eles." + +#. (itstool) path: appendix/title +#: article.translate.xml:900 +msgid "OpenSSL Certificates for LDAP" +msgstr "Certificados do OpenSSL para LDAP" + +#. (itstool) path: appendix/para +#: article.translate.xml:903 +msgid "" +"If you are hosting two or more LDAP servers, you will probably not want to " +"use self-signed certificates, since each client will have to be configured " +"to work with each certificate. While this is possible, it is not nearly as " +"simple as creating your own certificate authority, and signing your servers' " +"certificates with that." +msgstr "" +"Se você estiver hospedando dois ou mais servidores LDAP, provavelmente não " +"desejará usar certificados autoassinados, já que cada cliente precisará ser " +"configurado para trabalhar com cada certificado. Embora isso seja possível, " +"não é tão simples quanto criar sua própria autoridade de certificação e " +"assinar os certificados de seus servidores com isso." + +#. (itstool) path: appendix/para +#: article.translate.xml:910 +msgid "" +"The steps here are presented as they are with very little attempt at " +"explaining what is going on—further explanation can be found in " +"openssl1 and its friends." +msgstr "" +"Os passos aqui são apresentados como eles são, com muito pouca tentativa de " +"explicar o que está acontecendo - mais explicações podem ser encontradas em " +"openssl1 e aplicações iguais." + +#. (itstool) path: appendix/para +#: article.translate.xml:914 +msgid "" +"To create a certificate authority, we simply need a self-signed certificate " +"and key. The steps for this again are" +msgstr "" +"Para criar uma autoridade de certificação, simplesmente precisamos de um " +"certificado e chave autoassinados. As etapas para isso novamente são" + +#. (itstool) path: example/title +#: article.translate.xml:919 +msgid "Creating a Certificate" +msgstr "Criando um Certificado" + +#. (itstool) path: example/screen +#: article.translate.xml:921 +#, no-wrap +msgid "" +"% openssl genrsa -out root.key 1024\n" +"% openssl req -new -key root.key -out root.csr\n" +"% openssl x509 -req -days 1024 -in root.csr -signkey root.key -out root.crt" +msgstr "" +"% openssl genrsa -out root.key 1024\n" +"% openssl req -new -key root.key -out root.csr\n" +"% openssl x509 -req -days 1024 -in root.csr -signkey root.key -out root.crt" + +#. (itstool) path: appendix/para +#: article.translate.xml:926 +msgid "" +"These will be your root CA key and certificate. You will probably want to " +"encrypt the key and store it in a cool, dry place; anyone with access to it " +"can masquerade as one of your LDAP servers." +msgstr "" +"Estas serão sua chave e certificado de CA raiz. Você provavelmente desejará " +"criptografar a chave e armazená-la em um local seguro; qualquer pessoa com " +"acesso a ele pode se passar por um dos seus servidores LDAP." + +#. (itstool) path: appendix/para +#: article.translate.xml:931 +msgid "" +"Next, using the first two steps above create a key ldap-server-one." +"key and certificate signing request ldap-server-one." +"csr. Once you sign the signing request with root.key, you will be able to use ldap-server-one.* on " +"your LDAP servers." +msgstr "" +"Em seguida, usando as duas primeiras etapas acima, crie uma chave " +"ldap-server-one.key e a solicitação de assinatura de " +"certificado ldap-server-one.csr. Depois de assinar o " +"pedido de assinatura com root.key, você poderá usar o " +"ldap-server-one.* nos servidores LDAP." + +#. (itstool) path: note/para +#: article.translate.xml:939 +msgid "" +"Do not forget to use the fully qualified domain name for the common " +"name attribute when generating the certificate signing request; " +"otherwise clients will reject a connection with you, and it can be very " +"tricky to diagnose." +msgstr "" +"Não se esqueça de usar o nome de domínio totalmente qualificado para o " +"atributo common name ao gerar a solicitação de assinatura de " +"certificado; caso contrário, os clientes rejeitarão uma conexão com você e " +"poderá ser muito complicado diagnosticar." + +#. (itstool) path: appendix/para +#: article.translate.xml:946 +msgid "" +"To sign the key, use and " +"instead of :" +msgstr "" +"Para assinar a chave, use e em " +"vez de :" + +#. (itstool) path: example/title +#: article.translate.xml:951 +msgid "Signing as a Certificate Authority" +msgstr "Assinando como uma autoridade de certificação" + +#. (itstool) path: example/screen +#: article.translate.xml:953 +#, no-wrap +msgid "" +"% openssl x509 -req -days 1024 \\\n" +"-in ldap-server-one.csr -CA root.crt -CAkey root.key \\\n" +"-out ldap-server-one.crt" +msgstr "" +"% openssl x509 -req -dias 1024 \\\n" +"-em servidor ldap-one.csr -CA root.crt -CAkey root.key \\\n" +"-out ldap-server-one.crt " + +#. (itstool) path: appendix/para +#: article.translate.xml:958 +msgid "" +"The resulting file will be the certificate that you can use on your LDAP " +"servers." +msgstr "" +"O arquivo resultante será o certificado que você pode usar em seus " +"servidores LDAP." + +#. (itstool) path: appendix/para +#: article.translate.xml:961 +msgid "" +"Finally, for clients to trust all your servers, distribute root." +"crt (the certificate, not the key!) to each " +"client, and specify it in the TLSCACertificateFile " +"directive in ldap.conf." +msgstr "" +"Finalmente, para os clientes confiarem em todos os seus servidores, " +"distribua root.crt (o certificado , não a chave!) Para cada cliente, e especifique-o na directiva " +"TLSCACertificateFile no ldap.conf." Property changes on: head/pt_BR.ISO8859-1/articles/ldap-auth/pt_BR.po ___________________________________________________________________ Added: svn:keywords ## -0,0 +1 ## +FreeBSD=%H \ No newline at end of property Added: svn:mime-type ## -0,0 +1 ## +text/x-gettext-translation; charset=UTF-8 \ No newline at end of property