Published 6 de fevereiro de 2024 por

Single signon e sistemas auxiliares

Estamos numa empresa russa de mineração, operando no Brasil.
Nosso colega Andrei estava com dificuldades para fazer login no sistema de helpdesk GLPI [1]. Este sistema faz login com base em quatro conjuntos de credenciais. Um, guardado dentro da própria base do GLPI. O segundo, com base no AD da SEDE-RJ. O terceiro, com base no AD da SEDE-ES. O quarto com base no AD do CENTRO
Acontece que o GLPI não estava aceitando nosso colega como válido. Ele usa a matrícula e a senha do CENTRO para entrar no helpdesk. Qual era o problema real ?
Acontece que estava na hora de alterar a senha de Andrei no AD do CENTRO. Periodicamente, os servidores da cada filial exigem mudança de senha (um quesito determinado pelo admin de rede). Assim, pelo fato desse momento ter chegado no CENTRO, Andrei não consegui ser aceito pelo GLPI. Observem que em nenhum momento o GLPI exibiu uma mensagem que desse a pista do problema.
Para testar essa teoria, recomendei que Andrei logasse na rede Windows do CENTRO. Ele recebeu imediatamente a mensagem de troca da senha. Após a troca, conseguiu entrar normalmente no GLPI com suas credenciais do CENTRO.

Qual é o problema ?

  1. Não existe Single Signon com três servidores de AD e um serviço de credenciais local no sistema de helpdesk. Essa é uma implementação ruim e, diga-se de passagem, enganosa e incorreta de AD. Você pode ter ADs replicados com os mesmos dados dinâmicos de credenciais, mas nunca deve fazer logon a partir de três ADs diferentes.
  2. A política de renovação de senhas deve ser clara e universal. O usuário deve receber com antecedência a informação de que a senha será trocada. Nosso usuário nunca recebeu isso porque há muito tempo não fazia logon no CENTRO.
  3. O GLPI deverá fazer verificação de credenciais em apenas um AD, mesmo que seja replicado logicamente na rede. Mas sempre um AD apenas, com uma credencial.
  4. A opção esquecia a senha deve ser útil. Nesse caso não seria e levaria o usuário a gasta seu tempo à toa.

[1] O GLPI é um sistema de helpdesk livre e de código aberto baseado em PHP e Mysql. Ele é usado por muitas empresas através do mundo.

hali.omani

hali.omani

segurança da informação

Sê o primeiro

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *