Aula 11 - Apostila

Aula 10
Câmara dos Deputados (Analista

Legislativo - Informática Legislativa)
Segurança de Redes - 2023 (Pré-Edital)
Autor:
André Castro, Equipe Informática
e TI
09 de Maio de 2023
https://t.me/kakashi_copiador
André Castro, Equipe Informática e TI
Aula 10
Índice
1) X.500 e LDAP
..............................................................................................................................................................................................3
2) Questões Comentadas - X.500 e LDAP - Cebraspe

..............................................................................................................................................................................................
13
3) Questões Comentadas - X.500 e LDAP - FCC

..............................................................................................................................................................................................
23
4) Active Directory - AD
..............................................................................................................................................................................................
34
5) Questões Comentadas - Active Directory - Cebraspe

..............................................................................................................................................................................................
38
6) Questões Comentadas - Active Directory - FCC

..............................................................................................................................................................................................
39
Câmara dos Deputados (Analista Legislativo - Informática Legislativa) Segurança de Redes - 2023 (Pré-Edital) 2
www.estrategiaconcursos.com.br 47
Aula 10
X.500 E LDAP
Vamos comentar agora a respeito de um conceito muito presente no nosso dia a dia que é o serviço
de diretório. É um conteúdo que tem caído nas provas de maneira simples e objetiva, como veremos
nas questões.
Antes de entendermos o serviço de diretório, temos que saber que podemos administrar os recursos
de uma rede de duas formas: descentralizada ou centralizada.
Uma forma de administração descentralizada é o Grupo de Trabalho, ou Workgroup. Como a figura

exemplifica, nele cada máquina é administrada localmente (ponto a ponto), ou seja, para um usuário
utilizar os recursos (arquivos, impressoras, etc.) terá que possuir uma conta na base de dados local
(SAM)
Esse modelo de administração descentralizada pode ser interessante para redes de pequeno porte.
À medida que se cresce o número de recursos, a complexidade de administração também cresce, e
em uma relação exponencial.
Então, chegamos à nossa questão: o que é serviço de diretórios?
Nada mais é do que um serviço de criação e manutenção de um repositório (base de dados)

de informações sobre os diversos objetos de uma rede, organizados segundo um critério
que facilite sua consulta. Entende-se por objeto quaisquer recursos presentes na rede como
usuários, dispositivos, serviços, grupos, entre outros.
Aula 10
Essas informações podem constar nomes de usuários, senhas, e-mails, descrições, dados auxiliares,
entre outros. O diretório em questão pode ser tanto um banco de dados relacional, como um
arquivo de texto ou até mesmo um diretório no conceito de “pasta” de um Sistema Operacional.
Uma característica importante do diretório é que este foi constituído para suportar um grande
volume de consultas, porém um baixo volume de inserções e modificações.
X.500
O X.500 é um protocolo extremamente pesado que trata do acesso aos serviços de diretórios por
ser modelado e adequado ao modelo OSI. Assim, já adianto que o X.500 não é o protocolo
responsável pela definição do serviço de diretórios, mas tão somente do acesso a essas informações.
Veremos que o LDAP segue o mesmo princípio.
Podemos dizer, portanto, que o X.500 define a forma de conexão, acesso e integração de
diversos sistemas e servidores locais com as informações de diretórios, formando um
grande sistema global distribuído, permitindo consulta pelos demais elementos de rede à
sua base de dados dos objetos da rede.
Esses objetos referenciam os próprios equipamentos, os usuários da rede e serviços de uma forma
geral, contemplando serviços de hardware, software e de rede. Pode-se vincular ainda questões de
autorização e privilégios associados a estes objetos frente aos recursos disponíveis.
Algumas bancas tentam confundir o candidato apresentando o protocolo X.509. Este protocolo faz
parte da família do X.500, porém com uma atuação bem específica voltado para a segurança. Trata
da infraestrutura de chaves pública (ICP ou PKI). Este modelo de segurança pode ser devidamente
incorporado na implementação do X.500.
Outros conceitos que são abordados pelas bancas são os agentes e processos.
O agente de usuário é o processo responsável por promover a interação do usuário com o

diretório. Este se responsabiliza por formatar as consultas e requisições, bem como visualizar as
respostas às consultas realizadas aos agentes do sistema de diretório.
O agente de sistema de diretório, é responsável por fornecer as respostas às requisições feitas

pelos agentes de usuário de diretórios. Pode atuar de forma recursiva ou iterativa como o protocolo
DNS nos casos de não saber a resposta.
Aula 10
Esses conceitos se aplicam tanto ao padrão X.500 quanto ao protocolo LDAP.
LDAP
O LDAP (Lightweight Directory Access Protocol) é um protocolo de acesso ao serviço de diretório
otimizado para leituras e buscas. Atualmente se encontra em sua terceira versão – LDAPv3 e atua
na porta 389/TCP. Logo, utilizando o protocolo TCP, temos que o cliente e servidor estabelecem
uma conexão e abrem uma sessão entre eles antes da troca das mensagens.
Pode-se implementar o LDAP também em modo seguro através da utilização do protocolo SSL.
Mesmo raciocínio do HTTPS. No caso do LDAP, ao ser utilizado no modo seguro, chamamos de
LDAPS. Nesse caso, passa-se a utilizar a porta 636. Importante mencionar que o servidor pode ser
configurado para suportar tanto o modo padrão quanto o modo seguro, cabendo ao cliente escolher
a porta e o método a ser utilizado.
O LDAPv3 já é projetado para uma quantidade maior de leituras do que escritas. Utiliza a
estrutura em árvore de domínios relacionais (DIT – Directory Information Tree) baseada no
protocolo X.500. É um protocolo simplificado desenvolvido para operar na arquitetura TCP/IP
no modelo cliente/servidor. Importante mencionar que não há perda de funcionalidades na
prática por ele ser simplificado quando comparamos com o X.500.
Assim, podemos dizer que o LDAP é um protocolo simples e leve que visa amenizar a estrutura rígida
e burocrática definida pelo padrão X.500, este acaba por exigir uma maior capacidade de
processamento dos servidores e gera maior overhead na rede. Os objetos e diretórios a serem
mapeados na estrutura do LDAP podem se utilizar do protocolo DNS para registro de domínios.
A figura a seguir nos traz uma representação gráfica dos dois padrões em relação às camadas do
modelo OSI e arquitetura TCP/IP:
Aula 10
Os pontos elencados acima resolvem diversas questões a respeito do LDAP. Portanto, atentem-se
ao que acabamos de comentar.
O LDAP também possui recursos de autenticação e autorização, além da capacidade de tratar

critérios de confiabilidade e integridade das informações. É um protocolo que utiliza o conceito de
comunicação assíncrona, sendo multiplataforma. Lembrando que é baseado na arquitetura
TCP/IP, temos que é um protocolo ou padrão aberto.
Por manter uma base de informações centralizadas em servidores (sejam eles únicos ou
hierárquicos/compartilhados) com as informações de usuários e senhas, o LDAP permite o
armazenamento seguro dessas informações, de tal modo que, caso o arquivo seja violado, essas
informações não sejam acessadas facilmente. Assim, pode-se armazenar as senhas em texto
claro, criptografadas ou em algoritmos HASH, permitindo a interoperabilidade entre diversos
sistemas. O padrão utilizado para o algoritmo HASH é o MD5.
Outro ponto a respeito do protocolo LDAP é que este possibilita a um mesmo usuário possuir mais
de uma senha em diferentes formatos. No momento de autenticação, será verificado todas as
possibilidades das senhas armazenadas para determinado usuário. Caso haja o "match" ou o
“batimento” em alguma delas, considera-se o usuário autenticado e autorizado a utilizar
determinados recursos.
É importante ressaltar que o LDAP não define a estrutura em si do serviço de diretório. Como a
tradução de seu mnemônico nos traz, é um protocolo que vai tratar do acesso à essa base de
dados. Ainda assim, diversas bancas apresentam em seus enunciados o seguinte trecho:
Aula 10
“ O LDAP é um protocolo de serviços de diretórios ...”
Logo, estejamos atentos que na maioria absoluta dos casos, não é esse o ponto chave em que o
examinador espera que você avalie a questão.
O protocolo LDAP possui plena integração com o Active Directory – AD - da MICROSOFT, até porque,
o próprio AD utiliza o protocolo LDAP em sua implementação. A implementação em código aberto
do LDAP se dá através do serviço OpenLDAP. O OpenLDAP possui bancos de dados próprios
desenvolvidos especificamente para sua aplicação, a saber: LDBM e BerkeleyDB. Entretanto, há o
suporte a banco de dados relacional, porém, não existe uma restrição ou obrigatoriedade no uso
de apenas um deles.
O OpenLDAP suporta diversos tipos de autenticação, dentre eles, podemos citar os tipos: Anônimo,
Simples e SASL.
Outra característica do LDAP é o fato deste ser multiplataforma. A sua configuração se dá a partir do
arquivo slapd.conf, sob o diretório padrão: /usr/local/etc/OpenLDAP/slapd.conf
No lado do cliente, configura-se o arquivo ldap.conf no

diretório: /usr/local/etc/OpenLDAP/ldap.conf
Comentando um pouco mais a respeito da estrutura hierárquica do LDAP, é importante mencionar

que uma árvore é composta por vários domínios, isto é, as árvores compartilham as funções que são
distribuídas entre os diversos domínios. Dentro dos domínios, pode-se ter ainda subdomínios, bem
como unidades organizacionais. E na ponta desses domínios ou subdomínios ou unidades
organizacionais, tem-se os objetos a serem acessados.
Na imagem a seguir temos uma representação de uma possível distribuição e organização da árvore
em seus domínios até se chegar no objeto. Percebam a semelhança na estruturação em relação ao
DNS.
Aula 10
Dessa forma, podemos apresentar o seguinte trecho resumo:
A estruturação das informações dos objetos em uma base de dados segue a definição do serviço de
diretório de determinado ambiente. Após essa definição, a disponibilização dessas informações e
como elas serão fornecidas ou acessadas, bem como atualizadas, é papel do LDAP.
Uma vez que esta estrutura está definida e implementada no servidor, bem como a forma de acesso
através do LDAP, cabe ao cliente simplesmente mapear esta unidade em sua estação ou sistema e
realizar as consultas ou requisições conforme definição do protocolo LDAP e não conforme a
implementação do serviço de diretórios do servidor.
Temos aqui a descrição constada na introdução da RFC 2251 que especifica o LDAP:
“This document describes a directory access protocol that provides both read and update access.”
Avançando ainda a respeito de alguns pontos sobre o LDAP, temos os parâmetros comuns ou tipos
de atributos definidos na RFC 2256 que compõem o nome de domínio de cada objeto em sua
estrutura hierárquica. São os principais:
Aula 10
● ObjectClass – Parâmetro presente em todo registro. Descreve a classe ou tipo de objeto

registrado, como sendo um host, dispositivos, serviços, entre outros.
● AliasObjectName – É um nome de referência (apelido) para o objeto.
● CN (Common Name) – É um atributo proveniente do X.500. Contém efetivamente o nome do
objeto, podendo ser complementado por outros nomes, como o SN a seguir. Se corresponder
a um host ou pessoa, esse campo pode ser preenchido com o nome completo ou parcial da
pessoa. Caso seja um serviço, pode-se ter o nome completo ou parcial do serviço.
● SN (Sur Name) – Mais um atributo proveniente do X.500. Pode representar um nome de
família que complemente o campo CN visto anteriormente para o caso de usuários. De
maneira prática, diz-se que é um sobrenome.
● C (Country Code) – Um valor de dois dígitos que representa o número de localização do país.
● O (Organization Name) – Este atributo contém o nome da Organização.
● OU (Organization Unit Name) – Contém o nome da unidade organizacional a qual o objeto
pertence dentro da organização. Algo semelhante a um departamento financeiro ou de RH.
● DC (Domain Component) – Podem ser utilizados vários DC’s em um mesmo nome. O objetivo
aqui é definir as raízes dos nomes na falta ou não utilização dos demais parâmetros. Pode-se
utilizar nomes de empresas, departamentos, domínios DNS, entre outros, para
complementação.
Uma lista completa pode ser obtida no link: http://www.ietf.org/rfc/rfc2256.txt.
O sequenciamento desses parâmetros define o nome completo de registro de qualquer objeto,

também conhecido como DN (Distinguished Name). Segue sempre a regra, da esquerda para a
direita, dos parâmetros mais restritivos para os mais genéricos. Cada DN possui uma identificação
única de modo totalmente qualificado a ser identificado na estrutura da árvore.
Desse modo, dizemos que as entradas na árvore DIT é organizada segundo cada DN. Vale
mencionar que algumas bancas gostam de referenciar à estrutura do LDAP como árvore invertida,
estando devidamente correto no sentido de que a raiz de uma árvore de verdade em regra vai de
baixo para cima, enquanto o LDAP, vai de cima para baixo.
Outro conceito é o de RDN (Relative Distinguished NAME) que podemos entender como ramos dessa
árvore. Logo, o DN pode ser composto por diversos RDN’s.
Aula 10
Como todo serviço ou protocolo baseado na arquitetura cliente-servidor,

temos uma lista de possíveis mensagens e suas funções que são padronizadas
pelo protocolo. No LDAP não é diferente e algumas bancas exploram o
conhecimento desses pontos. Portanto, vamos conhecer os principais:
BIND (Autenticar) - Utilizado para autenticar o cliente no servidor através de

seu DN (Distinguished Name). Deve ser uma conexão segura para que possa
ser enviado o nome do domínio, nome de usuário e password. É informado
também a versão do protocolo LDAP que será utilizado.
==5617c==
UNBIND (Encerramento) - Encerra uma sessão LDAP.
SEARCH (Busca) - Comando para que o servidor busque e responda com as

entradas dos diretórios que atendem aos critérios definidos na busca.
COMPARE (Comparação) - Faz a validação através de teste de um atributo e o

valor referente ao domínio informado.
ADD (Adicionar) - Adiciona uma nova entrada no diretório.
MODIFY (Modificar) - Altera uma entrada existente.
DELETE (Apagar) - Exclui uma entrada existente.
MODRDN (Modificar RDN) - Renomeia uma entrada existente. O servidor

recebe o nome de domínio e o novo RDN a ser definido.
StartTLS – Comando que inicia a criação de um túnel seguro (TLS/SSL) no qual

trafegarão as informações criptografadas.
Vale mencionar que o servidor LDAP processará cada mensagem ou

requisição individualmente. Algo semelhante ao protocolo HTTP. Em
servidores UNIX-LIKE, temos o pacote SLAPD com seu arquivo de
configuração no diretório /ETC/LDAP/SLAPD.confi. Este pacote contém
uma estrutura padrão do LDAP armazenada no arquivo core.schema.
Aula 10
Algumas questões abordam de forma mais detalhada a estrutura de pesquisa

do LDAP.
Desse modo temos os seguintes conceitos:
WhitePages: Sabendo o nome do objeto que será requisitado

determinado acesso de escrita ou leitura, pode-se buscar exatamente
pelo conteúdo.
(Analogia à uma lista telefônica em que se busca pelo nome para obter
demais informações de contatos).
YellowPages: Caso não seja conhecido o nome do objeto, pode-se

utilizar de características ou informações a respeito do objeto desejado.
Assim, realiza-se uma busca com esses parâmetros.
(Analogia à uma consulta no caderno de plano de saúdo para se obter

informações de um médico em determinada área de especialização).
Aula 10
Um outro ponto que pode vir a ser cobrado em prova são os tipos de
armazenamento, também conhecidos como modelos de armazenamento das
informações nos diretórios, derivados do padrão X.500. São eles:
- Modelo de Nomes: Este modelo é o responsável por tratar a organização da

árvore DIT, como os RDN’s e DN’s.
- Modelo de Informações: Este modelo é responsável por tratar aspectos

informacionais dos objetivos, como atributos, schemas, classes, entre outros.
- Modelo de Segurança: Aqui são abordados os pontos de segurança como

autenticação e autorização de acesso.
- Modelo Funcional: Aqui se definem os métodos ou ações que serão

permitidas em cada diretório, bem como as ferramentas que poderão ser
utilizadas. Define-se, portanto, como as informações serão acessadas e o que
poderá ser feito com elas.
Aula 10
EXERCÍCIOS COMENTADOS
X.500 E LDAP
1. CESPE – TCE-SC/AFCE – Área TI/2016

O método de autenticação básico no LDAP implementa criptografia AES para proteger o
tráfego da senha entre o cliente e o servidor LDAP no momento em que a conexão TCP é
estabelecida.
Comentários:
O LDAP nativo roda na porta 389/TCP e não implementa recursos de segurança.
Entretanto, pode-se utilizar recursos de segurança de maneira estendida, como pela
criação de túneis TLS para tal finalidade. Nesse caso, muda-se inclusive, a porta de
operação do protocolo, também conhecido como LDAPS – 636/TCP. Pode-se verificar tais
informações diretamente nas RFCs do LDAP: 4511 – Definição do protocolo e 4513 –
Mecanismos de autenticação. Desse modo, ainda considerando o termo “básico” da
assertiva, temos que o gabarito deveria ser INCORRETO.
Gabarito: E
2. CESPE – MS/Analista Administrativo/2013

O uso do LDAP (lightweight directory access protocol) permite que colaboradores,
aplicativos e recursos de rede utilizem informações armazenadas em um repositório
central.
Comentários:
Questão bem tranquila para iniciarmos nossos exercícios, certo pessoal? Vimos que o
LDAP permite o acesso às informações dos objetos e recursos na rede a partir de um
repositório central.
Gabarito: C
Aula 10
3. CESPE – SERPRO/Analista de Redes/2013

O protocolo LDAP foi desenvolvido para ser executado sobre uma camada de transporte
confiável, orientada a conexões. Dessa forma, é adequado o uso do protocolo de camada de
transporte UDP para implementações do LDAP.
Comentários:
De fato, o LDAP foi desenvolvido para ser executado sobre uma camada de transporte
confiável, orientado a conexões. Entretanto, o protocolo que executa tais funções é o TCP.
Mas especificamente, para o LDAP, temos a utilização da porta 389/TCP.
Gabarito: E
4. CESPE – CGE-PI/Auditor Governamental/2015

Durante um teste de varredura de rede para auditoria de segurança, constatou-se o uso
de serviço LDAP com autenticação simples. O servidor LDAP em uso era o OpenLDAP na
versão 2.4.
Considerando essa situação hipotética, julgue o próximo item.
Na situação em apreço, a técnica de autenticação com DIGEST-MD5 pode ser utilizada, já

que o CRAM-MD5 está depreciado em versões 2.4 do OpenLDAP.
Comentários:
Atualmente, a função HASH utilizada pelo LDAPv3 é de fato o MD5. A questão apresenta
ainda a função anterior que era utilizada e que atualmente está depreciada conforme
especificação da ferramenta openLDAP. Vale mencionar que esta não é a única forma de
armazenamento dos dados do LDAPv3, conforme vimos na parte teórica. Pode ser
considerado ainda o armazenamento em texto em claro ou em um arquivo criptografado.
Gabarito: C
5. CESPE – SERPRO/Técnico – Operação de Redes/2013

Todo serviço de diretório do tipo LDAP emprega uma estrutura hierárquica que
armazena informações sobre objetos na rede. O que diferencia as diversas
implementações são os tipos de objetos rastreados.
Aula 10
Comentários:
Essa estrutura hierárquica é que permite a identificação e rastreamento dos objetos na
rede.
Gabarito: C

O LDAP, dada sua complexa organização em árvore, não permite a localização rápida e
precisa de complementos e, consequentemente, de informações e arquivos
disponibilizados na rede.
Comentários:
Não né pessoal? Justamente devido à organização hierárquica em árvore, o LDAP
identifica de forma rápida e precisa dos objetos na rede. Vale sempre lembrar que ele foi
desenvolvido e customizado para otimização dos recursos de leitura de informações dos
objetos na rede.
Gabarito: E

O LDAP, serviço utilizado para acessar um serviço de diretório, é executado sobre o
protocolo SSH, com o cliente dedicado.
Comentários:
Detalhe para o posicionamento do CESPE preciso em relação ao LDAP ser um serviço ou
protocolo para acesso de serviço de diretório. Entretanto, não há a utilização do
protocolo SSH em sua implementação.
Gabarito: E
8. CESPE – TRE-RJ/Analista Judiciário – Análise de Sistemas/2012

O LDAP é um protocolo executado sobre TCP/IP e exclusivo para redes Unix que permite
organizar recursos de forma hierárquica, tais como árvores de diretório.
Comentários:
Aula 10
O LDAP é um protocolo da camada de aplicação que não se restringe a redes UNIX.

Conforme comentamos, o próprio AD da Microsoft utiliza o protocolo LDAP.
Gabarito: E
9. CESPE – Banco da Amazônia/Técnico Científico – Suporte Técnico/2012

O servidor de arquivos Samba, utilizado no sistema operacional Linux, permite o
compartilhamento de arquivos, diretórios e impressoras.
Comentários:
Faltou o complemento da questão para que ela ficasse mais precisa. Entretanto, usou-se
o termo “permite” o que deixou a questão totalmente correta. O mais preciso seria dizer
que realiza o compartilhamento entre Windows e Linux.
Gabarito: C
10.CESPE – Banco da Amazônia/Técnico Científico – Suporte Técnico/2012

É possível integrar a autenticação do servidor de arquivos Samba a um serviço de
diretório já instalado, como o Active Directory da Microsoft, desde que o arquivo de
configuração smb.conf contenha a opção security=share e configure o Kerberos.
Comentários:
Conforme vimos, o modo que permite a integração em domínio AD é o ADS.
Gabarito: E
11.CESPE – MEC/Administrador de Redes/2011

A versão 3 do protocolo LDAP não suporta servidores hierárquicos; assim, consultas feitas
a um servidor para um bloco de dados não resultam em referências recursivas para
outros servidores.
Comentários:
O modelo de consultas recursivas segue a mesma estrutura do protocolo DNS. Caso se
faça uma consulta a um servidor e este não saiba a resposta à consulta, esse servidor
repassa a consulta a outro servidor em uma hierarquia superior. Sob a perspectiva do
cliente, faz-se sempre apenas uma consulta, sendo transparente o modo recursivo.
Aula 10
Gabarito: E
12.CESPE – Correios/Analista de Correios – Analista de Sistemas/2011

O protocolo LDAP (lightweight directory access protocol) não possui utilidade em uma
infraestrutura de chave pública.
Comentários:
O padrão de infraestrutura de chave pública X.509 faz parte da família X.500. Uma vez
que o LDAP é a sua implementação em redes TCP/IP, o X.509 também faz uso do
protocolo LDAP para a implementação prática de seu modelo hierárquico e referência de
nomes para acesso aos objetos da árvore. Dessa forma, dizemos que o LDAP é totalmente
integrado com o sistema de certificados digitais.
Gabarito: E
13.CESPE – TJ-ES/Analista Judiciário – Análise de Suporte/2011 - ADAPTADA

Para a disponibilização de um serviço de diretórios na rede interna do tribunal, é
adequada a implantação de serviços que utilizem o protocolo LDAP, que, a partir do
armazenamento das informações na forma de árvore, é capaz de organizar e localizar
permissões, recursos e usuários de rede.
Comentários:
Questão bem tranquila que apresenta uma recomendação de utilização do LDAP para os
propósitos apresentados.
Gabarito: C
14.CESPE – ABIN/Agente Técnico de Inteligência/2010

Se um servidor de autenticação de usuário embasado em servidor do tipo LDAP for
utilizado na rede, o operador deverá interromper o serviço do LDAP, uma vez ao dia, para
realizar as cópias dos dados do LDAP. Isso se deve ao fato que o serviço LDAP trava, por
padrão, a base e nega acesso a qualquer outro dispositivo ou usuário do sistema para
realizar backup.
Comentários:
Aula 10
Não né pessoal? Se um serviço totalmente embasado nas informações de armazenamento

de informações dos objetos e recursos da rede não possibilitar a realização de backup,
seria um protocolo de alto risco em relação à perda dos dados.
Gabarito: E

O LDAP permite que a estrutura hierárquica da organização esteja representada no
serviço de diretório e que o processo de autenticação de usuários seja distribuído entre um
servidor mestre e vários servidores escravos.
Comentários: ==5617c==
Não só permite esse modelo como é bastante utilizado em organizações de médio e

grande porte.
Gabarito: C

O LDAP versão 3 suporta tanto a autenticação por meio de certificados quanto o uso de
TLS.
Comentários:
Conforme comentamos nas questões anteriores, o LDAP é plenamente integrado ao
sistema de certificados digitais. Além disso, vimos que o estabelecimento de um túnel
TLS se dá a partir do comando STARTTLS.
Gabarito: C
Aula 10
O DN (distinguished name) do usuário denominado BABS, que faz parte da estrutura

organizacional hipotética apresentada, é d a d o p o r : dc=com, dc=example, ou=people,
uid=babs,dn=person.
Comentários:
Pessoal, vimos que o arranjo e combinação do DN é do mais específico para o mais geral.
Nesse sentido, o correto seria: uid=babs, ou=people, dc=example, dc=com
Vale ressaltar que o parâmetro PERSON não faz parte da estrutura, mas tão somente a
identificação do tipo de objeto.
Gabarito: E

Um serviço de diretório embasado no LDAP possibilita que haja um controle centralizado
de usuários e que seja armazenado e acessível por métodos padronizados.
Comentários:
Mais uma questão abordando o conceito de utilização do LDAP.
Gabarito: C
Aula 10
19.CESPE – MPU/Analista de Informática/2010

O acesso aos serviços de diretórios no padrão X.500, que devem estar organizados em
forma de tabela, é feito por intermédio do LDAP, o qual atua na camada de aplicação.
Comentários:
Nada de estruturação em tabela. Como vimos, o X.500 e o LDAP utiliza uma organização
hierárquica em árvore (DIT).
Gabarito: E
20.CESPE – Banco da Amazônia/Técnico Científico – TI/2010

No LDAP, os dados são relacionados entre si por meio de uma estrutura hierárquica
arborescente.
Comentários:
Uma forma diferente de dizer o que comentamos na questão anterior.
Gabarito: C

A utilização do LDAP é conveniente para dados sobre os quais a operação de leitura é
mais frequente do que a operação de gravação.
Comentários:
Vimos que o LDAP foi criado com base nessa característica. Nesses ambientes o volume
de requisições de leitura é muito maior do que as requisições de escrita.
Gabarito: C

Com o active directory implantado, perde-se a possibilidade de utilização de strings LDAP
em linha de comando.
Aula 10
Comentários:
Vimos que o AD utiliza o protocolo LDAP em sua implementação. Nesse sentido, não há
limitações da forma de utilização desse protocolo, podendo ser feito inclusive em linha
de comando.
Gabarito: E
23.CESPE – TRE-BA/Analista Judiciário – Análise de Sistemas/2010

Active Directory implementa o conceito de LDAP (lightweight directory access protocol)
reunindo, em um único local, as bases de dados de usuários, de permissões e de recursos.
Comentários:
Pessoal, a dúvida nessa questão fica no termo “único local”. Devemos entender esse
termo em seu sentido lógico, isto é, uma base centralizada dessas informações, ainda que
estes dados estejam replicados ou organizados hierarquicamente em um conceito físico.
Gabarito: C
24.CESPE – INMETRO/Analista Executivo/2009

As opções de autenticação no LDAP se restringem a autenticação simples com SSL/TLS e
com Security Layer.
Comentários:
Vimos que o LDAP suporta diversos modos de autenticação, entre eles o SSL/TLS.
Portanto, não há exclusividade desse modo.
Gabarito: E
25.CESPE – DEPEN/Agente Penitenciário – Área 7/2015

O software OpenLDAP permite ao usuário fazer pesquisa no serviço Active Directory da
Microsoft. Para possibilitar esse procedimento, o Active Directory deve suportar o
protocolo HTTPS, uma vez que o OpenLDAP transfere dados por meio desse protocolo.
Comentários:
Aula 10
Pessoal, vimos que o AD implementa o LDAP nativamente. Desse modo, não há

necessidade de suporte do HTTPS para tal procedimento.
Gabarito: E
26.CESPE – DEPEN/Agente Penitenciário – Área 7/2015

O padrão LDAP é uma derivação do serviço de diretórios X.500. Em ambientes Linux, o
sistema OpenLDAP é considerado a principal implementação aberta desse padrão.
Comentários:
Reforçando a questão anterior, temos ainda que o openLDAP, conforme vimos, é a
implementação em código aberto do LDAP, sendo amplamente utilizado em ambientes
LINUX.
Gabarito: C
27.CESPE – TJ-SE/Analista Judiciário – Redes/2014

No modo SSL, o servidor LDAP atende, além da porta padrão de serviço (389), uma porta
para conexões criptografadas (ldaps, a porta padrão 636), de modo que clientes que
desejarem conexões criptografadas devem usar a porta 636.
Comentários:
Questão bem tranquila, porém, exigia o conhecimento das portas padrões utilizados pelo
serviço LDAP no modo padrão e modo seguro, com SSL.
Gabarito: C
Aula 10
EXERCÍCIOS COMENTADOS COMPLEMENTARES
X.500 E LDAP
1. FCC – TRT 5ª Região/Técnico Judiciário/2013

O protocolo LDAP permite
a) apenas o armazenamento de senhas criptografadas, possibilitando a utilização de
diversos algoritmos de criptografia.
b) apenas o armazenamento de senhas no formato SHA1 sem criptografia do conteúdo.
c) que o atributo userPassword possua mais de um valor, possibilitando que seu conteúdo
seja armazenado em diversos formatos.
d) que a senha seja armazenada apenas nos formatos SHA1 ou MD5 (para
compatibilidade com versões anteriores).
e) que o atributo userPassword possua apenas um valor por usuário que deve ser
criptografado e gerado um hash SHA1 ou MD5.
Comentário:
O LDAP suporta diversas formas de armazenamento. Possibilita vários valores em
diferentes formatos para o servidor como senhas de um mesmo usuário em texto em claro,
criptografados ou em HASH.
Gabarito: C
2. FCC – TCE-AP/Analista de Controle Externo – TI/2012

Protocolo que organiza as informações como uma árvore e permite localizar pessoas,
recursos e serviços, entre outros. Descrito na RFC 2251, é uma versão simplificada do
serviço X.500 do OSI. Trata-se do
a) LCP.
b) IMAP.
c) LDAP.
d) DNS.
e) ICMP.
Comentário:
Questão típica de comparação do LDAP e X.500. O primeiro sendo uma forma
simplificada e otimizada do X.500, focado na arquitetura TCP/IP.
Aula 10
Gabarito: C
3. FCC – SABESP/Técnico em Gestão – Informática/2014

Dentre os atributos comuns do protocolo LDAP está o atributo para armazenamento do
sobrenome do usuário. A sigla utilizada para este atributo é
a) co
b) sn
c) ln
d) un
e) ul
Comentário:
Conforme vimos, o SN representa um sobrenome em um contexto de usuário,
complementando o nome definido no parâmetro CN.
Gabarito: B
4. FCC – TRT – 15ª Região/Analista Judiciário – TI/2013

Dentre as principais operações que podem ser efetuadas no protocolo LDAP, se
encontram:
Search: O servidor busca e devolve as entradas do diretório que obedecem ao critério da
busca.
Bind:
a) Essa operação serve para autenticar o cliente no servidor. Ela envia o DN

(Distinguished Name), a senha do usuário e a versão do protocolo que está sendo usada.
b) Encerra uma sessão LDAP.
c) Adiciona uma nova entrada no diretório
d) Renomeia uma entrada existente. O servidor recebe o DN (Distinguished Name)
original da entrada, o novo RDN (Relative Distinguished Name), e se a entrada é movida
para um local diferente na DIT (Directory Information Tree), o DN (Distinguished Name)
do novo pai da entrada.
e) Apaga uma entrada existente. O servidor recebe o DN (Distinguished Name) da entrada
a ser apagada do diretório.
Comentário:
Vimos que a parte de autenticação corresponde ao comando BIND, sendo ele o principal
comando do LDAP.
Aula 10
Gabarito: A
5. FCC – TRT – 18ª Região (GO)/Analista Judiciário – TI/2013

É considerado um diretório de assinantes, pode ser usado para consultar dados de
usuários, além de poder utilizar um serviço X.500, aberto. Descrito inicialmente na RFC
2251, ele organiza as informações como uma árvore e permite pesquisas em diferentes
componentes. Trata-se de:
a) RAID.
b) LDAP.
c) OSPF.
d) NAS.
e) CIFS.
Comentário:
Pessoal, questão bem tranquila certo? Percebam que a FCC trouxe o LDAP como um
serviço de diretório. Porém, não é o foco da discussão dizer se ele é somente acesso. Então
não vamos encrencar com a banca, ok? Marquemos a opção com segurança.
Gabarito: B
6. FCC – TRT – 14ªRegião (RO e AC)/Analista Judiciário – TI/2011

Um cliente começa uma sessão de LDAP ligando-se a um servidor LDAP, normalmente
pela porta TCP padrão Imagem 004.jpg . Este envia requisições para o servidor, o qual
devolve respostas. Dentre as operações básicas, Compare Imagem 005.jpg . Completam
correta e respectivamente as lacunas I e II:
a) 59; autentica e especifica a versão do protocolo LDAP.
b) 389; autentica e especifica a versão do protocolo LDAP.
c) 389; testa se uma entrada tem determinado valor como atributo.
d) 410; testa se uma entrada tem determinado valor como atributo.
e) 410; protege a conexão com a Transport Layer Security.
Comentário:
Resolvendo a questão por eliminação, teríamos: sabe-se que o LDAP atua na porta
389/TCP. E já vimos que o comando mais importante é o BIND que realiza a autenticação,
ou seja, não pode ser a alternativa B. Nos resta então, coma porta 389 a alternativa C.
Tranquilo?
Aula 10
Gabarito: C
7. FCC – 14ª Região (RO e AC)/Analista Judiciário – TI/2011

O sistema LDAP é derivado de um sistema de diretórios chamado
a) Frame Relay.
b) ATM.
c) DoS.
d) X.500.
e) DNS.
Comentário:
Para não esquecermos, certo? LDAP é uma versão simplificada do X.500. Reforço a
questão de que não vamos “brigar” com a banca a respeito do LDAP ser um protocolo de
acesso ao serviço de diretórios.
Gabarito: D
8. FCC – 14ª Região (RO e AC)/Analista Judiciário – TI/2011
Em relação ao LDAP, é INCORRETO afirmar:
a) É derivado do sistema de diretórios X.500.

b) É basicamente um sistema de diretórios que engloba o diretório em si e um protocolo
denominado DAP.
c) Normalmente um cliente conecta-se ao servidor LDAP, através da porta padrão 389
(TCP).
d) A operação Compare tem como função testar se uma entrada tem determinado valor
como atributo.
e) Extended Operation é uma operação genérica para definir outras operações.
Comentário:
Percebam a diferença pessoal. Na mesma prova temos uma questão que agora o
examinador entra no mérito do LDAP ser um protocolo de acesso. Vejam que o LDAP não
define a estrutura de diretório em si, por esse motivo, temos o item B como errado. O
conceito de protocolo DAP não se aplica aqui, mas tão somente vinculados a servidor de
Aula 10
autorização dinâmica, que não vem ao caso na nossa discussão. Foi apenas para
confundir o candidato.
Aprendamos ainda com a questão a respeito da operação Extended Operation que, de

fato, permite implementação de comandos alternativos para realização de determinadas
funções.
Gabarito: B
9. FCC – TRT – 4ª Região (RS)/Analista Judiciário – TI/2011

No âmbito de LDAP, Bind
a) autentica e especifica a versão do protocolo LDAP.
b) adiciona uma nova entrada.
c) protege a conexão com a Transport Layer Security.
d) aborta uma requisição prévia.
e) testa se uma entrada tem determinado valor como atributo.
Comentário:
Temos aí mais uma vez a exigência do conhecimento do comando BIND como comando
para autenticação.
Gabarito: A
10.FCC – TRT – 4ª Região (RS)/Analista Judiciário – TI/2011
No LDAP, o pacote slapd contém alguns arquivos de schema por padrão, sendo o principal
deles, aquele que provê a funcionalidade básica do serviço. Trata-se do
a) inetorgperson.schema.
b) nis.schema.
c) cosine.schema.
d) pidfile.schema.
e) core.schema.
Comentário:
Conforme vimos na nossa teoria, o core.schema é um arquivo padrão que define uma
estrutura de referência para o LDAP em sua implementação.
Aula 10
Gabarito: E
11.FCC – TRF – 1ª Região/Técnico Judiciário – Operação de Computador/2011

Breno é aluno da Universidade Brasileira de Ciência da Computação e o seu login bcoelho
é integrante da unidade organizacional Redes. Na estrutura organizacional do LDAP, o
Distinguished Name que melhor se adequa a Breno é
a) dn: dc=br,dc=ubcc,dc=aluno,ou=redes,uid=bcoelho
b) dn: dc=br,dc=ubcc,ou=redes,uid=bcoelho
c) dn: uid=bcoelho,ou=redes,dc=ubcc,dc=br
d) dn: dc=ubcc,dc=aluno,ou=redes,uid=bcoelho
e) dn: uid=bcoelho,ou=redes,dc=aluno,dc=ubcc,dc=br
Comentário:
Seguindo o conceito do mais restritivo para o mais genérico, da esquerda para a direita,
temos o nome do usuário como ponto que melhor define este objeto e o domínio BR que
é a categoria mais genérica.
Lembremos que o parâmetro DC sempre possui um contexto mais genérico que os nomes
da organização ou unidades nos parâmetros “O” ou “OU”. Logo, organizando os dados,
teremos a alternativa E como opção. Reparem que na alternativa C, não consta a
informação de que BRENO é aluno, ou seja, diante do enunciado, está incompleto.
Gabarito: E
12.FCC – 24ªRegião (MS)/Técnico Judiciário – TI/2011

Em relação ao LDAP, é INCORRETO afirmar:
a) As entradas são organizadas em uma estrutura em árvore chamada Directory
Information Tree (DIT).
b) As entradas são organizadas na DIT, segundo o seu Relative Distinguished Names
(RDN).
c) O Distinguished Name (DN) é um nome único que dentifica sem ambiguidades cada
entrada.
d) Os Distinguished Names (DN) são constituídos por uma sequência de Relative
Distinguished Names (RDN).
e) Cada Relative Distinguished Name (RDN) corresponde a um ramo da árvore.
Aula 10
Comentário:
Muito cuidado pessoal. As entradas não são definidas pelo RDN, pois são parciais. O que
define cada entrada é o DN, que é um nome de registro distinto para cada objeto.
Gabarito: B
13.FCC – MEP-RN/Analista de TI/2010

NÃO se trata de uma característica do LDAP:
a) Organização de servidores de forma hierárquica.
b) Substituição dos bancos de dados relacionais.
c) Multiplataforma.
d) Padrão aberto.
e) Grande escalabilidade.
Comentário:
O LDAP é um protocolo de acesso ao serviço de diretório e pode utiliza banco de dados
relacionais. Portanto, dizer que este substitui os bancos está totalmente fora de
cogitação.
Gabarito: B
14.FCC – TRF – 4ª Região/Técnico Judiciário – Operação de Computador/2010

NÃO é uma vantagem do LDAP:
a) padrão Aberto.
b) facilidade de instalação e manutenção.
c) delegação de autoridade e permissão via ACL no próprio servidor.
d) monoplataforma.
e) opções de fornecedores de solução.
Comentário
Mais uma questão bem tranquila, certo? O LDAP é um padrão multiplataforma. Vale
mencionar o conceito de ACL (Access Control List) que nada mais é do que um arquivo
de regras de controle de acesso dos requisitantes aos objetos.
Gabarito: D
Aula 10
15.FCC – CNMP/Analista do CNMP – TI de Suporte/2015

O arquivo de configuração do serviço de diretório da suíte OpenLDAP é o ...... . Esse arquivo
possui vários parâmetros que configuram desde a execução do serviço até o backend de
banco de dados que será utilizado, assim como os índices que devem ser gerados para
agilizar as buscas e também a senha de administração para acessar o diretório.
Preenche, correta e respectivamente, a lacuna:

a) /etc/ldap/slapd.conf
b) /etc/ldap/conf.schema
c) /var/run/slapd/slapd.args.conf
d) /usr/lib/ldap.conf
e) /conf/run/slapd/slapd.pid
Comentário
Vimos que o arquivo de configuração do SLAPD, que é o mesmo utilizado pelo OpenLDAP,
fica no /etc/ldap/slapdf.conf. Muita atenção para não confundir com o arquivo que
possui um SCHEMA padrão que é o conf.schema.
Gabarito: A
16.FCC – TRT 2ª Região (SP)/Técnico Judiciário – TI/2014

Considere as afirmações sobre LDAP:
I. O modelo de serviço do Diretório LDAP é baseado em entradas. Uma entrada é um

conjunto de atributos referenciada através de um nome distinto (DN). O DN é usado para
referenciar uma entrada de forma não ambígua. Cada um dos atributos de entrada tem
um tipo e um ou mais valores.
II. O LDAP define operações para consultar e atualizar o Diretório. Operações são
fornecidas para adição e remoção de uma entrada do Diretório, modificação de uma
entrada existente e modificação do nome de uma entrada. A operação LDAP de busca é
efetuada por meio de busca binária e sempre descende da raiz até os nós de pesquisa, não
efetuando, desse modo, a pesquisa de, apenas um ramo.
III. No LDAP, entradas de Diretório são organizadas em uma hierarquia de árvore

invertida, semelhante em alguns aspectos à organização do DNS. A estrutura desta árvore
geralmente reflete limites políticos, geográficos e/ou organizacionais. O nó mais alto
(raiz) é tipicamente o componente nome de domínio de uma companhia, estado ou
organização.
Aula 10
Está correto o que consta APENAS em

a) I e III.
b) II e III.
c) I e II.
d) II.
e) III.
Comentário
Pessoal, o erro do tópico II está em afirmar que que a pesquisa sempre descende da raiz
até os nós de pesquisa. Pode-se efetuar pesquisas em ramos específicos, como por
exemplo, a partir do ramo DC=Professores, OU=Engenharia, posso buscar o email do
professor com nome André Castro. Nesse caso, não preciso realizar a busca a partir do
domínio raiz, como por exemplo, o nome da universidade.
Os demais itens nos trazem boas definições complementarem a respeito do LDAP.
Gabarito: A
17.FCC – MPE-AP/Técnico Ministerial – Informática/2012

O openLDAP suporta diversos tipos de autenticação, dentre eles estão os tipos: Anônimo,
Simples e
a) IPSEC.
b) JIT.
c) B2B.
d) SASL.
e) NTP.
Comentário
Questão bem objetiva a respeito dos tipos de autenticação do OPENLDAP. Ainda que não
lembrássemos, poderíamos resolver a questão por eliminação.
IPSEC está relacionado a padrões de comunicação segura.
Aula 10
JIT é o acrônimo para o compilador just-in-time, que é um tradutor que converte, em

tempo de execução, instruções de um formato para outro.
B2B vem do termo Business to Business, que nada tem a ver com OpenLDAP.
NTP é o protocolo utilizado para sincronia de tempo.
Gabarito: D
18.FCC – TRT -14ª Região (RO e AC)/Analista Judiciário – TI/2016

==5617c==
O LDAP define, dentre outras, a forma como um cliente de diretório pode acessar um
servidor de diretório. O LDAP pode ser
usado
(A) para enumerar objetos de diretório, mas não para localizá-los.
(B) para estabelecer uma conexão entre um cliente e um servidor LDAP, usando a porta
padrão 485, via UDP.
(C) apenas em ambiente Windows, pois é um serviço de diretório proprietário.
(D) no Linux e configurado através do arquivo ldap-inf.xml, encontrado no diretório /etc.
(E) para consultar ou administrar o Active Directory.
Comentário:
Vamos aos itens:
a) Pode ser utilizado para localizá-los sem nenhum problema. INCORRETO
b) O LDAP em seu modo padrão e nativo utiliza a porta 389/TCP. INCORRETO
c) Não há restrição de SO nesse sentido, podendo ser utilizado também por sistemas
UNIX. INCORRETO
d) A configuração pode ser feita tanto no lado do servidor quanto no lado do cliente. A
questão não entrou no mérito desse ponto, entretanto, temos que a sua configuração se
Aula 10
dá a partir do arquivo slapd.conf, no lado do servidor, sob o diretório padrão:

/usr/local/etc/OpenLDAP/slapd.conf; No lado do cliente, configura-se o arquivo
ldap.conf no diretório: /usr/local/etc/OpenLDAP/ldap.conf INCORRETO
e) O AD possui implementação em LDAP, tendo plena integração dessas soluções,

podendo ser utilizado para consultas nos objetos do próprio AD. CORRETO
Gabarito: E
Aula 10
ACTIVE DIRECTORY – AD
Sendo adotado um modelo de administração centralizado em redes com sistemas Microsoft, surgem
diversos conceitos, muitos deles semelhantes ao que já vimos. Desse modo, se faz necessária a
instalação de um servidor de domínio como o Windows 2008 Server neste ambiente. Mas o que vem
a ser esses conceitos?
● Domínio é uma estrutura (container) lógica para facilitar a gestão dos recursos da
organização. Um domínio pode conter usuários, grupos, computadores e outras unidades
organizacionais. O domínio se aplicaria em um escopo como uma organização ou a um setor,
por exemplo.
O domínio é um limite administrativo estruturado de forma hierárquica em que todos os seus
objetos compartilham um mesmo espaço de nomes (name space – podemos usar como
analogia um domínio de internet, no qual todos os domínios filhos compartilham um
determinado sufixo).
● Uma Unidade Organizacional também é um container utilizado com a mesma finalidade que
o domínio, porém se aplica em um escopo menor. Uma Unidade Organizacional pode ser
criada dentro de um domínio ou dentro de outra OU, e seu uso é facultativo. Em uma OU
podemos ter usuários, grupos, computadores e outras unidades organizacionais.
As Unidades Organizacionais (OU) são uma forma de controle administrativo. Distribuir os

objetos em Unidades Organizacionais permite o controle de administração em vários níveis e
facilita a administração. Atentem que as Unidades Organizacionais não guardam
necessariamente relação com a estrutura organizacional.
● Uma árvore é uma estrutura lógica mais abrangente que o domínio. A árvore é criada quando
é criado um domínio. Todos os domínios da mesma árvore compartilham informações e
recursos.
Os domínios em uma árvore são unidos através de relações de confiança transitiva

bidirecional. Uma relação de confiança significa que o Domínio A confia em B, e o domínio B
confia em A.
● Floresta é um grupo de uma ou mais árvores. A floresta fornece recursos de segurança,

convenções, confianças e GLOBAL CATALOG. Criar uma floresta é a maneira de organizar as
árvores e manter os esquemas separados
O GLOBAL CATALOG tem como objetivo integrar e concentrar informações dos objetos
entre domínios diferentes em sistemas multidomínios. Ele possui informações parciais
ou totais de cada domínio o que permite buscas interdomínios sem as informações de toda a
hierarquia dos dados que se busca.
Aula 10
● Os grupos são os tipos de objetos que podem conter computadores, usuários ou outros
grupos, e permitem atribuir permissões aos recursos. A figura abaixo traz mais informações
sobre grupos.
● Já o Group Policy Object (GPO) contém regras e diretivas que são aplicadas a usuários,
domínio e unidades organizacionais. Nessas regras pode-se ter aspectos de segurança e
controle através do permissionamento de acesso e direito de conta.
O Active Directory (AD) é um serviço de diretório para sistemas operacionais Microsoft Windows
Server, posteriores à versão 2000, incluindo o Windows Server 2008. Vale mencionar que existem
módulos de compatibilidade para recursos de segurança das versões anteriores.
Nem todas as versões do Windows Server 2008 podem ser controladores de domínio, por exemplo
==5617c==
a versão Web Server. Outro importante ponto é que o Active Directory depende totalmente do
serviço DNS para a resolução de nomes dos objetos do domínio.
O Active Directory é criado quando criamos um Domínio. Não é possível criar um domínio antes de
instalar o AD. Após a criação do domínio, o servidor no qual é criado o domínio passa a ser chamado
de Controlador de Domínio.
O Active Directory mantém dados como contas de usuários, impressoras, grupos,

computadores, servidores, recursos de rede, etc. Cada recurso é chamado de objeto, ou seja,
no AD, objeto é todo recurso da rede representado no AD. Cada objeto possui propriedades ou
atributos dos objetos. Cada objeto também possui um nome de identificação único conhecido como
CN – Canonical Name, semelhante ao conceito de DN (Distinguished Name) do LDAP.
Um ponto a se esclarecer é que podemos ter o mesmo nome de objeto em domínios

diferentes, isto é, posso ter um professor André Castro em uma OU = Engenharia e outro professor
André Castro em uma OU = Saúde. Quando for formado o CN a partir da junção dos diversos
parâmetros, teremos, nomes únicos e exclusivos.
A base de dados de objetos do AD é armazenada em um arquivo chamado NTDS.dit, localizado no

diretório padrão %SystemRoot%\NTDS\ntds.dib , onde todos os recursos são armazenados. Os
computadores clientes do Active Directory fazem buscas na base de dados do AD utilizando o
protocolo Lightweight Directory Access Protocol (LDAP).
Um ponto que chama a atenção é a diferença entre AD e Domains Controller. O primeiro

diz respeito à organização lógica, enquanto o segundo, à organização física. A figura abaixo
nos dá uma ideia dessa representação
Aula 10
A estrutura física do AD consiste em Domain Controllers – DC - e Sites. A estrutura física do AD é

totalmente independente da estrutura lógica do AD. A estrutura física é responsável por otimizar o
tráfego de rede e manter segurança em locais físicos distintos. Os DC’s mantêm uma cópia da
biblioteca NTDS.dit de tal modo que a falha de um DC não compromete a estrutura, conforme
imagem abaixo:
A estrutura lógica do AD consiste em Objetos, Unidades Organizacionais, Domínio, Árvores de

Domínio e Floresta. Utilizamos a estrutura lógica do AD para podermos gerenciar os objetos dentro
da organização.
O Active Directory integra a segurança e o controle de acesso a objetos no diretório. A

administração centralizada facilita o gerenciamento nas redes maiores e mais complexas. A
administração centralizada é realizada por meio de um conjunto de regras chamado de esquema
que determina inclusive quais padrões de nomes e escritas serão permitidos, como os tipos de
arquivos e dados, para cada objeto ou classe.
Todo novo objeto é validado de acordo com as regras existentes no esquema. O esquema de objetos
é modelado de acordo com o padrão X.500 da International Standards Organization (ISO) para
serviços de diretório.
Outro conceito que aparece em provas em relação a uma estrutura redundante de alta
disponibilidade para o AD. Desse modo, teremos um servidor AD como Controlador de Domínio
central e outro servidor redundante conhecido como RODC (Read Only Domain Controller).
Dessa forma, todas as informações gravadas do Controlador de Domínio são replicadas para o RODC.
Este arranjo permite um alto grau de segurança. É importante mencionar que o fluxo é sempre
unidirecional, ou seja, sempre do Controlador principal para o RODC, não havendo fluxo no sentido
contrário. Essa característica agrega uma camada de segurança no seguinte sentido: caso o servidor
Aula 10
RODC seja comprometido por um MALWARE, este não poderá divulgar informações falsas para o
controlador de domínio.
Para os critérios de autenticação, o Controlador de Domínio utiliza o protocolo KERBEROS.
Aula 10
EXERCÍCIOS COMENTADOS
ACTIVE DIRECTORY
1. CESPE – SERPRO/Analista de Redes/2013

Na estrutura do Microsoft Active Directory, cada objeto é associado a um LDAP
distinguished name (DN), que é sua representação LDAP completa, ou seja, totalmente
qualificada.
Comentários: ==5617c==
Conforme vimos na nossa teoria, o DN (distinguished name) é uma combinação de

parâmetros de identificação que torna cada objeto único, com uma representação
completa do seu nome a partir da raiz da estrutura. Vale lembrar que é o mesmo padrão
utilizado pelo FQDN do DNS. Lembramos ainda que o RDN (relative distinguished name)
provê uma identificação parcial, ou seja, um ramo da árvore de diretórios.
Gabarito: C
Aula 10
EXERCÍCIOS COMENTADOS COMPLEMENTARES
ACTIVE DIRECTORY
1. FCC – TRT – 5ª Região (BA)/Técnico Judiciário – TI/2013

Cada objeto no Active Directory é uma instância de uma classe definida no esquema. Cada
classe possui atributos que asseguram:
I. Identificação exclusiva de cada objeto (instância de uma classe) em um armazenamento

de dados de diretório.
II. Compatibilidade com versões anteriores através de identificações de segurança usadas
no Windows NT 4.0 e em versões anteriores.
III. Compatibilidade com padrões LDAP para nomes de objeto de diretório.
Está correto o que se afirma em

a) I, II e III.
b) I e II, apenas.
c) II e III, apenas.
d) III, apenas.
e) I, apenas.
Comentário
Pessoal, temos todas as assertivas corretas a respeito do AD. Vale reforçar a distinção de
cada objeto do AD para armazenamento na base de dados, seguindo a mesma ideia do
protocolo LDAP.
Outro ponto é a compatibilidade com versões anteriores de sistemas Windows nos

aspectos de segurança com vistas a manter os sistemas legados.
Gabarito: A
2. FCC – TRT – 5ª Região (BA) – TI/2013

A respeito das características do Active Directory, considere:
Aula 10
I. Uma conta de computador ou grupo não pode consistir somente em números, pontos ou
espaços. Qualquer ponto ou espaço à esquerda é cortado. Estes valores são apenas aceitos
em contas do usuário.
II. Com base nas informações fornecidas pela pessoa que cria o objeto de segurança, o
Active Directory gera uma identificação de segurança e uma identificação globalmente
exclusiva para identificar o objeto de segurança.
III. Se uma organização possuir vários domínios, será possível usar o mesmo nome de
usuário ou de computador em domínios distintos. O SID, a identificação globalmente
exclusiva, o nome distinto LDAP e o nome canônico gerados pelo Active Directory
identificarão exclusivamente cada usuário, computador ou grupo na floresta.
Está correto o que se afirma APENAS em

a) I.
b) I e III.
c) I e II.
d) II.
e) II e III.
Comentário
A restrição em relação à definição de nomes se encontra na regra de que não pode ser
utilizado caracteres especiais, sem distinção de sua finalidade, isto é, não importa se é
para usuário, sistema ou grupos. Tais caracteres são: um espaço à esquerda, um espaço
à direita ou qualquer um dos caracteres #, +, “ \ < > .
Desse modo, não há nenhum problema em se ter registros com apenas números.
Já no item II temos a referência da criação de um nome único (CN) e um padrão se senha

de segurança vinculado a este.
E por último, no item III, lembremos que podemos ter um professor com o mesmo nome,
porém, em departamentos diferentes. Assim, na composição do CN, este será único.
Gabarito: E
3. FCC – TRF – 1ª Região/Analista Judiciário/2014
Aula 10
Os clientes do Active Directory têm que se comunicar com computadores de domínio ao se

conectarem à rede e ao procurarem recursos compartilhados. O acesso a controladores de
domínio e catálogos globais é feito com o protocolo OpenLDAP, que é um padrão aberto
da Internet.
Comentário
Pessoal, temos que o AD utiliza o padrão aberto LDAP e não a implementação do LDAP
em código aberto como é o caso do OpenLDAP.
Gabarito: E
==5617c==
4. FCC – TRF – 3ª Região/Analista Judiciário – Informática/2014 (Adaptado)

Kerberos é um protocolo de autenticação e uma suíte de softwares que implementa esse
protocolo que é utilizado pelos servidores Windows como mecanismo primário de
autenticação, porém, não é suportado pelo Active Directory.
Comentário
Vimos que o Kerberos é o protocolo utilizado pelo AD para autenticação de seus nós.
Gabarito: E
5. FCC – TRT 19ª Região – Técnico Judiciário de TI/2011

O Active Directory (AD) é um serviço de diretório nas redes Windows 2000 e 2003. Nele, os
objetos do tipo contêineres, que podem conter objetos usuários, grupos, computadores,
impressoras, aplicativos, diretivas de segurança e compartilhamento de arquivos, são
conhecidos como:
A. Catálogos Globais.
B. Florestas.
C. Esquemas.
D. Domínios.
E. Unidades Organizacionais.
Comentário:
Questão problemática pessoal. Na prática, o contexto apresentado no enunciado poderia
se encaixar muito bem para domínios e Unidades Organizacionais, visto que ambos são
contêineres lógicos com o agrupamento dos objetos referenciados. Entretanto, o ponto
Aula 10
chave aí seria as diretivas de segurança. Esse critério é mais específico e geralmente é

controlado a um nível mais granular.
Desse modo, aplicando-se diretivas de segurança em ambientes menores, pode-se

controlar de forma mais eficiente o acesso aos objetos e recursos. Por esse motivo,
considera-se como gabarito a alternativa E.
Gabarito: E
6. CONSULPLAN – COFEN/Programador/2011
Qual dos componentes a seguir NÃO faz parte da estrutura lógica do Active Directory no
Windows 2003?
A. Objects.
B. Organizational Units.
C. Domain Forests.
D. Domains.
E. Forests.
Comentário:
Pessoal, fomos taxativos na lista que apresentamos em relação aos conceitos do AD. Em
nenhum momento falamos de Domain Forests.
Gabarito: C
7. FCC – TRT 14 ª Região/Técnico Judiciário – TI/2011

Os elementos que definem as permissões de controle de acesso sobre os objetos no Active
Directory incluem
A. apenas autenticação do usuário.
B. apenas descritores de segurança e herança de objetos.
C. apenas herança de objetos e autenticação do usuário.
D. apenas descritores de segurança e autenticação do usuário.
E. descritores de segurança, herança de objetos e autenticação do usuário.
Comentário:
Segundo o próprio site da Microsoft, temos os três parâmetros:
Aula 10
● Descritores de Segurança são vinculados aos objetos compartilhados. Possuem

duas listas de controle de acesso, a saber: Listas de Controle de Acesso Discricional
(DACL) e Listas de controle de acesso ao sistema (SACL).
● Herança de objeto em que os objetos herdam as ACL’s definidas no descritor de
segurança do objeto ao qual ele está abaixo na hierarquia. Isto é, os descritores de
segurança de um objeto serão aplicados aos seus nós subordinados.
● Autenticação do Usuário visa identificar e autorizar os usuários e demais objetos
a acessarem recursos na rede.
Gabarito: E
8. CONSULPLAN – COFEN/Programador/2011
Assinale o protocolo utilizado por computadores clientes, para realizar procuras em uma
base de dados Active Directory:
A. AD
B. DHCP
C. DNS
D. LDAP
E. WINS
Comentário:
Questão bem tranquila, certo? Vimos que o AD utiliza o próprio protocolo LDAP para
acesso aos recursos na rede.
Gabarito: D
9. FCC – TRT-2ª Região/Tecnologia da Informação/2014

Considere as afirmações sobre o Active Directory,
Grupo A:
I. Uma nova conta de usuário com o mesmo nome que a conta de usuário anteriormente
excluída ASSUME automaticamente as permissões e os membros de grupo da conta
excluída anteriormente.
II. Uma nova conta de usuário com o mesmo nome que a conta de usuário anteriormente
excluída NÃO ASSUME automaticamente as permissões e os membros de grupo da conta
excluída anteriormente.
Aula 10
Grupo B:
1. Pois a identificação de segurança (SID) de cada conta é compartilhada. Todos os

membros e permissões são recriados automaticamente.
2. Pois a identificação de segurança (SID) de cada conta é redirecionada para a nova

conta. Todos os membros e permissões são recriados automaticamente quando a
redireção é efetuada.
3. Pois a identificação de segurança (SID) de cada conta é exclusiva. Para duplicar uma
conta de usuário excluída, todos os membros e permissões devem ser recriados
manualmente.
Dentre as afirmações efetuadas no Grupo A e no Grupo B, a combinação que resulta em

uma afirmação correta é expressa em
a) I e 1.
b) I e 2.
c) II e 2.
d) II e 3.
e) I e 3.
Comentário:
Questão bem objetiva a respeito das regras e condições para criação de usuário no AD.
É importante sempre lembrar que o princípio do AD é identificar cada usuário

unicamente, com seus recursos e capacidades individuais.
Para adicionar um usuário, você também pode copiar qualquer conta de usuário criada
anteriormente
Nesse sentido, temos que cada usuário deve ter suas permissões e regras estabelecidas
manualmente, mesmo que tenha sido criado a partir de um usuário existente.
Assim, Uma nova conta de usuário com o mesmo nome que a conta de usuário
anteriormente excluída não assume automaticamente as permissões e os membros de
grupo da conta excluída anteriormente, pois a identificação de segurança (SID) de cada
Aula 10
conta é exclusiva. Para duplicar uma conta de usuário excluída, todos os membros e
permissões devem ser recriados manualmente.
Quando uma conta de usuário é criada com o assistente de novo usuário no painel de
detalhes, você pode editar rapidamente as propriedades de usuário fechando o
assistente, clicando na nova conta e pressionando ENTER. Para abrir o assistente de novo
usuário no painel de detalhes, clique com o botão direito do mouse no painel de detalhes,
clique em Novo e, em seguida, clique em Usuário.
Ao criar um novo usuário, o atributo nome completo é criado no formato

FirstNameLastName por padrão. O atributo nome completo também governa o formato
de nome para exibição mostrado na lista de endereços global. Você pode alterar o
formato de nome para exibição usando ADSI Edit. Se você fizer isso, o formato de nome
completo também será alterado. Para obter mais informações, consulte o artigo
Q250455, "How to Change Display Names of Active Directory Users" na Microsoft
Knowledge Base.
Gabarito: D
10.FCC – TCE-CE/Auditor de Controle Externos/2015

Considerando os serviços de diretórios e interoperabilidade em ambientes Windows e
Linux, é correto afirmar:
a) O OpenLDAP pode ser usado em qualquer tipo de rede TCP/IP e é um padrão aberto,
permitindo que existam produtos para várias plataformas. Uma das suítes mais usadas é o
LDAP. Uma vez instalado, o LDAP pode ser configurado através do arquivo oldap.conf,
encontrado no diretório /etc.
b) O Active Directory tem um banco de dados, conhecido como NTDS.dib, e está localizado
na pasta %SystemRoot%\NTDS\ntds.dib. O diretório NTDS somente não existirá se o
servidor tiver a função de Domain Controller.
c) O serviço de diretório do Active Directory (AD) é dividido na estrutura lógica e na
estrutura física. A estrutura física do AD consiste em Objetos, Unidades Organizacionais,
Domínio, Árvores de Domínio e Floresta. A estrutura física é utilizada para gerenciar os
objetos dentro da organização.
d) A estrutura lógica do Active Directory (AD) consiste em Domain Controllers e Sites. A
estrutura física é totalmente dependente da estrutura lógica do AD. A estrutura lógica é
responsável por otimizar o tráfego de rede e manter a segurança em locais físicos
distintos.
Aula 10
e) O Samba é um software para Linux/Unix que permite o gerenciamento e

compartilhamento de recursos em redes formadas por computadores com Windows.
Assim, o Samba permite a interoperabilidade entre o Windows e Linux.
Comentário:
Pessoal, essa questão nos traz a definição do SAMBA na alternativa E. Porém, traz muitos
conceitos errados ou invertidos nos demais itens a respeito do AD.
Assim, vamos aos itens:

a) O problema da questão está no arquivo de configuração. O primeiro arquivo a ser
configurado no OpenLDAP no lado do servidor é o slapd.conf, sob o diretório
padrão: /usr/local/etc/openldap/slapd.conf .
No lado do cliente, configura-se o arquivo ldap.conf no
diretório: /usr/local/etc/openldap/ldap.conf
b) Todo Domain Controller possui uma cópia exata da biblioteca NTDS.
c) Os conceitos das letras C e D estão invertidos. Vale mencionar que as estrutura

físicas e lógicas são independentes entre si.
Gabarito: E

Aula 11 - Apostila

Enviado por

Direitos autorais:

Formatos disponíveis

Aula 11 - Apostila

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 11 - Apostila

Enviado por

Direitos autorais:

Formatos disponíveis

Aula 10

Câmara dos Deputados (Analista

2) Questões Comentadas - X.500 e LDAP - Cebraspe

3) Questões Comentadas - X.500 e LDAP - FCC

5) Questões Comentadas - Active Directory - Cebraspe

6) Questões Comentadas - Active Directory - FCC

Uma forma de administração descentralizada é o Grupo de Trabalho, ou Workgroup. Como a figura

Então, chegamos à nossa questão: o que é serviço de diretórios?

Nada mais é do que um serviço de criação e manutenção de um repositório (base de dados)

O agente de usuário é o processo responsável por promover a interação do usuário com o

O agente de sistema de diretório, é responsável por fornecer as respostas às requisições feitas

Esses conceitos se aplicam tanto ao padrão X.500 quanto ao protocolo LDAP.

O LDAP também possui recursos de autenticação e autorização, além da capacidade de tratar

“ O LDAP é um protocolo de serviços de diretórios ...”

No lado do cliente, configura-se o arquivo ldap.conf no

Comentando um pouco mais a respeito da estrutura hierárquica do LDAP, é importante mencionar

Dessa forma, podemos apresentar o seguinte trecho resumo:

● ObjectClass – Parâmetro presente em todo registro. Descreve a classe ou tipo de objeto

Uma lista completa pode ser obtida no link: http://www.ietf.org/rfc/rfc2256.txt.

O sequenciamento desses parâmetros define o nome completo de registro de qualquer objeto,

Como todo serviço ou protocolo baseado na arquitetura cliente-servidor,

BIND (Autenticar) - Utilizado para autenticar o cliente no servidor através de

UNBIND (Encerramento) - Encerra uma sessão LDAP.

SEARCH (Busca) - Comando para que o servidor busque e responda com as

COMPARE (Comparação) - Faz a validação através de teste de um atributo e o

ADD (Adicionar) - Adiciona uma nova entrada no diretório.

MODIFY (Modificar) - Altera uma entrada existente.

DELETE (Apagar) - Exclui uma entrada existente.

MODRDN (Modificar RDN) - Renomeia uma entrada existente. O servidor

StartTLS – Comando que inicia a criação de um túnel seguro (TLS/SSL) no qual

Vale mencionar que o servidor LDAP processará cada mensagem ou

Algumas questões abordam de forma mais detalhada a estrutura de pesquisa

Desse modo temos os seguintes conceitos:

WhitePages: Sabendo o nome do objeto que será requisitado

YellowPages: Caso não seja conhecido o nome do objeto, pode-se

(Analogia à uma consulta no caderno de plano de saúdo para se obter

- Modelo de Nomes: Este modelo é o responsável por tratar a organização da

- Modelo de Informações: Este modelo é responsável por tratar aspectos

- Modelo de Segurança: Aqui são abordados os pontos de segurança como

- Modelo Funcional: Aqui se definem os métodos ou ações que serão

1. CESPE – TCE-SC/AFCE – Área TI/2016

2. CESPE – MS/Analista Administrativo/2013

3. CESPE – SERPRO/Analista de Redes/2013

4. CESPE – CGE-PI/Auditor Governamental/2015

Considerando essa situação hipotética, julgue o próximo item.

Na situação em apreço, a técnica de autenticação com DIGEST-MD5 pode ser utilizada, já

5. CESPE – SERPRO/Técnico – Operação de Redes/2013

6. CESPE – SERPRO/Técnico – Operação de Redes/2013

7. CESPE – SERPRO/Técnico – Operação de Redes/2013

8. CESPE – TRE-RJ/Analista Judiciário – Análise de Sistemas/2012

O LDAP é um protocolo da camada de aplicação que não se restringe a redes UNIX.

9. CESPE – Banco da Amazônia/Técnico Científico – Suporte Técnico/2012

10.CESPE – Banco da Amazônia/Técnico Científico – Suporte Técnico/2012

11.CESPE – MEC/Administrador de Redes/2011

12.CESPE – Correios/Analista de Correios – Analista de Sistemas/2011

13.CESPE – TJ-ES/Analista Judiciário – Análise de Suporte/2011 - ADAPTADA

14.CESPE – ABIN/Agente Técnico de Inteligência/2010

Não né pessoal? Se um serviço totalmente embasado nas informações de armazenamento

15.CESPE – ABIN/Agente Técnico de Inteligência/2010