Uma equipe de TI está configurando o Active Directory (AD) para
controlar o acesso a um sistema legislativo interno com os
seguintes requisitos:
• Somente membros do grupo “Comissoes_TI” podem acessar o
sistema;
• Os servidores de aplicação consultam o AD via LDAP sobre TLS
(LDAPS) na porta 636;
• O controle de acesso deve ser feito por Group-Based Access
Control (GBAC), utilizando tokens Kerberos para autenticação;
• Um usuário reporta que, apesar de estar no grupo correto, não
consegue acessar o sistema; o log do servidor mostra falha no
atributo memberOf durante o processo de autorização.
Após uma análise cuidadosa, a equipe verifica que:
• O usuário realmente pertence ao grupo “Comissoes_TI”;
• As consultas LDAP são recebidas corretamente no Controlador
de Domínio;
• O sistema realiza bind válido usando autenticação Kerberos; e
• A política de domínio está configurada para token group
enumeration padrão.
Considerando o cenário, assinale a opção que apresenta a causa
mais provável da falha de autorização e a ação correta para
resolver o problema.

Question

Uma equipe de TI está configurando o Active Directory (AD) para
controlar o acesso a um sistema legislativo interno com os
seguintes requisitos:
• Somente membros do grupo “Comissoes_TI” podem acessar o
sistema;
• Os servidores de aplicação consultam o AD via LDAP sobre TLS
(LDAPS) na porta 636;
• O controle de acesso deve ser feito por Group-Based Access
Control (GBAC), utilizando tokens Kerberos para autenticação;
• Um usuário reporta que, apesar de estar no grupo correto, não
consegue acessar o sistema; o log do servidor mostra falha no
atributo memberOf durante o processo de autorização.
Após uma análise cuidadosa, a equipe verifica que:
• O usuário realmente pertence ao grupo “Comissoes_TI”;
• As consultas LDAP são recebidas corretamente no Controlador
de Domínio;
• O sistema realiza bind válido usando autenticação Kerberos; e
• A política de domínio está configurada para token group
enumeration padrão.
Considerando o cenário, assinale a opção que apresenta a causa
mais provável da falha de autorização e a ação correta para
resolver o problema. Alternativa A: O usuário deve ser movido para uma OU (Organization Unit)
com política de Kerberos mais permissiva, pois tokens
Kerberos não incluem atributos LDAP como memberOf. Ou Alternativa B: O grupo “Comissoes_TI” provavelmente é um grupo local da
máquina do servidor, e não um grupo global ou universal do
AD; é necessário convertê-lo para Universal ou garantir que
seja um grupo Global do domínio. Ou Alternativa C: O LDAPS deve ser alterado para porta 389 (LDAP sem TLS), pois
memberOf não é retornado corretamente em consultas
criptografadas. Ou Alternativa D: O usuário deve ser adicionado manualmente ao arquivo
krb5.ini, já que o Kerberos do Windows não atualiza
automaticamente o cache de grupos LDAP. Ou Alternativa E: O problema é causado pela ordem de criação do grupo: devese excluir e recriar o grupo para sincronizar o atributo
memberOf com o token Kerberos.

Qconcursos · Accepted Answer

Alternativa [B] O grupo “Comissoes_TI” provavelmente é um grupo local da
máquina do servidor, e não um grupo global ou universal do
AD; é necessário convertê-lo para Universal ou garantir que
seja um grupo Global do domínio. Gabarito: BFundamento decisivo: A decisão estava em identificar que a falha não era de Kerberos nem de LDAPS, mas da natureza do grupo usado na autorização por memberOf; entre as alternativas, só a B oferece uma hipótese compatível com esse ponto.Tema central: Escopo de grupo no ADAnálise das alternativasAErradaEstá errada porque mover o usuário para outra OU com política Kerberos mais permissiva não ataca a causa descrita no log, que é falha na verificação de memberOf. Além disso, a alternativa mistura indevidamente autenticação Kerberos com retorno de atributo LDAP, como se isso explicasse a autorização falhar.BCertaA alternativa B é a correta porque é a única que apresenta uma causa plausível ligada ao tipo de grupo usado no Active Directory para autorização baseada em grupo. Grupo local da máquina não é grupo de domínio do AD para esse fim; por isso, a correção apontada na letra B é a única tecnicamente coerente entre as opções.CErradaEstá errada porque não há fundamento técnico, na base, para dizer que LDAPS na porta 636 impeça o retorno de memberOf. O enunciado já informa que as consultas LDAP chegam corretamente ao controlador de domínio, então trocar para 389 sem TLS não é correção para esse sintoma.DErradaEstá errada porque krb5.ini não é mecanismo de inclusão manual de usuário ou grupos para autorização no AD. A afirmação sobre atualizar cache de grupos LDAP por esse arquivo é tecnicamente incompatível com a administração normal de Kerberos no Windows/AD.EErradaEstá errada porque a ordem de criação do grupo não é apresentada, na base, como causa reconhecida para falha de memberOf. Excluir e recriar o grupo para "sincronizar" atributo LDAP com token Kerberos também não corresponde a procedimento técnico padrão.Pegadinha da questãoA confusão real é tratar autenticação Kerberos, consulta LDAP/LDAPS e autorização por grupo como se fossem a mesma coisa; o enunciado já preserva as duas primeiras e deixa a falha concentrada no uso do grupo para autorização.Dica para questões semelhantesSe o bind Kerberos e a consulta LDAPS estão válidos, mas a autorização por memberOf falha, verifique primeiro a natureza do grupo usado no AD.Para controle de acesso em domínio baseado em grupos, diferencie grupo local da máquina de grupo do Active Directory; eles não são equivalentes para autorização no diretório.

🚀 Mais performance?

🚀 Mais performance?

Uma equipe de TI está configurando o Active Directory (AD) p...

Gabarito comentado

Gabarito: B

Clique para visualizar este gabarito

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas