1 / 33

Great Interop Swindel

Great Interop Swindel. TOMASZ ONYSZKO. Konsultant | Microsoft. Wielki Interoperacyjny Szwindel. TOMASZ ONYSZKO. Konsultant | Microsoft. Punkt wyjścia. UNIX/Linux (local accounts and security settings). UNIX/Linux Kerberos Realm. UNIX/Linux NIS/NIS+ service. Windows Server 2003

aldis
Download Presentation

Great Interop Swindel

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Great Interop Swindel TOMASZ ONYSZKO Konsultant | Microsoft

  2. Wielki Interoperacyjny Szwindel TOMASZ ONYSZKO Konsultant | Microsoft

  3. Punkt wyjścia UNIX/Linux (local accounts and security settings) UNIX/Linux Kerberos Realm UNIX/Linux NIS/NIS+ service Windows Server 2003 Active directory accounts And security UNIX Client UNIX Client UNIX Client UNIX Client Windows (Active directory accounts and security settings) (kerberos authentication)

  4. Punkt docelowy Windows Server Active Directory UNIX Linux Windows

  5. Rozwiązanie • Centralizacja kont w ramach jednego katalogu • Dwa wymagane elementy • Uwierzytelnienie • Autoryzacja • Wiele możliwych rozwiązań technologicznych • Pomówmy o wybranych …

  6. Dwie opcje uwierzytelnienia Kerberos LDAP

  7. Do zapamiętania !!! LDAPNIE JEST protokołem uwierzytelnienia !!!

  8. Wszyscy mówią „Kerberos”

  9. Kerberos • Protokół uwierzytelnienia • Stworzony przez MIT (RFC 4120) • Silne uwierzytelnienie oparte na współdzielonym „kluczu” • Cross platform • Pozwala na realizacje scenariuszy SSO

  10. Kerberos • W świecie *ux • Dwie wersje bibliotek • Heimdal • MIT • Konfiguracja w /etc/krb5.conf • W świecie Windows (AD) • Wbudowany w system od Windows 2000 • Każdy DC jest „serwerem” - KDC

  11. krb5.conf • Konfiugracja usługi Kerberos dla hosta • Realm== domena • KDC == kontroler domeny • Keytab == Klucz dla usługi • Narzędzia • Ktutil: zarządzanie kluczami • Kinit: pobierz bilet Kerberos • Klist: pokaż bilety • Kdestroy: usuń bilety

  12. Keytab • Kluczdo usługi • Dane uwierzytelnienia • Realm • SPN • Typ klucza (szyfrowanie) • Klucz • Key Version Number (KVNO) • KEYTAB TO DANE WRAŻLIWE !!!

  13. KTPASS.EXE ktpass -princHOST/ubuntu.w2k.pl@W2K.PL -mapuserubuntu$@W2K.PL -cryptoAll -ptype KRB5_NT_SRV_HST -mapop set -pass * -out ubuntu.keytab

  14. (cc) Now picnic

  15. Mechanizm uwierzytelnienia • Domyślne źródło uwierzytelnienia w *ux • /etc/passwd • /etc/shadow • PAM umożliwa konfigurację dodatkowych metod uwierzytelnienia \ autoryzacji • Możliwość łączenia wielu różnych metod

  16. PlugableAuthenticationModule Aplikacja Architektura PAM /etc/pam.d/common-auth Moduł PAM pam_krb5 Moduł PAM

  17. Sekcje PAM • Account • Poprawność konta (wygaśnięcie, uprawnienia … ) • Authentication • Moduł uwierzytelnienia • Password • Zarządzanie hasłami • Sesssion • Przetwarzanie sesji użytkownika

  18. Autoryzacja • Kerberos używany tylko do uwierzytelnienia • *ux nie rozumieją PAC • Inny model autoryzacji • Standardowo • /etc/passwd • /etc/groups • Skąd wziąć dane autoryzacyjne??

  19. LDAP • Autoryzacja w oparciu o LDAP (AD) • Rozszerzenia schematu dla Unix • Domyślnie w systemie po W2003 R2 • UI w ramach ADU&C • W ramach *ux dostępne poprzez NSS

  20. NameService Switch Aplikacje \ OS NSS /etc/nsswitch.conf LDAP DNS NIS+ Pliki /etc/ldap.conf Active Directory

  21. Do zapamiętania !!! • Nie korzystamy z anonimowego dostępu do LDAP !!! • Dedykowane konto dla NSS • Uwierzytelnienie poprzez LDAP simple bind • Hasła są przesyłane czystym tekstem !!! • Zawsze używamy SSL

  22. (cc) Now picnic

  23. Kerberyzacja to rewelacja • Kerberos to … • Bezpieczne uwierzytelnienie • Scenariusze SSO (GSSAPI) • Problem to … aplikacje • Aplikacja musi wspierać mechanizmy Kerberos • Konfiguracja osobna dla każdej aplikacji (OpenSSH, Apache, … )

  24. Apache • Uwierzytelnienie i autoryzacja przez LDAP • mod_auth_ldap • Uwierzytelnienie przez Kerberos • mod_auth_kerb • Basic auth z uwierzytelnieniem Kerberos • Full SSO (SPNEGO)

  25. Konfiguracja Apache /etc/…/httpd.conf LoadModuleauth_kerb_modulemodules/mod_auth_kerb.so Dla katalogu \ site AuthName "Kerberos Login"AuthTypeKerberosKrb5Keytab /path/auth_kerb.keytabKrbAuthRealmW2K.PL KrbMethodNegotiateoffKrbSaveCredentials offKrbVerifyKDC offRequirevalid-user

  26. (cc) Now picnic

  27. Podsumowanie • Kerberos podstawą mechanizmów uwierzytelnienia • LDAP źródłem informacji w zakresie autoryzacji • AD może służyć jako źródło oby • Problem to jak zwykle aplikacje

  28. Podsumowanie

  29. Uzupełnienie … partnerzy

  30. Oceń moją sesję • Ankieta dostępnana stronie www.mts2009.pl • Wygraj wejściówki na następny MTS!

More Related