1 / 17

Agenda LinSam 16/12/2005

Agenda LinSam 16/12/2005. 14u30 - 15u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u00 - 15u15 : KickstartServer in LUDIT (Werner M.) 15u15 - 15u30 : Printer Accounting. (Werner M.) 15u30 - 16u00 : Onderbreking.

cyndi
Download Presentation

Agenda LinSam 16/12/2005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Agenda LinSam 16/12/2005 14u30 - 15u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u00 - 15u15 : KickstartServer in LUDIT (Werner M.) 15u15 - 15u30 : Printer Accounting. (Werner M.) 15u30 - 16u00 : Onderbreking. 16u00 - 16u30 : Storage – BU Server – BU Client. (Wim M.) Presentaties LinSam  http://www.kuleuven.be/burnet/

  2. Centrale LDAP Storage&BU-01 WimM 16/12/2005

  3. Centrale LDAP Storage&BU-01 WimM 16/12/2005

  4. Centrale LDAP Storage&BU-01 WimM 16/12/2005

  5. Centrale LDAP Storage&BU-01 WimM 16/12/2005

  6. Centrale LDAP NTLMv2 is te kraken maar duurt omwille van de 128 bits encryptie veel langer. Het volgende komt uit een “blackhat” presentatie in 2002. 16CPU's (1,4 Ghz) aan mekaar gekoppeld ==> 4 miljoen pogingen/s 4 karakters ==> < 5 seconden 5 karakters ==> < 4 minuten 6 karakters ==> < 4 uur 7 karakters ==> ongeveer 10 dagen 8 karakters ==> ongeveer 21 maanden 1 CPU (1,4 Ghz) aan mekaar gekoppeld ==> 0.25 miljoen pogingen/s 4 karakters ==> < 1 minuut 5 karakters ==> < 1 uur 6 karakters ==> ongeveer 64 uur 7 karakters ==> ongeveer 165 dagen 8 karakters ==> ongeveer 28 jaar Storage&BU-01 WimM 16/12/2005

  7. Centrale LDAP • LDAP in CZ Heverlee • BU LDAP in CZ UZ-GHB • Onderhouden/gevoed door KULeuven-net. • Wensen geen bijkomende decentrale LDAP’s te onderhouden. • Wanneer oplossing “Kerberos – LinSam”  LDAP opgedoekt. • Welke aanpassingen aan de huidige Samba-configuratie? • Wat met gebruikers die in meerdere domeinen inloggen? Storage&BU-01 WimM 16/12/2005

  8. Centrale LDAP • Welke aanpassingen zijn nodig aan eigen samba? • installatie van samba gecompileerd met ldap ondersteuning • aanpassing aan smb.conf • wegschrijven van ldap admin dn paswoord • ntlmv2 aanpassingen zowel op server als op client pc’s • aanpassing aan /etc/ldap.conf • aanpassing van authenticatie  /etc/pam.d/system-auth • aanpassing aan /etc/nsswitch.conf • machine-accounts & root account blijft lokaal ! Storage&BU-01 WimM 16/12/2005

  9. Centrale LDAP • Welke aanpassingen zijn nodig centraal? • Wegschrijven van DOMEIN SID in centrale LDAP (PCLAB-LUDIT) • Aanpassen SambaSID voor elke gebruiker afhankelijk van het domein. • Via CWIS (nog te schrijven) • Toegang verlenen aan PDC’s tot centrale LDAP. (Openzetten firewall) Storage&BU-01 WimM 16/12/2005

  10. Wat betekent SID? • SID = Security Identifier • Elk domein heeft zijn unieke SID = domein SID • Elke gebruiker/groep/machine in een domein krijgt een SID die bestaat uit de domein SID aangevuld met een RID (relative identifier) die uniek is voor het account.  RID = 2*UID + 1000  SIDu0023628 = SIDPCLAB – RIDu0023628 • Gevolg: elk account heeft zijn unieke SID • SID is voor Windows wat uid-gid is voor Linux: nodig voor het bepalen van toegangsrechten op bestanden of folders.

  11. Centrale LDAP • Aanpassingen /etc/samba/smb.conf: • ldap server = ldap-auth2.kuleuven.be • ldap port = 389 • ldap suffix = dc=kuleuven,dc=be • ldap admin dn = cn=WernerMaes,ou=samba,ou=specialAccess,dc=kuleuven,dc=be • ldap ssl = no • passdb backend = smbpasswd ldapsam:ldap://ldap-auth2.kuleuven.be • ldap suffix = dc=kuleuven,dc=be • ldap user suffix = ou=people • Wegschrijven van ldap admin dn paswoord • smbpasswd –w “paswoord” ? Iedere netwerkbeheerder eigen ldap account ? Storage&BU-01 WimM 16/12/2005

  12. Centrale LDAP • NTLM versie 2 aanpassingen: • Server • client ntlmv2 auth = yes • lanman auth = no • client lanman auth = no • client plaintext auth = no • ntlm auth = no • Client • NTLMv2authenticatie.pdf op pclabftp (onder linsam/documentatie) Storage&BU-01 WimM 16/12/2005

  13. Centrale LDAP Aanpassingen aan /etc/ldap.conf op LinSam : host ldap-auth2.kuleuven.be base dc=kuleuven,dc=be Aanpassingen aan /etc/pam.d/system-auth op LinSam : Ldap configuratie invullen via commando “authconfig” Na uitvoeren van “authconfig”  /etc/pam.d/system-auth = auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so password sufficient /lib/security/$ISA/pam_ldap.so use_authtok session optional /lib/security/$ISA/pam_ldap.so Storage&BU-01 WimM 16/12/2005

  14. Centrale LDAP Aanpassing aan /etc/nsswitch.conf: passwd: files ldap shadow: files ldap group: files ldap protocols: files ldap services: files ldap netgroup: files ldap  wordt normaal gezien ingevuld na configuratie via “authconfig” Storage&BU-01 WimM 16/12/2005

  15. Centrale LDAP Aanpassingen in centrale ldap  Domein SID wegschrijven Opvragen domein sid via commando net getlocalsid domein op PDC. net getlocalsid PCLABLDAP SID for domain PCLABLDAP is: S-1-5-21-1546405158-563151606-2887790399 # PCLABLDAP, samba, kuleuven, be dn: sambaDomainName=PCLABLDAP,ou=samba,dc=kuleuven,dc=be sambaDomainName: PCLABLDAP sambaSID: S-1-5-21-1546405158-563151606-2887790399 sambaAlgorithmicRidBase: 1000 objectClass: sambaDomain Storage&BU-01 WimM 16/12/2005

  16. Centrale LDAP Aanpassingen in centrale ldap  sambaSID & sambaPrimaryGroupSID gebruiker wijzigen # u0023628, people, kuleuven, be dn: uid=u0023628,ou=people,dc=kuleuven,dc=be uidNumber: 16778 gidNumber: 50000954 sambaNTPassword: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx sambaSID: S-1-5-21-1546405158-563151606-2887790399-34556 sambaPrimaryGroupSID: S-1-5-21-1546405158-563151606-2887790399-50000954  Wijzigen domein doorgeven via CWIS? Nog niet beschikbaar !! Storage&BU-01 WimM 16/12/2005

  17. Centrale LDAP • Inloggen op meerdere domeinen? • Ofwel gewoon aanspreken van gedeelde folders op andere server via net use commando. Eerste testen geven voorlopig positief resultaat. • Ofwel “trust account” aanmaken tussen de twee PDC’s van de twee domeinen. Het trust account kan je – net zoals de machine accounts – lokaal opslaan. Als je een trust legt in beide richtingen kan je op elk machine uit elk domein inloggen op de twee domeinen. Eerste testen geven voorlopig positief resultaat. Storage&BU-01 WimM 16/12/2005

More Related