great interop swindel
Post on 11-Jan-2016
56 Views
Preview:
DESCRIPTION
TRANSCRIPT
Great Interop Swindel
TOMASZ ONYSZKOKonsultant | Microsoft
Wielki Interoperacyjny Szwindel
TOMASZ ONYSZKOKonsultant | Microsoft
Punkt wyjścia
UNIX/Linux(local accounts and security
settings)
UNIX/LinuxKerberos Realm
UNIX/LinuxNIS/NIS+service
Domain
Windows Server 2003Active directory accounts
And security
UNIX Client UNIX Client UNIX Client UNIX Client Windows(Active directory accounts
and security settings)(kerberos authentication)
Punkt docelowy
Domain
Windows Server Active Directory
UNIX Linux Windows
Rozwiązanie Centralizacja kont w ramach jednego katalogu Dwa wymagane elementy
Uwierzytelnienie Autoryzacja
Wiele możliwych rozwiązań technologicznych Pomówmy o wybranych …
Dwie opcje uwierzytelnienia
LDAPLDAP KerberosKerberos
Do zapamiętania !!!
LDAPLDAP NIE JEST NIE JEST protokołem protokołem
uwierzytelnienia uwierzytelnienia !!!!!!
Wszyscy mówią „KerberosKerberos”
Kerberos Protokół uwierzytelnienia Stworzony przez MIT (RFC 4120) Silne uwierzytelnienie oparte na
współdzielonym „kluczukluczu” Cross platform Pozwala na realizacje scenariuszy SSO
Kerberos W świecie *ux
Dwie wersje bibliotek Heimdal MIT
Konfiguracja w /etc/krb5.conf
W świecie Windows (AD) Wbudowany w system od Windows 2000 Każdy DC jest „serwerem” - KDC
krb5.conf Konfiugracja usługi Kerberos dla hosta
Realm == domena KDC == kontroler domeny Keytab == Klucz dla usługi
Narzędzia Ktutil: zarządzanie kluczami Kinit: pobierz bilet Kerberos Klist: pokaż bilety Kdestroy: usuń bilety
Keytab KluczKlucz do usługi Dane uwierzytelnienia
Realm SPN Typ klucza (szyfrowanie) Klucz Key Version Number (KVNO)
KEYTAB TO DANE WRAŻLIWE !!!KEYTAB TO DANE WRAŻLIWE !!!
KTPASS.EXE
ktpass ktpass -princ HOST/ubuntu.w2k.pl@W2K.PL -princ HOST/ubuntu.w2k.pl@W2K.PL -mapuser ubuntu$@W2K.PL -mapuser ubuntu$@W2K.PL -crypto All -crypto All -ptype KRB5_NT_SRV_HST -ptype KRB5_NT_SRV_HST -mapop set -mapop set -pass * -pass * -out ubuntu.keytab-out ubuntu.keytab
(cc) Now picnic
Mechanizm uwierzytelnienia Domyślne źródło uwierzytelnienia w *ux
/etc/passwd /etc/shadow
PAM umożliwa konfigurację dodatkowych metod uwierzytelnienia \ autoryzacji Możliwość łączenia wielu różnych metod
Plugable Authentication Module
AplikacjaAplikacja Architektura PAMArchitektura PAM
/etc/pam.d/common-auth
Moduł PAMModuł PAM pam_krb5pam_krb5 Moduł PAMModuł PAM
Sekcje PAM Account
Poprawność konta (wygaśnięcie, uprawnienia … )
Authentication Moduł uwierzytelnienia
Password Zarządzanie hasłami
Sesssion Przetwarzanie sesji użytkownika
Autoryzacja Kerberos używany tylko do uwierzytelnienia
*ux nie rozumieją PAC Inny model autoryzacji
Standardowo /etc/passwd /etc/groups
Skąd wziąć dane autoryzacyjne??
LDAP Autoryzacja w oparciu o LDAP (AD) Rozszerzenia schematu dla Unix
Domyślnie w systemie po W2003 R2 UI w ramach ADU&C
W ramach *ux dostępne poprzez NSS
Name Service Switch
NSSNSS
DNSDNSLDAPLDAP NIS+NIS+ PlikiPliki
Active Directory
/etc/ldap.conf
/etc/nsswitch.conf
Aplikacje \ OSAplikacje \ OS
Do zapamiętania !!! Nie korzystamy z anonimowego dostępu do
LDAP !!! Dedykowane konto dla NSS
Uwierzytelnienie poprzez LDAP simple bind Hasła są przesyłane czystym tekstem !!!czystym tekstem !!! Zawsze używamy SSL
(cc) Now picnic
Kerberyzacja to rewelacja Kerberos to …
Bezpieczne uwierzytelnienie Scenariusze SSO (GSSAPI)
Problem to … aplikacje Aplikacja musi wspierać mechanizmy Kerberos Konfiguracja osobna dla każdej aplikacji
(OpenSSH, Apache, … )
Apache Uwierzytelnienie i autoryzacja przez LDAP
mod_auth_ldap
Uwierzytelnienie przez Kerberos mod_auth_kerb Basic auth z uwierzytelnieniem Kerberos Full SSO (SPNEGO)
Konfiguracja Apache
LoadModule auth_kerb_module modules/mod_auth_kerb.soLoadModule auth_kerb_module modules/mod_auth_kerb.so
AuthName "Kerberos Login"AuthType KerberosKrb5Keytab /path/auth_kerb.keytabKrbAuthRealm W2K.PLKrbMethodNegotiate offKrbSaveCredentials offKrbVerifyKDC offRequire valid-user
/etc/…/httpd.conf
Dla katalogu \ site
(cc) Now picnic
Podsumowanie Kerberos podstawą mechanizmów
uwierzytelnienia
LDAP źródłem informacji w zakresie autoryzacji
AD może służyć jako źródło oby
Problem to jak zwykle aplikacje
Podsumowanie
Uzupełnienie … partnerzy
Oceń moją sesję
Ankieta dostępna na stronie www.mts2009.pl
Wygraj wejściówki na następny MTS!
© 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.
top related