great interop swindel

Great Interop Swindel

TOMASZ ONYSZKOKonsultant | Microsoft

Wielki Interoperacyjny Szwindel

TOMASZ ONYSZKOKonsultant | Microsoft

Punkt wyjścia

UNIX/Linux(local accounts and security

settings)

UNIX/LinuxKerberos Realm

UNIX/LinuxNIS/NIS+service

Domain

Windows Server 2003Active directory accounts

And security

UNIX Client UNIX Client UNIX Client UNIX Client Windows(Active directory accounts

and security settings)(kerberos authentication)

Punkt docelowy

Domain

Windows Server Active Directory

UNIX Linux Windows

Rozwiązanie Centralizacja kont w ramach jednego katalogu Dwa wymagane elementy

Uwierzytelnienie Autoryzacja

Wiele możliwych rozwiązań technologicznych Pomówmy o wybranych …

Dwie opcje uwierzytelnienia

LDAPLDAP KerberosKerberos

Do zapamiętania !!!

LDAPLDAP NIE JEST NIE JEST protokołem protokołem

uwierzytelnienia uwierzytelnienia !!!!!!

Wszyscy mówią „KerberosKerberos”

Kerberos Protokół uwierzytelnienia Stworzony przez MIT (RFC 4120) Silne uwierzytelnienie oparte na

współdzielonym „kluczukluczu” Cross platform Pozwala na realizacje scenariuszy SSO

Kerberos W świecie *ux

Dwie wersje bibliotek Heimdal MIT

Konfiguracja w /etc/krb5.conf

W świecie Windows (AD) Wbudowany w system od Windows 2000 Każdy DC jest „serwerem” - KDC

krb5.conf Konfiugracja usługi Kerberos dla hosta

Realm == domena KDC == kontroler domeny Keytab == Klucz dla usługi

Narzędzia Ktutil: zarządzanie kluczami Kinit: pobierz bilet Kerberos Klist: pokaż bilety Kdestroy: usuń bilety

Keytab KluczKlucz do usługi Dane uwierzytelnienia

Realm SPN Typ klucza (szyfrowanie) Klucz Key Version Number (KVNO)

KEYTAB TO DANE WRAŻLIWE !!!KEYTAB TO DANE WRAŻLIWE !!!

KTPASS.EXE

ktpass ktpass -princ HOST/ubuntu.w2k.pl@W2K.PL -princ HOST/ubuntu.w2k.pl@W2K.PL -mapuser ubuntu$@W2K.PL -mapuser ubuntu$@W2K.PL -crypto All -crypto All -ptype KRB5_NT_SRV_HST -ptype KRB5_NT_SRV_HST -mapop set -mapop set -pass * -pass * -out ubuntu.keytab-out ubuntu.keytab

(cc) Now picnic

Mechanizm uwierzytelnienia Domyślne źródło uwierzytelnienia w *ux

/etc/passwd /etc/shadow

PAM umożliwa konfigurację dodatkowych metod uwierzytelnienia \ autoryzacji Możliwość łączenia wielu różnych metod

Plugable Authentication Module

AplikacjaAplikacja Architektura PAMArchitektura PAM

/etc/pam.d/common-auth

Moduł PAMModuł PAM pam_krb5pam_krb5 Moduł PAMModuł PAM

Sekcje PAM Account

Poprawność konta (wygaśnięcie, uprawnienia … )

Authentication Moduł uwierzytelnienia

Password Zarządzanie hasłami

Sesssion Przetwarzanie sesji użytkownika

Autoryzacja Kerberos używany tylko do uwierzytelnienia

*ux nie rozumieją PAC Inny model autoryzacji

Standardowo /etc/passwd /etc/groups

Skąd wziąć dane autoryzacyjne??

LDAP Autoryzacja w oparciu o LDAP (AD) Rozszerzenia schematu dla Unix

Domyślnie w systemie po W2003 R2 UI w ramach ADU&C

W ramach *ux dostępne poprzez NSS

Name Service Switch

NSSNSS

DNSDNSLDAPLDAP NIS+NIS+ PlikiPliki

Active Directory

/etc/ldap.conf

/etc/nsswitch.conf

Aplikacje \ OSAplikacje \ OS

Do zapamiętania !!! Nie korzystamy z anonimowego dostępu do

LDAP !!! Dedykowane konto dla NSS

Uwierzytelnienie poprzez LDAP simple bind Hasła są przesyłane czystym tekstem !!!czystym tekstem !!! Zawsze używamy SSL

(cc) Now picnic

Kerberyzacja to rewelacja Kerberos to …

Bezpieczne uwierzytelnienie Scenariusze SSO (GSSAPI)

Problem to … aplikacje Aplikacja musi wspierać mechanizmy Kerberos Konfiguracja osobna dla każdej aplikacji

(OpenSSH, Apache, … )

Apache Uwierzytelnienie i autoryzacja przez LDAP

mod_auth_ldap

Uwierzytelnienie przez Kerberos mod_auth_kerb Basic auth z uwierzytelnieniem Kerberos Full SSO (SPNEGO)

Konfiguracja Apache

LoadModule auth_kerb_module modules/mod_auth_kerb.soLoadModule auth_kerb_module modules/mod_auth_kerb.so

AuthName "Kerberos Login"AuthType KerberosKrb5Keytab /path/auth_kerb.keytabKrbAuthRealm W2K.PLKrbMethodNegotiate offKrbSaveCredentials offKrbVerifyKDC offRequire valid-user

/etc/…/httpd.conf

Dla katalogu \ site

(cc) Now picnic

Podsumowanie Kerberos podstawą mechanizmów

uwierzytelnienia

LDAP źródłem informacji w zakresie autoryzacji

AD może służyć jako źródło oby

Problem to jak zwykle aplikacje

Podsumowanie

Uzupełnienie … partnerzy

Oceń moją sesję

Ankieta dostępna na stronie www.mts2009.pl

Wygraj wejściówki na następny MTS!

© 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.