A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Fernando Cima Consultor de Segurança Microsoft Guia de Serviços de Segurança e Diretório Windows para Unix.

Apresentações semelhantes


Apresentação em tema: "Fernando Cima Consultor de Segurança Microsoft Guia de Serviços de Segurança e Diretório Windows para Unix."— Transcrição da apresentação:

1 Fernando Cima Consultor de Segurança Microsoft Guia de Serviços de Segurança e Diretório Windows para Unix

2 Objetivos Entender os componentes do Unix que suportam a integração com Active DirectoryEntender os componentes do Unix que suportam a integração com Active Directory Mostrar as formas de integrar Unix ao AD e como decidir que caminho é o mais adequado para o ambienteMostrar as formas de integrar Unix ao AD e como decidir que caminho é o mais adequado para o ambiente Apresentar o Guia de Segurança e Serviços de Diretório Windows para UnixApresentar o Guia de Segurança e Serviços de Diretório Windows para Unix

3 A Visão Cada usuário tem somente uma identidade e uma senha para usar todos os serviços de TI, e ele somente se autentica uma vezCada usuário tem somente uma identidade e uma senha para usar todos os serviços de TI, e ele somente se autentica uma vez Toda informação de segurança do usuário é armazenado em um único localToda informação de segurança do usuário é armazenado em um único local Vários projetos ao longo de vários anos podem ser necessários para transformar essa visão em realidade. Na verdade, é possível que nenhum caminho para essa visão exista nesse momento. Mas isso não torna a visão inválida ou inatingível algum dia.Vários projetos ao longo de vários anos podem ser necessários para transformar essa visão em realidade. Na verdade, é possível que nenhum caminho para essa visão exista nesse momento. Mas isso não torna a visão inválida ou inatingível algum dia.

4 Abordagens para o Problema Convergir em um único diretórioConvergir em um único diretório –Uma identidade, uma senha, em um único local –Requer suporte a padrões de mercado –Uso do Windows requer Active Directory Confiança entre diretórios existentesConfiança entre diretórios existentes –Somente Kerberos v5 suportado –Não mais em um único local, mas perto Sincronizar, interoperarSincronizar, interoperar –Uma senha, mas não uma identidade –Significativamente mais complexo

5 Cinco Soluções Válidas 1.AD/Kerberos somente para autenticação 2.AD/Kerberos para autenticação e autorização 3.AD/LDAP somente para autenticação 4.AD/LDAP para autenticação e autorização 5.Relação de confiança Kerberos entre AD e Unix somente para autenticação Nós recomendados a Solução 2 como a melhor abordagem de arquiteturaNós recomendados a Solução 2 como a melhor abordagem de arquitetura

6 Confiança entre Estruturas Existentes Solução 5Solução 5 Prereq: Organização já usa Kerberos em UnixPrereq: Organização já usa Kerberos em Unix –Geralmente em um único realm Arquitetura de domínios não é complexaArquitetura de domínios não é complexa –UNIX Kerberos suporta relações de confiança com domínios de dentro da floresta –Confiança entre florestas não é estável É necessário ter AD/ADAM para autorização dos usuários de UnixÉ necessário ter AD/ADAM para autorização dos usuários de Unix

7 Porque Integrar Somente Autenticação? Soluções 1 e 3Soluções 1 e 3 Aumenta nível de confiança da infraestruturaAumenta nível de confiança da infraestrutura Existe já uma solução robusta de autorizaçãoExiste já uma solução robusta de autorização Metade da solução completaMetade da solução completa –Reduz o número de identidades –Mantém o mesmo número de locais de autorização Resolve o problema do desprovisionamentoResolve o problema do desprovisionamento

8 Por que Autenticação LDAP? Várias plataformas importantes não suportam KerberosVárias plataformas importantes não suportam Kerberos –A maior parte dos sistemas operacionais suportam Kerberos 5 –Algumas aplicações, em especial aplicações web, não suportam

9 O que há de Errado com o LDAP? Não projetado como sendo um protocolo de autenticaçãoNão projetado como sendo um protocolo de autenticação –Requer configurações extras para impedir senhas em claro na rede e ataques de man in the middle (SSL/TLS) Limitações de performance e escabilidadeLimitações de performance e escabilidade –Autenticação requer bind LDAP –Única prova de identidade é uma conexão ao servidor –Não existe transitividade da identidade

10 Melhor Prática Solução 2Solução 2 –Autenticação Kerberos –Autorização via LDAP Consolidação de diretório, provisionamento e deprovisionamento simplificado, senha única, política comum…Consolidação de diretório, provisionamento e deprovisionamento simplificado, senha única, política comum… Usa os protocolos e serviços como eles foram projetadosUsa os protocolos e serviços como eles foram projetados

11 Seqüência de Logon Unix login obtém usuário e senhalogin obtém usuário e senha login chama PAM para autenticar usuáriologin chama PAM para autenticar usuário –PAM usa vários módulos para tentar a autenticação login chama getpwnam() para obter dados de autorização dos usuárioslogin chama getpwnam() para obter dados de autorização dos usuários –getpwnam() por sua vez chama o NSS –NSS usa vários módulos para tentar obter a informação pedida login usa dados de autorização para criar o processo inicial (shell)login usa dados de autorização para criar o processo inicial (shell)

12 Kerberos para Autenticação Linux Windows GINA (login) Kerberos (MIT de-facto) Cache de credencial (ticket) Cache de credencial (ticket) GSSAPI SSPI Aplicação RFC 1510 – Kerberos V5 AS - Authentication Service TGS - Ticket Granting Service MIT de-facto CPW - Change password service Serviço principal key table Serviço default principal key table LSA kinit klist kdestroy kpasswd (MIT de-facto) Login pam_krb5 KRB

13 Linux LDAP para Autenticação LDAP OpenLDAP... LDAP (V3) - RFC 2251 LDAP API - RFC 1831 LDAP search - RFC 2254 protocolo de mudança de senha do AD login pam_ldap LDAP API Aplicação Conta do usuário Senha Em claro ou SSLEm claro ou SSL

14 Autorização Integrada Schema RFC 2307 ou SFU 3.0 para armazenar as informações de autorização UnixSchema RFC 2307 ou SFU 3.0 para armazenar as informações de autorização Unix –SFU 3.0 somente como legado –Windows Server 2003 R2 inclui 2307 –Pequenas diferenças em relação à RFC; detalhes no Guia Alguma política de grupo são aplicadasAlguma política de grupo são aplicadas –Ferramentas Unix não se preocupam com isso

15 Linux Windows LDAP ADSI Active Directory Services Interface LDAP LDAP API nscd cache daemon LDAP (V3) - RFC 2251 LDAP API - RFC 1831 LDAP search - RFC 2254 login getpwnam Aplicação LDAP API Aplicação Conta do Usuário UID GID Diretório home Grupos … nss_ldap Conta do Usuário Grupos Telefone … Em claro, SSL ou SASLEm claro, SSL ou SASL

16 Selecionando Componentes Unix para Solução 2 KerberosKerberos –MIT v ou superior –Heimdal –Soluções proprietárias LDAPLDAP –OpenLDAP 2.2 –PADL nss_ldap

17 Configuração do Kerberos Passo 1:Criar conta dos usuários Unix no Active DirectoryPasso 1:Criar conta dos usuários Unix no Active Directory Step 2:Criar contas de computador para os sistemas Unix no Active DirectoryStep 2:Criar contas de computador para os sistemas Unix no Active Directory Step 3:Criar arquivos keytab para os sistemas UnixStep 3:Criar arquivos keytab para os sistemas Unix Step 4:Transferir e instalar o aquivo keytab no sistema UnixStep 4:Transferir e instalar o aquivo keytab no sistema Unix Step 5:Configurar o arquivo pam.confStep 5:Configurar o arquivo pam.conf Step 6:Configurar o arquivo krb5.confStep 6:Configurar o arquivo krb5.conf

18 Criando o arquivo keytab ktpass -princ B.MICROSOFTDEMO.COM -mapuser linuxbox -pass password -out linuxbox.keytab

19 Funcionou… Targeting domain controller: msftaddemo.sub.microsoftdemo.com Successfully mapped host/linuxbox.sub.microsoftdemo.com to linuxbox. Key created. Output keytab to linuxbox.keytab: Keytab version: 0x502 keysize 79 host/ ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x3 (DES-CBC-MD5) keylength 8 (0x0e9bd5da314f5bad) Account linuxbox has been set for DES-only encryption.

20 Usando o Arquivo keytab Transfira o aquivo keytab do DC para o sistema UnixTransfira o aquivo keytab do DC para o sistema Unix –Midia removível –Use PuTTY para se conectar via SSH Use ktutil para importar o arquivoUse ktutil para importar o arquivo No prompt ktutil: digite rkt linuxbox.keytabNo prompt ktutil: digite rkt linuxbox.keytab No prompt ktutil: digite wkt /etc/krb5/krb5.keytabNo prompt ktutil: digite wkt /etc/krb5/krb5.keytab

21 Configure o Arquivo pam.conf # Greatly simplified Kerberos Setup # # Authentication for logon # other auth sufficient pam_krb5.so other auth sufficient pam_unix.so use_first_pass # # Password change mechanism # other password optional pam_krb5.so try_first_pass other password required pam_unix.so # # There are others as well #

22 Configure o Arquivo krb5.conf [libdefaults] default_realm = SUB.MICROSOFTDEMO.COM default_realm = SUB.MICROSOFTDEMO.COM default_tkt_enctypes = des-cbc-md5 default_tkt_enctypes = des-cbc-md5 default_tgs_enctypes = des-cbc-md5 default_tgs_enctypes = des-cbc-md5[realms] NA.CORP.CONTOSO.COM = { NA.CORP.CONTOSO.COM = { kdc = msftaddemo.sub.microsoftdemo.com kdc = msftaddemo.sub.microsoftdemo.com admin_server = msftaddemo.sub.microsoftdemo.com admin_server = msftaddemo.sub.microsoftdemo.com kpasswd_protocol = SET_CHANGE kpasswd_protocol = SET_CHANGE kpasswd_server = msftaddemo.sub.microsoftdemo.com kpasswd_server = msftaddemo.sub.microsoftdemo.com }[domain_realm].sub.microsoftdemo.com = SUB.MICROSOFTDEMO.COM.sub.microsoftdemo.com = SUB.MICROSOFTDEMO.COM sub.microsoftdemo.com = SUB.MICROSOFTDEMO.COM sub.microsoftdemo.com = SUB.MICROSOFTDEMO.COM...

23 Configuração LDAP Passo 1: Estenda o schema do AD schema para armazenar informação de autorização do UnixPasso 1: Estenda o schema do AD schema para armazenar informação de autorização do Unix Passo 2: Provisione usuários e grupos para o UnixPasso 2: Provisione usuários e grupos para o Unix Passo 3: Configure o cliente ldap Unix para se conectar ao ADPasso 3: Configure o cliente ldap Unix para se conectar ao AD Passo 4: Configure nss_ldap para usar os atributos desejados no ADPasso 4: Configure nss_ldap para usar os atributos desejados no AD

24 Configure o Arquivo ldap.conf # Point at DC# Point at DC urildap://msftaddemo.sub.microsoftdemo.comurildap://msftaddemo.sub.microsoftdemo.com #urildaps://msftaddemo.sub.microsoftdemo.com#urildaps://msftaddemo.sub.microsoftdemo.com # Distinguished name and password to bind with# Distinguished name and password to bind with binddncn=proxyuser,cn=Users,dc=sub,dc=microsoftdemo,dc=combinddncn=proxyuser,cn=Users,dc=sub,dc=microsoftdemo,dc=com bindpwPassword1bindpwPassword1 rootbinddn cn=proxyadmin,cn=Users,dc=sub,dc=microsoftdemo,dc=comrootbinddn cn=proxyadmin,cn=Users,dc=sub,dc=microsoftdemo,dc=com # Locate base for searches# Locate base for searches nss_base_passwd ou=Unixusers,dc=sub,dc=microsoftdemo,dc=com?subnss_base_passwd ou=Unixusers,dc=sub,dc=microsoftdemo,dc=com?sub nss_base_shadow ou=Unixusers,dc=sub,dc=microsoftdemo,dc=com?subnss_base_shadow ou=Unixusers,dc=sub,dc=microsoftdemo,dc=com?sub nss_base_group ou=Unixgroups,dc=sub,dc=microsoftdemo,dc=com?subnss_base_group ou=Unixgroups,dc=sub,dc=microsoftdemo,dc=com?sub # Map classes (SFU 3.0 schema)# Map classes (SFU 3.0 schema) nss_map_objectclass posixAccount Usernss_map_objectclass posixAccount User nss_map_objectclass shadowAccount Usernss_map_objectclass shadowAccount User nss_map_objectclass posixGroup Groupnss_map_objectclass posixGroup Group

25 Configure o Arquivo ldap.conf (continuação) # Map relevant attributes for authorization using SFU 3.0 schema# Map relevant attributes for authorization using SFU 3.0 schema nss_map_attribute uid sAMAccountNamenss_map_attribute uid sAMAccountName nss_map_attribute uidNumber msSFU30UidNumbernss_map_attribute uidNumber msSFU30UidNumber nss_map_attribute gidNumber msSFU30GidNumbernss_map_attribute gidNumber msSFU30GidNumber nss_map_attribute loginShell msSFU30LoginShellnss_map_attribute loginShell msSFU30LoginShell nss_map_attribute uniqueMember msSFUposixMemberfnss_map_attribute uniqueMember msSFUposixMemberf nss_map_attribute homeDirectory msSFUHomeDirectorynss_map_attribute homeDirectory msSFUHomeDirectory nss_map_attribute memberUid msSFUMemberUidnss_map_attribute memberUid msSFUMemberUid # Most stock ldap.conf files have these entries, and entries for RFC2307# Most stock ldap.conf files have these entries, and entries for RFC2307

26 Configure o Arquivo nsswitch.conf # Set search order for authorization data# Set search order for authorization data passwd: files ldap [TRYAGAIN=continue]passwd: files ldap [TRYAGAIN=continue] group: files ldap [TRYAGAIN=continue]group: files ldap [TRYAGAIN=continue]

27 Solução Comercial – Vintela Authentication Services Informação de autorização Unix armazenado usando RC 2307 (compatível com 2003 R2)Informação de autorização Unix armazenado usando RC 2307 (compatível com 2003 R2) Trata UIDs e GIDs não-únicosTrata UIDs e GIDs não-únicos Módulos PAM e NSS com cache para AIX, HP-UX, Solaris, RedHat, SuSeMódulos PAM e NSS com cache para AIX, HP-UX, Solaris, RedHat, SuSe Comunicação LDAP autenticada via Kerberos (SASL)Comunicação LDAP autenticada via Kerberos (SASL) Snap-in MMC para gerênciaSnap-in MMC para gerência Várias GPOs suportadasVárias GPOs suportadas

28 Solução Comercial: Centrify DirectControl Informação de autorização Unix usando atributos existentes ou RFC 2307Informação de autorização Unix usando atributos existentes ou RFC 2307 Trata UIDs e GIDs não-únicosTrata UIDs e GIDs não-únicos Módulos PAM e NSS com cache para AIX, HP-UX, Solaris, RedHat, SuSe, Debian, MacOS X 10.4Módulos PAM e NSS com cache para AIX, HP-UX, Solaris, RedHat, SuSe, Debian, MacOS X 10.4 Comunicação LDAP autenticada via Kerberos (SASL)Comunicação LDAP autenticada via Kerberos (SASL) Snap-in MMC para gerênciaSnap-in MMC para gerência Várias GPOs suportadasVárias GPOs suportadas

29 Solução Open Source Informação de autorização Unix armazenada usando schema SFU 3.0 ou RFC 2307Informação de autorização Unix armazenada usando schema SFU 3.0 ou RFC 2307 Não trata UIDs e GIDs não-únicosNão trata UIDs e GIDs não-únicos Suporte de cache limitado para NSSSuporte de cache limitado para NSS –Não existe cache offline para o TGT –Não existe cache persistente para informação de autorizaçãoç –Maior carga nos DCs e na rede Algumas implementações do pam_krb5 suportam SASLAlgumas implementações do pam_krb5 suportam SASL Sem snap-in de gerênciaSem snap-in de gerência Sem suporte a GPOsSem suporte a GPOs

30 Mudanças para Solução 4 Obtenha o pam_ldap via PADLObtenha o pam_ldap via PADL Configure o pam.conf para usar pam_ldap ao invés de pam_krb5Configure o pam.conf para usar pam_ldap ao invés de pam_krb5 pam_ldap necessita das informações do ldap.confpam_ldap necessita das informações do ldap.conf –pam_login_attribute sAMAccountName –pam_filter objectclass=User –pam_password ad Habilite SSL/TLS para evitar senhas em claro na consulta LDAPHabilite SSL/TLS para evitar senhas em claro na consulta LDAP

31 Guia dos Serviços de Diretório e Segurança Windows para Unix Documentação passo a passo para a integração da autenticação e autorização entre ambientes Unix e Active DirectoryDocumentação passo a passo para a integração da autenticação e autorização entre ambientes Unix e Active Directory Organizado em quatro volumes:Organizado em quatro volumes: –Volume 1 – Descreve as tecnologias de autenticação e autorização existentes e ajuda a escolher a mais apropriada entre as cinco soluções existentes –Volume 2 – Soluções usando autenticação Kerberos (soluções 1 e 2) –Volume 3 – Soluções usando autenticação LDAP (soluções 3 e 4) –Volume 4 – Relação de confiança entre AD e Kerberos Unix (solução 5)

32 Recursos Guia de Serviços de Segurança e Diretório Windows para UnixGuia de Serviços de Segurança e Diretório Windows para Unix –http://go.microsoft.com/?linkid= Porta 25Porta 25 –http://porta25.technetbrasil.com.br

33 © 2006 Microsoft Corporation. Todos os direitos reservados. O propósito desta apresentação é apenas informativa. Microsoft não faz nenhuma garantia expressa ou implícita nesta apresentação. Seu potencial. Nossa inspiração. MR


Carregar ppt "Fernando Cima Consultor de Segurança Microsoft Guia de Serviços de Segurança e Diretório Windows para Unix."

Apresentações semelhantes


Anúncios Google