Prática recomendada para autenticar o DMZ em relação ao AD na LAN

Navegue suas respostas
7

Temos poucos servidores voltados para o cliente na DMZ que também têm contas de usuário, todas as contas estão no arquivo de senhas shadow.  Eu estou tentando consolidar logons de usuário e pensando em deixar os usuários de LAN para autenticar contra o Active Directory.Services que necessitam de autenticação são Apache, Proftpd e ssh. Depois de consultar a equipe de segurança eu tenho instalação de autenticação DMZ que tem proxy LDAPS que por sua vez entra em contato com outro proxy LDAPS (proxy2) na LAN e este passa informações de autenticação via LDAP (como ligação LDAP) para controlador AD.Segundo proxy LDAP só necessário porque servidor AD recusa falar TLS com nossa implementação LDAP segura.  Isso funciona para o Apache usando o módulo apropriado. Em um estágio posterior, posso tentar mover as contas dos clientes dos servidores para o proxy LDAP, para que eles não fiquem espalhados pelos servidores.

Para o SSH eu me uni ao proxy2 ao domínio do Windows para que os usuários pudessem fazer logon usando suas credenciais do Windows. Depois, criei chaves ssh e as copiei para servidores DMZ usando ssh-copy, para habilitar o login sem senha quando os usuários forem autenticados.

Esta é uma boa maneira de implementar esse tipo de SSO? Perdi alguma questão de segurança aqui ou talvez haja uma maneira melhor de alcançar meu objetivo?

    
por Sergei 03.07.2009 / 00:12

1 resposta

8

Se você está usando o PAM para sua pilha de autenticação, você pode usar o pam_krb5 para fornecer erberos autenticação para seus serviços. O Kerberos foi projetado pronto para uso para lidar com ambientes hostis, lida com autenticação por proxy e já faz parte da especificação do AD. Por que lutar com o LDAP quando você pode obter Kerberos para fazer o trabalho pesado para você e continuar com a vida? Sim, você terá que fazer algumas leituras, e sim, levará um pouco de tempo, mas eu usei a autenticação Curb-to-AD por anos e descobri que é a forma mais fácil e rápida de obter o SSO trabalhando fora da caixa quando você tem o Active Directory como o back-end de autenticação.

A principal coisa que você vai encontrar é que a Microsoft decidiu ser muito específica sobre os tipos de criptografia padrão (eles basicamente fizeram o seu próprio), então você precisa configurar seus clientes Kerberos para ter o correto tipos de criptografia correspondentes, ou os servidores do AD continuarão a rejeitá-lo. Este é, felizmente, um procedimento fácil e não deve exigir mais do que algumas edições para o krb5.conf.

E agora, alguns links para você considerar ...

Visão da Microsoft sobre o Kerberos

Meshing Kerberos e Active Directory

autenticação ssh e Kerberos via PAM

Apache e Kerberos

ProFTP e Kerberos

RFCs das Atividades da Microsoft com o Kerberos (sobre as quais você realmente não quer ler):

por 03.07.2009 / 01:14

Tags

Pesquisa IMAP mais rápida para o servidor Courier IMAP no Linux É possível forçar um aplicativo C # compilado com a tag de arquitetura “Any” a ser executado como um aplicativo de 32 bits em janelas de 64 bits?