Os servidores Linux que usam AD / Kerberos para autenticação / autorização precisam de contas de computador?

4

Estou confuso sobre se os servidores Linux que usam o Active Directory (AD) e o Kerberos precisam de contas de computador criadas?
O servidor Linux como uma máquina precisa ingressar em um domínio do AD e, ao fazer isso, ter uma conta de computador para ter serviços de autenticação / autorização do AD?

Aqui estão alguns requisitos:

  • Capacidade de fazer autenticação baseada em associação de usuários e grupos usando AD de servidores Linux.
  • Capacidade de mapear números locais de UID / GID do linux para usuários e grupos do AD nomes (hoje estamos usando um servidor LDAP não AD e reservamos números UID / GID para contas de usuários e grupos. Idealmente, gostaria de continuar essa prática).
  • Capacidade de mapear as permissões do linux Sudoer para grupos do AD.
  • Use ferramentas / plug-ins de código aberto ou de comunidade, como SSSD, em vez de oferta comercial paga como Centrify.

Estou preocupado com a dificuldade de criar / excluir cargas de contas de computador Linux no AD para servidores baseados em nuvem privada que provavelmente não estarão por aí por tanto tempo; mas gostaria dos benefícios de um armazenamento de conta de usuário central usando o AD.

Notas: Estou usando os servidores linux RHEL e Centos 6-7 e o Windows Server 2012 com AD no nível funcional 2008R2.

    
por Padge 20.02.2016 / 03:23

3 respostas

1

Existem duas considerações diferentes aqui:
1) autenticação (validação de senha)
2) autorização (mapeamento de identidade / associação a grupos, etc)

Para clientes:
Você pode fazer autenticação (verificação de senha) via Kerberos de um cliente anônimo (sem domain-join / host-creds). No entanto, você perde a capacidade de fazer a validação de SSO e KDC do GSSAPI com os credenciais do host (/etc/krb5.keytab).

Para autorização, você precisa ser capaz de fazer ligações / buscas LDAP para os AD-DCs. Em geral, o AD não permite ligações LDAP anônimas, portanto, você precisa de algum tipo de credencial do lado do cliente. Um & explicitamente criado & manutenção de conta de serviço OU credenciais de host (criadas / mantidas por ingresso no domínio).

Nos seus arquivos ldap.conf ou sssd.conf, você pode listar credenciais explícitas de conta de serviço ou dizer para usar os credenciais de host. Se você tiver creds de host e usar o id_provider 'ad' no sssd, você obtém vantagens, como a manutenção automática de credito de host.

Observe que, se você quiser usar o AD para seu serviço de autorização, precisará adicionar informações de estilo do rfc2307 (por exemplo, uidNumber, gidNumber, etc) a todas as contas de usuário que deseja usar nos clientes Unix / Linux.

Para servidores:
Se eles forem fornecer qualquer serviço baseado em Kerberized / GSSAPI, eles devem ter credenciais de host (sejam unidos por domínio) e ter registros UPN / SPN válidos na conta de computador no AD. Pense no AD como fornecendo a funcionalidade do Kerberos KDC.

Por exemplo:
Se você tem um servidor de arquivos NFSv4 do Kerberized, é necessário que haja não apenas um SPN "host / F.Q.D.N" que precisa ser um SPN "nfs / F.Q.D.N" na conta & no arquivo krb5.keytab no servidor.

    
por 12.04.2018 / 06:36
3

Com o SSSD, depende da configuração. Com id_provider = ad yes, você precisa ingressar no domínio com realmd. Mas se você não quiser entrar no domínio, não há nada que o impeça de usar o id_provider = ldap. Até mesmo o mapeamento de ID funcionaria, se você mesmo configurasse o SID.

    
por 20.02.2016 / 09:38
3

Sim, eles precisam de contas de computador. Estes são criados através do ato de "unir" o domínio.

(Pense no Centrify, no Powerbroker, etc., embora recomendações específicas de produtos estejam fora dos limites.)

O Active Directory, em particular, não permitirá a autenticação em nenhuma circunstância se você não tiver uma conta, independentemente de você ser um computador ou um usuário.

Edit: Só queria esclarecer - se você pretende autenticar os servidores, eles precisam de contas de computador. Se você pretende autenticar apenas os usuários que fazem logon nesses servidores, você poderia teoricamente ter apenas contas de usuário, se o seu PAM tiver sido configurado de forma a permitir que usuários que tenham um nome de usuário e senha passem um cheque contra o AD para faça o login.

    
por 20.02.2016 / 03:24