Mudando de OpenLDAP / Kerberos para o Active Directory

Navegue suas respostas
1

Eu tenho uma configuração bem funcional usando o OpenLDAP para informações do usuário e o Kerberos para autenticação, mas também precisamos ter a integração do Windows, e para isso decidimos que mudar para o Active Directory pode ser uma boa ideia. Mover informações de conta do OpenLDAP é bastante trivial e fácil, mas eu tenho um problema: como mover senhas / informações de autenticação do MIT Kerberos para o AD?

Eu entendo que algum tipo de delegação entre eles é possível, mas isso não resolveria meu problema? Ou posso fazer autenticação AD contra um KDC MIT Kerberos? As senhas são armazenadas em hashes no Kerberos, por isso não posso movê-las em texto puro. Gostaria de saber se os hashes seriam compatíveis entre o MIT e o AD, já que também posso inserir a senha no AD em forma criptografada.

Alguém tem experiência nisso? Qual seria a sua sugestão, além de exigir que todos os meus usuários mudassem as senhas e tivessem um grande incômodo quando toda a autenticação mudasse de um lugar para outro sem qualquer coexistência.

    
por tstm 21.01.2010 / 12:02

3 respostas

2

But I have a problem: how to move passwords/auth information from MIT Kerberos to AD?

Você não faz. Embora os hashes do kerberos tenham que ser os mesmos entre sistemas, porque são usados como chaves de criptografia e descriptografia, nenhuma das APIs públicas permite defini-los diretamente. Dado que o AD requer que ele receba senhas em texto simples, e sua instalação LDAP / KRB5 esteja descartando devidamente, você precisa esperar por uma mudança de senha ou quebrar a regra principal e manter as senhas reversíveis ao menos temporariamente, supondo que você tem algo middleware para enviar alterações de senha para o OpenLDAP / Kerberos que você pode instrumentar.

I understand some kind of delegation between them is possible, but this wouldn't solve my problem? Or can I do AD authentication against a MIT Kerberos KDC?

Esta é a abordagem que estamos considerando no momento. Autenticando no Windows usando o Kerberos Isso é conhecido como confiança entre domínios. Algumas coisas importantes a serem observadas. Encontrar um tipo de criptografia comum a todos os domínios é crítico e geralmente depende do AD. A versão do AD que você está usando normalmente determina a cripta do dia. O melhor guia para configurar isso, na verdade, veio da Microsoft: Guia Passo a Passo de Interoperabilidade Kerberos para Windows Server 2003 . O principal problema que encontrei foi dizer qual o tipo de criptografia a ser usado para a confiança entre domínios, que outros guias escritos há muito tempo deixaram de mencionar.

    
por 04.08.2011 / 20:22
0

Seria uma boa ideia analisar uma solução como a do link abaixo:

link

No que diz respeito à migração, você pode usar um sistema como o PCNS para sincronização de senhas enquanto estiver em movimento. Você executaria os dois sistemas em paralelo por um tempo e teria vários dias "todos redefinissem sua senha" para garantir que estivessem em sincronia antes da mudança. O PCNS é uma solução melhor do que a interoperabilidade do Kerberos para o que você está fazendo.

O PCNS (Serviço de Notificação de Alteração de Senha) é executado em um controlador de domínio e encaminha senhas para um "destino" que, em seguida, define a senha. O link a seguir explica como fazer isso.

link

Se você estiver criando uma nova aparência de floresta do AD nas configurações de GPO de segurança ANTES de criá-la. Dessa forma você pode começar o mais seguro possível ... Estou falando sobre versões NTLM, assinatura ldap, etc ...

    
por 26.09.2011 / 18:56
0

O Samba4 e o freeipa podem permitir que as estações de trabalho do Windows sejam autenticadas. Você já considerou um desses.

    
por 27.12.2011 / 21:26

Tags

Sintaxe PowerCLI: cópia-disco rígido Sobrecarga do servidor devido ao arquivo de log [closed]