Por que preciso do Acesso Compatível com Pré-Windows 2000 para enumerar a associação ao grupo?

1

Estou tentando bloquear a segurança, incluindo a remoção dos hashes de senha que o complemento UNIX cria. Eu removi Usuários Autenticados do grupo Acesso Compatível Anterior ao Windows 2000. No entanto, depois de fazer isso, uma pequena parte dos usuários não pôde fazer login em vários itens que não sejam do Windows, como Redmine, Subversion, nossa VPN etc. Esses serviços são autenticados com uma conta de usuário ldapbind e usam SSL LDAP para autenticar no AD e verificar a associação ao grupo. Também usamos máquinas Linux executando o SSSD que autenticam via Kerberos e checam a associação ao grupo com o LDAP.

O problema que encontrei é que a associação ao grupo não pôde ser enumerada para uma pequena quantidade de usuários. Eles podem ser autenticados, mas não autorizados. Por exemplo, se eu fizer logon em uma caixa do Linux e fizer "id user", nada será encontrado para esses usuários. No entanto, "id user" retornaria as informações para a maioria dos usuários. Não consigo pensar em nenhuma diferença entre as contas de usuário que funcionam e as que não funcionam. O que poderia estar acontecendo?

    
por Doug 13.02.2013 / 02:43

1 resposta

1

Você removeu Usuários Autenticados do Acesso Compatível com Antes do Windows 2000 para impedir que os usuários leiam os outros hashes de senha do UNIX. Acesso compatível anterior ao Windows 2000 tem direitos para ler quase todas as propriedades da maioria dos objetos e é como a maioria das entidades de segurança não administrativas leem as propriedades do objeto. A associação do grupo é determinada para um usuário lendo o atributo memberOf e, como unixUserPassword , a capacidade de lê-lo pela maioria dos usuários é removida. A razão pela qual os usuários que estão em grupos protegidos NÃO estão quebrados, mas usuários que NÃO estão em grupos protegidos estão quebrados porque, curiosamente, o AdminSDHolder concede mais direitos permissivos para ler propriedades de objetos protegidos do que objetos desprotegidos.

Não há uma resposta "correta" para corrigir o problema, pois geralmente não é uma boa ideia armazenar dados confidenciais no AD (é exatamente esse o motivo). Você pode olhar para definir o bit de confidencialidade. Eu nunca fiz isso, mas este artigo da KB entrou em detalhes: Como marcar um atributo como confidencial no Windows Server 2003 Service Pack 1

    
por 04.03.2013 / 09:17