(Onduidelijk of dit topic in 'Windows Operated Systems' of in 'Systeem- en Netwerkbeheer' kan)
Achtergrond:
De wens bestaat hier om centraal de toegang tot onze linux clients te kunnen beheren. De wildgroei van losse accounts en bijkomende onoverzichtelijkheid zijn hiervoor goede argumenten.
Authenticatie via LDAP zou hier bij uitstek geschikt voor moeten zijn.
Om niet nog meer servers te hoeven beheren is er gekozen om Microsoft Active Directory (toekomstige office omgeving) in te zetten als LDAP server. Met de schema extenties van 'MS services for Unix' zou AD minstens zo geschikt moeten zijn als bijvoorbeeld OpenLDAP. Na wat hobby'en kan ik inmiddels vanaf een linuxbak een query doen naar de LDAP tree. Via pluggable authentication modules (PAM) routeer ik de authenticatie voor SSH bijvoorbeeld naar de LDAP server. Na enig configuratiewerk van ldap.conf kan ik vervolgens met SSH inloggen op de linuxmachine m.b.v. mijn AD account.
Met behulp van de grouprequired parameter in de LDAP client kun je zo bijvoorbeeld iedereen in de AD lid van een bepaalde groep in laten loggen via SSH.
In verschillende tutorials wordt er gewaarschuwd dat LDAP verkeer als plain text over het netwerk gaat hetgeen een netwerksniffer inderdaad snel bevestigd. Een beveiligde verbinding via TLS/SSL zou voldoende veiligheid moeten bieden.
Als een domaincontroller uitgerust wordt met 'Certificate services' accepteert deze beveiligde LDAP query's op poort 636.
Hierna kan het automatisch aangemaakt 'self-signed' servercertificaat geexporteerd worden naar de client en mits de certificaat informatie volledig is kan er een beveiligde verbinding opgezet worden, LDAP over TLS / SSL.
Probleem:
LDAP authenticatie naar een enkele DC is een vervelend single point of failure, als de DC tijdelijk niet bereikbaar is kun je op geen enkele client meer inloggen (afgezien van lokaal noodaccount). Er is in de LDAP client fallback mogelijk naar een andere LDAP server, een tweede domaincontroller bijvoorbeeld. Echter van deze DC moet vervolgens ook een certificaat aanwezig zijn.
Een voorbeeld overzicht:
Linuxclient heeft als LDAP servers DC_1 en DC_2
SSL/TLS ingeschakeld
DC_1 is standalone root CA
DC_2 is sub-ordinate CA van DC_1
'Server certificate' export van DC_1 naar linux client
'Server certificate' export van DC_2 naar linux client
Ik lees op verschillende plekken dat het afgeraden wordt om het certificaat van de root CA uit geven naar clients. Het lijkt mij echter een beetje overbodig om een derde machine in het leven te roepen als root CA en vervolgens de 2 DC's subordinate te maken en hiervan de certificaten uit te geven / exporteren.
Wat zou voor mij een gunstige Certificate setup zijn als ik uitga van 2 DC's waar de authenticatie plaats kan vinden?
Daarnaast vraag ik me af wat voor mij de meerwaarde zou zijn van een Enterprise root CA
Na wat speelwerk en installatie en de-installatie van Certificate services was mijn testomgeving een zooitje. Na een quick reinstall wil ik het nu graag goed doen.
Tips, opmerkingen en advies van mensen die kijk hebben op de genoemde situatie zijn meer dan welkom!
Achtergrond:
De wens bestaat hier om centraal de toegang tot onze linux clients te kunnen beheren. De wildgroei van losse accounts en bijkomende onoverzichtelijkheid zijn hiervoor goede argumenten.
Authenticatie via LDAP zou hier bij uitstek geschikt voor moeten zijn.
Om niet nog meer servers te hoeven beheren is er gekozen om Microsoft Active Directory (toekomstige office omgeving) in te zetten als LDAP server. Met de schema extenties van 'MS services for Unix' zou AD minstens zo geschikt moeten zijn als bijvoorbeeld OpenLDAP. Na wat hobby'en kan ik inmiddels vanaf een linuxbak een query doen naar de LDAP tree. Via pluggable authentication modules (PAM) routeer ik de authenticatie voor SSH bijvoorbeeld naar de LDAP server. Na enig configuratiewerk van ldap.conf kan ik vervolgens met SSH inloggen op de linuxmachine m.b.v. mijn AD account.
Met behulp van de grouprequired parameter in de LDAP client kun je zo bijvoorbeeld iedereen in de AD lid van een bepaalde groep in laten loggen via SSH.
In verschillende tutorials wordt er gewaarschuwd dat LDAP verkeer als plain text over het netwerk gaat hetgeen een netwerksniffer inderdaad snel bevestigd. Een beveiligde verbinding via TLS/SSL zou voldoende veiligheid moeten bieden.
Als een domaincontroller uitgerust wordt met 'Certificate services' accepteert deze beveiligde LDAP query's op poort 636.
Hierna kan het automatisch aangemaakt 'self-signed' servercertificaat geexporteerd worden naar de client en mits de certificaat informatie volledig is kan er een beveiligde verbinding opgezet worden, LDAP over TLS / SSL.
Probleem:
LDAP authenticatie naar een enkele DC is een vervelend single point of failure, als de DC tijdelijk niet bereikbaar is kun je op geen enkele client meer inloggen (afgezien van lokaal noodaccount). Er is in de LDAP client fallback mogelijk naar een andere LDAP server, een tweede domaincontroller bijvoorbeeld. Echter van deze DC moet vervolgens ook een certificaat aanwezig zijn.
Een voorbeeld overzicht:
Linuxclient heeft als LDAP servers DC_1 en DC_2
SSL/TLS ingeschakeld
DC_1 is standalone root CA
DC_2 is sub-ordinate CA van DC_1
'Server certificate' export van DC_1 naar linux client
'Server certificate' export van DC_2 naar linux client
Ik lees op verschillende plekken dat het afgeraden wordt om het certificaat van de root CA uit geven naar clients. Het lijkt mij echter een beetje overbodig om een derde machine in het leven te roepen als root CA en vervolgens de 2 DC's subordinate te maken en hiervan de certificaten uit te geven / exporteren.
Wat zou voor mij een gunstige Certificate setup zijn als ik uitga van 2 DC's waar de authenticatie plaats kan vinden?
Daarnaast vraag ik me af wat voor mij de meerwaarde zou zijn van een Enterprise root CA
Na wat speelwerk en installatie en de-installatie van Certificate services was mijn testomgeving een zooitje. Na een quick reinstall wil ik het nu graag goed doen.
Tips, opmerkingen en advies van mensen die kijk hebben op de genoemde situatie zijn meer dan welkom!
[ Voor 3% gewijzigd door Kokkers op 07-06-2006 16:09 ]
:strip_icc():strip_exif()/u/16170/crop5f3ee51d8d633.jpeg?f=community)
/u/43807/ZwartGat.png?f=community)
). Ik weet niet of AD hetzelfde ondersteund namelijk. Je kan eDirectory in dit geval licentieloos gebruiken omdat je er niet via een Novell client of FTP op authenticeert, maar je gebruikt alleen de eDirectory credentials, er wordt geen permanente verbinding mee gelegd). Novell propageert het gebruik van eDirectory ook op deze manier. Ook netware is in dit geval gratis te gebruiken op een oneindig aantal servers(licentiemodel van Netware 6.5 en hoger)./u/3626/front-kabels.png?f=community)