Створення єдиного простору безпеки на базі Active Directory

Розглянуті вище технології дозволяють створити розподілену систему з єдиною базою аутентифікаційних і авторизуйтесь даних Ау-тентіфікаціонние дані – це сутності Kerberos, які повязані з обєк- єктами LDAP, що зберігають авторизуйтесь інформацію (ідентифікатори користувачів, членство в групах і т п)

Операційні системи сімейства Windows вбудовуються в середу Ac-tive Directory за допомогою стандартного інструментарію, при цьому на робочій станції запускаються необхідні сервіси, які переадресовують запити до локальної бази SAM на контролери домену (так само активізується SSPI-модуль, що відповідає за аутентифікацію по протоколу Kerberos) Для того щоб побачити цей процес більш докладно, розглянемо інтеграцію робочої станції під управлінням ОС Linux в середу Active Directory

741 Технологія PAM

У першу чергу необхідно змінити режим аутентифікації робочої станції з традиційного (через файл «/ etc / shadow»), на аутентифікацію по протоколу Kerberos

Для вирішення подібних завдань вже досить довгий час в Linux (і не-

яких інших Unix-системах) система аутентифікації відокремлена від утиліт, яким необхідно виробляти аутентифікацію Кожна така утиліта (наприклад, login) запитує спеціальну бібліотеку libpam для прове-дення аутентифікації користувача Все, що повинен забезпечити сервіс, – це зворотний звязок між користувачем і бібліотекою (для запиту паролю при необхідності, виведення службових повідомлень, наприклад з проханням прило-жити спеціальний пристрій до зчитувача і т п) Сама бібліотека libpam теж не містить конкретного функціоналу по аутентифікації, весь функ-

ціонал міститься в модулях PAM1 Про те, які модулі необхідно загру-

жати, бібліотека дізнається з файлів конфігурації, розташованих в каталозі

«/ Etc / pamd» (по файлу конфігурації на кожен сервіс)

Файл конфігурації може містити 4 типи записів:

– Auth – відповідають за процес аутентифікації

– Account – відповідають за те, що обліковий запис актуальна (Не заблокує-

вана, не закінчився термін дії пароля і т п)

– Password – відповідають за маніпуляції з аутентифікаційних данни-

ми (наприклад, зміна пароля)

– Session – виконують деякі дії, повязані з сеансом користу-

вателя (установка змінних оточення, видалення кеша при виході користу-

вателя і т п)

Модуль аутентифікації по протоколу Kerberos повинен бути присутнім в розділах auth і session (для створення кешу квитків і його видалення) Для того

щоб не було необхідності переписувати конфігураційні файли кожного з сервісів, в будь-якому дистрибутиві Linux передбачені загальні на-будівництва PAM для всіх сервісів У дистрибутиві Debian – це файли comon-auth, common-password, common-account і common-session, в кожному описані

умовчання для відповідних розділів Саме сюди і необхідно доба-

вити модуль «pam_krb5so»

1 PAM (Pluggable Authentication Modules) – модулі, що підключаються аутентифікації

ВИКОНАТИ

28 На віртуальній машині WS-Linux обовязково призвести вхід від імені суперкористувача до двох або більше віртуальних консолі

29 Відкрити в текстовому редакторі файл «/ etc / pamd / common-auth»

30 Поставити символ «#» на початку рядка, підключає модуль

pam_unixso (традиційний механізм, заснований на файлах

«/ Etc / passwd» і «/ etc / shadow»)

31 Додати рядок «auth required pam_krb5so»

32 На віртуальній машині DC створити користувача «ws-linux_host» при по-

мощі оснастки «Active Directory Users and Computers»

33 Створити keytab-файл за допомогою наступної команди:

ktpass –princ host/ws-linuxexamplecom@EXAMPLECOM

–crypto des-cbc-md5 +desOnly

–ptype KRB5_NT_PRINCIPAL

–out c:\httpkeytab +rndPass

–mapuser ws-linux_host@examplecom –mapop set

34 Скопіювати keytab-файл на віртуальну машину WS-Linux під імям

«/etc/krb5keytab»

35 Саманта права доступу на keytab-файл командою:

chmod 400 /etc/krb5keytab

36 На одній з віртуальних консолей призвести вихід із системи і вхід в неї Переконатися за допомогою команди klist, що користувач отримав TGT

Після того як модуль pam_krb5 був підключений до системи аутентіфі-

кации, вийшло наступне:

– Користувач root здатний здійснити вхід в систему

– Користувач student не здатний увійти в систему, оскільки він не об-

ладает обліковим записом Kerberos

– Користувач Administrator здатний пройти аутентифікацію, але він від-

Вергал нижележащими модулями, які не можуть отримати про нього ав-

торізующую інформацію (членство в групах, ідентифікатор, домашній каталог, login shell)

Для того щоб забезпечити вхід для користувача student досить

створити для нього відповідну обліковий запис в Active Directory Щоб дозволити вхід адміністратору, треба якимось чином перенаправити ос-тальне модулі на отримання інформації про користувача не з файлу

«/ Etc / passwd», а з LDAP каталогу Active Directory

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*