DocuTecnica
Autor:XXXX
Versión: 1
Indice
Información del documento
Area tecnológica: Sistemas Autor: XXXX Aprobado: false Borrador: true Fecha: Id Doc: ID_OO_WRIT_SEG_KERB000 Responsable: YYYY Versión: 1 Nombre del documento: d:\Mis documentos\Kerberos.odtAutenticación de servidores en Directorio Activo
Fecha: 28/06/2011
í
1. antecedentes y requisitos
Se considera que la validación de la contraseña será contra el DA y el resto de características de autorización sigue permaneciendo como hasta ahora, en las cuentas locales. Por tanto, se mantienen las cuentas en local. Lo cual cuenta con la ventaja de que por un lado la configuración de estos usuarios se sigue delegando en los administradores de los servidores y por otro lado sigue siendo viable la autenticación contra las cuentas locales en caso de problemas con el servicio o las comunicaciones con el DA. En cualquier caso, los usuarios administradores (root) quedarán fuera del alcance de este mecanismo, permaneciendo las cuentas de estos en local, para asegurar el control de los servidores en todo momento.
2. objetivos y alcance
Se trata de integrar la validación de los usuarios de AD en Windows 2008 Server con un servidor AIX 5.3, un servidor RHEL 5.4, y un servidor Solaris 10.
En los sistemas Solaris y Linux, el método de integración se realizará mediante PAM (pluggable authentication modules). Que permite delegar en diferentes subsistemas la validación de
contraseñas de los usuarios.
En AIX se utilizará el subsitema LAM (loadable authentication modules).
El protocolo de autenticación será Kerberos, utilizando la implementación de Microsoft sobre Directorio Activo. Kerberos tiene las siguientes ventajas:
• Está disponible en todos los SO Unix/Linux • Es un estándar abierto
• A nivel de seguridad permite mantener la contraseña segura, siempre y cuando la autenticación al servicio se realice de manera segura (SSL)
• No requiere servicios extras a mantener Presenta los siguientes inconvenientes:
• En algunos casos se pueden necesitar servicios kerberizados
• No permite integrar información de control de acceso (pertenencia a grupo, etc) • Requiere que los usuarios cliente se encuentren dados de alta en el DA
• El estándar Kerberos implementado por Microsoft cubre funcionalidad básica, no permite administración de los “principales” kerberos.
• Establece varias dependencias a nivel de servicios:
o Directorio Activo. o NTP.
o DNS.
3. Requisitos previos.
A continuación se muestran los requisitos necesarios para proceder con la instalación
3.1 Linux.
- Versión de SO (RedHat 5.4) CentOS 5.4
- Siguientes paquetes kerberos:
o krb5-workstation-1.6.1-36.el5.i386.rpm o krb5-libs-1.6.1-36.el5.i386.rpm
3.2 Solaris.
- Versión del sistema operativo: Solaris 5.10 Generic_141445-09 - Resolución DNS.
- Configuración de red.
Instalación de los paquetes kerberos para Solaris:
system SUNWkrbr Kerberos version 5 support (Root)
PKGINST: SUNWkrbr
NAME: Kerberos version 5 support (Root)
CATEGORY: system
ARCH: i386
VERSION: 11.10.0,REV=2005.01.21.16.34
BASEDIR: /
VENDOR: Sun Microsystems, Inc.
DESC: Kerberos version 5 support (Root)
PSTAMP: on10ptchfeatx20090902230812
INSTDATE: Jul 26 2010 10:38
HOTLINE: Please contact your local service provider
STATUS: completely installed
FILES: 21 installed pathnames
9 shared pathnames
14 directories
1 executables
23 blocks used (approx)
system SUNWkrbu Kerberos version 5 support (Usr)
PKGINST: SUNWkrbu
NAME: Kerberos version 5 support (Usr)
CATEGORY: system
ARCH: i386
VERSION: 11.10.0,REV=2005.01.21.16.34
BASEDIR: /
VENDOR: Sun Microsystems, Inc.
DESC: Kerberos version 5 support (Usr)
PSTAMP: on10ptchfeatx20090902230813
INSTDATE: Jul 26 2010 10:38
HOTLINE: Please contact your local service provider
STATUS: completely installed
FILES: 39 installed pathnames
8 shared pathnames
10 directories
18 executables
5091 blocks used (approx)
3.3 AIX.
Versión del sistema operativo: 5.3 TL 8 o 5300-08-05-0846 - Conectividad con el dominio MS-AD
- Privilegios de administración como root - Ver relacionados con Linux
- IBM NAS 1.4.8
Instalación de los paquetes Kerberos para AIX:
Fileset Level State Description
---Path: /usr/lib/objrepos
krb5.client.rte 1.4.0.3 COMMITTED Network Authentication Service Client
krb5.client.samples 1.4.0.3 COMMITTED Network Authentication Service Samples
krb5.doc.en_US.html 1.4.0.3 COMMITTED Network Auth Service HTML Documentation - U.S. English
krb5.doc.en_US.pdf 1.4.0.3 COMMITTED Network Auth Service PDF Documentation - U.S. English
krb5.lic 1.4.0.3 COMMITTED Network Authentication Service License
Path: /etc/objrepos
krb5.client.rte 1.4.0.3 COMMITTED Network Authentication Service
4. Mapa de dependencias.
5. Despliegue:
5.1 Linux
Desde la terminal escribir:
authconfig-tui
Este comando ejecuta un asistente que modifica la gestión de la arquitectura PAM. Después hay que configurar el fichero /etc/pam.d/passwd y dejarlo como se muestra:
#%PAM-1.0
auth include system-auth-passwd
account include system-auth-passwd
password include system-auth-passwd
Crear un nuevo archivo /etc/pam.d/system-auth-passwd y escribir lo siguiente: password sufficient pam_krb5.so
5.2 AIX
Actualizar el path: /etc/environment
PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/krb5/bin:/usr/krb
5/sbin:/usr/java14/jre/bin:/usr/java14/bin
Comprobar la sincronizacion de relojes: ntpq
ntpq> peers
remote refid st t when poll reach delay offset disp
==============================================================================
+timeserver1.exa ntp-gps1.example 2 u 20 64 37 52.14 -1.349 875.15
*timeserver2.exa ntp-gps2.example 2 u 20 64 37 47.81 1.508 875.38
+timeserver3.exa ntp-gps1.example 2 u 20 64 37 55.02 -2.027 875.23
Configuramos el cliente kerberos
# config.krb5 -C -r EXAMPLE.COM -d example.com -c bs01b06.example.com -s
bs01b06.example.com
* Donde EXAMPLE.COM y example.com son los nombres de dominio del AD
* -c bs01b06.example.com servidor KDC
* -s bs01b06.example.com Servidor Kadmin
Y en /etc/krb5/krb5.conf la sección libdefaults que contiene
[libdefaults]
default_realm = OCSXXXX.DA
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5
des-cbc-crc
default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts cbc-md5 des-cbc-crc
vamos a cambiar la sección [libdefaults] por
[libdefaults]
default_realm = OCSXXXX.DA
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des-cbc-md5 des-cbc-crc
default_tgs_enctypes = des-cbc-md5 des-cbc-crc
Actualizar el fichero /usr/lib/security/methods.cfg y añadir lo siguiente
KRB5A:
program = /usr/lib/security/KRB5A
options = tgt_verify=no, authonly,allow_expired_pwd=yes
KRB5Afiles:
options = db=BUILTIN,auth=KRB5A
5.3 Solaris.
Configurar Kerberos en el fichero /etc/krb/krb5.conf
[libdefaults] default_realm = DEMO.ES default_tkt_enctypes = des-cbc-md5 default_tgs_enctypes = des-cbc-md5 dns_lookup_kdc = false dns_lookup_realm = false clockskew = 500 verify_ap_req_nofail = false [realms] DEMO.ES = { kdc = 192.168.56.101 admin_server = 192.168.56.101 kpasswd_server=192.168.56.101 kpasswd_protocol = SET_CHANGE verify_ap_req_nofail = false } [domain_realm] .demo.es = DEMO.ES demo.es = DEMO.es [logging] ID_OO_WRIT_SEG_KERB000-1 5. Despliegue:
default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log kdc_rotate = { period = 1d versions = 10 } [appdefaults] kinit = { renewable = true forwardable= true } pam = { debug = true verify_ap_req_nofail = false force_pwchange = true } ID_OO_WRIT_SEG_KERB000-1 5. Despliegue:
Configurar el sistema PAM mediante el fichero /etc/pam.conf :
other auth requisite pam_authtok_get.so.1 other auth required pam_dhkeys.so.1 other auth required pam_unix_cred.so.1 other auth sufficient pam_krb5.so.1 debug other auth required pam_unix_auth.so.1 other account required pam_krb5.so.1 debug other password binding pam_krb5.so.1 debug Y configurar sshd en el fichero /etc/ssh/sshd_config
# parametrizacion de syslog SyslogFacility auth LogLevel debug # Login interactivo PAMAuthenticationViaKBDInt yes #ChallengeResponseAuthentication yes ID_OO_WRIT_SEG_KERB000-1
6. Operativa de validación de la configuración.
6.1 Validar la configuración Kerberos.
Para comprobar que la autenticación Kerberos funciona correctamente: - Crear un usuario en AD y asignarle una contraseña.
- Crear el usuario con el mismo nombre en las máquinas (para AIX ver apéndice 2).
o En Linux no es necesario asignarle una contraseña Unix. Sin embargo en Solaris es requerido.
- Desde root hacer un su al usuario y escribir kinit. Tras este paso nos pedirá las credenciales kerberos.
- Una vez se haya autenticado correctamente mediante Kerberos, hacer un cambio de contraseña con kpasswd.
o Nos perdirá la contraseña actual, y luego introducir la nueva .
o Es muy importante que respetemos las políticas de la contraseña que existan en AD.
- Tras esto escribir kdestroy, para eliminar las credenciales kerberos.
7.1 Usuario existente en local con contraseña local. No
existente en AD.
Contraseña: local Resultado: acceso. Contraseña AD: NA Resultado: fallo
7.2 Usuario no existente en local. Existente en AD.
Contraseña: local
ID_OO_WRIT_SEG_KERB000-1 6. Operativa de validación de la
Resultado: fallo Contraseña: AD. Resultado: fallo
7.3 Usuario forzado a cambiar la contraseña en AD. SSH
Resultado esperado: El usuario recibe una notificación de que su password ha expirado y que debe introducir la nueva.
Resultado obtenido: El mismo.
ID_OO_WRIT_SEG_KERB000-1 6. Operativa de validación de la
7.4 Usuario forzado a cambiar la contraseña en AD. kpasswd
Resultado esperado: El usuario recibe una notificación de que su password ha expirado y que debe introducir la nueva, al introducir el comando.
Resultado obtenido: El mismo.
7.5 Contraseña más débil que la política de sistema AD.
Resultado esperado: el sistema mostrará un error diciendo que no se puede modificar la contraseña. Resultado obtenido: el mismo.
8. Apéndice 1. Interacciones.
8.1 Solaris.
Solaris no incorpora la funcionalidad de doble validación de la contraseña introducida durante el cambio de contraseña en el login.
Para cambiar la contraseña UNIX se deberá precisar de la siguiente manera: - passwd –r files
8.2 AIX
No presenta ninguna peculiaridad.
8.3 Linux.
El cambio de contraseñas con el comando passwd debe hacerse mediante la siguiente operativa: - Hacer una copia de seguridad del archivo actual (/etc/pam.d/passwd)
- Copiar el fichero con la configuración de política de contraseña local (/etc/pam.d/pass.sin_krb) sobre el actual (/etc/pam.d/passwd)
- Hacer el cambio de contraseña con passwd
- Copiar el fichero con la configuración kerberos (del que hemos hecho copia de seguridad en el comienzo del proceso) con el nombre /etc/pam.d/passwd
