Ich habe ein gut funktionierendes Setup mit OpenLDAP für Benutzerinformationen und Kerberos für die Authentifizierung, aber wir brauchen auch eine Windows-Integration, und deshalb haben wir entschieden, dass ein Wechsel zu Active Directory eine gute Idee sein könnte. Das Verschieben von Kontoinformationen von OpenLDAP ist ziemlich einfach und problemlos, aber ich habe ein Problem: Wie verschiebe ich Passwörter/Authentifizierungsinformationen von MIT Kerberos nach AD?
Ich verstehe, dass eine Art Delegation zwischen ihnen möglich ist, aber das würde mein Problem nicht lösen. Oder kann ich eine AD-Authentifizierung gegenüber einem MIT Kerberos KDC durchführen? Passwörter werden in Kerberos in Hashes gespeichert, daher kann ich sie nicht im Klartext verschieben. Ich frage mich, ob die Hashes zwischen MIT und AD kompatibel wären, da ich das Passwort auch in verschlüsselter Form in AD eingeben kann.
Hat jemand Erfahrung damit? Was würden Sie vorschlagen, abgesehen davon, dass ich von allen meinen Benutzern einfach das Ändern ihrer Passwörter verlange und es einen großen Aufwand bedeutet, wenn die gesamte Authentifizierung ohne Koexistenz von einem Ort zum anderen wechselt?
Antwort1
Aber ich habe ein Problem: Wie verschiebe ich Passwörter/Authentifizierungsinformationen von MIT Kerberos nach AD?
Das müssen Sie nicht. Kerberos-Hashes müssen zwar zwischen den Systemen gleich sein, da sie als Verschlüsselungs- und Entschlüsselungsschlüssel verwendet werden, aber keine der öffentlichen APIs erlaubt es, sie direkt festzulegen. Da AD Klartextkennwörter erfordert und Ihre LDAP/KRB5-Installation diese pflichtbewusst verwirft, müssen Sie entweder auf eine Kennwortänderung warten oder die Kardinalregel brechen und Kennwörter zumindest vorübergehend in umkehrbarer Form aufbewahren, vorausgesetzt, Sie haben eine Middleware zum Senden von Kennwortänderungen an OpenLDAP/Kerberos, die Sie instrumentieren können.
Ich verstehe, dass eine Art Delegation zwischen ihnen möglich ist, aber das würde mein Problem nicht lösen? Oder kann ich eine AD-Authentifizierung gegenüber einem MIT Kerberos KDC durchführen?
Dies ist der Ansatz, den wir derzeit in Betracht ziehen. Authentifizierung bei Windows mit Kerberos. Dies wird als Cross-Realm-Trust bezeichnet. Einige wichtige Dinge sind zu beachten. Es ist wichtig, einen gemeinsamen Verschlüsselungstyp für alle Realms zu finden, und dies hängt normalerweise von AD ab. Die von Ihnen verwendete AD-Version bestimmt normalerweise die aktuelle Verschlüsselung. Die beste Anleitung zum Einrichten, die ich gefunden habe, stammt tatsächlich von Microsoft:Schritt-für-Schritt-Anleitung zur Kerberos-Interoperabilität für Windows Server 2003. Das Hauptproblem, auf das ich gestoßen bin, bestand darin, anzugeben, welcher Verschlüsselungstyp für das Cross-Realm-Vertrauen verwendet werden soll. Dies wurde in anderen, vor langer Zeit verfassten Anleitungen nicht erwähnt.
Antwort2
Es wäre eine gute Idee, eine Lösung wie die im folgenden Link zu verwenden:
http://www.centrify.com/solutions/unix-linux-identity-management.asp
Was die Migration betrifft, könnten Sie ein System wie PCNS für die Passwortsynchronisierung während des Umzugs verwenden. Sie würden beide Systeme eine Zeit lang parallel laufen lassen und mehrere „alle ihre Passwörter zurücksetzen“-Tage einplanen, um sicherzustellen, dass sie vor dem Umzug synchronisiert sind. PCNS ist für das, was Sie tun, eine VIEL bessere Lösung als Kerberos-Interop.
PCNS (Password Change Notification Service) läuft auf einem Domänencontroller und leitet Passwörter an ein „Ziel“ weiter, das dann das Passwort setzt. Unter folgendem Link wird erklärt, wie das geht.
http://technet.microsoft.com/en-us/library/bb463208.aspx
Wenn Sie einen neuen AD-Forest erstellen, sehen Sie sich die Sicherheits-GPO-Einstellungen VOR dem Erstellen an. Auf diese Weise können Sie so sicher wie möglich beginnen ... Ich spreche von NTLM-Versionen, LDAP-Signierung usw. ...
Antwort3
Samba4 und Freeipa können Windows-Arbeitsstationen die Authentifizierung ermöglichen. Haben Sie eines davon in Betracht gezogen?