Tengo una configuración que funciona bien usando OpenLDAP para información de usuario y Kerberos para autenticación, pero también necesitamos tener integración con Windows, y para esto hemos decidido que pasar a Active Directory podría ser una buena idea. Mover información de cuenta desde OpenLDAP es bastante trivial y fácil de hacer, pero tengo un problema: ¿cómo mover contraseñas/información de autenticación de MIT Kerberos a AD?
Entiendo que es posible algún tipo de delegación entre ellos, pero ¿esto no resolvería mi problema? ¿O puedo realizar la autenticación AD contra un KDC MIT Kerberos? Las contraseñas se almacenan en hashes en Kerberos, por lo que no puedo moverlas en texto sin cifrar. Me pregunto si los hashes serían compatibles entre MIT y AD, ya que también puedo ingresar la contraseña en AD en forma cifrada.
¿Alguien tiene experiencia en esto? ¿Cuál sería su sugerencia aparte de exigir a todos mis usuarios que cambien sus contraseñas y tener un problema importante cuando toda la autenticación cambia de un lugar a otro sin ninguna coexistencia?
Respuesta1
Pero tengo un problema: ¿cómo mover contraseñas/información de autenticación de MIT Kerberos a AD?
No lo haces. Si bien los hashes de Kerberos tienen que ser los mismos entre sistemas, porque se usan como claves de cifrado y descifrado, ninguna de las API públicas permite configurarlos directamente. Dado que AD requiere que se le proporcionen contraseñas en texto plano, y su instalación LDAP/KRB5 las descarta diligentemente, debe esperar un cambio de contraseña o romper la regla cardinal y mantener las contraseñas en forma reversible al menos temporalmente, suponiendo que haya Tengo algo de middleware para enviar cambios de contraseña a OpenLDAP/Kerberos que puedes instrumentar.
Entiendo que es posible algún tipo de delegación entre ellos, pero ¿esto no resolvería mi problema? ¿O puedo realizar la autenticación AD contra un KDC MIT Kerberos?
Este es el enfoque que estamos considerando en este momento. Autenticación en Windows mediante Kerberos. Esto se conoce como confianza entre dominios. Algunas cosas importantes a tener en cuenta. Encontrar un tipo de cifrado común a todos los ámbitos es fundamental y, por lo general, dependerá de AD. La versión de AD que estás usando normalmente dicta la cripta del día. La mejor guía para configurar esto que he encontrado proviene de Microsoft:Guía paso a paso de interoperabilidad de Kerberos para Windows Server 2003. El problema clave con el que me encontré fue decirle qué tipo de cifrado usar para la confianza entre reinos, algo que otras guías escritas hace mucho tiempo no mencionaron.
Respuesta2
Sería una buena idea considerar el uso de una solución como la que se muestra en el siguiente enlace:
http://www.centrify.com/solutions/unix-linux-identity-management.asp
En cuanto a la migración, puede utilizar un sistema como PCNS para sincronizar las contraseñas mientras se desplaza. Ejecutaría ambos sistemas en paralelo por un tiempo y tendría varios días en los que "todos restablezcan su contraseña" para asegurarse de que estén sincronizados antes de la mudanza. PCNS es una solución MUCHO mejor que la interoperabilidad de Kerberos para lo que está haciendo.
PCNS (Servicio de notificación de cambio de contraseña) se ejecuta en un controlador de dominio y reenvía las contraseñas a un "destino" que luego establece la contraseña. En el siguiente enlace se explica cómo hacerlo.
http://technet.microsoft.com/en-us/library/bb463208.aspx
Si está creando un nuevo bosque de AD, consulte la configuración de GPO de seguridad ANTES de crearlo. De esa manera puedes comenzar lo más seguro posible... Estoy hablando de versiones NTLM, firma ldap, etc...
Respuesta3
Samba4 y freeipa pueden permitir la autenticación de estaciones de trabajo con Windows. ¿Has considerado uno de esos?