저는 사용자 정보를 위해 OpenLDAP를 사용하고 인증을 위해 Kerberos를 사용하여 잘 작동하는 설정을 갖고 있지만 Windows 통합도 필요하며 이를 위해 Active Directory로 이동하는 것이 좋은 생각이 될 수 있다고 결정했습니다. OpenLDAP에서 계정 정보를 이동하는 것은 매우 간단하고 쉽게 수행되지만 문제가 있습니다. MIT Kerberos에서 AD로 비밀번호/인증 정보를 이동하는 방법은 무엇입니까?
나는 그들 사이에 일종의 위임이 가능하다는 것을 알고 있지만 이것이 내 문제를 해결하지 못할 것입니까? 아니면 MIT Kerberos KDC에 대해 AD 인증을 수행할 수 있나요? 암호는 Kerberos의 해시에 저장되므로 일반 텍스트로 이동할 수 없습니다. AD에도 비밀번호를 암호화된 형태로 입력할 수 있기 때문에 해시가 MIT와 AD 간에 호환될 수 있을지 궁금합니다.
누구든지 이것에 경험이 있습니까? 모든 사용자에게 비밀번호를 변경하도록 요구하고 모든 인증이 공존하지 않고 한 곳에서 다른 곳으로 전환될 때 한 가지 큰 번거로움을 겪는 것 외에 귀하의 제안은 무엇입니까?
답변1
하지만 문제가 있습니다. MIT Kerberos에서 AD로 비밀번호/인증 정보를 이동하는 방법은 무엇입니까?
당신은 그렇지 않습니다. Kerberos 해시는 암호화 및 암호 해독 키로 사용되기 때문에 시스템 간에 동일해야 하지만 공개 API 중 어느 것도 이를 직접 설정할 수 없습니다. AD에서 일반 텍스트 비밀번호를 요구하고 LDAP/KRB5 설치가 이를 충실히 삭제한다는 점을 고려하면 비밀번호 변경을 기다리거나 기본 규칙을 어기고 비밀번호를 최소한 일시적으로 되돌릴 수 있는 형식으로 유지해야 합니다. OpenLDAP/Kerberos에 비밀번호 변경 사항을 전송하기 위한 미들웨어가 있습니다.
나는 그들 사이에 일종의 위임이 가능하다는 것을 알고 있지만 이것이 내 문제를 해결하지 못할 것입니까? 아니면 MIT Kerberos KDC에 대해 AD 인증을 수행할 수 있나요?
이것이 현재 우리가 고려하고 있는 접근 방식입니다. Kerberos를 사용하여 Windows에 인증하기 이를 영역 간 신뢰라고 합니다. 참고해야 할 몇 가지 중요한 사항입니다. 모든 영역에 공통적인 암호화 유형을 찾는 것이 중요하며 일반적으로 AD에 따라 달라집니다. 일반적으로 사용 중인 AD 버전에 따라 그날의 암호가 결정됩니다. 제가 찾은 최고의 설정 가이드는 실제로 Microsoft에서 제공한 것입니다.Windows Server 2003용 Kerberos 상호 운용성 단계별 가이드. 제가 직면한 주요 문제는 교차 영역 신뢰에 사용할 암호화 유형을 알려주는 것이었습니다. 오래 전에 작성된 다른 가이드에서는 언급을 무시했습니다.
답변2
아래 링크와 같은 솔루션을 사용해 보는 것이 좋습니다.
http://www.centrify.com/solutions/unix-linux-identity-management.asp
마이그레이션하는 동안 이동 중에 비밀번호 동기화를 위해 PCNS와 같은 시스템을 사용할 수 있습니다. 잠시 동안 두 시스템을 병렬로 실행하고 며칠 동안 "모든 사람이 비밀번호를 재설정"하도록 하여 이동하기 전에 동기화되었는지 확인합니다. PCNS는 현재 수행 중인 작업에 대해 Kerberos 상호 운용성보다 훨씬 더 나은 솔루션입니다.
PCNS(암호 변경 알림 서비스)는 도메인 컨트롤러에서 실행되며 "대상"에 암호를 전달한 다음 암호를 설정합니다. 다음 링크에서는 이를 수행하는 방법을 설명합니다.
http://technet.microsoft.com/en-us/library/bb463208.aspx
새 AD 포리스트를 구축하는 경우 구축하기 전에 보안 GPO 설정을 살펴보세요. 그렇게 하면 최대한 안전하게 시작할 수 있습니다. NTLM 버전, LDAP 서명 등에 대해 이야기하고 있습니다.
답변3
Samba4 및 freeipa는 Windows 워크스테이션의 인증을 허용할 수 있습니다. 그 중 하나를 고려해 보셨나요?