Tenho uma configuração que funciona bem usando OpenLDAP para informações do usuário e Kerberos para autenticação, mas também precisamos de integração com o Windows e, para isso, decidimos que mudar para o Active Directory pode ser uma boa ideia. Mover informações de conta do OpenLDAP é bastante trivial e fácil, mas tenho um problema: como mover senhas/informações de autenticação do MIT Kerberos para o AD?
Entendo que seja possível algum tipo de delegação entre eles, mas isso não resolveria o meu problema? Ou posso fazer autenticação AD em um KDC MIT Kerberos? As senhas são armazenadas em hashes no Kerberos, portanto não consigo movê-las em texto não criptografado. Gostaria de saber se os hashes seriam compatíveis entre o MIT e o AD, já que também posso inserir a senha no AD em formato criptografado.
Alguém tem experiência nisso? Qual seria a sua sugestão além de apenas exigir que todos os meus usuários alterem as senhas e ter um grande incômodo quando toda a autenticação muda de um lugar para outro sem qualquer coexistência.
Responder1
Mas estou com um problema: como mover senhas/informações de autenticação do MIT Kerberos para o AD?
Você não. Embora os hashes Kerberos devam ser iguais entre sistemas, porque são usados como chaves de criptografia e descriptografia, nenhuma das APIs públicas permite configurá-los diretamente. Dado que o AD exige que sejam fornecidas senhas em texto simples, e sua instalação LDAP/KRB5 está descartando isso obedientemente, você precisa esperar por uma mudança de senha ou quebrar a regra fundamental e manter as senhas em formato reversível, pelo menos temporariamente, supondo que você tenha tenho algo de middleware para enviar alterações de senha para OpenLDAP/Kerberos que você pode instrumentar.
Entendo que seja possível algum tipo de delegação entre eles, mas isso não resolveria o meu problema? Ou posso fazer autenticação AD em um KDC MIT Kerberos?
Esta é a abordagem que estamos considerando no momento. Autenticação no Windows usando Kerberos Isso é conhecido como confiança entre domínios. Algumas coisas importantes a serem observadas. Encontrar um tipo de criptografia comum a todos os domínios é fundamental e geralmente dependerá do AD. A versão do AD que você está usando normalmente determina a cripta do dia. O melhor guia para configurar isso que encontrei vem da Microsoft:Guia passo a passo de interoperabilidade Kerberos para Windows Server 2003. O principal problema que encontrei foi dizer qual tipo de criptografia usar para a confiança entre domínios, que outros guias escritos há muito tempo deixaram de mencionar.
Responder2
Seria uma boa ideia usar uma solução como a do link abaixo:
http://www.centrify.com/solutions/unix-linux-identity-management.asp
No que diz respeito à migração, você pode usar um sistema como o PCNS para sincronizar senhas enquanto estiver se movendo. Você executaria os dois sistemas em paralelo por um tempo e teria vários dias para "todos redefinirem suas senhas" para garantir que estivessem sincronizados antes da mudança. PCNS é uma solução MUITO melhor que a interoperabilidade Kerberos para o que você está fazendo.
PCNS (serviço de notificação de alteração de senha) é executado em um controlador de domínio e encaminha as senhas para um "destino" que então define a senha. O link a seguir explica como fazer isso.
http://technet.microsoft.com/en-us/library/bb463208.aspx
Se você estiver criando uma nova floresta do AD, verifique as configurações de segurança do GPO ANTES de construí-la. Dessa forma você pode começar o mais seguro possível...Estou falando de versões NTLM, assinatura ldap, etc...
Responder3
Samba4 e freeipa podem permitir a autenticação de estações de trabalho Windows. Você já considerou um desses?