7 votos

La mejor práctica para la autenticación de la DMZ en contra de AD en LAN

Tenemos algunos clientes que enfrentan los servidores en la DMZ que también tienen cuentas de usuario , todas las cuentas están en la sombra archivo de contraseña. Estoy tratando de consolidar los inicios de sesión de usuario y el pensamiento acerca de permitir que los usuarios de la LAN para autenticar contra el Directorio Activo.Los servicios de la necesidad de autenticación son Apache, Proftpd y ssh. Después de consultoría de seguridad del equipo, me han configuración de la autenticación de la DMZ que ha LDAPS proxy que a su vez entra en contacto con otro LDAPS proxy (proxy2) en LAN y éste pasa la autenticación de información a través de LDAP (LDAP bind) para el controlador de AD.Segundo proxy LDAP sólo necesaria porque el servidor de ANUNCIOS se niega a hablar TLS con nuestro LDAP seguro implementación. Esto funciona para Apache utilizando el módulo correspondiente.En una etapa posterior, puedo intentar mover las cuentas de los clientes de servidores proxy LDAP por lo que no están dispersos alrededor de servidores.

Para SSH me uní a proxy2 de dominio de Windows para que los usuarios puedan iniciar sesión con sus credenciales de windows.A continuación, he creado las claves ssh y los copia a los servidores de la DMZ usando ssh-copy, para habilitar sin contraseña de inicio de sesión una vez que los usuarios se autentican.

Es esta una buena manera de implementar este tipo de SSO?No me falte a ninguna de las cuestiones de seguridad aquí o tal vez hay una mejor manera ofachieving mi objetivo?

1voto

Avery Payne Puntos 11379

Si usted está usando PAM para su pila de autenticación, puede utilizar pam_krb5 para proporcionar la autenticación de kerberos para sus servicios. Kerberos fue diseñado out-of-the-box para tratar con entornos hostiles, controla la autenticación por proxy, y ya es una parte de la AD spec. Por qué lucha con LDAP cuando se puede obtener de Kerberos para hacer el trabajo pesado para usted, y continuar con la vida? Sí, usted tendrá que hacer un poco de lectura, y sí, va a tomar un poco de tiempo, pero he utilizado el nivel de la Acera-a-autenticación AD durante años y han encontrado que es la más sencilla, manera más rápida para obtener SSO de trabajo fuera de la caja cuando se tiene Active Directory como el backend de autenticación.

La principal cosa que voy es que Microsoft ha decidido ser muy específico acerca de los tipos de cifrado predeterminada (que básicamente hizo su propio), así que usted necesitará para configurar sus clientes Kerberos tiene la correcta coincidencia de tipos de cifrado, o los servidores de ANUNCIOS continuará para rechazarla. Esto es, afortunadamente, un procedimiento sencillo y no debería requerir más de un par de ediciones a krb5.conf.

Y ahora, algunos enlaces para que usted considere...

Microsoft Vista de Kerberos

El mallado de Kerberos y Active Directory

ssh y autenticación de Kerberos a través de PAM

Apache y Kerberos

ProFTP y Kerberos

Rfc de las Actividades de Microsoft con Kerberos (que realmente no quieren leer acerca de):

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: