170 likes | 280 Views
Agenda LinSam 16/12/2005. 14u30 - 15u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u00 - 15u15 : KickstartServer in LUDIT (Werner M.) 15u15 - 15u30 : Printer Accounting. (Werner M.) 15u30 - 16u00 : Onderbreking.
E N D
Agenda LinSam 16/12/2005 14u30 - 15u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u00 - 15u15 : KickstartServer in LUDIT (Werner M.) 15u15 - 15u30 : Printer Accounting. (Werner M.) 15u30 - 16u00 : Onderbreking. 16u00 - 16u30 : Storage – BU Server – BU Client. (Wim M.) Presentaties LinSam http://www.kuleuven.be/burnet/
Centrale LDAP Storage&BU-01 WimM 16/12/2005
Centrale LDAP Storage&BU-01 WimM 16/12/2005
Centrale LDAP Storage&BU-01 WimM 16/12/2005
Centrale LDAP Storage&BU-01 WimM 16/12/2005
Centrale LDAP NTLMv2 is te kraken maar duurt omwille van de 128 bits encryptie veel langer. Het volgende komt uit een “blackhat” presentatie in 2002. 16CPU's (1,4 Ghz) aan mekaar gekoppeld ==> 4 miljoen pogingen/s 4 karakters ==> < 5 seconden 5 karakters ==> < 4 minuten 6 karakters ==> < 4 uur 7 karakters ==> ongeveer 10 dagen 8 karakters ==> ongeveer 21 maanden 1 CPU (1,4 Ghz) aan mekaar gekoppeld ==> 0.25 miljoen pogingen/s 4 karakters ==> < 1 minuut 5 karakters ==> < 1 uur 6 karakters ==> ongeveer 64 uur 7 karakters ==> ongeveer 165 dagen 8 karakters ==> ongeveer 28 jaar Storage&BU-01 WimM 16/12/2005
Centrale LDAP • LDAP in CZ Heverlee • BU LDAP in CZ UZ-GHB • Onderhouden/gevoed door KULeuven-net. • Wensen geen bijkomende decentrale LDAP’s te onderhouden. • Wanneer oplossing “Kerberos – LinSam” LDAP opgedoekt. • Welke aanpassingen aan de huidige Samba-configuratie? • Wat met gebruikers die in meerdere domeinen inloggen? Storage&BU-01 WimM 16/12/2005
Centrale LDAP • Welke aanpassingen zijn nodig aan eigen samba? • installatie van samba gecompileerd met ldap ondersteuning • aanpassing aan smb.conf • wegschrijven van ldap admin dn paswoord • ntlmv2 aanpassingen zowel op server als op client pc’s • aanpassing aan /etc/ldap.conf • aanpassing van authenticatie /etc/pam.d/system-auth • aanpassing aan /etc/nsswitch.conf • machine-accounts & root account blijft lokaal ! Storage&BU-01 WimM 16/12/2005
Centrale LDAP • Welke aanpassingen zijn nodig centraal? • Wegschrijven van DOMEIN SID in centrale LDAP (PCLAB-LUDIT) • Aanpassen SambaSID voor elke gebruiker afhankelijk van het domein. • Via CWIS (nog te schrijven) • Toegang verlenen aan PDC’s tot centrale LDAP. (Openzetten firewall) Storage&BU-01 WimM 16/12/2005
Wat betekent SID? • SID = Security Identifier • Elk domein heeft zijn unieke SID = domein SID • Elke gebruiker/groep/machine in een domein krijgt een SID die bestaat uit de domein SID aangevuld met een RID (relative identifier) die uniek is voor het account. RID = 2*UID + 1000 SIDu0023628 = SIDPCLAB – RIDu0023628 • Gevolg: elk account heeft zijn unieke SID • SID is voor Windows wat uid-gid is voor Linux: nodig voor het bepalen van toegangsrechten op bestanden of folders.
Centrale LDAP • Aanpassingen /etc/samba/smb.conf: • ldap server = ldap-auth2.kuleuven.be • ldap port = 389 • ldap suffix = dc=kuleuven,dc=be • ldap admin dn = cn=WernerMaes,ou=samba,ou=specialAccess,dc=kuleuven,dc=be • ldap ssl = no • passdb backend = smbpasswd ldapsam:ldap://ldap-auth2.kuleuven.be • ldap suffix = dc=kuleuven,dc=be • ldap user suffix = ou=people • Wegschrijven van ldap admin dn paswoord • smbpasswd –w “paswoord” ? Iedere netwerkbeheerder eigen ldap account ? Storage&BU-01 WimM 16/12/2005
Centrale LDAP • NTLM versie 2 aanpassingen: • Server • client ntlmv2 auth = yes • lanman auth = no • client lanman auth = no • client plaintext auth = no • ntlm auth = no • Client • NTLMv2authenticatie.pdf op pclabftp (onder linsam/documentatie) Storage&BU-01 WimM 16/12/2005
Centrale LDAP Aanpassingen aan /etc/ldap.conf op LinSam : host ldap-auth2.kuleuven.be base dc=kuleuven,dc=be Aanpassingen aan /etc/pam.d/system-auth op LinSam : Ldap configuratie invullen via commando “authconfig” Na uitvoeren van “authconfig” /etc/pam.d/system-auth = auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so password sufficient /lib/security/$ISA/pam_ldap.so use_authtok session optional /lib/security/$ISA/pam_ldap.so Storage&BU-01 WimM 16/12/2005
Centrale LDAP Aanpassing aan /etc/nsswitch.conf: passwd: files ldap shadow: files ldap group: files ldap protocols: files ldap services: files ldap netgroup: files ldap wordt normaal gezien ingevuld na configuratie via “authconfig” Storage&BU-01 WimM 16/12/2005
Centrale LDAP Aanpassingen in centrale ldap Domein SID wegschrijven Opvragen domein sid via commando net getlocalsid domein op PDC. net getlocalsid PCLABLDAP SID for domain PCLABLDAP is: S-1-5-21-1546405158-563151606-2887790399 # PCLABLDAP, samba, kuleuven, be dn: sambaDomainName=PCLABLDAP,ou=samba,dc=kuleuven,dc=be sambaDomainName: PCLABLDAP sambaSID: S-1-5-21-1546405158-563151606-2887790399 sambaAlgorithmicRidBase: 1000 objectClass: sambaDomain Storage&BU-01 WimM 16/12/2005
Centrale LDAP Aanpassingen in centrale ldap sambaSID & sambaPrimaryGroupSID gebruiker wijzigen # u0023628, people, kuleuven, be dn: uid=u0023628,ou=people,dc=kuleuven,dc=be uidNumber: 16778 gidNumber: 50000954 sambaNTPassword: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx sambaSID: S-1-5-21-1546405158-563151606-2887790399-34556 sambaPrimaryGroupSID: S-1-5-21-1546405158-563151606-2887790399-50000954 Wijzigen domein doorgeven via CWIS? Nog niet beschikbaar !! Storage&BU-01 WimM 16/12/2005
Centrale LDAP • Inloggen op meerdere domeinen? • Ofwel gewoon aanspreken van gedeelde folders op andere server via net use commando. Eerste testen geven voorlopig positief resultaat. • Ofwel “trust account” aanmaken tussen de twee PDC’s van de twee domeinen. Het trust account kan je – net zoals de machine accounts – lokaal opslaan. Als je een trust legt in beide richtingen kan je op elk machine uit elk domein inloggen op de twee domeinen. Eerste testen geven voorlopig positief resultaat. Storage&BU-01 WimM 16/12/2005