Назад | Перейти на главную страницу

Переход от OpenLDAP / Kerberos к Active Directory

У меня есть хорошо работающая установка с использованием OpenLDAP для информации о пользователях и Kerberos для аутентификации, но нам также нужна интеграция с Windows, и для этого мы решили, что переход на Active Directory может быть хорошей идеей. Перенести информацию об учетной записи из OpenLDAP довольно просто и легко, но у меня есть проблема: как перенести информацию о паролях / авторизации из MIT Kerberos в AD?

Я понимаю, что между ними возможно какое-то делегирование, но это не решит мою проблему? Или я могу выполнить аутентификацию AD с помощью MIT Kerberos KDC? Пароли хранятся в хэшах в Kerberos, поэтому я не могу переместить их в открытый текст. Интересно, будут ли хэши совместимы между MIT и AD, так как я могу ввести пароль в AD в зашифрованном виде.

У кого-нибудь есть в этом опыт? Каково было бы ваше предложение, кроме простого требования ко всем моим пользователям менять пароли и иметь одну серьезную проблему, когда все аутентификации переключаются с одного места на другое без какого-либо сосуществования.

Но у меня проблема: как перенести информацию о паролях / авторизации из MIT Kerberos в AD?

Вы этого не сделаете. Хотя хэши Kerberos должны быть одинаковыми для разных систем, поскольку они используются в качестве ключей шифрования и дешифрования, ни один из общедоступных API не позволяет устанавливать их напрямую. Учитывая, что AD требует, чтобы ему предоставлялись пароли в виде открытого текста, а ваша установка LDAP / KRB5 покорно отбрасывает это, вам нужно либо дождаться смены пароля, либо нарушить основное правило и сохранить пароли в обратимой форме, по крайней мере, временно, при условии, что вы есть промежуточное ПО для отправки изменений пароля в OpenLDAP / Kerberos, которое вы можете использовать.

Я понимаю, что между ними возможно какое-то делегирование, но это не решит мою проблему? Или я могу выполнить аутентификацию AD с помощью MIT Kerberos KDC?

Это подход, который мы рассматриваем в настоящее время. Аутентификация в Windows с использованием Kerberos. Это называется межсферным доверием. Обратите внимание на несколько важных моментов. Поиск типа шифрования, общего для всех областей, очень важен и обычно зависит от AD. Версия AD, которую вы используете, обычно определяет крипту дня. Лучшее руководство по настройке, которое я нашел, на самом деле исходит от Microsoft: Пошаговое руководство по взаимодействию Kerberos для Windows Server 2003. Ключевая проблема, с которой я столкнулся, заключалась в том, чтобы сообщить ему, какой тип шифрования использовать для межсферного доверия, о котором другие руководства, написанные давным-давно, не упомянули.

Samba4 и freeipa могут позволить рабочим станциям Windows проходить аутентификацию. Вы думали об одном из них.

Было бы неплохо использовать решение, подобное тому, что указано по ссылке ниже:

http://www.centrify.com/solutions/unix-linux-identity-management.asp

Что касается миграции, вы можете использовать такую ​​систему, как PCNS, для синхронизации паролей во время движения. Вы могли бы запустить обе системы параллельно на некоторое время и иметь несколько дней, чтобы «все сбросили свой пароль», чтобы убедиться, что они синхронизированы перед перемещением. PCNS - это НАМНОГО лучшее решение, чем взаимодействие с Kerberos для того, что вы делаете.

PCNS (служба уведомлений об изменении пароля) работает на контроллере домена и пересылает пароли «цели», которая затем устанавливает пароль. Следующая ссылка объясняет, как это сделать.

http://technet.microsoft.com/en-us/library/bb463208.aspx

Если вы создаете новый лес AD, изучите параметры GPO безопасности ПЕРЕД его построением. Таким образом, вы можете начать как можно безопаснее ... Я говорю о версиях NTLM, подписи ldap и т. Д.