Назад | Перейти на главную страницу

Freeipa ssl ldap и циклический DNS

Я пытаюсь задать этот вопрос так, чтобы на него можно было ответить, но отчасти проблема заключается в том, чтобы знать последствия моей текущей ситуации и есть ли проблема или технический долг, который меня укусит в дальнейшем.

Я установил несколько IPA-серверов в настройках мастера и реплик.

server1: DNS A запись (и имя хоста fqdn): srv1.mydomain.com

server2: DNS A запись (и имя хоста fqdn): srv2.mydomain.com

server3: DNS A запись (и имя хоста fqdn): srv3.mydomain.com

серверы имеют cname auth-a, auth-b, auth-c, соответственно, и используют самоподписанный сертификат в соответствии с обычной установкой IPA.

Это работало месяцами для ssh-соединений, sssd и так далее. Проблема возникла при попытке подключить приложения, которые позволяют указать только один сервер ldap. Для аварийного переключения настроены записи DNS SRV, но, пытаясь заставить эти приложения работать, я также ввел запись с циклическим перебором DNS.

Загвоздка в том, что этот циклический алгоритм работает только для обычного поиска по ldap, а не для ldap ssl. Однако я могу заставить работать ssl, если отключу проверку сертификата ssl.

Итак ... вопросы!

а) насколько плохо отключить проверку сертификата на внутренней службе? Этот сервер ldap всегда будет запрашиваться из локальной сети. Я считаю, что я открыт для возможной атаки MITM, но я не уверен, насколько я должен быть обеспокоен этим. Я имею в виду, прямо сейчас мой другой вариант - не использовать ssl, и это страшный соус. Чтобы выполнить атаку MITM, им уже нужно быть в моей сети и иметь контроль над DNS, не так ли? Были бы полезны любые советы, которые могли бы дать количественную оценку этой озабоченности в реальном выражении.

б) насколько я понимаю, чтобы исправить это, мне нужно было бы указать запись RR dns в качестве альтернативного имени субъекта на самоподписанном сертификате сервера (ов). Это означает изменение ключа сервера, верно? что в случае IPA означает повторное присоединение каждый клиент в IPA для нового сертификата. Я думаю, это не для начала.

c) учитывая текущую ситуацию и результат (a) и (b), что бы вы порекомендовали как лучший способ действий, чтобы разрешить приложениям, которые позволяют указывать только один сервер ldap (и не использовать записи SRV dns ни в каких способ) для переключения на другой сервер, если он упадет, и все еще разрешить ldap через ssl, предоставляя мои сертификаты?

Вы должны выпустить новые сертификаты с subjectAlternitiveNames и указать DNS-запись для этого имени на балансировщике нагрузки.

  • A) Отключение проверки сертификатов открывает вам доступ к MITM. Преимущество в том, что зашифрованный канал нельзя пассивно сбросить. Это больше работы для MITM зашифрованного канала, но это не намного больше. Если вы не очень цените себя и не работаете в беспроводном или открытом Интернете (в отличие от VPN-соединения), отключение проверки сертификатов не очень рискованно, но не стоит этого делать. Делать все правильно так же просто.
  • Б) Да, серверам потребуется subjectAlternitiveName или (и не делайте этого) подстановочный знак subjectName. тем не мениеFreeIPA имеет собственную структуру PublicKeyInfrastucture (PKI), то есть у вас есть собственный самозаверяющий центр сертификации (CA), а не набор самозаверяющих сертификатов. Это означает, что вам нужно только сгенерировать и заменить сертификаты для серверов FreeIPA (те, которые используются LDAP). Сертификат CA, используемый для подписи (это сертификат, развернутый на всех ваших машинах), остается неизменным, поэтому нет необходимости прикасаться к другим машинам. Кроме того, вам не нужны закрытые ключи серверов, только общедоступные сертификаты.
  • C) Смотрите вверху, A и B - оправдание.

Циклический DNS не обязательно обеспечит большую доступность в случае сбоя сервера, если только вы не извлечете запись A / AAAA из DNS, поскольку клиент будет случайным образом пытаться подключиться к одному из серверов, включая отказавший. Если приложение не пытается повторно подключиться или ему не повезло и оно получает одну и ту же запись достаточно раз подряд, оно не работает. Добавление балансировщика нагрузки впереди добавляет дополнительную сложность, но означает, что эта возможность уменьшается. Если вас устраивает циклический перебор для распределения нагрузки, я бы посмотрел, удовлетворит ли ввод имени субъекта в сертификате клиентов ldaps, или, если это не так, подойдет подстановочный знак. Предотвращение попадания злоумышленников в середину также может быть достигнуто путем запуска вашей собственной внутренней PKI и развертывания ее в качестве доверенного центра сертификации на ваших клиентских машинах. У этого есть дополнительное преимущество, так как это центральное место, где вы можете видеть истекающие или просроченные сертификаты, вместо того, чтобы управлять этим на каждом хосте / службе, имеющей свой собственный сертификат.

Если все, что вам нужно, это HA, я бы сделал что-нибудь упрощенное, но полезное:

Настройте кластер высокой доступности для IPA (чтобы избежать проблем - просто запустите его на виртуальной машине, где служба libvirt является защищенным процессом) и используйте этот экземпляр IPA для всех этих ограниченных приложений, в то время как другие IPA обычно используют аутентификацию пользователя. IPA отлично работает на KVM, я запускал довольно много экземпляров без проблем за годы