Présentation X/Stra Comment centraliser l'authentification des utilisateurs Windows et Linux à l’aide de Microsoft Active Directory. Sébastien Geiger Institut Pluridisciplinaire Hubert Curien Service Informatique Février 2007

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS2 Authentification Centralisée Client Windows / Unix Active directory Utilisation de standard ouvert Kerberos Lightweight Directory Access Protocol Simple Authentication and Security Layer

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS3 Kerberos Protocole d'identification réseau Version 5 défini RFC 4120 Client serveur Utilise un système de tickets Authentifier des clients, des services

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS4 Ldap Méthode d’accès à un annuaire Attributs typés Définie par un schéma Arborescence Chaque enregistrement est nommé Opérations de recherche / modifications Règles d’accès (ACL)

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS5 Intégration des postes Linux Infrastructure existante Différents cas possibles  Kerberos Nis  Kerberos Ldap  Ldap Ldap  Approbation Kerberos

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS6 Cas 1 Kerberos Nis Authentification Kerberos Identification NIS - Centralisation de l’authentification - Politique de sécurité des mot de passe - Garder infrastructure Unix - Maintenir 2 infrastructures

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS7 Cas 2 Kerberos Ldap Authentification Kerberos Identification Ldap - Unification des informations - Une infrastructure - Authentification unique avec les applications kerberisées - Informations d’indentification sécurisées

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS8 Cas 3 Ldap Ldap Authentification Ldap Identification Ldap Ldaps nécessite l’usage de certificats Définition d’un compte partagé Pas d’échange d’information d’identification

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS9 Cas 4 Approbation Kerberos Authentification Kerberos Identification infrastructure propre Garde infrastructure existante Approbation unidirectionnelle ou bi directionnelle Définition des utilisateurs concernés Échange d’informations entre les domaines

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS10 rfc 2307 Définit le schéma des classes et des attributs pour remplacer le service NIS par un annuaire Ldap Fournit une méthode d’accès aux cartes passwd, group, hosts, aliases, bootparams, ethers, netgroup, netid, netmasks, networks, protocols, rpc, services, ypservers

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS11 Pré Requis Serveur de temps Domaine Windows odomaine Windows 2003 R2 osi inférieur, mise à jour du schéma d’Active Directory par adprep.exe /forestprep oEnregistrement DNS des KDC kerberos

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS12 Attributs Unix Composant d’administration Installer le service NIS sur les DC service non démarré

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS13 Attributs Utilisateur Unix Définir les informations oDomaine NIS oUID oShell oHome oGID

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS14 Kerberos Service Key Table  Créer une clé de service Kerberos ktpass.exe –out c:\hostname.keytab -princ -mapuser DOMAIN\name$ -crypto DES-CBC-MD5 +DesOnly -pass password1 -ptype KRB5_NT_SRV_HST  Fqdn est le complet de l’ordinateur  REALM est le nom DNS de votre active directory  Domain est le nom NetBIOS de votre active directory  Name$ est le nom du compte de l’ordinateur dans le domaine avec un dollars en plus à la fin.  Hostname.keytab est le fichier avec la clef secrète

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS15 Station Unix Installer les composants krb5-libs krb5-workstation pam_krb5 cyrus-sasl cyrus-sasl-gssapi cyrus-sasl-plain nss_ldap openldap-clients openldap compat-openldap Configurer le service NTP les serveurs de la zone fr.pool.ntp.org sont disponibles Utiliser system-auth pour définir Kerberos pour l’authentification Ldap pour l’indentification

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS16 Modules utilisés

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS17 Client Kerberos [logging] default = FILE:/var/log/krb5libs.lAog kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = PRIV.NET clockskew = 300 default_keytab_name= FILE:/etc/krb5.keytab ticket_lifetime = 25h renew_lifetime = 120h forwardable = true proxiable = true dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = des-cdc-md5 des-cbc-crc default_tgs_enctypes = des-cdc-md5 des-cbc-crc [realms] PRIV.NET = { kdc = sebs2k3.priv.net:88k admin_server = sebs2k3.priv.net:749 kpasswd_server = sebs2k3.priv.net:464 kpasswd_protocol = SET_CHANGE default_domain = priv.net } [domain_realm] *.priv.net = PRIV.NET priv.net = PRIV.NET fichier /etc/krb5.conf royaume Kerbero = nom DNS active directory Serveurs KDC = contrôleurs du domaine active directory Enregistrer la clé de service dans /etc/krb5.keytab Fenêtre de temps de 5 minutes définie par active directory dns_lookup_kdc dns_lookup_realm

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS18 TGT Kerberos Kinit # kinit ux04 Password for Klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Valid starting Expires Service principal 02/18/07 15:28:13 02/19/07 01:28:14 renew until 02/19/07 15:28:13 Kpass Password for Enter new password: Enter it again: Password changed. Kdestroy

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS19 Module Pam kerberos Authentification des utilisateurs Obtenir un ticket TGT Vérification de la validité du compte Changement du mot de passe fichier /etc/pam.d/system-auth authsufficient /lib/security/$ISA/pam_krb5.so use_first_pass account[default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_krb5.so passwordsufficient /lib/security/$ISA/pam_krb5.so use_authtok sessionoptional /lib/security/$ISA/pam_krb5.so

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS20 Module nss-ldap Fichier /etc/ldap.conf base dc=priv,dc=net uri ldap://sebs2k3.priv.net/ #pour une authentification par user/passwd binddn cn=cltux01,ou=unix,dc=priv,dc=net bindpw passwd1 scope sub timelimit 30 ssl no #information pour l’ou unix nss_base_passwd ou=unix,dc=priv,dc=net?sub nss_base_shadow ou=unix,dc=priv,dc=net?sub nss_base_group ou=unix,dc=priv,dc=net?sub # RFC 2307 (AD) mappings nss_map_objectclass posixAccount user nss_map_objectclass shadowAccount user nss_map_attribute uid sAMAccountName nss_map_attribute homeDirectory unixHomeDirectory nss_map_attribute shadowLastChange pwdLastSet nss_map_objectclass posixGroup group nss_map_attribute uniqueMember member pam_login_attribute sAMAccountName #pam_filter objectclass=User pam_password ad  Identification des utilisateurs  Branche de recherche  Translate information Nis / Ldap

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS21 Name Service Cache Daemon Ajouter la consultation Ldap Fichier /etc/nsswitch passwd: files ldap [TRYAGAIN=continue] group: files ldap [TRYAGAIN=continue] hosts: files dns Démarrage du service nscd

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS22 SASL - GSSAPI Authentification via ticket kerberos Echange sécurisé Évite la diffusion mot de passe Script rafraîchir le ticket kerberos

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS23 nssldaprefresh Script nssldaprefresh # !bin/bash /usr/kerberos/bin/kinit –k –t /etc/krb5.keytab –c /var/tmp/proxycreds /bin/chmod 644 /var/tmp/proxycreds Exécution du script Crontab –e * 6 * * * /sbin/nssldaprefresh Variable d’environnement nscd # !/bin/bash Export KRB5CCNAME= "FILE:/var/tmp/procycreds" /sbin/nssldaprefresh #suite du script ensuite

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS24 Démonstration Authentification Linux Changement de mot de passe Mot passe expiré Authentification Windows

Février 2007Geiger Sébastien IPHC UMR 7178 du CNRS25 Perspective & conclusion pam_mkhomedir Module Pam pour la création du répertoire de travail Mode déconnecté onss_updatedb Module de NSS réalisant un cache local des informations d’indentification opam_ccreds Module Pam permettant de s’authentifier en mode déconnecté