K. U. L E U V E N - L U D I T Agenda LinSam 16/12/2005 14u30 - 15u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u00 - 15u15 : KickstartServer.

Slides:



Advertisements
Verwante presentaties
802.1x op het SURFnet kantoor
Advertisements

K. U. L E U V E N - L U D I T Juli 2006 LinSam-AD 1/1819 april 2007 • FSW (Fac.Soc.Wet.) - CIB (Ind.Beleid) willen authenticatie op LDAP. • FSW wil Centrale.
Linsam Pc Install Group Katholieke Universiteit Leuven.
Evaluatie van MS Exchange 2000 en opzetten van een server voor wereldwijde uitwisseling van projectinformatie Bertels David 3ICT1 Stageplaats: Acros Organics.
Gefaseerd migreren van Novell Netware naar Windows 2000 Server Bon Thomassen Manager R&D Azlan Training
PTI Eeklo Autocad 2013 Downloaden & Installeren Schooljaar Studentenversie.
Vliegen via een netwerk. Dit heeft de volgende deelnemers •Éen Host: Dit kan zijn een bestaand netwerk via internet(IVAO, VATSIM) of de flightsimulator.
VLO Vlaamse Lokale Ontvangers
Installatie & beheer Jonathan Mohnen Martijn Wolfs.
Labnet & PTSchemes : Installatie van de toepassingen
Deel XIV Eerste echte e-commerce applicatie Implementatie (vervolg) 1 Internetapplicaties Deel 14: Eerste echte e-commerce applicatie: Implementatie (vervolg)
Applicatie virtualisatie
Edison en de toekomst INTERNET E-loket. Algemeen overzicht n Schooldirect n Schooldirect en de Edison-helpdesk n in Edison (Route400) n.
29 maart 2004 Agenda LinSam 29/03/ u u30 : Legaal werken met RH ES. (Werner M.) 14u u45 : Installatie RH ES. (Wim M.) 14u u00 :
Server Management Framework
Gebruikers, groepen en permissies – theorie
Een introductie. Open source Betere kwaliteit Hoge innovatiesnelheid Betere prijs/kwaliteit verhouding Vrijheid in keuze van leverancier Gedreven door.
Windows Server 2012 Optimaliseer uw IT. Ready for the Future.
K. U. L E U V E N - L U D I T Agenda LinSam 16/12/ u u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u u15 : KickstartServer.
Easy Bis Bestuursdienst Informatie Systeem Van agendapunt tot besluit Met automatische internet publicatie.
Deze presentatie mag noch geheel, noch gedeeltelijk worden gebruikt of gekopieerd zonder de schriftelijke toestemming van Seniornet Vlaanderen VZW Mijn.
Presentatie Mobiel & Internet 3
Deze presentatie mag noch geheel, noch gedeeltelijk worden gebruikt of gekopieerd zonder de schriftelijke toestemming van Seniornet Vlaanderen VZW Creatief.
Introsessie voor medewerkers
Installeren, configureren en onderhouden
 Een standalone server is een server die zelf geen domeincontroller is en geen lid is van een domein.  Indien een server is opgenomen in een werkgroep,
Printeraccounting Werner Maes 16 december Wat doet het? Bijhouden van aantal afgedrukte pagina’s van elke gebruiker die van samba & cups afprint.
K. U. L E U V E N - L U D I T RDIFF-BU 10/03/2005 WimM - RDIFF-BU - Traagheid (?) van TSM-ARchief heeft oa te maken met traagheid van DELETE vooraf. Advies.
Kickstartserver Werner Maes 16 december Configuratie Dell Poweredge Mhz 256 MB RAM (wordt wsl 512 Mb) 4*18 Gb in RAID 5 RHAS4 U2 Standaard.
HANDLEIDING: REGISTREREN VAN VACCINATIES Q-KOORTS
Systeembeheer Windows 2000.
Linux FTP Server.
Uitbouw expertisecentrum voor webgebaseerde testing pag. 1 Webbased testing wordt steeds belangrijker Nu werkt elke onderzoeker met eigen middelen: versnippering.
Inleiding Inleiding Groepvoorstelling Groepvoorstelling Projectvoorstelling Projectvoorstelling.
HOM COM Vergadering Nieuw begrip Cloud Computing –Online programma’s gebruiken die niet op je computer staan. –Gebruikers werken steeds meer.
Meerdere platforms over hetzelfde netwerk: DOS Windows 3.X & 9X NT ‘Office’ applicaties; administratie; gekoppeld aan apparatuur Verschillende Microsoft.
SURFnet Relatiedagen, Noordwijkerhout, 30 mei 2006 Altijd en overal online iPass Klaas Wierenga
CLOUD COMPUTING Wat is het? Wie zijn de aanbieders? Is het veilig? Wat kun je er mee? Robert K Bol PVGE Best.
Deel XXI 1 Internetapplicaties Internetprogrammeren Capita Selecta.
Windows Applicaties Bouwen met Visual Studio.NET Sijmen Koffeman Development Consultant Microsoft.
Windows Based Terminal
Project Rassidon SAS Netwerkbeheer Leerjaar 3 Blok 1.
MCSA traject Leerjaar 4 H /10 Agenda Samenvatting H1.
hcc!pc Werkgroep netwerken
Order IT v1.03 (01/03/2005) Order IT V Order IT v1.03 (01/03/2005) Opstarten De client applet wordt opgestart vanuit een html pagina in een browser.
PADS4 maakt het eenvoudig om informatie te verspreiden naar een specifiek publiek op de juiste plaats en het juiste moment PADS4 is een professionele oplossing.
Updates & Upgrades Werner Maes 29 maart Soorten Upgrade besturingssysteem Kernel upgrade Updates kritische pakketten: samba – webmin Updates andere.
K. U. L E U V E N - L U D I T Agenda LinSam 29/03/ u u30 : Legaal werken met RH ES. (Werner M.) 14u u45 : Installatie RH ES. (Wim M.)
Risk Based Testing van pakketsoftware
DigiDoc Een digitaal kantoor voor iedereen !. Ceci n’est pas du software?! 2.
Belastingen Homcom Belastingen Papier of on-line? – Papier tot 26 juni – Online tot 16 juli On-line – Eid – Token – Wie voor online koos krijgt.
Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.
HOGESCHOOL ROTTERDAM / CMI Computersystemen 2 (TIRCCMS02 - Operating systems)
Quota’s in Linux Werner Maes 3 april Quota’s: doel Methode om schijfgebruik te controleren: Per gebruiker Per groep En om schijfgebruik te limiteren:
Rpm’s Werner Maes 3 april Rpm: wat? Pakketbeheer voor: Installatie pakketten Distributie pakketten Aanmaak pakketten Verificatie van pakketten Info.
20 nov Johan Coenen BROWSING. 20 nov Johan Coenen BROWSINGALGEMEEN Funktie? Aanbieden van een lijst van: - alle computers uit het domain.
Sterke authenticatie via SURFconext Eefje van der Harst 24 maart 2015.
Les 1: Zaterdag 22 februari 2014 Wim Peeters
(c) A. Mariën - Ubizen Opgave  Persoon: , Naam  Departement: Naam  Machine: IP, Naam  Groep: Naam  Locatie: Naam.
Behind Interactive Media. Agenda 1.Huiswerk doornemen 2.Server side & Client side 3.Quiz 4.Huiswerk.
PCNHCB PRESENTS : PC & Netwerk Help center Brabant VirtualBox Server 2003.
W W W. N E D P O R T A L. N L Network-wide event log monitoring.
wordPress  Het meest flexibele CMS CMS= Content Management System.
J.J. Keijser Nikhef Amsterdam Grid Group Nikhef Jan Just Keijser 4 December 2013.
PPGM Voor databeheerders Johan Van Rensbergen 09/08/2016.
Opensource powered Arjan Vliem Cloud engineer
Tim van de kerkhof Hari kustura
Versturen van data naar meerdere mensen
Kerberos Authenticatie
Hoofdstuk 2 De toegangsbeveiliging tot een netwerk
Transcript van de presentatie:

K. U. L E U V E N - L U D I T Agenda LinSam 16/12/ u u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u u15 : KickstartServer in LUDIT (Werner M.) 15u u30 : Printer Accounting. (Werner M.) 15u u00 : Onderbreking. 16u u30 : Storage – BU Server – BU Client. (Wim M.) Presentaties LinSam 

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP NTLMv2 is te kraken maar duurt omwille van de 128 bits encryptie veel langer. Het volgende komt uit een “blackhat” presentatie in CPU's (1,4 Ghz) aan mekaar gekoppeld ==> 4 miljoen pogingen/s 4 karakters ==> ongeveer 10 dagen 8 karakters ==> ongeveer 21 maanden 1 CPU (1,4 Ghz) aan mekaar gekoppeld ==> 0.25 miljoen pogingen/s 4 karakters ==> ongeveer 64 uur 7 karakters ==> ongeveer 165 dagen 8 karakters ==> ongeveer 28 jaar

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP LDAP in CZ Heverlee BU LDAP in CZ UZ-GHB Onderhouden/gevoed door KULeuven-net. Wensen geen bijkomende decentrale LDAP’s te onderhouden. Wanneer oplossing “Kerberos – LinSam”  LDAP opgedoekt. Welke aanpassingen aan de huidige Samba-configuratie? Wat met gebruikers die in meerdere domeinen inloggen?

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Welke aanpassingen zijn nodig aan eigen samba? installatie van samba gecompileerd met ldap ondersteuning aanpassing aan smb.conf wegschrijven van ldap admin dn paswoord ntlmv2 aanpassingen zowel op server als op client pc’s aanpassing aan /etc/ldap.conf aanpassing van authenticatie  /etc/pam.d/system-auth aanpassing aan /etc/nsswitch.conf machine-accounts & root account blijft lokaal !

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Welke aanpassingen zijn nodig centraal? Wegschrijven van DOMEIN SID in centrale LDAP (PCLAB-LUDIT) Aanpassen SambaSID voor elke gebruiker afhankelijk van het domein. Via CWIS (nog te schrijven) Toegang verlenen aan PDC’s tot centrale LDAP. (Openzetten firewall)

K. U. L E U V E N - L U D I T Wat betekent SID? SID = Security Identifier Elk domein heeft zijn unieke SID = domein SID Elke gebruiker/groep/machine in een domein krijgt een SID die bestaat uit de domein SID aangevuld met een RID (relative identifier) die uniek is voor het account.  RID = 2*UID  SID u = SID PCLAB – RID u Gevolg: elk account heeft zijn unieke SID SID is voor Windows wat uid-gid is voor Linux: nodig voor het bepalen van toegangsrechten op bestanden of folders.

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen /etc/samba/smb.conf : ldap server = ldap-auth2.kuleuven.be ldap port = 389 ldap suffix = dc=kuleuven,dc=be ldap admin dn = cn=WernerMaes,ou=samba,ou=specialAccess,dc=kuleuven,dc=be ldap ssl = no passdb backend = smbpasswd ldapsam:ldap://ldap-auth2.kuleuven.be ldap suffix = dc=kuleuven,dc=be ldap user suffix = ou=people Wegschrijven van ldap admin dn paswoord  smbpasswd –w “paswoord” ? Iedere netwerkbeheerder eigen ldap account ?

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP NTLM versie 2 aanpassingen: Server client ntlmv2 auth = yes lanman auth = no client lanman auth = no client plaintext auth = no ntlm auth = no Client NTLMv2authenticatie.pdf op pclabftp (onder linsam/documentatie)

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen aan /etc/ldap.conf op LinSam : host ldap-auth2.kuleuven.be base dc=kuleuven,dc=be Aanpassingen aan /etc/pam.d/system-auth op LinSam : Ldap configuratie invullen via commando “authconfig” Na uitvoeren van “authconfig”  /etc/pam.d/system-auth = auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so password sufficient /lib/security/$ISA/pam_ldap.so use_authtok session optional /lib/security/$ISA/pam_ldap.so

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassing aan /etc/nsswitch.conf: passwd: files ldap shadow: files ldap group: files ldap protocols: files ldap services: files ldap netgroup: files ldap  wordt normaal gezien ingevuld na configuratie via “authconfig”

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen in centrale ldap  Domein SID wegschrijven Opvragen domein sid via commando net getlocalsid domein op PDC. net getlocalsid PCLABLDAP SID for domain PCLABLDAP is: S # PCLABLDAP, samba, kuleuven, be dn: sambaDomainName=PCLABLDAP,ou=samba,dc=kuleuven,dc=be sambaDomainName: PCLABLDAP sambaSID: S sambaAlgorithmicRidBase: 1000 objectClass: sambaDomain

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen in centrale ldap  sambaSID & sambaPrimaryGroupSID gebruiker wijzigen # u , people, kuleuven, be dn: uid=u ,ou=people,dc=kuleuven,dc=be uidNumber: gidNumber: sambaNTPassword: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx sambaSID: S sambaPrimaryGroupSID: S  Wijzigen domein doorgeven via CWIS? Nog niet beschikbaar !!

K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Inloggen op meerdere domeinen?  Ofwel gewoon aanspreken van gedeelde folders op andere server via net use commando. Eerste testen geven voorlopig positief resultaat.  Ofwel “trust account” aanmaken tussen de twee PDC’s van de twee domeinen. Het trust account kan je – net zoals de machine accounts – lokaal opslaan. Als je een trust legt in beide richtingen kan je op elk machine uit elk domein inloggen op de twee domeinen. Eerste testen geven voorlopig positief resultaat.