K. U. L E U V E N - L U D I T Agenda LinSam 16/12/ u u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u u15 : KickstartServer in LUDIT (Werner M.) 15u u30 : Printer Accounting. (Werner M.) 15u u00 : Onderbreking. 16u u30 : Storage – BU Server – BU Client. (Wim M.) Presentaties LinSam
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP NTLMv2 is te kraken maar duurt omwille van de 128 bits encryptie veel langer. Het volgende komt uit een “blackhat” presentatie in CPU's (1,4 Ghz) aan mekaar gekoppeld ==> 4 miljoen pogingen/s 4 karakters ==> ongeveer 10 dagen 8 karakters ==> ongeveer 21 maanden 1 CPU (1,4 Ghz) aan mekaar gekoppeld ==> 0.25 miljoen pogingen/s 4 karakters ==> ongeveer 64 uur 7 karakters ==> ongeveer 165 dagen 8 karakters ==> ongeveer 28 jaar
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP LDAP in CZ Heverlee BU LDAP in CZ UZ-GHB Onderhouden/gevoed door KULeuven-net. Wensen geen bijkomende decentrale LDAP’s te onderhouden. Wanneer oplossing “Kerberos – LinSam” LDAP opgedoekt. Welke aanpassingen aan de huidige Samba-configuratie? Wat met gebruikers die in meerdere domeinen inloggen?
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Welke aanpassingen zijn nodig aan eigen samba? installatie van samba gecompileerd met ldap ondersteuning aanpassing aan smb.conf wegschrijven van ldap admin dn paswoord ntlmv2 aanpassingen zowel op server als op client pc’s aanpassing aan /etc/ldap.conf aanpassing van authenticatie /etc/pam.d/system-auth aanpassing aan /etc/nsswitch.conf machine-accounts & root account blijft lokaal !
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Welke aanpassingen zijn nodig centraal? Wegschrijven van DOMEIN SID in centrale LDAP (PCLAB-LUDIT) Aanpassen SambaSID voor elke gebruiker afhankelijk van het domein. Via CWIS (nog te schrijven) Toegang verlenen aan PDC’s tot centrale LDAP. (Openzetten firewall)
K. U. L E U V E N - L U D I T Wat betekent SID? SID = Security Identifier Elk domein heeft zijn unieke SID = domein SID Elke gebruiker/groep/machine in een domein krijgt een SID die bestaat uit de domein SID aangevuld met een RID (relative identifier) die uniek is voor het account. RID = 2*UID SID u = SID PCLAB – RID u Gevolg: elk account heeft zijn unieke SID SID is voor Windows wat uid-gid is voor Linux: nodig voor het bepalen van toegangsrechten op bestanden of folders.
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen /etc/samba/smb.conf : ldap server = ldap-auth2.kuleuven.be ldap port = 389 ldap suffix = dc=kuleuven,dc=be ldap admin dn = cn=WernerMaes,ou=samba,ou=specialAccess,dc=kuleuven,dc=be ldap ssl = no passdb backend = smbpasswd ldapsam:ldap://ldap-auth2.kuleuven.be ldap suffix = dc=kuleuven,dc=be ldap user suffix = ou=people Wegschrijven van ldap admin dn paswoord smbpasswd –w “paswoord” ? Iedere netwerkbeheerder eigen ldap account ?
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP NTLM versie 2 aanpassingen: Server client ntlmv2 auth = yes lanman auth = no client lanman auth = no client plaintext auth = no ntlm auth = no Client NTLMv2authenticatie.pdf op pclabftp (onder linsam/documentatie)
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen aan /etc/ldap.conf op LinSam : host ldap-auth2.kuleuven.be base dc=kuleuven,dc=be Aanpassingen aan /etc/pam.d/system-auth op LinSam : Ldap configuratie invullen via commando “authconfig” Na uitvoeren van “authconfig” /etc/pam.d/system-auth = auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so password sufficient /lib/security/$ISA/pam_ldap.so use_authtok session optional /lib/security/$ISA/pam_ldap.so
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassing aan /etc/nsswitch.conf: passwd: files ldap shadow: files ldap group: files ldap protocols: files ldap services: files ldap netgroup: files ldap wordt normaal gezien ingevuld na configuratie via “authconfig”
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen in centrale ldap Domein SID wegschrijven Opvragen domein sid via commando net getlocalsid domein op PDC. net getlocalsid PCLABLDAP SID for domain PCLABLDAP is: S # PCLABLDAP, samba, kuleuven, be dn: sambaDomainName=PCLABLDAP,ou=samba,dc=kuleuven,dc=be sambaDomainName: PCLABLDAP sambaSID: S sambaAlgorithmicRidBase: 1000 objectClass: sambaDomain
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen in centrale ldap sambaSID & sambaPrimaryGroupSID gebruiker wijzigen # u , people, kuleuven, be dn: uid=u ,ou=people,dc=kuleuven,dc=be uidNumber: gidNumber: sambaNTPassword: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx sambaSID: S sambaPrimaryGroupSID: S Wijzigen domein doorgeven via CWIS? Nog niet beschikbaar !!
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Inloggen op meerdere domeinen? Ofwel gewoon aanspreken van gedeelde folders op andere server via net use commando. Eerste testen geven voorlopig positief resultaat. Ofwel “trust account” aanmaken tussen de twee PDC’s van de twee domeinen. Het trust account kan je – net zoals de machine accounts – lokaal opslaan. Als je een trust legt in beide richtingen kan je op elk machine uit elk domein inloggen op de twee domeinen. Eerste testen geven voorlopig positief resultaat.