Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdIvo Sanders Laatst gewijzigd meer dan 10 jaar geleden
1
K. U. L E U V E N - L U D I T Agenda LinSam 16/12/2005 14u30 - 15u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u00 - 15u15 : KickstartServer in LUDIT (Werner M.) 15u15 - 15u30 : Printer Accounting. (Werner M.) 15u30 - 16u00 : Onderbreking. 16u00 - 16u30 : Storage – BU Server – BU Client. (Wim M.) Presentaties LinSam http://www.kuleuven.be/burnet/
2
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP
3
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP
4
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP
5
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP
6
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP NTLMv2 is te kraken maar duurt omwille van de 128 bits encryptie veel langer. Het volgende komt uit een “blackhat” presentatie in 2002. 16CPU's (1,4 Ghz) aan mekaar gekoppeld ==> 4 miljoen pogingen/s 4 karakters ==> ongeveer 10 dagen 8 karakters ==> ongeveer 21 maanden 1 CPU (1,4 Ghz) aan mekaar gekoppeld ==> 0.25 miljoen pogingen/s 4 karakters ==> ongeveer 64 uur 7 karakters ==> ongeveer 165 dagen 8 karakters ==> ongeveer 28 jaar
7
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP LDAP in CZ Heverlee BU LDAP in CZ UZ-GHB Onderhouden/gevoed door KULeuven-net. Wensen geen bijkomende decentrale LDAP’s te onderhouden. Wanneer oplossing “Kerberos – LinSam” LDAP opgedoekt. Welke aanpassingen aan de huidige Samba-configuratie? Wat met gebruikers die in meerdere domeinen inloggen?
8
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Welke aanpassingen zijn nodig aan eigen samba? installatie van samba gecompileerd met ldap ondersteuning aanpassing aan smb.conf wegschrijven van ldap admin dn paswoord ntlmv2 aanpassingen zowel op server als op client pc’s aanpassing aan /etc/ldap.conf aanpassing van authenticatie /etc/pam.d/system-auth aanpassing aan /etc/nsswitch.conf machine-accounts & root account blijft lokaal !
9
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Welke aanpassingen zijn nodig centraal? Wegschrijven van DOMEIN SID in centrale LDAP (PCLAB-LUDIT) Aanpassen SambaSID voor elke gebruiker afhankelijk van het domein. Via CWIS (nog te schrijven) Toegang verlenen aan PDC’s tot centrale LDAP. (Openzetten firewall)
10
K. U. L E U V E N - L U D I T Wat betekent SID? SID = Security Identifier Elk domein heeft zijn unieke SID = domein SID Elke gebruiker/groep/machine in een domein krijgt een SID die bestaat uit de domein SID aangevuld met een RID (relative identifier) die uniek is voor het account. RID = 2*UID + 1000 SID u0023628 = SID PCLAB – RID u0023628 Gevolg: elk account heeft zijn unieke SID SID is voor Windows wat uid-gid is voor Linux: nodig voor het bepalen van toegangsrechten op bestanden of folders.
11
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen /etc/samba/smb.conf : ldap server = ldap-auth2.kuleuven.be ldap port = 389 ldap suffix = dc=kuleuven,dc=be ldap admin dn = cn=WernerMaes,ou=samba,ou=specialAccess,dc=kuleuven,dc=be ldap ssl = no passdb backend = smbpasswd ldapsam:ldap://ldap-auth2.kuleuven.be ldap suffix = dc=kuleuven,dc=be ldap user suffix = ou=people Wegschrijven van ldap admin dn paswoord smbpasswd –w “paswoord” ? Iedere netwerkbeheerder eigen ldap account ?
12
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP NTLM versie 2 aanpassingen: Server client ntlmv2 auth = yes lanman auth = no client lanman auth = no client plaintext auth = no ntlm auth = no Client NTLMv2authenticatie.pdf op pclabftp (onder linsam/documentatie)
13
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen aan /etc/ldap.conf op LinSam : host ldap-auth2.kuleuven.be base dc=kuleuven,dc=be Aanpassingen aan /etc/pam.d/system-auth op LinSam : Ldap configuratie invullen via commando “authconfig” Na uitvoeren van “authconfig” /etc/pam.d/system-auth = auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so password sufficient /lib/security/$ISA/pam_ldap.so use_authtok session optional /lib/security/$ISA/pam_ldap.so
14
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassing aan /etc/nsswitch.conf: passwd: files ldap shadow: files ldap group: files ldap protocols: files ldap services: files ldap netgroup: files ldap wordt normaal gezien ingevuld na configuratie via “authconfig”
15
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen in centrale ldap Domein SID wegschrijven Opvragen domein sid via commando net getlocalsid domein op PDC. net getlocalsid PCLABLDAP SID for domain PCLABLDAP is: S-1-5-21-1546405158-563151606-2887790399 # PCLABLDAP, samba, kuleuven, be dn: sambaDomainName=PCLABLDAP,ou=samba,dc=kuleuven,dc=be sambaDomainName: PCLABLDAP sambaSID: S-1-5-21-1546405158-563151606-2887790399 sambaAlgorithmicRidBase: 1000 objectClass: sambaDomain
16
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Aanpassingen in centrale ldap sambaSID & sambaPrimaryGroupSID gebruiker wijzigen # u0023628, people, kuleuven, be dn: uid=u0023628,ou=people,dc=kuleuven,dc=be uidNumber: 16778 gidNumber: 50000954 sambaNTPassword: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx sambaSID: S-1-5-21-1546405158-563151606-2887790399-34556 sambaPrimaryGroupSID: S-1-5-21-1546405158-563151606-2887790399-50000954 Wijzigen domein doorgeven via CWIS? Nog niet beschikbaar !!
17
K. U. L E U V E N - L U D I T WimM 16/12/2005Storage&BU-01 Centrale LDAP Inloggen op meerdere domeinen? Ofwel gewoon aanspreken van gedeelde folders op andere server via net use commando. Eerste testen geven voorlopig positief resultaat. Ofwel “trust account” aanmaken tussen de twee PDC’s van de twee domeinen. Het trust account kan je – net zoals de machine accounts – lokaal opslaan. Als je een trust legt in beide richtingen kan je op elk machine uit elk domein inloggen op de twee domeinen. Eerste testen geven voorlopig positief resultaat.
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.