Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Interopérabilité Authentifier les clients de Linux à Active Directory Gil Kirkp

Interopérabilité Authentifier les clients de Linux à Active Directory Gil Kirkpatrick Vue d'ensemble :  Fonctionne de l'authentification dans Windows et Linux  À l'aide Samba et Winbind  Stratégies d'implémentation  Parcours de la integrationItem Linux à Active Directory Contenu L'authentification Windows Authentification Linux Samba et Winbind T rois stratégies d'authentification Notre plan d'implémentation Recherche du logiciel droit Construction Samba Configuration réseau Linux Configuration de Linux Heure synchronisation Configuration de PAM et la fonction NSS Installation et configuration Samba Le problème de mappage de code Joindre le domaine et consignation dans Que se passe-t-il si elle ne fonctionne ? Maintenant que son fonctionne, que vous avez ? Solutions de tiers Republicans et Democrats. Dentifrice et jus d'orange. Linux et Windows. Certains éléments simplement don’t mélanger, droite ? Chaque usine IT je jamais été impliqué dans a été divisée en deux camps : l'équipe de Windows et l'équipe de Linux. Ils don’t concurrence réellement les uns avec les autres, mais ils que ne pas collaborer soit. En fait, certains emplacements même atteindre jusqu'en tant que placer une ligne jaune sur le plancher simplement pour vous absolument assurer qu'il n'y a aucune fraternization inappropriée entre les deux groupes. Je suis un utilisateur Windows et j'ai certainement poked laisser s'amuser sur Internet à mes collègues orientées de Linux, mais nous avons tous sont le même objectif d'offrir haute qualité et rentables des services INFORMATIQUES à l'organisation. Une façon nous pouvons faire qui consiste à partager infrastructure logicielle de base comme Active Directory. Quasiment toutes les organisations INFORMATIQUES ont réglées sur Active Directory pour fournir l'authentification des services à leurs ordinateurs de bureau Windows et les serveurs. Au lieu de gestion d'une infrastructure d'authentification distinct pour l'environnement Linux (ainsi qu'avec un ensemble distinct de noms d'utilisateur et mots de passe), serait-il pas préférable si les ordinateurs Linux utilisés Active Directory ainsi ? Je pense que cela serait le cas, et je vous montrerai comment procéder dans cet article. L'authentification Windows Windows a expédiées avec un système d'authentification unique et une authentification réseau intégré pour assez longtemps maintenant. Avant de Windows 2000, contrôleurs de domaine Windows NT (contrôleurs de domaine) fournis services d'authentification pour les clients Windows à l'aide du protocole NT LAN Manager (NTLM). Bien que NTLM n'était pas aussi sécurisée qu'a été initialement pensé, il était très utile car il maintenant résolu le problème de devoir gérer des comptes utilisateur en double sur plusieurs serveurs sur le réseau. À partir de Windows 2000, Microsoft déplacées de NTLM vers Active Directory et ses services d'authentification Kerberos intégrés. Kerberos était beaucoup plus sécurisé que NTLM et il redimensionné mieux, trop. Et Kerberos était une norme déjà utilisée par les systèmes Linux et UNIX, que vous ouvrir la porte pour intégrer les plates- formes Windows. Authentification Linux À l'origine, Linux (et les GNU outils et les bibliothèques qui s'exécutent sur elle) n'a pas créé avec un mécanisme d'authentification unique N'oubliez pas. En raison de cela, les développeurs d'applications Linux a pris généralement créer leur propre schéma d'authentification. Ils gérés accomplir cela en recherchant les noms et les hachages de mot de passe dans etc./mot de passe (les texte traditionnel fichier contenante informations de Linux Identification utilisateur) ou fourniture d'un mécanisme entièrement différent (et distinct). La multitude résultant mécanismes d'authentification était unmanageable. De 1995, Sun proposé un mécanisme appelé (PLUGGABLE authentication modules). PAM fournit un ensemble commun d'authentification API que tous les développeurs d'applications peuvent utiliser, avec un back configurée par l'administrateur fin qu'autorisé pour plusieurs schémas d'authentification « enfichables. En utilisant les API du module PAM pour l'authentification et le nom Server commutateur (NSS) API pour la recherche des informations utilisateur, les développeurs d'applications Linux peuvent écrire du moins code et les administrateurs de Linux peuvent avoir un emplacement centralisé pour configurer et gérer le processus d'authentification. La plupart des distributions Linux sont fournis avec plusieurs modules d'authentification du module PAM, y compris les modules qui prennent en charge l'authentification pour un répertoire LDAP et l'authentification à l'aide de Kerberos. Vous pouvez utiliser ces modules pour s'authentifier sur Active Directory, mais il existe certaines limitations significatives, que j'aborderai plus loin dans cet article. Samba et Winbind Samba est un projet open source qui vise à une intégration entre les environnements Windows et Linux. Samba contient des composants qui permettent de Linux ordinateurs accéder aux fichier Windows et services d'impression, ainsi que fournissent des services en fonction de Linux qui émuler les contrôleurs de domaine Windows NT 4.0. Utilisez les composants clients Samba, Linux machines peuvent tirer parti des services d'authentification de Windows fournis par Windows NT et les contrôleurs de domaine Active Directory. La partie spécifique de Samba est plus intéressante à nous pour ce projet est appelée Winbind. Winbind est un démon (service de vocabulaire de Windows) qui s'exécute sur les clients Samba et agit comme un proxy pour les communications entre PAM et NSS exécution sur la machine Linux et Active Directory s'exécutant sur un contrôleur de domaine. En particulier, Winbind utilise Kerberos pour authentifier avec Active Directory et LDAP pour récupérer utilisateur et les informations de groupe. Winbind fournit également des services supplémentaires telles que la possibilité pour localiser les contrôleurs de domaine à l'aide un algorithme similaire à la DCLOCATOR dans Active Directory et la possibilité pour réinitialiser les mots de passe Active Directory à communiquer avec un contrôleur de domaine en utilisant RPC. Winbind résout plusieurs problèmes que simplement utilisant Kerberos avec PAM ne. En particulier, au lieu de coder en dur un contrôleur de domaine pour s'authentifier sur la manière que le module PAM Kerberos, Winbind sélectionne un contrôleur de domaine en recherchant les enregistrements de localisateur DNS comme le module du LOCALISATEUR de contrôleurs de domaine Microsoft ne. Trois stratégies d'authentification Étant donné la disponibilité de LDAP, Kerberos et Winbind sur les ordinateurs de Linux, il existe trois stratégies d'implémentation différente que nous pouvons employer pour permettre de notre ordinateur Linux pour utiliser Active Directory pour l'authentification. à l'aide de l'authentification LDAP La plus simple mais moins satisfaisant d'utiliser Active Directory pour l'authentification consiste à configurer PAM à utiliser l'authentification LDAP, comme illustré figure 1 . Même si Active Directory est un service LDAPv3, les clients Windows utilisent Kerberos (avec basculement sur NTLM), pas LDAP, pour des besoins d'authentification. L'authentification LDAP (appelée liaison LDAP) transmet le nom d'utilisateur et le mot de passe en texte clair sur le réseau. Il s'agit non sécurisé et inacceptable la plupart des fins. La figure 1 Authentification à Active Directory à l'aide de LDAP (cliquez sur l'image pour l'agrandir) Pour réduire ce risque de transmettre des informations d'identification en clair, la seule consiste à chiffrer le canal de communication Directory client actif à l'aide de quelque chose tels que SSL. Bien que ce soit certainement dosable, il impose le fardeau supplémentaire de gérer les certificats SSL sur le contrôleur de domaine et sur l'ordinateur de Linux. En outre, à l'aide le LDAP du module PAM module ne prend pas en charge la modification de réinitialiser ou Expiration des mots de passe. utilisant LDAP et Kerberos Une autre stratégie pour exploiter Active Directory pour l'authentification Linux consiste à configurer PAM pour utiliser l'authentification Kerberos et la fonction NSS utiliser LDAP pour rechercher des utilisateurs et des informations de groupe, comme illustré figure 2 . Ce schéma a l'avantage d'être relativement plus sécurisé, et il exploite les capacités « en la-zone » de Linux. Mais cela n'est pas prendre le parti les enregistrements DNS service emplacement (SRV) que les contrôleurs de domaine Active Directory publier, donc vous devez sélectionner un ensemble spécifique de contrôleurs de domaine pour s'authentifier sur. Il n'est pas aussi offrent un moyen très intuitif de gestion des mots de passe Active Directory arrivant à expiration ou, jusqu'à ce que récemment, pour les recherches de l'appartenance au groupe approprié. La figure 2 Authentification à Active Directory à l'aide LDAP et Kerberos (cliquez sur l'image pour l'agrandir) à l'aide de Winbind Pour utiliser Active Directory pour l'authentification Linux, la troisième consiste à configurer PAM et NSS pour effectuer des appels vers le démon Winbind. Winbind va convertir le PAM différent et NSS demande en les appels de Active Directory correspondants, utilisant LDAP, Kerberos ou RPC, en fonction de l'est plus appropriée. la figure 3 illustre cette stratégie. La figure 3 Authentification à Active Directory à l'aide de Winbind (cliquez sur l'image pour l'agrandir) Notre plan d'implémentation En raison de l'intégration améliorée avec Active Directory, J'AI choisi d'utiliser Winbind sur Red Hat Enterprise Linux 5 (RHEL5) pour mon projet Intégration Linux à Active Directory. RHEL5 est la version actuelle de la distribution Red Hat Linux commerciale et qu'il est très populaire dans les centres de données entreprise. Obtention RHEL5 s'authentifier sur Active Directory en fait de requiert cinq étapes distincts, comme suit : 1. Recherchez et téléchargez le Samba approprié et autres composants dépendants. 2. Créer Samba. 3. Installez et configurez Samba. 4. Configurer Linux, en particulier PAM et NSS. 5. Configurer Active Directory. Les sections suivante quelques dans cet article décrivent ces uploads/Management/ active-directory-amp-linux.pdf