IVV 4 Benutzerdatenbank für Naturwissenschaften IV der … · 2004-04-20 · IT-Symposium 2004...
Transcript of IVV 4 Benutzerdatenbank für Naturwissenschaften IV der … · 2004-04-20 · IT-Symposium 2004...
IT-Symposium 2004 20.04.2004
www.decus.de 1
20-APR-2004 Heinz-Hermann Adam([email protected])
IV der Fachbereiche Biologie Chemie Physik· ·Naturwissenschaften
IVV4
Westfälische Wilhelms-UniversitätMünster
IT-Symposium 2004Bonn
1D02
AD als Benutzerdatenbank für
heterogene DV-Systeme
Am Beispiel der Einbindung von Linux-Rechnern in die Benutzer- und Ressourcenverwaltung eines ActiveDirectory
IVV4 Agenda
EinführungLinux-Authentifizierung
Pluggable Authentication ModulesName Service Switch
Active DirectorySchemaerweiterung
Installation und KonfigurationNSS- und PAM-ModuleSaMBa-Client-Tools
Zusammenfassung
IT-Symposium 2004 20.04.2004
www.decus.de 2
IVV4
Was ist die IVV Naturwissenschaften?
Teil des dezentralen IV-Systems der Universität MünsterZusammenschluß dernaturwissenschaftlichenFachbereicheZiel: GemeinsameBefriedigung des Bedarfs an fachspezifischen IV-Mitteln(Hardware, Software, Dienste)
SelbsthilfeorganisationNutzung von Synergieeffekten
Kein “Rechenzentrum”
Active Directory Domäne & OpenVMS-Cluster
Ca. 20 ServerÜber 1.000 ArbeitsplätzeCa. 5.000 Benutzer
BetriebssystemeLinuxMac OSOpenVMSTru64 UNIX, u.a.Windows
AnwendungssoftwareWindows > 100 ProdukteMac > 30 Produkte
IVV4
Integration weiterer Betriebssysteme
Einheitlicher Zugang (Single sign-on) auf:WindowsOpenVMS (Pathworks + EXTAUTH)Tru64 UNIX (SSO, LDAP, Kerberos)Linux (PAM, NSS, LDAP, Kerberos)Mac OS X (Netinfo, LDAP, SSL, Kerberos)Who‘s next?
Nutzung zentraler Ressourcen auch durch diese Systeme
IT-Symposium 2004 20.04.2004
www.decus.de 3
IVV4
Ressourcen für Nicht-Windows-Clients
Server Message Block/Common Internet File System-Shares werden von Windows und Pathworks bereitgestellt
Clients hierfür sind auf den anderen Plattformen vorhanden
Tru64 Unix: Samba, SharityLinux: Samba, SharityMac OS: Samba, Dave
Zusätzlich sind auf Windows Server die Services for Macintosh (SFM) verfügbar
IVV4 Linux-Authentifizierung
Verwendet PluggableAuthentication Modules
Gegen interne und externe Quellen (flatfiles, NIS, Kerberos …)
Benutzer-Informationen per Name Service Switch
ebenfalls aus internen wie externen Quellen
Unix spezifische Informationen
PAM
/etc/passwd
ExternalAuthentication
HostMapping
LocalAuthentication
login
NSSLinux-Account
IT-Symposium 2004 20.04.2004
www.decus.de 4
IVV4 PAM-Architektur
PAM-Interface
(module-type)
loginftp
auth session account password
Dienste
Modules
ssh
IVV4 PAM-Architektur
PAM-Interfaces (moduletypes)
auth (Authentifizierung)session (Setup & Logging)account (Login-Policies)password(Passwortregeln)
Mehrere verschiedene Module können pro Interface nacheinander abgearbeitet werden (Stack)
PAM-Control flagsrequisite (notwendig, Stack bricht bei Fehlschlag ab)required (notwendig, Stack wird auch bei Fehlschlag abgearbeitet)sufficient (hinreichend, weitere Module werden ignoriert)optional (trägt zum Fehlschlag eines Stacksnicht bei)
Erfolg oder Scheitern des Stacks wird nach Abarbeitung der Module entschieden
IT-Symposium 2004 20.04.2004
www.decus.de 5
IVV4 NSS (Name Service Switch)
/etc/nsswitch.conf
Unix Applikation
/lib/libnss_Quelle_1.so/lib/libnss_Quelle_2.so/lib/libnss_Quelle_3.so
2.
3.
service: Quelle_1 Quelle_2 Quelle_3
Name Service Switch
look-upuser info
look-upinfo
sources
returnsequence of
sources
querysources
returnuser info 1.
C Library
IVV4 NSS (Name Service Switch)
Erlaubt es Systeminformationen z.B. user und group Informationen aus verschiedenen Quellen zu beziehen
LDAPLDAP3. QuelleNIS-ServerNIS-Server2. Quelle
/etc/group/etc/passwd1. Quelle
GroupsUser
IT-Symposium 2004 20.04.2004
www.decus.de 6
IVV4 Active Directory
X.500-basierter VerzeichnisdienstErweiterbares Schema, d.h. Objekt kann um beliebige Attribute erweitert werden oder neue Objekte können kreiert werdenZugriff über Light-weight Directory Access Protocol (plattformunabhängig)Authentifizierung über Kerberos(plattformunabhängig)
IVV4 Schemaerweiterung - Unix
Tru64 UNIX V5 Associated Products Volume 2 Windows2000_SSO\windows_kit\setup.exe
Erweitert das Schema basierend auf Microsoft Services for Unix (msSFU)Erweitert das Active Directory Users and Computer Interface (nur SSO 2.0, ab T64 V5.1A)
IT-Symposium 2004 20.04.2004
www.decus.de 7
IVV4
Schemaerweiterung – Unix userBenutzeraccount
gecos : User commentgidNumber : GidloginShell : ShellmsSFUHomeDirectory : Home directoryuid : UsernameuidNumber : Uid
IVV4
Schemaerweiterung – Unix groups
BenutzergruppegidNumber : GidmemberUID : Group membersmsSFUName : Groupname
IT-Symposium 2004 20.04.2004
www.decus.de 8
IVV4 Implementation
Name Service (passwd, group)LDAP V3 mit SSL-Verschlüsselung
AuthentifizierungKerberos V5
HomedirectoriesSaMBa-Client Tools
IVV4 Installation zusätzlicher Pakete
Authentifizierungpam_krb5 (SuSE 9.0 included)
Name Servicenss_ldap (SuSE 9.0 included)
Einbindung von Ressourcen
pam_mount (NWZnet-Built from SourceRPM)
Korn Shellpdksh (SuSE 9.0 included)
IT-Symposium 2004 20.04.2004
www.decus.de 9
IVV4 NSS Konfiguration
In /etc/nsswitch.conf wird die Liste der Name Service Quellen definiert
LDAPSuSE
passwd: compat ldapgroups: compat ldap
IVV4 LDAP Konfiguration
In /etc/ldap.conf wird die LDAP Anbindung konfigurierthost DC1 DC2 DC3ssl onbase dc=child,dc=root,dc=tldbinddn cn=ldap,cn=users,
dc=child,dc=root,dc=tldbindpw[…]scope subpam_filter objectclass=userpam_login_attribute sAMAccountNamepam_password ad
IT-Symposium 2004 20.04.2004
www.decus.de 10
IVV4 LDAP Konfiguration
Konfiguration (fortgesetzt)nss_base_passwd dc=child,dc=root,dc=tld?subnss_base_shadow dc=child,dc=root,dc=tld?subnss_map_objectclass posixAccount Usernss_map_objectclass shadowAccount Usernss_map_attribute uid sAMAccountNamenss_map_attribute uniqueMember membernss_map_attribute homeDirectorymsSFUHomeDirectory
nss_map_objectclass posixGroup Groupnss_map_attribute cn sAMAccountName
IVV4
LDAP Proxy-Benutzer im Windows
Benötigt Rechte im Active DirectoryAlle Attribute lesen
BenutzerGruppen
Kann durch entsprechende Beschränkungen abgesichert werden
Smart Card erforderlich für AnmeldungPro Linux-Rechner ein Account zweckmäßig
Denial-of-Service attackenVerwendung von sicheren Passworten
IT-Symposium 2004 20.04.2004
www.decus.de 11
IVV4 LDAP Anbindung überprüfen
# getent passwd muss zusätzlich zu den lokalen auch Benutzer aus dem Active Directory liefern:root:x:0:0:root:/root:/bin/bash[…]ntp:x:74:65534:NTP daemon:/var/lib/ntp:/bin/false
[…]user1:x:123456:123:Benutzer Nummer Eins :/home/user1:/bin/bash
user2:x:123457:456:Benutzer Nummer Zwei :/home/user2:/bin/ksh
user3:x:1234:890:Benutzer Nummer Drei :/home/user3:/bin/bash
[…]
IVV4 PAM Konfiguration
Standard-LinuxFür jeden Dienst befindet sich in /etc/pam.d eine Konfigurationsdatei mit dessen Namen, deren Inhalt bestimmt wie eine Authentifizierung durchgeführt wird.# ls /etc/pam.dsu rlogin other xdm ssh login...
IT-Symposium 2004 20.04.2004
www.decus.de 12
IVV4 PAM Konfiguration
SuSEAlle Dienste können an einer Stelle konfiguriert werden.Generisches PAM pam_unix2.so in jedem Stack, das verschiedene Authentifizierungsdienste benutzen kann (/etc/passwd, NIS, LDAP, Kerberos)Wird über /etc/security/pam_unix2.confkonfiguriert
Kerberos V5:auth: use_krb5 nullokaccount: use_krb5password: use_krb5 nulloksession: none
IVV4 Kerberos Konfiguration
In /etc/krb5.conf wird die Kerberos-Anbindung konfiguriert[libdefaults]
default_realm = CHILD.ROOT.TLDdefault_tgs_enctypes = des3-hmac-sha1 des-cbc-crcdefault_tkt_enctypes = des3-hmac-sha1 des-cbc-crcdns_lookup_kdc = trueclockskew = 300
[realms]CHILD1.ROOT.TLD = {kdc = DC1.child.root.tlddefault_domain = child.root.tldkpasswd_server = DC1.child.root.tld
}[domain_realm]
.child.root.tld = CHILD.ROOT.TLDZeitsynchronisation per NTP aktivieren
IT-Symposium 2004 20.04.2004
www.decus.de 13
IVV4 Homedirectories via SaMBa
Müssen beim Login verfügbar seinpam_mount Modul
Für jeden Benutzer ein eigener MountSession-Security im SMB/CIFS
IVV4 SMB Client-Konfiguration
In /etc/samba/smb.conf wird SaMBa konfiguriert Konfiguration[global]
workgroup = CHILDos level = 0time server = Nounix extensions = Yesencrypt passwords = yesmap to guest = Bad User[…]wins support = No[…]security = DOMAIN
IT-Symposium 2004 20.04.2004
www.decus.de 14
IVV4 Pam_mount Konfiguration
In /etc/security/pam_mount.confwird das automatische Mounten beim Login konfiguriert
Konfigurationdebug 0mkmountpoint 1[…]volume * smb fileserver & ~uid=&,gid=&,dmask=0700,fmask=0700,workgroup=CHILD - -
IVV4 Pam_mount Konfiguration
Einbauen des pam_mount.so in den PAM-Stack, z.B. /etc/pam.d/sshd#%PAM-1.0auth required pam_unix2.so # set_secrpcauth required pam_nologin.soauth required pam_env.soauth optional pam_mount.so use_first_pass[…]session required pam_unix2.so none # trace
or debugsession required pam_limits.sosession optional pam_mount.so[…]
IT-Symposium 2004 20.04.2004
www.decus.de 15
IVV4 Homedirectories via SaMBa
BeschränkungenUnterstützt keine „hohen UIDs“
gepatchter Kernel nötigUnterstützt kein Windows Dfs
neue Shares, 1 für jeden BenutzerUnterstützt keine Special Files, z.B. Sockets
für KDE-Sessions unbrauchbarevtl. Lösung durch ersetzen des Pathworksdurch SaMBa (noch zu testen)
IVV4 Zusammenfassung
Integration von Nicht-Windows Betriebssystemen in ActiveDirectory, am Beispiel von Linux
Statusbericht, noch nicht alle Fragen sind gelöstEinführung in die verwendeten Konzepte
LinuxWindows 2000 Active Directory
Einbindung einer SuSE Linux 9.0 Workstation in ADName Service
LDAPAuthentifizierung
KerberosHomedirectories
SMB/CIFS + pam_mountOffene Fragen und Probleme
IT-Symposium 2004 20.04.2004
www.decus.de 16
IVV4 Q & A – Fragen und Antworten
NWZnet.uni-muenster.de