Kerberos - autenticazione centralizzata



Documenti analoghi
Reti di Telecomunicazione Lezione 7

Fileserver con SAMBA e Windows

Kerberos V5. Argomenti. Concetti base. Autenticazione Tradizionale. Cos e KERBEROS Perché KERBEROS Funzionamento Installazione Configurazione

Note di rilascio. Aggiornamento disponibile tramite Live Update a partire dal. Il supporto per Windows XP e Office 2003 è terminato

Approfondimenti. Contenuti

Migrazione a kerberos 5 della autenticazione per la cella AFS enea.it

Sistemi avanzati di gestione dei Sistemi Informativi

Michele Baldessari E4B E0C BF0D 3935 ED35 A1F6 EE94 240B 4C3D

Archiviare messaggi di posta elettronica senza avere un proprio mail server

Uso di una procedura di autenticazione unificata per client Linux e Microsoft Windows su server Microsoft Windows.

Al prompt inserire il seguente comando per installare le applicazioni server di SAMBA:

Configurazione FileZilla Server

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Offerta per fornitura soluzione di strong authentication

ALTRO. v (Aprile 2015)

Ulteo OVD Open Virtual Desktop (Un Desktop Virtuale Open Source)

Active Directory. Installatore LAN. Progetto per le classi V del corso di Informatica

ALTRO. v (Maggio 2015)

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti

Installazione di GFI Network Server Monitor

Overview su Online Certificate Status Protocol (OCSP)

19. LA PROGRAMMAZIONE LATO SERVER

Studi di Settore. Nota Operativa 22/4/2013

GUIDA DELL UTENTE IN RETE

Dynamic DNS e Accesso Remoto

VLAN+LDAP+...+XEN = Rete Dipartimentale

Samba: guida rapida - Guide@Debianizzati.Org

La seguente procedura permette di configurare il Vostro router per accedere ad Internet. Vengono descritti i seguenti passaggi:

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

Zeroshell: VPN Host-to-Lan. Il sistema operativo multifunzionale. creato da

Groups vs Organizational Units. A cura di Roberto Morleo

Laboratorio virtuale Progetto dei dipartimenti di Astronomia, Fisica, Matematica e Scienze dell Informazione

Scritto da Administrator Martedì 02 Settembre :30 - Ultimo aggiornamento Martedì 10 Maggio :15

Console di Amministrazione Centralizzata Guida Rapida

TeamPortal. Servizi integrati con ambienti Gestionali

Configurazione client di posta elettronica per il nuovo servizio . Parametri per la Configurazione dei client di posta elettronica

GateManager. 1 Indice. tecnico@gate-manager.it

Application Server per sviluppare applicazioni Java Enterprise

Assegnamento di un indirizzo IP temporaneo a dispositivi Barix

Ubuntu 8.04 LTSP in un dominio Windows 2000

Manuale LiveBox WEB ADMIN.


Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Corso GNU/Linux - Lezione 6. Davide Giunchi - davidegiunchi@libero.it

Protezione delle informazioni in SMart esolutions

Restrizioni di accesso alle risorse Web

Nuovo server E-Shop: Guida alla installazione di Microsoft SQL Server

TERMINALE. Creazione e gestione di una postazione terminale di Eureka

Installazione LAMP. Installare un server lamp su Linux Ubuntu. Per installare un server LAMP in Ubuntu come prima cosa apriamo il terminale:

CONDIVIDERE IN RETE SWC701

Installazione e configurazione Kerberos For Windows

Corso di Amministrazione di Reti A.A. 2002/2003

SCOoffice Address Book. Guida all installazione

Product Shipping Cost Guida d'installazione ed Utilizzo

NAS 322 Connessione del NAS ad un VPN

LaCie Ethernet Disk mini Domande frequenti (FAQ)

BACKUP APPLIANCE. User guide Rev 1.0

Agent, porte, connettività e reti L agent di Kaseya utilizza la porta 5721 per comunicare con il server, ma che tipo di porta è?...

Registratori di Cassa

e/fiscali - Rel e/fiscali Installazione

PROF. Filippo CAPUANI. Accesso Remoto

NEXT-GEN USG: Filtri Web

Configurazione client di posta elettronica per il nuovo servizio

Implementare i Read Only Domain Controller

RETI INFORMATICHE Client-Server e reti paritetiche

Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it!

Come configurare Thunderbird per accedere alla posta elettronica di Renault.Net

ESERCITAZIONE Semplice creazione di un sito Internet

lem logic enterprise manager

RADIUS - ACCESSO DA TELNET E DA CONSOLE

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Kroll Ontrack Servizi RDR Guida rapida

Guida Rapida alla configurazione di EGX300 per la connessione a REM

Manuale LiveBox WEB ADMIN.

VMware. Gestione dello shutdown con UPS MetaSystem

MyFRITZ!, Dynamic DNS e Accesso Remoto

Apache 2, PHP5, MySQL 5

Titolo: ASSISTENZA. Data: 18/02/2015. Referente: Omar Vezzoli

Digital Persona Client/Server

SETEFI MonetaWeb 2.0 Guida d'installazione ed Utilizzo

INSTALLAZIONE E CONFIGURAZIONE OPENAFS E KERBEROS SU SISTEMI MICROSOFT (32bit)

CONFIGURAZIONE PLUGIN MILESTONE-CPS 1.CONFIGURAZIONE CPS

Introduzione Kerberos. Orazio Battaglia

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

Manuale di Admin Tools/ Admin Viewer per autenticazione proxy

Guida alla registrazione on-line di un DataLogger

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

Configurazione client di posta elettronica per il nuovo servizio . Parametri per la Configurazione dei client di posta elettronica

Utilizzo dello strumento Web server nelle CPU S Siemens AG All Rights Reserved.

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Indice GAMMA. Guida utente

Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP

Transcript:

- autenticazione centralizzata

Iniziamo con Kerberos... Kerberos Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati (vengono utilizzati dei token al posto di utente e password)

Principal, sono i client che richiedono servizi, i server che offrono servizi e gli utenti che accedono al sistema KDC - Key Distribution Center, tipicamente un server su cui sono in esecuzione due servizi AS e TGS, si occupa di autenticare i Principal, di rilasciare i ticket e mantenere aggiornato il database dei Principal. Kerberos...

La logica di funzionamento di Kerberos consente ad un Principal di essere autenticato senza dover MAI inviare la password in rete. Se volete approfondire: http://kerberos. org/software/tutorial. html#1.3.5.1 Kerberos...

Esistono alcune implementazioni open-source di Kerberos tra cui: MIT Kerberos http://web.mit.edu/kerberos/ Heymdal Kerberos http://www.h5l.org/ entrambe le soluzioni, concettualmente, funzionano allo stesso modo, i tool di configurazione sono però diversi. questa sera parleremo di MIT Kerberos

E' possibile realizzare una soluzione basata su Kerberos + LDAP + Samba ed ottenere in questo modo (circa) l'equivalente di un MS Active Directory. Questa è una guida su come fare... se siete interessati e PAZZI/CORAGGIOSI! http://guide.debianizzati.org/index.php/samba,_openldap, _Kerberos: _creare_un_controller_di_dominio_sicuro_con_debian_lenny Questo è invece un buon how-to su come utilizzare LDAP come base dati per Kerberos http://help.ubuntu-it.org/9. 10/ubuntu/serverguide/it/kerberos-ldap.html

Questa è la guida da cui ho preso spunto: http://techpubs.spinlocksolutions.com/dklar/kerberos.html NB. in questo corso NON utilizzeremo Kerberos... ma ve lo spiego comunque per cultura generale :-)

Per prima cosa verifichiamo il contenuto del file /etc/hosts 127.0.0.1 localhost localhost.levicoopen.locale 192.168.0.1 srvad.levicoopen.locale srvad Installiamo il server # apt-get install krb5-{admin-server,kdc} Creiamo il reame # krb5_newrealm

Modifichiamo il contenuto del file /etc/krb5.conf [domain_realm].levicoopen.locale = LEVICOOPEN.LOCALE levicoopen.locale = LEVICOOPEN.LOCALE [logging] kdc = FILE:/var/log/kerberos/krb5kdc.log admin_server = FILE:/var/log/kerberos/kadmin.log default = FILE:/var/log/kerberos/krb5lib.log

Predisponiamo i log per kerberos # mkdir /var/log/kerberos # touch /var/log/kerberos/{krb5kdc,kadmin,krb5lib}.log # chmod -R 750 /var/log/kerberos e rifacciamo partire i servizi # invoke-rc.d krb5-admin-server restart # invoke-rc.d krb5-kdc restart OK... la configurazione lato server è finita :-)

Facciamo un po di test: # kadmin.local --> per amministratore kerberos direttamente dalla console (? per accedere all'elenco dei comandi) Alcuni comandi utilizzabili da kadmin.local listprincs --> elenco dei principal kadmin/admin@levicoopen.locale kadmin/changepw@levicoopen.locale kadmin=utente admin,changepw=ruolo LEVICOOPEN.LOCALE=reame quit --> per uscire da kadmin.local

Tramite kadmin.local è possibile definire anche delle policy che potranno essere successivamente applicate ai vari principals. add_policy -minlength 8 -minclasses 1 admin add_policy -minlength 8 -minclasses 1 host add_policy -minlength 8 -minclasses 1 service add_policy -minlength 8 -minclasses 1 user listpols --> per visualizzare l'elenco delle policy getpols NOMEPOLICY --> per visualizzare le proprietà di una policy

Facciamo in modo che gli utenti con ruolo/policy admin abbiano effettivamente i permessi di amminstrazione. Modifichiamo il contenuto del file /etc/krb5kdc/kadm5.acl */admin * che tradotto significa: tuttigliutenti con policy admin possono fare tutto! e riavviamo i servizi kerberos # invoke-rc.d krb5-admin-server restart # invoke-rc.d krb5-kdc restart

Creiamo il nostro primo principal con PRIVILEGI di amministratore addprinc -policy admin root/admin listprincs quit e verifichiamo che il nuovo principal riesca a connettersi a kerberos NB. utilizzeremo kadmin al posto di kadmin.local # kadmin -p root/admin

Creiamo il nostro secondo principal SENZA PRIVILEGI amministrativi addprinc -policy user pippo listprincs quit e verifichiamo se il nuovo utente "pippo" riceve il suo ticket! # klist -f # kinit pippo # klist -f Ticket cache: FILE:/tmp/krb5cc_0 Default principal: pippo@levicoopen.locale Valid starting Expires Service principal 01/04/12 11:14:49 01/04/12 21:14:49 krbtgt/levicoopen.locale@levicoopen. LOCALE renew until 01/05/12 11:14:47, Flags: FPRIA per poi distruggerlo # kdestroy

- servizi kerberizzati Ogni servizio può supportare l'autenticazione Kerberos: tramite il supporto nativo per Kerberos krb5-ftpd - Secure FTP server supporting MIT Kerberos krb5-rsh-server - Secure replacements for rshd and rlogind using MIT Kerberos krb5-telnetd - Secure telnet server supporting MIT Kerberos oppure delegando il lavoro di autenticazione al sottosistema PAM questo significa che, in linea di massima, è possibile kerberizzare qualsiasi servizio di rete. ecco come installare un servizio kerberizzato: http: //techpubs.spinlocksolutions.com/dklar/kerberos.html

- servizi kerberizzati

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back