Professional Documents
Culture Documents
Armando Carvajal Ing Sistemas Unincca Especialista en software para redes Uniandes Gerente Tcnico Unixgroup Octubre 15 de 2004, Bogot, Colombia E-mail: armando.carvajal@unixgroup.com.co website: http://www.unixgroup.com.co
Fuente: Rainbow eSecurity, 2003 Gartner Research, 2003
Un usuario promedio utiliza 5+ claves 55% de los usuarios escribe la clave en papel al menos una vez 9% de todos los usuarios escriben en papel todas las claves 51% de todos los usuarios requieren ayuda de TI porque olvidaron su clave 25% de todas las consultas a las mesas de ayuda estn relacionadas con claves
Solaris
Windows
AIX
Linux
Solaris
Windows
Problema: Linux UNIX 4 nombres de usuarios diferentes 4 Herramientas de Admin. diferentes 4 lugares diferentes donde se guardan las claves
Autenticacin Tradicional
/etc/passwd NIS PAM/NSS
Autenticacin /etc/passwd
login: juana Password: ***
getpwnam(juana)
/etc/passwd /etc/shadow
juana:w8f{2rs:1253:1253:Juana la loca:/home/juana:/bin/bash
/etc/passwd Pros/Contras
Ventajas:
Muy simple Diseado para autenticacin local Cada mquina debe tener el archivo /etc/passwd El mismo archivo debe replicarse para las cuentas comnes /etc/passwd no es extensible
Desventajas:
/etc/passwd
getpwnam(juana)
juana:s8f{2rs:1253:1253:Juana:/home/juana:/bin/bash
NIS Server
NIS Pros/Contras
Ventajas:
Permite distribuir el archivo maestro /etc/passwd y /etc/shadow entre diferentes servidores Compatible con la mayora de Unix/linux Muchos huecos de seguridad Cambios en herramientas administrativas Incompatible con sistemas diferentes a UNIX No trabaja en modo desconectado
Desventajas:
/etc/passwd
/etc/nsswitch.conf
getpwnam()
NIS
jdoe:s8f{2rs:1253:1253:Juana:/home/juana:/bin/bash
LDAP SQL
NSS Pros/Contras
Ventajas:
Permite que una entrada de /etc/passwd se obtenga de cualquier fuente 100% transparente a las aplicaciones
Desventajas:
No disponible en todos los Unix/Linux Cuando se busca en multiples fuentes de datos la sincronizacion es un problema
Encontrando el camino hacia el software libre ACIS Octubre de 2004
/etc/passwd
pam_authenticate()
/etc/pam.d/login
ldap
LDAP
Exito o fracaso
krb5
Kerberos
PAM Pros/Contras
Ventajas:
Permite autenticar directamente contra cualquier fuente de datos Facilmente configurable segn /etc/pam.d Aplicaciones PAM no necesitan mecanismos especificos de cdigo para autenticarse Las utilidades y servicios para autenticarse deben ser PAM enabled (es decir escritos en PAM API)
Desventajas:
RFC2307
Linux
Ambientes Ideales
Utilizacin de un ambiente mixto UNIX y Windows Busqueda de un ambiente heterogneo seguro Cambios o rotacin de personal Manejo de 50+ usuarios UNIX/Linux
Mensajes Claves
Establece una nica identidad para usuarios UNIX, Linux, y Windows Provee alto nivel de seguridad en la red (SSL y Kerberos) Centraliza la administracin de identidades de usuarios UNIX, Linux, y Windows Brinda soporte para mltiples plataformas Se integra en forma transparente en las estaciones de trabajo de los usuarios
Casos de Exito
Guardia di Finanza: 3,000 usuarios UK Ministry Of Defense: 1,600 usuarios que acceden a varias aplicaciones, incluyendo una de estadsticas de tripulacin area Dynatronics - EEUU: Autenticando 40 usuarios que acceden aplicaciones contables en Linux ETB - Bogot Ministerio de Defensa - Bogot
Encontrando el camino hacia el software libre ACIS Octubre de 2004
LDAP
Qu es LDAP
1 de 2
Es un protocolo liviano de acceso a directorios que permite gestionar informacin jerarquica para mantenerla actualizada y disponible en la red LDAP = Lightweight Directory Access Protocol Es una versin simplifada del pesado X.500 DAP protocol del modelo OSI de 1990
Qu es LDAP
2 de 2
LDAP ver 1 naci en julio de 1993 con el RFC 1487 La informacin se guarda en una BD de tipo jerarquica El promedio de lectura en la BD es mayor a la de escritura
Arquitectura 1 de 2
Se basa en la arquitectura cliente servidor de dos niveles Es un protocolo orientado a mensajes Hay dos clases de directorios los estticos y los dinmicos Offline directories: Cambian muy poco, ayudan a la gente a encontrar cosas. Ej. Directorio telefnico, pginas amarillas, gua de televisin, catlogos de compras, libreras, bibliotecas, etc
Encontrando el camino hacia el software libre ACIS Octubre de 2004
Arquitectura 2 de 2
Online directories: Cambian en forma dinmica, deben ser flexibles, deben ser seguros, y deben personalizarse al gusto del usuario Debe ser actualizado por el usuario dueo de la informacin Ej: Directorio de empleados en una empresa para localizarlos cuando cambien sus datos de tel, fax, etc, directorio de hoteles por los que pasa un funcionario, etc
Encontrando el camino hacia el software libre ACIS Octubre de 2004
Productos Comerciales
Netscapes Directory Server Innosoft Distributed Directory Server Lucent Technologies Internet Directory Server Sun Microsystems Directory services IBMs DSSeries LDAP Directory Microsoft Active Directory server Novell Suse Open Exchange - Mail SCOoffice Server - Mail Tarantella Broker de aplicaciones
Encontrando el camino hacia el software libre ACIS Octubre de 2004
Competidores de respeto
iPlanet de Netscape eDirectory de Novell Novell directory Active directory de Microsoft
Website: www.openldap.org
Software en formato rpm o fuente se puede obtener de www.openldap.org: Es heredado de la versin 3.3 de la Univ.Michigan A julio de 2004 la version actual es la OpenLDAP 2.2.14
Formato de presentacin 1 de 2
LDIF: Formato de representacin de datos Cdigo ASCII que se puede pasar como mensajes de e-mail (8 bit clean) Una entrada LDIF est formada por varias lineas Inicia con la palabra DN, seguido del nombre nico que identifica la lnea entrada en la BD
Formato de presentacion 2 de 2
El registro DN debe ocupar una sola lnea Luego siguen los atributos de la entrada Cada atributo debe ir en una lnea diferente Cada atributo de estar seguido por el signo : y acontinuacin su valor
Ejemplo
dn:o=Acis,c=CO o:Acis objectclass:organization dn: cn=Juana La Loca, o=Acis, c=CO cn: Juana La Loca sn: La Loca telephoneNumber: 781 784 7547 objectclass:inetOrgPerson
Encontrando el camino hacia el software libre ACIS Octubre de 2004
Explicacin
Dn: significa distinguished (Distinguido) ObjectClass: (Tipo de objeto) Cn: significa Common name (Nombre Comun) Sn: significa surname (Apellido) Telephonenumber: (Nmero de tel) Uid: Cuenta del usuario userPassword: Clave del usuario Mail: (e-mail del usuario)
Encontrando el camino hacia el software libre ACIS Octubre de 2004
Explicacin
Description: (Descripcin del objeto) O: Significa organization (Nombre de la empresa) C: significa country (pais) Es decir primero se tiene un tipo de atributo y en seguida el valor del atributo Ms informacin ver archivo slapd.conf
Explicacin
El significado de cada atributo est definido en los archivos de tipo schema residentes en el directorio: /etc/openldap/schema/core.schema, /etc/openldap/schema/cosine.schema, /etc/openldap/schema/inetorgperson.sch ema
!!!.CONCURSO MILLONARIO.!!!
Archivos
de configuracin
Configuracin
llama al servicio demonio slapd y este a su vez busca el archivo de configuracin /etc/openldap/slapd.conf Ambiente por defecto /etc/openldap/ldap.conf Directorio de datos: /var/lib/openldap
# Indica los atributos y objetos que LDAP puede manejar por cada registro Include /etc/openldap/schema/core.schema Include /etc/openldap/schema/cosine.schema Include /etc / openldap / schema / inetorgperson.schema # Permite compatibilidad con la antigua versin 2 Falla en RH 9.x allow bind_v2
# Tipo de cifrado en los passwords de los usuarios password-hash {SSHA} # Donde formato puede ser algn algoritmo de cifrado simtrico como: {SSHA}, {SHA}, {SMD5}, {MD5}, {CRYPT}, {CLEARTEXT}
Slapd.conf
# Indica el formato de la base de datos database ldbm # Esta es la base de la llave principal suffix o=Acis, c=CO # Es el directorio donde residen los archivos de la base de datos LDAP directory /var/lib/ldap
Slapd.conf
# Este es la base del registro para el administrador rootdn cn=root, o=Acis, c=CO # Este es el password del administrador rootpw {SSHA}msyaU45hcXmiq8ahe9OkewOCKKA4 A5EY
Slapd.conf
La clave del usuario administrador se puede cifrar con el comando: # slappasswd h Formato > archivo Donde Formato puede ser algn algoritmo de cifrado simtrico: {SSHA}, {SHA}, {SMD5}, {MD5}, {CRYPT}, {CLEARTEXT}
Slapd.conf
Nota: Jams utilice {CLEARTEXT} dado que si un intruso ve el archivo plano entonces ya conocer la clave del administrador Se recomienda en cambio el algoritmo ms fuerte {SSHA}
/etc/openldap/ldap.conf
El archivo cliente /etc/openldap/ldap.conf debera estar configurado de la siguiente forma: HOST 127.0.0.1 BASE o=Acis, c=CO PORT 389
dn: o=Acis,c=CO o: Acis postalAddress: Calle 93 con 13A objectclass: organization dn: cn=Juana La Loca, o=Acis, c=CO cn: Juana La Loca sn: La Loca description: Soporte en Windows
uid:
acarvaja
userPassword:{SSHA}msyaU45hcXmiq8ahe9OkewOCKKA4A5EY displayname: Armando Carvajal - sistemas mail: acarvaja@acis.org.co carLicense: 77036182 homePhone: 571 528 3101 objectclass:inetOrgPerson
Encontrando el camino hacia el software libre ACIS Octubre de 2004
Comandos:
Consultar si openldap esta instalado: # rpm q openldap Hacer backup de la base de datos en formato LDIF: # slapcat l backup.ldif Subir los datos hechos por un backup en formato LDIF: # slapadd l backup.ldif
Comandos:
Para generar un password cifrado de tipo hash que pueda llevar hacia un archivo, digite: # slappasswd h metodo de cifrado Para cifrar el password del cliente al servidor, digite: # stunnel c d 389 r localhost:636
Otros comandos:
Para ver todos los registros de la BD: #ldapsearch x b o=Acis,c=CO objectclass=* Para ver los usuarios de la BD: #ldapsearch x b o=Acis,c=CO uid=* Para adicionar registros desde el archivo bd.ldif: #ldapadd x D uid=acarvaja,o=Acis,c=CO -W f bd.ldif
Bibliografa
Understanding And Deploying LDAP Directory Services, Timothy A. Howes Ph.D, New Riders, 1999, Netscape Communications Corporation, First Edition Implementing LDAP, Marck Wilcox, Editorial Wrox www.ldapguru.com www.openldap.org