Linux vo svete Windows - CSIRT.SK · Konfigurácia AD DS 8 • nemôže byť „single-labeled“ • nie „vasaorg“ ale „vasaorg.sk“ • nevytvárajte AD les s rovnakým menom,

Linux vo svete Windows

Richard Ostertág

Linux vo svete WindowsRichard Ostertág

A. Prístup k Windows AD DS z Linuxu

3

Windows Server 2012 R2

4

Nastavenie mena počítača

5


5


5


5

Nastavenie pevnej IP adresy

6


6


6


6

Inštalácia Active Directory Domain Services

7


7


7


7


7


7


7


7


7


7


7


7

Konfigurácia AD DS

8

• nemôže byť „single-labeled“

• nie „vasaorg“ ale „vasaorg.sk“

• nevytvárajte AD les s rovnakým menom, ako je

vaše externé DNS meno

• ak máte web stránku na http://vasaorg.sk,

vyberte si iné meno pre interný les, napríklad

corp.vasaorg.sk

Konfigurácia AD DS

8







corp.vasaorg.sk

Konfigurácia AD DS

8







corp.vasaorg.sk

Konfigurácia AD DS

8







corp.vasaorg.sk

Konfigurácia AD DS

8







corp.vasaorg.sk

Konfigurácia AD DS

8







corp.vasaorg.sk

Konfigurácia AD DS

8







corp.vasaorg.sk

Konfigurácia AD DS

8







corp.vasaorg.sk

Konfigurácia AD DS

8







corp.vasaorg.sk

Konfigurácia AD DS

8







corp.vasaorg.sk

Konfigurácia AD DS

8







corp.vasaorg.sk

Správa používateľov a počítačov v AD

9

Správa používateľov a počítačov v AD

9

Pohľad do obsahu LDAP

10


10


10


10


10

Dokončenie konfigurácie AD

• premenovanie štandardnej lokality

• Default-First-Site-Name

• synchronizácia času

• ...

• overenie funkčnosti DNS servera na radiči domény:tester@linwo:~$ dig srv _ldap._tcp.corp.vasaorg.sk

;; ANSWER SECTION:

_ldap._tcp.corp.vasaorg.sk. 600 IN SRV 0 100 389 winse.corp.vasaorg.sk.

;; ADDITIONAL SECTION:

winse.corp.vasaorg.sk. 3600 IN A 172.22.222.10

11

Otestovanie prístupu k LDAP

• sudo apt-get install ldap-utils

tester@linwo:~$ ldapsearch -LLL -H ldap://172.22.222.10 -x \-D "CORP\Administrator" -W -b "cn=Tester,cn=Users,dc=corp,dc=vasaorg,dc=sk"

Enter LDAP Password: dn: CN=Tester,CN=Users,DC=corp,DC=vasaorg,DC=skobjectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: usercn: TesterdistinguishedName: CN=Tester,CN=Users,DC=corp,DC=vasaorg,DC=skmemberOf: CN=Users,CN=Builtin,DC=corp,DC=vasaorg,DC=skmemberOf: CN=Administrators,CN=Builtin,DC=corp,DC=vasaorg,DC=skname: TesterobjectGUID:: Xib3K3fxPkajTHrN9gKcWQ==badPwdCount: 0primaryGroupID: 513objectSid:: AQUAAAAAAAUVAAAA3Mj+6DkA3oQy4yIz6QMAAA==sAMAccountName: TesterobjectCategory: CN=Person,CN=Schema,CN=Configuration,DC=corp,DC=vasaorg,DC=sk

12

Dekódovanie SID

• AQUAAAAAAAUVAAAA3Mj+6DkA3oQy4yIz6QMAAA==• base64 kódovanie

• po dekódovaní nasledovná postupnosť hex. bytov:

• 01 – revízia SID štruktúry (aktuálne vždy 1)

• 05 – počet „SubAuthority“ záznamov (5, max. 15)

• 00 00 00 00 00 05 – „IdentifierAuthority“ (5, NT SID authority)

• 15 00 00 00 – 1. „SubAuthority“ (21)

• DC C8 FE E8 – 2. „SubAuthority“ (3909011676)

• 39 00 DE 84 – 3. „SubAuthority“ (2229141561)

• 32 E3 22 33 – 4. „SubAuthority“ (857924402)

• E9 03 00 00 – 5. „SubAuthority“ (1 001) – RID

• S-1-5-21-3909011676-2229141561-857924402-1001

13

Samba

• open-source projekt, ktorého cieľom je integrácia medzi Windows a Unix prostredím

• umožňuje:• zdieľať súbory a tlačiarne medzi Windows a UNIX systémami

• implementácia SMB (CIFS) protokolu pre UNIX systémy

• emulovať radič domény na UNIX serveri

• UNIX počítačom využívať služby ponúkané AD DS

• autentifikácia, adresárové služby

• slobodný softvér pod licenciou GNU GPL v3• môže byť komerčne použitý

• autori nemôžu byť braní na zodpovednosť

• pozostáva z viacerých balíkov

14

https://tldrlegal.com/license/gnu-general-public-license-v3-(gpl-3)

Balík: samba

• obsahuje komponenty potrebné pre samostatný

• súborový server

• tlačový server

• radič domény (NT4 alebo AD)

• pre použitie v doméne je potrebný aj balík winbind

• tento balík nie je potrebný pre

• „interaktívne“ pripojenie k existujúcim súborovým alebo tlačovým

serverom na báze SMB/CIFS protokolu

• balík smbclient

• lokálne pripojenie vzdialeného súborového systému

• balík cifs-utils

15

Balík: winbind

• obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové služby (vyhľadanie používateľov a skupín)• sprostredkováva komunikáciu medzi PAM a NSS subsystémom Linuxu

a adresárovými službami

• používa• Kerberos pre autentifikáciu voči adresárovým službám

• cez PAM (/etc/pam.d) vyžaduje balík libpam-winbind

• LDAP pre získanie informácií o používateľoch a skupinách

• cez NSS (/etc/nsswitch.conf) vyžaduje balík libnss-winbind

• poskytuje aj ďalšie služby:• lokalizáciu radiča domény pomocou algoritmu DC Locator

• vychádza z DNS SRV záznamov

• výhoda oproti PAM s Kerberosom (nutné napevno nastaviť adresu DC)

• zmena hesla v AD komunikáciou s DC cez RPC

16

Balíky: libnss-winbind a libpam-winbind

• balík libnss-winbind obsahuje:

• nss_winbind

• zásuvný modul pre NSS, ktorý cez lokálny winbind server poskytuje

systému vyhľadávanie používateľov a skupín

• nss_wins

• zásuvný modul pre NSS, ktorý poskytuje vyhľadávanie názvu hostiteľa

(hostname) cez NBNS a NetBIOS broadcast protokoly

• balík libpam-winbind obsahuje:

• pam_winbind

• zásuvný modul pre PAM, ktorý cez lokálny winbind server poskytuje

systému autentifikáciu používateľov vo Windows doméne

17

Balík: smbclient

• umožňuje „interaktívne“ pripojenie k existujúcim

súborovým alebo tlačovým serverom na báze SMB/CIFS

protokolu (či už Microsoft Windows alebo Samba)

• obsahuje príkazy

• smbclient – prístup k zdieľaným zdrojom (podobné ako FTP)

• smbspool – pošle súbor na zdieľanú tlačiareň

• smbtree – zobrazí sieťový strom

• nástroje pre lokálne pripojenie zdieľaných adresárov sa

nachádzajú

• v balíku cifs-utils

18

smbclient: Zoznam zdieľaných priečinkov

tester@ubuntu:~$ smbclient --list=winseEnter tester's password:

Domain=[CORP] OS=[Windows Server …] Server=[Win…]

Sharename Type Comment--------- ---- -------ADMIN$ Disk Remote AdminC$ Disk Default shareIPC$ IPC Remote IPCNETLOGON Disk Logon server shareSYSVOL Disk Logon server shareUsers Disk

…

19

smbclient: Chybové hlásenia

• používateľ nemá prístup k požadovaným údajom:

tester@ubuntu:~$ smbclient -U ric //winse/c$

Enter ric's password:

Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]

tree connect failed: NT_STATUS_ACCESS_DENIED

• používateľ zadá zlý názov zdieľaného priečinka:

tester@ubuntu:~$ smbclient //winse/neexistuje

Enter tester's password:


tree connect failed: NT_STATUS_BAD_NETWORK_NAME

20

smbclient: „FTP“ prístup k súborom

tester@ubuntu:~$ smbclient --user=Administrator //winse/c$

Enter Administrator's password:


smb: \> dir

$Recycle.Bin DHS 0 Tue Aug …

Boot DHS 0 Thu Aug …

bootmgr AHSR 404250 Sat Jun …

… 61435 blocks of size 524288. 29682 blocks available

smb: \> get bootmgr

getting file \bootmgr of size 404250 as bootmgr (1530.1 KiloBytes/sec) (average 1530.1 KiloBytes/sec)

smb: \> recurse

smb: \> mput *

Put directory Pictures? n

Put directory Pictures/foto1.jpg? n

21

smbclinet: Tlač na zdieľanú tlačiareň

• tlač na zdieľanú tlačiareň cez smbclient nie je moc pohodlná:

tester@ubuntu:~$ smbclient --user=Richard //velox/lexmark

Enter Richard's password:

Domain=[VELOX] OS=[Windows 7 …] Server=[Windows 7 …]

smb: \> print sprava.txt

putting file sprava.txt as sprava.txt (2.7 kb/s) (average 2.7 kb/s)

smb: \>

22

smbspool: Tlač na zdieľanú tlačiareň

• pohodlnejšia tlač z príkazového riadku

• smbspool [DEVICE_URI] job-id user title copies options [file]

• DEVICE_URI:

• smb://[username:password@][workgroup/]server[:port]/printer

• DEVICE_URI môže byť aj premenná prostredia

smbspool smb://richard:pass@velox/lexmark 3 Tester "title" 1 "" mail.txt

DEBUG: Connected with username/password...

23

Balík: cifs-utils

• lokálne pripojenie zdieľaných adresárov (CIFS protokol)

• vytvorenie bodu pripojenia:

tester@ubuntu:~$ sudo mkdir /mnt/cifs

• pripojenie zdieľaného adresára pomocou mount:

sudo mount -t cifs //winse/users /mnt/cifs/ \-o username=tester,password=tester

• pripojenie zdieľaného adresára pomocou mount.cifs:

sudo mount.cifs //winse/users /mnt/cifs \-o username=tester,password=tester

tester@ubuntu:~$ mount/dev/sda1 on / type ext4 (rw,errors=remount-ro)proc on /proc type proc (rw,nodev,noexec,nosuid)sysfs on /sys type sysfs (rw,nodev,noexec,nosuid)…//winse/users on /mnt/cifs type cifs (rw)

24

cifs-utils: Pripojenie bez hesla alebo mena

• pripojenie bez zadania hesla:

tester@ubuntu:~$ sudo mount.cifs //winse/users /mnt/cifs \

-o username=tester

Password for tester@//winse/users: ******

• pripojenie bez zadania mena a hesla:

tester@ubuntu:~$ sudo mount.cifs //winse/users /mnt/cifs

Password for root@//winse/users: ****

mount error(13): Permission denied

Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)

• v zozname parametrov za -o môže byť aj• credentials=filename

25

formát súboru je:

username=value

password=value

domain=value

Doménová autentifikácia vo Windows

• doménový radič Windows NT poskytoval autentifikačné

služby klientom pomocou NT LAN Manager protokolu

• ukázalo sa, že NTLM protokol má bezpečnostné slabiny

• elegantne vyriešil problém s udržovaním duplicitných

používateľských účtov na rôznych serveroch v sieti

• od Windows 2000 Microsoft prešiel z NTLM protokolu na

Active Directory

• integruje v sebe Kerberos autentifikačné služby a LDAP

• Kerberos je podstatne bezpečnejší než NTLM

• Kerberos už bol štandardom používaným na UNIXe

26

Linux PAM

• Pluggable Authentication Modules• navrhnuté firmou Sun v roku 1995

• poskytuje• množinu autentifikačných programových rozhraní využiteľnú všetkými

aplikáciami

• správcom nastaviteľný spôsob poprepájania autentifikačných modulov do požadovanej autentifikačnej schémy (cez /etc/pam.d)

• väčšina distribúcií obsahuje niekoľko autentifikačných modulov• podporujú napríklad autentifikáciu na základe:

• LDAP adresára (pam_ldap.so)• umožňuje použiť ľubovoľný LDAP v2 alebo v3 server

• OpenLDAP, prípadne Microsoft Active Directory

• Kerberos protokolu (pam_krb5.so)• umožňuje použiť ľubovoľný Kerberos server

• MIT Kerberos, Heimdal Kerberos, prípadne Microsoft Active Directory

• radiča domény (pam_winbind.so)• /lib/x86_64-linux-gnu/security/pam_winbind.so

27

Linux NSS

• Name Service Switch poskytuje

• programové rozhranie pre získanie informácií o používateľoch, ...

• skrýva špecifiká rôznych zdrojov pred aplikáciou

• spája ich do jedného zdroja

• správcom konfigurovateľný spôsob poprepájania rôznych zdrojov

informácií (cez /etc/nsswitch.conf)

• špeciálne nás zaujíma konfigurácia spôsobov získavania informácie

o používateľoch a skupinách

• príklady zdrojov:• files – /lib/x86_64-linux-gnu/libnss_files.so.2

• winbind – /lib/x86_64-linux-gnu/libnss_winbind.so.2

• dajú sa konfigurovať aj iné informácie, napríklad:

• services – mapovanie názvu služby na port/protokol

28

Tri autentifikačné stratégie voči AD

• LDAP autentifikácia• najjednoduchšie, ale najmenej vyhovujúce riešenie

• Windows používa Kerberos, s núdzovým prechodom na NTLM, nie LDAP

• posiela po sieti meno a heslo v otvorenom tvare• toto riziko sa dá zmierniť vytvorením bezpečného kanálu

• napríklad pomocou SSL• to zas ale vyžaduje dodatočnú starostlivosť o SSL certifikáty na oboch koncoch

• autentifikácia pomocou LDAP a Kerberos• autentifikácia cez Kerberos pomocou PAM

• informácie o používateľoch a skupinách cez LDAP pomocou NSS

• nevyužíva DNS SRV záznamy, ktoré radič domény zverejňuje• je nutné vybrať konkrétne radiče domén pre autentifikáciu

• neposkytuje intuitívny spôsob správy expirujúcich hesiel

• autentifikácia pomocou winbind• PAM a NSS komunikujú s winbind démonom

• winbind preloží rôzne PAM a NSS požiadavky do zodpovedajúcich požiadaviek na doménový radič, použitím LDAP, Kerberos alebo RPC, podľa toho, čo je najvhodnejšie

29

Linux – konfigurácia siete

• Linux by mal používať DNS server domény, do ktorej sa pripája• vo väčšine prípadov sa asi používa DNS integrované do Active Directory

• potom radič domény prevádzkuje aj DNS

• /etc/network/interfaces:auto eth0iface eth0 inet static

address 172.22.222.30netmask 255.255.0.0gateway 172.22.0.1dns-search corp.vasaorg.skdns-nameservers 172.22.222.10

• meno počítača musí zodpovedať jeho menu v doméne• pokiaľ je iné, tak po pridaní počítača do domény sa môže vytvoriť v AD

nesprávny objekt pre počítač

• /etc/hostname: linwo

• /etc/hosts:172.22.222.30 linwo.corp.vasaorg.sk linwo

30

Linux – konfigurácia synchronizácie času

• Kerberos protokol vyžaduje, aby server a klient mali synchronizovaný čas • štandardne Active Directory povoľuje maximálny časový posun 5 minút

• pre zaistenie synchronizácie času medzi klientom a serverom treba nakonfigurovať Linux aby využíval službu NTP (Network Time Protocol) radiča domény

tester@linwo:~$ ntpdate winsetester@linwo:~$ sudo apt-get install ntp

• /etc/ntp.conf:server 172.22.222.10 iburst prefer

tester@linwo:~$ sudo service ntp reload

tester@linwo:~$ ntpdc -premote local st poll reach delay offset disp

========================================================================172.22.222.10 172.22.222.30 1 64 377 0.00072 0.007596 0.12845

• alebo:tester@linwo:~$ ntpq -p

31

Konfigurácia PAM – autentifikačné služby

• PAM poskytuje štyri autentifikačné služby:

• auth• umožňuje aplikácii overiť identitu používateľa (napr. zadaním hesla)

• získa poverenia účtu (UID, skupiny, ...)

• account• rieši dostupnosť účtu, ktorá priamo nesúvisí s autentifikáciou

• napríklad obmedzenie na základe:• času, kedy sa môže používateľ prihlásiť

• systémových zdrojov (napríklad maximálny počet používateľov)

• spôsobu pripojenia (napríklad root sa môže prihlásiť iba na konzole)

• password• umožňuje zmenu hesla

• napríklad pri expirácii alebo z vôle používateľa

• session• vykonáva úlohy spojené s vytvorením a likvidáciou sedenia

• napr.: logovanie, vytvorenie domovského adresára, pripojenie adresárov, ...

32

Konfigurácia PAM – formát súborov

• PAM má uložené konfiguračné súbory v adresári /etc/pam.d• obsahuje textový súbor pre každú aplikáciu, ktorá používa PAM pre

autentifikáciu

• napríklad /etc/pam.d/login

• každý riadok v PAM konfiguračnom súbore na nasledovný tvar:

<group> <control> <module> <params>

• <group> určuje jednu z autentifikačných služieb (auth, ...)

• každá skupina služieb má spravidla niekoľko záznamov

• PAM spracuje záznamy v poradí, v akom sú uvedené v súbore• zavolá uvedený modul <module> s parametrami <params>

• modul vráti návratovú hodnotu (success, ignore, ...) a PAM na základe nej a riadiacej časti <control> pokračuje v spracovaní

• @include súbor• vloží obsah uvedeného súboru a spracuje jeho záznamy

33

Konfigurácia PAM – hodnoty v <control>

• riadiaca časť <control> má tvar zoznamu priradení:

[hodnota1=akcia1 hodnota2=akcia2 …]

• hodnota je návratovou hodnotou z modulu, napríklad:

• success

• úspešné vykonanie funkcie

• new_authtok_reqd

• požadovaný nový autentifikačný token

• napríklad, keď bezpečnostná politika vyžaduje, aby sa zmenilo heslo

• lebo je prázdne alebo expirovalo

• ignore

• ignoruj návratovú hodnotu tohto modulu

• default (špeciálna hodnota)

• všetky hodnoty, ktoré neboli explicitne uvedené v zozname priradení

34

Konfigurácia PAM – akcie v <control>

• ignore• modul neovplyvní úspešnosť/neúspešnosť celkovej autentifikácie

• bad• indikuje, že modul zlyhal

• ak je to prvý modul, ktorý zlyhal, tak jeho stav bude stavom celej autentifikácie

• vyhodnocovanie pokračuje ďalej

• die• podobné ako bad, len s tým rozdielom, že vyhodnocovanie sa okamžite preruší

• ok• ak predošlý stav bol úspešný, tak návratová hodnota modulu ho prepíše

• ak predošlý stav bolo zlyhanie, tak sa tento stav nezmení

• vyhodnocovanie pokračuje ďalej

• done• podobné ako ok, len s tým rozdielom, že vyhodnocovanie sa okamžite preruší

• N (prirodzené číslo > 0)• podobné ako ok, len s tým rozdielom, že vyhodnocovanie preskočí nasledujúcich

N modulov

• reset• zahodí aktuálny stav a začne s ďalším modulom s čistým stavom

35

Konfigurácia PAM – riadiace kľúčové slová

• required [success=ok new_authtok_reqd=ok ignore=ignore default=bad]• ak modul uspeje, PAM pokračuje vyhodnocovaním zostávajúcich záznamov

• výsledok bude určený výsledkom ostatných modulov

• ak modul zlyhá, tak PAM pokračuje vo vyhodnocovaní, ale výsledkom bude zlyhanie

• requisite [success=ok new_authtok_reqd=ok ignore=ignore default=die]• ak modul uspeje, PAM pokračuje vyhodnocovaním zostávajúcich záznamov

• výsledok bude určený výsledkom ostatných modulov

• ak modul zlyhá, tak PAM zastaví vyhodnocovanie a výsledkom bude zlyhanie

• použiteľné napríklad na ochranu pred zadaním hesla cez nezabezpečené médium

• sufficient [success=done new_authtok_reqd=done default=ignore]• ak modul uspeje, tak PAM zastaví vyhodnocovanie a vráti úspech (ale len ak žiadny

predchádzajúci required modul nezlyhal)

• ak modul zlyhá, tak PAM pokračuje vo vyhodnocovaní• výsledok bude určený výsledkom ostatných modulov

• optional [success=ok new_authtok_reqd=ok default=ignore]• PAM ignoruje výsledok modulu (iba ak by to bol jediný modul v skupine)

36

Konfigurácia PAM

• v common-account zmeniť riadok:account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so

• na riadky:account [success=2 new_authtok_reqd=done default=ignore] pam_unix.soaccount [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so

• v common-auth zmeniť riadok:auth [success=1 default=ignore] pam_unix.so nullok_secure

• na riadky:auth [success=2 default=ignore] pam_unix.so nullok_secureauth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE

cached_login try_first_pass

• v common-password zmeniť riadok:password [success=1 default=ignore] pam_unix.so obscure sha512

• na riadky:password [success=2 default=ignore] pam_unix.so obscure sha512password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass

• v common-session (aj v c-s-noninteractive) za riadok:session required pam_unix.so

• vložiť riadok:session optional pam_winbind.so

37

Konfigurácia NSS

• keďže chceme, aby aplikácie vyhľadávali informácie o používateľoch

a skupinách v Active Directory použitím Winbind, musíme modifikovať

konfiguračný súbor NSS pridaním modulu winbind:

• /etc/nsswitch.conf:

passwd: compat winbind

group: compat winbind

shadow: compat

...

38

Interná reprezentácia objektov

• Windows:

• Security Identifier (SID)

• štruktúra s premenlivou dĺžkou

• SID obsahuje jednoznačný identifikátor domény

• Windows môže rozlíšiť objekty z rôznych domén

• Unix

• jednoduchšia schéma

• každý objekt má ID, ktoré je 32-bitové celé číslo

• ID je jednoznačné iba v rámci jedného počítača

• t.j. nič nezaručuje, že používateľ s UID 1234 na jednom počítači je

rovnaký používateľ s UID 1234 na inom počítači

39

winbind: Mapovanie SID na Unix ID

• SID nie je možné priamo použiť ako Unix ID

• winbind práve ako jednu zo svojich služieb poskytuje

mapovanie SID na Unix ID

• mapovanie môže robiť pomocou rôznych „backend“-ov:

• idmap_tdb

• idmap_rid

• idmap_ad

• ...

40

Mapovanie ID – idmap_tdb

• postupne ako winbind vyhľadáva používateľov a skupiny

na serveri, tak mapuje ich SID na Unix ID z vybraného

rozsahu a ukladá ich do tdb databázy

• toto sa deje v poradí, v akom prichádzajú požiadavky

• všetci používatelia (skupiny) budú namapovaní akonáhle klient

vykoná príkaz na enumeráciu používateľov (skupín)

• Pozor:

• tdb databáza je jediné miesto, kde je mapovanie uložené

• ak sa poškodí alebo zmaže, tak sa nedá zistiť ktoré SID bolo

mapované na ktoré Unix ID

• na rôznych počítačoch môžu vzniknúť rôzne mapovania

41

Mapovanie ID – idmap_rid

• časť SID, ktorá jednoznačne určuje objekt v rámci

domény sa volá: Relative Identifier (RID)

• RID je 32-bitové celé číslo, rovnako ako Unix ID

• je to posledný „SubAuthority“ záznam v reťazci

• winbind môže jednoducho vybrať RID zo SID a použiť

RID ako Unix ID

• winbind označuje túto stratégiu ako „RID mapping“

• nepoužiteľné pre prostredie s viacerými doménami

• dvaja používatelia s rôznym SID môžu mať rovnaké RID

42

CN=Tester,CN=Users,DC=corp,…• sAMAccountName: Tester

• objectSid: S-1-5-21-1409194518-899342298-2743070129-1001

winbind UID = 1001

Mapovanie ID – idmap_ad

• pre každého používateľa a skupinu sa v prislúchajúcom

objekte v Active Directory uloží jeho Unix ID

• keď winbind autentifikuje používateľa, vyhľadá jeho Unix

ID v AD a poskytne ho Linux-u ako interný identifikátor

• winbind označuje túto stratégiu ako „Active Directory ID mapping“

• nevýhodou tohto riešenia je, že je nutné toto mapovanie v

AD udržiavať a zaručiť, že je v celom lese jednoznačné

43

CN=Tester,CN=Users,DC=corp,…

• sAMAccountName: Tester

• uidNumber: 10000

• gidNumber: 10000

winbind UID = 10000

Identity Management for UNIX

• obsahuje sadu nástrojov pre synchronizáciu hesiel, integráciu NIS, rozširuje AD o RFC 2307 atribúty a UI na ich správu

• pohodlné (obsahuje UI), ale zastarané

• Windows Server 2012 R2 tieto atribúty už obsahuje

• pre inštaláciu na Windows Server 2012 treba použiť DSIM (Deployment Image Servicing and Management tool)

• spúšťať z príkazového riadku spusteného ako správca

• DISM /Online /Enable-Feature /FeatureName:adminui /All• /Online

• cieľom je bežiaci operačný systém

• /Enable-Feature

• povolí špecifikovanú vlastnosť v obraze

• /All

• povolí aj všetky nadradené vlastnosti k uvedenej vlastnosti

44

Inštalácia Identity Management for UNIX

• Administrátorské rozhranie

PS> DISM /Online /Enable-Feature /FeatureName:adminui /All

Deployment Image Servicing and Management tool

Version: 6...

Image Version: 6...

Enabling feature(s)

[==========================100.0%==========================]

The operation completed successfully.

Restart Windows to complete this operation.

Do you want to restart the computer now? (Y/N)

• Server for NIS (treba pre zobrazenie záložky UNIX Attributes)

PS> DISM /Online /Enable-Feature /FeatureName:nis /All

• Password Synchronization (pre UI netreba)

PS> DISM /Online /Enable-Feature /FeatureName:psync /All

45

UI pre správu UNIX-ových atribútov

46


46


46

Samba – konfigurácia 1/2

• smb.conf (v časti [global])realm = corp.vasaorg.sksecurity = ADS

• správa sa ako člen domény vo vyššie uvedenom ADS realm

server role = member server• overuje používateľov cez ADS (server najprv musí byť pridaný do domény)

winbind enum users = yeswinbind enum groups = yes

• hodnota „no“ by zakázala enumerovanie (vhodné pre veľké systémy)

winbind nss info = rfc2307• schéma pre vyhľadávanie informácií

template homedir = /home/%D/%Utemplate shell = /bin/bash

• štandardný domovský adresár a shell (pokiaľ sa nešpecifikuje v AD iný)

idmap cache time = 1idmap negative cache time = 1winbind cache time = 1

• ak chceme rýchlu reakciu na zmenu údajov v AD

47

Samba – konfigurácia 2/2

• smb.conf (v časti [global])

idmap config * : backend = tdb

idmap config * : range = 1000000-1999999

• slúži ako záložný mapovací spôsob, pokiaľ sa nedá aplikovať nasledovný:

idmap config CORP : backend = ad

idmap config CORP : range = 10000-999999

• range pracuje ako filter, t.j ak je ID v AD mimo rozsah, tak je ignorované a

nepoužije sa na mapovanie (použije sa tdb)

• ochrana pred nechceným prekryvom medzi lokálnymi a vzdialenými ID

idmap config CORP : schema_mode = rfc2307

• určuje schému, ktorú idmap_ad použije pri vyhľadávaní informácií o

používateľoch a skupinách v AD

• sfu: Windows Services for UNIX

• rfc2307: An Approach for Using LDAP as a Network Information Service

• Services for UNIX sú staršie ako RFC 2307

48

Automatické vytvorenie domovského adresára

• keď sa do Linuxu prihlási používateľ, tak systém očakáva, že bude mať vytvorený domovský adresár

• keďže používateľov vytvárame v AD, Linux automaticky nevytvorí ich domovské adresáre pri ich pridaní

• našťastie, PAM je možné nakonfigurovať tak, aby domovský adresár vytvorilo ako súčasť prípravy sedenia

• v /etc/pam.d/common-session za riadok:session optional pam_umask.so

• pridať riadok:session optional pam_mkhomedir.so skel=/etc/skel

• tento riadok zabezpečí vytvorenie domovského adresára,

pokiaľ už neexistuje

49

Pridanie Samba servera do domény

tester@linwo:~$ sudo net rpc join -U Administrator MEMBER


Joined domain CORP.

• spustenie služby winbind:

tester@linwo:~$ sudo service winbind start

50

Používatelia a skupiny z AD

tester@linwo:~$ wbinfo -u

CORP\administrator

CORP\guest

CORP\tester

CORP\krbtgt

tester@linwo:~$ wbinfo -g

CORP\domain computers

CORP\domain controllers

CORP\schema admins

CORP\enterprise admins

CORP\domain admins

CORP\domain users

CORP\domain guests

…

51

Integrácia lokálnych a AD používateľov

tester@linwo:~$ getent passwd

...

tester:x:1000:1000:Tester,,,:/home/tester:/bin/bash

CORP\tester:*:10001:10001:Tester:/home/Tester:/bin/sh

CORP\ric:*:10002:10001:Richard Ostertag:/home/ric:/bin/sh

52

Prihlásenie používateľa z AD

tester@linwo:/etc$ ssh CORP\\ric@localhost

CORP\ric@localhost's password:

Creating directory '/home/ric'.

Welcome to Ubuntu 14.10 (GNU/Linux 3.16.0-25-generic x86_64) ...

CORP\ric@linwo:~$ ls -la

total 36

drwxr-xr-x 3 CORP\ric CORP\domain users 4096 Aug 30 14:07 .

drwxr-xr-x 4 root root 4096 Aug 30 14:07 ..

-rw-r--r-- 1 CORP\ric CORP\domain users 220 Aug 30 14:07 .bash_logout

-rw-r--r-- 1 CORP\ric CORP\domain users 3760 Aug 30 14:07 .bashrc

drwx------ 2 CORP\ric CORP\domain users 4096 Aug 30 14:07 .cache

-rw-r--r-- 1 CORP\ric CORP\domain users 8980 Aug 30 14:07 examples.desktop

-rw-r--r-- 1 CORP\ric CORP\domain users 675 Aug 30 14:07 .profile

CORP\ric@linwo:~$ id

uid=10002(CORP\ric) gid=10001(CORP\domain users) ...

53

smbclinet: Autentifikácia cez AD

• prihlásenie do systému ako doménový používateľtester@linwo:~$ ssh CORP\\ric@localhost

CORP\ric@localhost's password:

• vyžaduje hesloCORP\ric@linwo:~$ smbclient //winse/users

Enter CORP\ric's password:


smb: \>

• nevyžaduje hesloCORP\ric@linwo:~$ smbclient --kerberos //winse/users


smb: \>

54

Zmena hesla v AD

CORP\ric@linwo:~$ passwd

Changing password for CORP\ric

(current) NT password:

Enter new NT password:

Retype new NT password:

passwd: password updated successfully

#password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass

password [success=1 default=ignore] pam_winbind.so try_first_pass

• use_authtok• nastaví nové heslo na heslo poskytnuté predošlým „password“

modulom

• ak táto možnosť nie je nastavená, tak pam_winbind sa opýta používateľa na nové heslo

55

B. Samba 4 ako radič domény AD na Linuxe

56

Konfigurácia siete

• /etc/NetworkManager/system-connections/Wired connection 1:

[ipv4]

method=manual

dns=172.22.0.1;

address1=172.22.222.11/16,172.22.0.1

• /etc/NetworkManager/NetworkManager.conf zakomentovať:

#dns=dnsmasq

• /etc/hostname: linse

• /etc/hosts: namiesto riadku

127.0.1.1 linse• vložiť riadok:

172.22.222.30 linse.corp.vasaorg.sk linse

• sudo apt-get purge avahi-autoipd avahi-daemon avahi-utils• zbytočné pre server s dobre nakonfigurovanou sieťou

57

Odporúčania pre Samba AD DC

• pri väčšom počte používateľov sa odporúča prevádzkovať

viac DC

• odporúča sa prevádzkovať súborový server ako

samostatný členský server

• oddelenie umožňuje aktualizovať DC a FS samostatne, bez

narušenia činnosti druhého servera

• problémy s winbind integrovaným do DC

• Samba má svoju implementáciu Kerberos a LDAP

• neodporúča sa používať externé implementácie

58

Základná inštalácia

• súborový systém s podporou rozšírených atribútov

• Tam, kde budú zdieľané priečinky (/var/lib/samba/sysvol)

• cat /boot/config-3.16.0-25-generic | grep "EXT._FS_"

CONFIG_EXT4_FS_XATTR=y

CONFIG_EXT4_FS_POSIX_ACL=y

CONFIG_EXT4_FS_SECURITY=y

• v súbore /etc/fstab, pridať k správnemu FS: user_xattr,acl,barrier=1

• barrier=1: zaistí, že tdb transakcie zvládnu neočakávaný výpadok napájania

• sudo apt-get install krb5-userDefault Kerberos version 5 realm: CORP.VASAORG.SK

Kerberos servers for your realm: linse.corp.vasaorg.sk

Administrative server for your Kerberos realm: linse.corp.vasaorg.sk

• sudo apt-get install samba

• momentálne je v Ubuntu 14.10 samba verzia 4.1.11

59

Zriadenie domény (DCPROMO)

• vytvorí Active Directory databázu

• najprv zmazať /etc/samba/smb.conf

• ak existuje

• sudo samba-tool domain provision --use-rfc2307 --interactive \--option="interfaces=lo eth0" --option="bind interfaces only=yes" \--function-level=2008_R2

• --use-rfc2307

• RFC 2307 (An Approach for Using LDAP as a Network Information Service)

• doplní do schémy AD rozšírenie o atribúty ako uidNumber

• bez tohto parametra sa rozšírené atribúty nepridajú

• --interactive

• samba-tool sa bude interaktívne pýtať na potrebné parametre

• preddefinované hodnoty budú v hranatých zátvorkách

• pre ich použitie stačí stlačiť ⏎

60

http://tools.ietf.org/html/rfc2307

Ďalšie parametre

• --function-level=2008_R2

• funkčná úroveň domény a celého lesa

• možnosti sú: 2000, 2003, 2008, 2008_R2

• preddefinovaná hodnota je 2003

• --site=SITENAME

• nastaví meno fyzickej lokality

• --option=OPTION

• pridá OPTION do smb.conf

• --option="interfaces=lo eth0"

• --option="bind interfaces only=yes"

• niekedy je vhodné obmedziť rozhrania, kde bude Samba počúvať

• napríklad keď je server priamo pripojený na Internet

61

Interakcia so samba-tool domain provision

Realm: CORP.VASAORG.SK

Domain [corp]: CORP

Server Role (dc, member, standalone) [dc]: dc

DNS backend (…) [SAMBA_INTERNAL]: SAMBA_INTERNAL

DNS forwarder IP address (…) [127.0.1.1]: 172.22.0.1

Administrator password: ****

Retype password: ****

Looking up IPv4 addresses

Looking up IPv6 addresses

No IPv6 address will be assigned

Setting up share.ldb

Setting up secrets.ldb

Setting up the registry

Setting up the privileges database

Setting up idmap db

Setting up SAM db

Setting up sam.ldb partitions and settings

Setting up sam.ldb rootDSE

Pre-loading the Samba 4 and AD schema

Adding DomainDN: DC=corp,DC=vasaorg,DC=sk

Adding configuration container

Setting up sam.ldb schema

Setting up sam.ldb configuration data

Setting up display specifiers

Modifying display specifiers

Adding users container

Modifying users container

Adding computers container

Modifying computers container

Setting up sam.ldb data

Setting up well known security principals

Setting up sam.ldb users and groups

Setting up self join

Adding DNS accounts

Creating CN=MicrosoftDNS,CN=System,DC=corp,DC=vasaorg,DC=sk

Creating DomainDnsZones and ForestDnsZones partitions

Populating DomainDnsZones and ForestDnsZones partitions

Setting up sam.ldb rootDSE marking as synchronized

Fixing provision GUIDs

A Kerberos configuration suitable for Samba 4 has beengenerated at /var/lib/samba/private/krb5.conf

Setting up fake yp server settings

Once the above files are installed, your Samba4 serverwill be ready to use

Server Role: active directory domain controller

Hostname: linse

NetBIOS Domain: CORP

DNS Domain: corp.vasaorg.sk

DOMAIN SID: S-1-5-21-2144280183-3080654876-3525390984

62

Význam parametrov 1/2

• Realm: corp.vasaorg.sk• Kerberos realm (oblasť)

• automaticky sa použije aj ako AD DNS meno

• malo by byť veľkými písmenami

• Domain [corp]: corp• meno domény

• obyčajne prvá časť AD DNS mena

• veľkými písmenami

• Server Role (dc, member, standalone) [dc]: dc• dc ako Domain Controller

• DNS backend (…) [SAMBA_INTERNAL]: SAMBA_INTERNAL• SAMBA_INTERNAL – interný DNS server

• preddefinovaná a najlepšia voľba (pokiaľ nie sú kladené špeciálne požiadavky na DNS)

• nevyžaduje žiadne ďalšie konfigurovanie

• BIND9 – pre komplexnejšie požiadavky na DNS• BIND9_DLZ – informácie o zónach sú uložené v AD, odporúčané

• BIND9_FLATFILE – textová databáza pre BIND9, nepoužívať• nedokumentované, nepodporované

63

Význam parametrov 2/2

• DNS forwarder IP address (…) [127.0.1.1]: 172.22.0.1• nastaviteľné iba ak sa používa interná DNS

• definuje IP adresu jedného DNS servera, kam sa posielajú požiadavky, pre ktoré interný server nie je autoritatívny

• Administrator password: ****• musí mať aspoň 8 znakov a obsahovať aspoň tri z nasledujúcich

skupín znakov:

• veľké písmená

• malé písmená

• číslice

• symboly

• všetky znaky na klávesnici, ktoré nie sú definované ako písmená alebo číslice

• ak heslo nespĺňa tieto požiadavky, zriadenie domény sa nepodarí:

ERROR(ldb): uncaught exception - 0000052D: Constraint violation

- check_password_restrictions: the password is too short.

It should be equal or longer than 7 characters!

64

Vytvorený konfiguračný súbor

• /etc/samba/smb.conf: (samba-tool testparm)

[global]workgroup = CORP

• meno domény

realm = CORP.VASAORG.SK• názov Kerberos oblasti

netbios name = LINSE• NetBIOS meno Samba servera (štandardne prvá časť DNS mena počítača)

interfaces = lo, eth0bind interfaces only = Yesserver role = active directory domain controller

• standalone, member server, classic primary alebo netbios backup domain controller

dns forwarder = 172.22.0.1• používa sa iba pri internom DNS serveri pre preposielanie požiadaviek pre ktoré samotná Samba nie

je autoritatívny server

idmap_ldb:use rfc2307 = yes• zabuduje do LDAP rozšírené atribúty z RFC 2307 (ako napr. uid)

[netlogon]path = /var/lib/samba/sysvol/corp.vasaorg.sk/scriptsread only = No

[sysvol]path = /var/lib/samba/sysvolread only = No

65

Konfiguračný súbor – implicitné parametre

• samba-tool testparm vs. testparmpassdb backend = samba_dsdb

• Samba directory services database

rpc_server:tcpip = no # yes je momentálne iba pre testovanie

rpc_daemon:spoolssd = embedded

rpc_server:spoolss = embedded # Network Printing Spooler

rpc_server:winreg = embedded # Remote Registry Service

rpc_server:ntsvcs = embedded # Plug and Play Services

rpc_server:eventlog = embedded # Event Logger

rpc_server:srvsvc = embedded # Remote Server Services

rpc_server:svcctl = embedded # Service Control

rpc_server:default = external

idmap config * : backend = tdb

map archive = No # nepoužíva špeciálne mapovanie týchto atribútov

map readonly = no # do štandardných UNIX atribútov, ale používa

store dos attributes = Yes # mapovanie DOS atribútov (S,H,A,RO) do

# rozšíreného atribútu FS s názvom user.DOSATTRIB

vfs objects = dfs_samba4, acl_xattr

# dfs_samba4: Distributed File System založený na doméne

# acl_xattr: ukladá NTFS ACL do rozšíreného atribútu security.NTACL

66

Spustenie a kontrola Samba AD-DC procesov

• zlý stavtester@linse:~$ ps axf | grep -E "samba|smbd|nmbd|winbindd"3949 ? Ss 0:00 smbd -F4028 ? S 0:00 \_ smbd -F3989 ? Ss 0:00 nmbd –D

tester@linse:~$ sudo service smbd stopsmbd stop/waitingtester@linse:~$ sudo service nmbd stopnmbd stop/waiting

• dobrý stavtester@linse:~$ ps axf | grep -E "samba|smbd|nmbd|winbindd"4445 ? Ss 0:00 samba -D4484 ? S 0:00 \_ samba -D4489 ? Ss 0:00 | \_ /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground4501 ? S 0:00 | \_ /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground4485 ? S 0:00 \_ samba -D4486 ? S 0:00 \_ samba -D4487 ? S 0:00 \_ samba -D4488 ? S 0:00 \_ samba -D4490 ? S 0:00 \_ samba -D4491 ? S 0:00 \_ samba -D4492 ? S 0:00 \_ samba -D4493 ? S 0:00 \_ samba -D4494 ? S 0:00 \_ samba -D4495 ? S 0:00 \_ samba -D4496 ? S 0:00 \_ samba -D4497 ? S 0:00 \_ samba -D

67

• spustenietester@linse:~$ sudo service samba startnmbd start/runningsmbd start/running, process 4429samba-ad-dc start/running, process 4445

Kontrola portovtester@linse:~$ sudo netstat -tulpn | egrep "samba|smbd|nmbd|winbindd"tcp 0 0 172.22.222.11:1024 0.0.0.0:* LISTEN 1410/sambatcp 0 0 127.0.0.1:1024 0.0.0.0:* LISTEN 1410/samba…

68

TCP UDP Local Address Port Service PID Program

✔ ✔

127.0.0.1 / 172.22.222.11

53 DNS 1454 samba

✔ ✔ 88 Kerberos 1434 samba

✔ 135End Point Mapper

DCE/RPC Locator Service1410 samba

✔ 127.0.0.1 / 127.255.255.255

172.22.222.11 / 172.22.255.255

137 NetBIOS Name Service 1411 samba

✔ 138 NetBIOS Datagram 1411 samba

✔

127.0.0.1 / 172.22.222.11

139 NetBIOS Session 1412 smbd

✔ ✔ 389 LDAP 1429 samba

✔ 445 SMB over TCP 1412 smbd

✔ ✔ 464 Kerberos kpasswd 1434 samba

✔ 636 LDAPS 1429 samba

✔ 1024 Dynamic RPC Ports (1024-5000) 1410 samba

✔ 3268 Global Catalog 1429 samba

✔ 3269 Global Catalog SSL 1429 samba

Kontrola konfigurácie zdieľaných priečinkov

• kontrola, či AD DC poskytuje priečinky netlogon a sysvol

• sudo apt-get install smbclient

• -Uusername[%password]

tester@linse:~$ smbclient --list localhost -UGuest%

Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]

Sharename Type Comment

--------- ---- -------

netlogon Disk

sysvol Disk

IPC$ IPC IPC Service (Samba 4.1.11-Ubuntu)


Server Comment

--------- -------

Workgroup Master

--------- -------

69

Kontrola autentifikácie

tester@linse:~$ smbclient //localhost/sysvol -UGuest% -c 'ls'

Anonymous login successful


tree connect failed: NT_STATUS_ACCESS_DENIED

tester@linse:~$ smbclient //localhost/sysvol -UAdministrator -c 'ls'



. D 0 Fri …

.. D 0 Fri …

corp.vasaorg.sk D 0 Fri …

38043 blocks of size 524288. 26251 blocks available

70

Konfigurácia DNS a kontrola funkčnosti

• pre správnu činnosť AD je nutná korektná funkčnosť DNS

• napríklad bez správnych záznamov nebude pracovať Kerberos

• /etc/NetworkManager/system-connections/Wired connection 1:

[ipv4]

method=manual

dns=172.22.222.11;

dns-search=corp.vasaorg.sk;

address1=172.22.222.11/16,172.22.0.1

• sudo service network-manager restart

• host -t SRV _ldap._tcp.corp.vasaorg.sk.

• _ldap._tcp.corp.vasaorg.sk has SRV record 0 100 389 linse.corp.vasaorg.sk.

• host -t SRV _kerberos._udp.corp.vasaorg.sk.

• _kerberos._udp.corp.vasaorg.sk has SRV record 0 100 88 linse.corp.vasaorg.sk.

• host -t A linse.corp.vasaorg.sk

• linse.corp.vasaorg.sk has address 172.22.222.11

71

Konfigurácia Kerberos

• Kerberos je dôležitou súčasťou AD

• počas zriadenia domény vznikla konfigurácia pre používateľské programy Kerberosu, preto treba nahradiť /etc/krb5.conf súborom /var/lib/samba/private/krb5.conf:

[libdefaults]

default_realm = CORP.VASAORG.SK

dns_lookup_realm = false

dns_lookup_kdc = true

• sudo ln -sf /var/lib/samba/private/krb5.conf /etc/krb5.conftester@linse:~$ kinit Administrator

Password for [email protected]:

Warning: Your password will expire in 41 days on …

tester@linse:~$ klist -fe

Ticket cache: FILE:/tmp/krb5cc_1000

Default principal: [email protected]

Valid starting Expires Service principal

… … krbtgt/[email protected]

renew until …, Flags: RIA

Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

72

Test pripojenia cez Kerberos

tester@linse:~$ smbclient //linse/sysvol --kerberos -c 'ls'


. D 0 Fri …

.. D 0 Fri …

corp.vasaorg.sk D 0 Fri …

38043 blocks of size 524288. 26128 blocks available

tester@linse:~$ klist -fe

Ticket cache: FILE:/tmp/krb5cc_1000

Default principal: [email protected]

Valid starting Expires Service principal

… … krbtgt/[email protected]

renew until …, Flags: RIA


… … cifs/[email protected]

renew until …, Flags: RATO


73

NTP server pre AD

• AD vyžaduje synchronizáciu času s klientmi• pre riešenie konfliktov pri replikácii

• pre zabránenie útokov opakovaním v Kerberos protokole

• maximálny povolený časový rozdiel je štandardne 5 minút

• Windows klienti požadujú NTP server s podporou MS-SNTP• Network Time Protocol (NTP) Authentication Extensions

• špecifikácia Windows protokolov (≈ 400 PDF, ≈ 900 MB)• http://go.microsoft.com/fwlink/?LinkId=389156

• Samba štandardne poskytuje pre ntpd podpisovanie paketov• aby NTP server nemusel riešiť, odkiaľ má získať kľúč

• server services = +ntp_signd

• pre komunikáciu s ntpd používa socket• ntp signd socket directory = /var/lib/samba/ntp_signd

• ntpd vo verzii aspoň 4.2.6 s podporou ntp_signd• --enable-ntp-signd

• sudo apt-get install ntp

74

http://go.microsoft.com/fwlink/?LinkId=389156

Konfigurácia NTP servera

• chown root:ntp /var/lib/samba/ntp_signd

• chmod 750 /var/lib/samba/ntp_signd

• /etc/ntp.conf:driftfile /var/lib/ntp/ntp.drift

ntpsigndsocket /var/lib/samba/ntp_signd # without /socket !

# Specify one or more NTP servers.

server 0.ubuntu.pool.ntp.org iburst prefer

…

# Local clock pseudo IP (used in case of network problems).

server 127.127.1.0

fudge 127.127.1.0 stratum 10

# By default, exchange time with everybody (incl. MS-SNTP), but don't allow configuration.

restrict default notrap nomodify noquery nopeer mssntp

# Local users may interrogate the ntp server more closely, allow everything.

restrict 127.0.0.1

restrict ::1

# For time servers allow queries.

restrict 0.ubuntu.pool.ntp.org notrap nomodify nopeer

…

75

samba-tool fsmo

• FSMO – Flexible Single Master Operations

tester@linse:~$ sudo samba-tool fsmo show

InfrastructureMasterRole owner: ...

RidAllocationMasterRole owner: ...

PdcEmulationMasterRole owner: ...

DomainNamingMasterRole owner: ...

SchemaMasterRole owner: ...

• kde ... sú:

CN=NTDS Settings,CN=LINSE,CN=Servers,

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,

DC=corp,DC=vasaorg,DC=sk

76

Kontrola lokálnej AD databázy

tester@linse:~$ sudo samba-tool dbcheck

Checking 265 objects

Checked 265 objects (0 errors)

77

Zoznam všetkých používateľov domény

tester@linse:~$ sudo samba-tool user list

Administrator

krbtgt

Guest

78

Zmena funkčnej úrovne domény a lesa

tester@linse:~$ sudo samba-tool domain level show

Domain and forest function level for domain 'DC=corp,DC=vasaorg,DC=sk'

Forest function level: (Windows) 2003

Domain function level: (Windows) 2003

Lowest function level of a DC: (Windows) 2008 R2

tester@linse:~$ sudo samba-tool domain level raise --forest-level=2008_R2 \

--domain-level=2008_R2

Domain function level changed!

Forest function level changed!

All changes applied successfully!

tester@linse:~$ sudo samba-tool domain level show

Domain and forest function level for domain 'DC=corp,DC=vasaorg,DC=sk'

Forest function level: (Windows) 2008 R2

Domain function level: (Windows) 2008 R2

Lowest function level of a DC: (Windows) 2008 R2

79

Zobrazenie politiky hesiel v doméne

tester@linse:~$ sudo samba-tool domain passwordsettings show

Password informations for domain 'DC=corp,DC=vasaorg,DC=sk'

Password complexity: on

Store plaintext passwords: off

Password history length: 24

Minimum password length: 7

Minimum password age (days): 1

Maximum password age (days): 42

80

Pridanie Windows do domény – predpoklady

• správna edícia Windows:• Windows 8 / 8.1 Pro, Enterprise

• Windows 7 Professional, Ultimate, Enterprise

• Windows Vista Business, Ultimate, Enterprise

• práva lokálneho správcu (na PC, ktoré sa pripája)

• znalosť mena a hesla doménového účtu, ktorý má oprávnenie pridávať počítače do domény• Domain Administrator

• DNS nastavené tak, aby sa dala zistiť IP adresa pre DC, LDAP, Kerberos, ...• v našom prípade DNS nastavíme priamo na DC

• správny čas• synchronizácia s PDC sa nastaví automaticky po pripojení do

domény

81

Pridanie Windows do domény

82


82


82


82


82


82


82


82


82


82

Kontrola synchronizácie času

PS C:\Users\Administrator.CORP> w32tm /resync

Sending resync command to local computer

The computer did not resync because no time data was available.

• pozrieť či náhodou v /var/log/syslog nie je niečo ako:… linse kernel: … apparmor="DENIED" operation="open"

profile="/usr/sbin/ntpd" … requested_mask="r" denied_mask="r" …

• ak áno, tak AppArmor má zlý záznam v /etc/apparmor.d/usr.sbin.ntpd:# samba4 ntp signing socket

/{,var/}run/samba/ntp_signd/socket rw,

• opraviť pridaním riadku do /etc/apparmor.d/local/usr.sbin.ntpd# Site-specific additions and overrides for usr.sbin.ntpd.

# For more details, please see /etc/apparmor.d/local/README.

/var/lib/samba/ntp_signd/socket rw,

• správna synchronizácia času:PS C:\Users\Administrator.CORP> w32tm /resync

Sending resync command to local computer

The command completed successfully.

83

Prihlásenie ako používateľ domény

84

Prihlásenie ako používateľ domény

84

Inštalácia RSAT

• RSAT – Remote Server Administration Tools

• najjednoduchší spôsob, ako spravovať Samba doménu

• nástroje priamo od Microsoftu

• dobrá dokumentácia

• samba-tool ešte nie je ich plnohodnotnou náhradou

• Remote Server Administration Tools for Windows 8.1

• http://www.microsoft.com/en-us/download/details.aspx?id=39296

• Windows8.1-KB2693643-x64.msu (67,6 MB)

• Remote Server Administration Tools for Windows 7 (SP1)

• http://www.microsoft.com/en-us/download/details.aspx?id=7887

• Windows6.1-KB958830-x64-RefreshPkg.msu (239,5 MB)

85

http://www.microsoft.com/en-us/download/details.aspx?id=39296

http://www.microsoft.com/en-us/download/details.aspx?id=7887

Inštalácia RSAT

86

Inštalácia RSAT

86

Inštalácia RSAT

86

Inštalácia RSAT

86

Inštalácia RSAT

86

ADSI Edit

87

ADUC – pridanie nového používateľa

88


88


88


88


88


88


88

Expirované heslo

tester@linse:~$ kinit ric

Password for [email protected]:

Password expired. You must change it now.

Enter new password:

Enter it again:

Password change rejected: Try a more complex password, or contact your administrator.. Please try again.

Enter new password:

Enter it again:

Warning: Your password will expire in 24 hours on …

89

Samba 4 – skupinové politiky

• vie obsluhovať skupinové politiky (GPO) pre klientov

• ignoruje nastavenia GPO, ktoré by boli pre ňu aplikovateľné

• napríklad minimálna dĺžka hesla

• existuje projekt, ktorého cieľom je, aby

• Samba 4 DC vedel o GPO, ktoré sú na neho aplikovateľné

• aplikoval na seba uvedené nastavenie

• pravidelne (nie len pri štarte)

• s ohľadom na hierarchiu GPO

90

Group Policy Management

91

Group Policy Management

91

List all GPOs

tester@linse:~$ sudo samba-tool gpo listall

GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}

display name : Default Domain Policy

path : \\corp.vasaorg.sk\sysvol\corp.vasaorg.sk\Policies\

{31B2F340-016D-11D2-945F-00C04FB984F9}

dn : CN={31B2F340-016D-11D2-945F-00C04FB984F9},

CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk

version : 0

flags : NONE

GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9}

display name : Default Domain Controllers Policy

path : ...\{6AC1786C-016F-11D2-945F-00C04FB984F9}

dn : CN={6AC1786C-016F-11D2-945F-00C04FB984F9},...

version : 0

flags : NONE

92

Vytvorenie nového GPO

93


93


93


93


93

Editácia obsahu GPO

94

Editácia obsahu GPO

94

Vyvorenie prihlasovacieho skriptu

95


95


95


95


95


95


95


95


95

Nové politiky z pohľadu samba-tool


GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}

...

GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9}

...

GPO : {BC83D076-EA0A-436C-BFEC-5FEA5E58E042}

display name : no recycle bin

path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}

dn : CN={BC83D076-EA0A-436C-BFEC-5FEA5E58E042},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk

version : 65536

flags : NONE

GPO : {22CC4007-CEED-45BE-9896-9D1C65A833A7}

display name : logon script

path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{22CC4007-CEED-45BE-9896-9D1C65A833A7}

dn : CN={22CC4007-CEED-45BE-9896-9D1C65A833A7},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk

version : 65536

flags : NONE

96

Nové politiky z pohľadu samba-tool


GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}

...

GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9}

...

GPO : {BC83D076-EA0A-436C-BFEC-5FEA5E58E042}

display name : no recycle bin

path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}

dn : CN={BC83D076-EA0A-436C-BFEC-5FEA5E58E042},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk

version : 65536

flags : NONE

GPO : {22CC4007-CEED-45BE-9896-9D1C65A833A7}

display name : logon script

path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{22CC4007-CEED-45BE-9896-9D1C65A833A7}

dn : CN={22CC4007-CEED-45BE-9896-9D1C65A833A7},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk

version : 65536

flags : NONE

96

Rozšírené atribúty súborov

tester@linse:~$ sudo getfattr -m- /var/lib/samba/sysvol/corp.vasaorg.sk/Policies/

{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}/User/Registry.pol

getfattr: Removing leading '/' from absolute path names

# file: var/lib/samba/sysvol/corp.vasaorg.sk/Policies/


security.NTACL

system.posix_acl_access

user.DOSATTRIB

tester@linse:~$ sudo getfattr -n security.NTACL /var/lib/samba/sysvol/corp.vasaorg.sk/Policies/


getfattr: Removing leading '/' from absolute path names

# file: var/lib/samba/sysvol/corp.vasaorg.sk/Policies/


security.NTACL=0sBAAEAAAAAgAEAAIAAQDHJo3bocwWXCSwtThCodEAGTuLcpqEAN6n31Xa7yJo1gAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAcG9zaXhfYWNsABTBJxfLEtABesnBiD0TEekl+JDvtnA3/bC0GPPrAtJpZKHDeQ043fcAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEABIS0AAAAxAAAAAAAAADgAAAAAQIAAAAAAAUgAAAAIAIAAAEFAAAA

AAAFFQAAAHcez38cEJ+3iDIh0gECAAACAKQABgAAAAAQJAD/AR8AAQUAAAAAAAUVAAAAdx7PfxwQn7eIMiHSAAIAAAAQJAD

/AR8AAQUAAAAAAAUVAAAAdx7PfxwQn7eIMiHSBwIAAAAQGAD/AR8AAQIAAAAAAAUgAAAAIAIAAAAQFAD/AR8AAQEAAAAAAA

USAAAAABAUAKkAEgABAQAAAAAABQsAAAAAEBQAqQASAAEBAAAAAAAFCQAAAA==

97

C. Cygwin

98

Cygwin

• Cygwin poskytuje pre Windows• veľkú zbierku štandardných GNU a Open Source nástrojov

• ktoré sú bežné pre mnohé Unixové distribúcie

• knižnicu (DLL) implementujúcu POSIX API

• systémové volania a prostredie, ktoré Unixové aplikácie očakávajú

• vďaka tomu je možné portovať mnohé Unixové programy na Windows bez výrazných zmien v zdrojovom kóde

• Cygwin neumožňuje:• spúšťať „binárky“ Linuxových aplikácií na Windows

• aplikácie treba minimálne prekompilovať zo zdrojových súborov s použitím Cygwin knižnice

• domovská stránka Cygwin projektu: https://www.cygwin.com

• k dispozícii zadarmo v podstate pod GPL licenciou• pre portovanie proprietárnej aplikácie (bez zverejnenia zdrojových

kódov) na Windows s pomocou Cygwin je potrebné zakúpiť špeciálnu licenciu od firmy Red Hat

99

https://www.cygwin.com/

http://cygwin.com/licensing.html

Cygwin – inštalácia

• stiahnuť inštalačný súbor

• http://cygwin.com/setup-x86_64.exe

• kedykoľvek možné spustiť pre inštaláciu alebo

aktualizáciu

• možná aj bez administrátorských oprávnení

• tie sú potrebné len pre inštaláciu pre všetkých používateľov na PC

• setup-x86_64.exe --no-admin

100

http://cygwin.com/setup-x86_64.exe


101


101


101


101


101


101


101


101


101


101


101


101


101


101

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin – ssh

102

Cygwin/X - inštalácia

103


103


103


103


103


103


103


103


103


103


103


103


103


103


103


103

Cygwin/X – integrácia s Windows

• integrácia schránok (clipboard)

• umožňuje kopírovať medzi Windows oknami a X oknami

• windowing mode

• rooted mode

• každá X obrazovka (screen) sa zobrazí ako jedno Windows okno

• všetky X okná tejto obrazovky sa zobrazujú v rámci tohto okna

• je možné si zvoliť vlastného správcu okien (window manager)

• napríklad /usr/bin/fvwm2

• multiwindow mode

• interný správca okien (window manager)

• každé „top-level“ X okno je samostatné Windows okno

• rootless mode

• koreňové (root) X okno sa nezobrazuje, ale zobrazujú sa „top-level“ okná

• umožňuje integráciu s Windows ale s použitím vybraného správcu okien

104

Cygwin/X – spustenie

• mutiwindow mode• startxwin (z terminálového okna)

• XWin Server (zo štart menu)

• možné prispôsobiť cez ~/.startxwinrc

• cp /etc/X11/xinit/startxwinrc ~/.startxwinrc

• server beží aj po skončení skriptu

• rooted mode• startx – hneď skončí (lebo štandardne nič nespúšťa)

• startx /usr/bin/fvwm2

• keď chceme spustiť iba jeden program (napr. správcu okien)

• konfigurovateľné cez ~/.xinitrc

• cp /etc/X11/xinit/xinitrc ~/.xinitrc

• startx skončí, keď ~/.xinitrc skript skončí

• XLaunch (zo štart menu)• konfigurovateľné cez dialógové okno

105

Cygwin/X – XWin Server

• spustiť XWin Server

• spustiť Cygwin64 Terminal alebo použiť xterm

• nastaviť premennú prostredia DISPLAY:

• export DISPLAY=:0.0

• tento krok nie je potrebný, pokiaľ sa používa xterm

• premenná DISPLAY totiž už musí byť nastavená

• spustiť v termináli ssh pripojenie na vzdialený server:• ssh -Y tester@linse

• spustiť aplikáciu na vzdialenom počítači:

• xcalc &

• pokiaľ vzdialený SSH server nedovoľuje preposielanie

• /etc/ssh/sshd_config: X11Forwarding yes

106

Cygwin/X – XWin Server

107

Cygwin/X – startx /usr/bin/fvwm2

108


108


108


108

Cygwin/X – XLaunch

109


109


109


109


109


109

PuTTY

• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)

• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

110

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

PuTTY



110


PuTTY



110


PuTTY



110


PuTTY



110


PuTTY



110


PuTTY



110


D. RDP – pripojenie vzdialenej pracovnej

plochy Windows na Linuxe

111

rdesktop

• natívny Windows RDP klient pre Linux

• nepodporuje Network Level Authentication (NLA)

• zavedené s Windows Vista

• sudo apt-get install rdesktop

• 1.7.1-1ubuntu2

• tester@linse:~$ rdesktop -u tester -z -x l winwo

• -u meno používateľa

• -d doména

• -z povolí kompresiu dátového toku

• -x nastaví šírku dátového toku (l[an], b[roadband], m[oden])

112

Vypnutie vynucovania NLA

113

Vypnutie vynucovania NLA

113

Pripojenie cez rdesktop bez NLA

114

Pripojenie cez rdesktop bez NLA

114

FreeRDP

• sudo apt-get install freerdp-x11

• 1.0.2-2ubuntu1 (na githube je 1.2)

• podporuje NLA

• xfreerdp -u tester -z -x 0 --rfx --sec nla winwo.corp.vasaorg.sk

• -u meno používateľa

• -d doména

• -z povolí kompresiu dátového toku

• -x nastaví šírku dátového toku

• l[an] = 0, b[roadband] = 1, m[oden] = 15

• --rfx povolí RemoteFX

• technológia pre zlepšenie vizuálneho zážitku pri RDP

• --sec nla vynúti použitie NLA

115

Prepojenie cez FreeRDP s NLA

• sudo apt-get install freerdp-x11• 1.0.2-2ubuntu1 (na github verzia 1.2)

• podporuje NLA

tester@linse:~$ xfreerdp -u tester -z -x 0 --rfx --sec nla winwo.corp.vasaorg.sk

connected to winwo.corp.vasaorg.sk:3389

creating directory /home/tester/.freerdp/certs

Password:

Certificate details:

Subject: CN = winwo.corp.vasaorg.sk

Issuer: CN = winwo.corp.vasaorg.sk

Thumbprint: fd:e7:f3:3a:59:40:08:62:8b:3a:e3:8d:be:35:d9:6e:06:ff:a9

The above X.509 certificate could not be verified, possibly because you do not have the CA

certificate in your certificate store, or the certificate has expired. Please look at the

documentation on how to create local certificate store for a private CA.

Do you trust the above certificate? (Y/N) y

tester@linse:~/.freerdp$ cat known_hosts

winwo.corp.vasaorg.sk fd:e7:f3:3a:59:40:08:62:8b:3a:e3:8d:be:35:d9:6e:06:ff:a9

116

Prepojenie cez FreeRDP s NLA

117

Ďakujem za pozornosť

118

Documents

Linux vo svete Windows - CSIRT.SK · Konfigurácia AD DS 8 • nemôže byť „single-labeled“ • nie „vasaorg“ ale „vasaorg.sk“ • nevytvárajte AD les s rovnakým menom,