Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Benutzerverwaltung mit LDAP Norbert Klasen Directory Services Universität Tübingen 10.10.2000.

Ähnliche Präsentationen


Präsentation zum Thema: "Benutzerverwaltung mit LDAP Norbert Klasen Directory Services Universität Tübingen 10.10.2000."—  Präsentation transkript:

1 Benutzerverwaltung mit LDAP Norbert Klasen Directory Services Universität Tübingen

2 Benutzerverwaltung mit LDAP Benutzerverwaltung Authentifizierung Kerberos, TLS PAM Fazit Apache PAM_LDAP

3 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung3 aktueller Zustand AdministratorApplikation / Datenbank Client

4 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung4 Zentrale Struktur AdministratorApplikation Client LDAP basiertes Verzeichnis

5 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung5 LDAP als zentrales Repository Offener Standard Erweiterbares Datenmodell Performance –Überwiegend Lesezugriffe Skalierbarkeit –Replikation loose consistency mehrstufige Topologie

6 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung6 Authentifizierung Identitätsfeststellung Mechanismen –Username und Passwort –public-key Zertifikate –Chip-Karte –Biometrie

7 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung7 Autorisierung Zulässigkeit einer Operation Auswertung der Zugriffsrichtlinien (ACLs) anhand der Zugriffsfaktoren –Identität –Ziel –Operation –IP-Adresse –Verschlüsselungsstärke AuthentifizierungsID AutorisierungsID

8 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung8 Authentifizierungs-Verfahren in LDAP (rfc2829) anonym simple bind (plain text) SASL (Simple Authentication and Security Layer, rfc2222) –Challenge-Response (Digest-MD5) –GSSAPI (Kerberos 5) –EXTERNAL

9 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung9 Kerberos Network Authentication Protocol Authentication Service (AS) stellt Tickets für Services aus Ticket Granting Service (TGS) stellt Ticket für AS ermöglicht Single-Sign-On AS und TGS bilden Key Distribution Center (KDC)

10 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung10 Kerberos 5 und LDAP Kerberos 5 GSSAPI SASL Standard in Windows 2000 –Interoperabel mit Unix Implementierungen –Active Directory integriert KDC und LDAP Server Unterstützt in OpenLDAP 2.0 Reines Authentifikations System Kann keine weiteren Daten speichern

11 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung11 Transport Layer Security SSL auf Port 636 TLS (rfc2830) –LDAP Extended Request (STARTTLS) simple bind SASL EXTERNAL Mechanismus –implizit: AutorisierungsID = Subject aus X.509 Zertifikat –explizite Angabe der AutorisierungsID

12 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung12 Pluggable Authentification Modules Modularisierung der Authentifizierung unter Unix Module –/etc/passwd, Shadow, SMB, Radius, Kerberos, LDAP Name Service Switch –Auflösung Namen Nummern –z.B. UID oder Ports verfügbar unter Linux, FreeBSD, MacOS X, Solaris, HPUX, Irix

13 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung13 Authentifizierung ohne PAM Authentifizierung fest eincompiliert: pwd = getpwnam (user); if (strcmp(crypt(password,pwd->pw_passwd), pwd->pw_passwd) != 0) return AUTH_ERROR; return AUTH_SUCCESS;

14 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung14 Unix Authentifizierung Applikation C Bibliothek flat files /etc/passwd /etc/hosts Applikation C Bibliothek flat files NSS Bibliothek LDAPNISSMB PAM Bibliothek

15 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung15 Authentifizierung mit PAM PAM-Applikationen rufen generische PAM-Funktionen auf: pam_start (...); if (!pam_authenticate(...) || !pam_acct_mgmt(...)) { pam_end (...); exit (1); } pam_open_session (...); user_service (); pam_close_session (...); pam_end (...);

16 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung16 Modul-Typen auth - Login und Paßwortabfrage account – Überprüft / setzt Systemressourcen session – An- bzw. abmelden der Sitzung password - Ändern des authenti- fizierungs Tokens, meistens das Paßwort

17 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung17 Control-Flags required - Erfolg des Moduls ist zwingend, trotzdem weitere abarbeiten requisite - ähnlich, aber bei Mißerfolg sofort abbrechen sufficient - Bei Erfolg sofort abbrechen, folgende Module werden ignoriert optional - Ergebnis des Moduls wird ignoriert

18 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung18 PAM Konfiguration eine Konfigurationsdatei je Dienst z.B. /etc/pam.d/login #%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_pwdb.so account required /lib/security/pam_pwdb.so auth sufficient /lib/security/pam_ldap.so account sufficient /lib/security/pam_ldap.so #%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_pwdb.so use_first_pass account required /lib/security/pam_pwdb.so

19 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung19 PAM_LDAP und NSS_LDAP gemäß rfc2307 LDAP as Network Information Service Alternative zu NIS sicher bei Verwendung von SSL Migrationstools Verwendbar mit allen LDAP-kompatiblen Servern, z.b. Novell NDS, Microsoft Active Directory

20 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung20 PAM_LDAP Funktionen auth –suche nach UID –bind account –account und password expiration –Gruppenzugehörigkeit –Beschränkung auf bestimmte Hosts password –Änderungs des Passworts

21 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung21 PAM_LDAP Konfiguration Konfigurationsdatei /etc/ldap.conf host port 389 ldap_version 3 base dc=directory,dc=dfn,dc=de rootbinddn cn=dragon.directory.dfn.de, ou=hosts,dc=directory,dc=dfn,dc=de pam_filter objectclass=account pam_login_attribute uid pam_groupdn cn=PAM,ou=Groups,dc=directory,dc=dfn,dc= de pam_member_attribute uniquemember pam_min_uid 500

22 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung22 NSS_LDAP Konfigurationsdatei /etc/nsswitch.conf passwd: files ldap group: files ldap hosts: files dns Name Service Caching Daemon –passwd, group und hosts

23 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung23 Apache auth_ldap Ausschnitt aus der httpd.conf AuthName LDAP Authentifizierung" AuthType Basic AuthLDAPURL ldap://host:port/ basedn?attribute?scope?filter AuthLDAPBindDN dc=directory,dc=dfn,dc=de AuthLDAPBindPassword geheim AuthLDAPRemoteUserIsDN on require valid-user

24 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung24 auth_ldap Funktionen irgendein eingetragener Benutzer –require valid-user ein bestimmter Benutzer –require user [USERNAME] –require dn [DN] Benutzer einer Gruppe –require group [GROUPDN] weitere Restriktionen über den filter Parameter Cashing SSL

25 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung25 weitere Einsatzmöglichkeiten Cyrus SASL Bibliothek –PAM backend für plain text –Sendmail 8.11 –Cyrus IMAPD proftpd SAMBA Radius

26 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung26 Fazit Neben den reinen Authentifizierungsdaten können in einem Verzeichnisdienst auch Zugriffsrichtlinien gespeichert werden Zusätzlich können White Pages Informationen abgelegt werden Verzeichnisdienste als das zentrale Managementtool für Applikationen und Netzwerkdienste Directory Enabled Networks (DEN)

27 Fragen?

28 Benutzer- verwaltung Authentifi- zierung Kerberos, TLS PAM Fazit Apache PAM_LDAP LDAP Authentifizierung28 Links Kerberos und Active Directory –http://www.pdc.kth.se/heimdal/http://www.pdc.kth.se/heimdal/ –http://www.microsoft.com/windows2000/library/planning/s ecurity/kerbsteps.asphttp://www.microsoft.com/windows2000/library/planning/s ecurity/kerbsteps.asp –http://msdn.microsoft.com/library/techart/kerberossamp.h tmhttp://msdn.microsoft.com/library/techart/kerberossamp.h tm –http://www.microsoft.com/windows2000/sfu/psync.asphttp://www.microsoft.com/windows2000/sfu/psync.asp SASL –http://asg.web.cmu.edu/sasl/http://asg.web.cmu.edu/sasl/ PAM_LDAP –http://www.padl.comhttp://www.padl.com OpenLDAP –http://www.openldap.orghttp://www.openldap.org LDAP im Netscape Navigator –http://developer.netscape.com/docs/manuals/communica tor/ldap45.htmhttp://developer.netscape.com/docs/manuals/communica tor/ldap45.htm


Herunterladen ppt "Benutzerverwaltung mit LDAP Norbert Klasen Directory Services Universität Tübingen 10.10.2000."

Ähnliche Präsentationen


Google-Anzeigen