web-dev-qa-db-ja.com

OpenLDAP / KerberosからActiveDirectoryへの移行

ユーザー情報にOpenLDAPを使用し、認証にKerberosを使用するセットアップはうまく機能していますが、Windowsを統合する必要もあります。そのため、ActiveDirectoryに移行することをお勧めします。 OpenLDAPからアカウント情報を移動するのは非常に簡単で簡単ですが、問題があります。パスワード/認証情報をMIT KerberosからADに移動する方法は?

それらの間で何らかの委任が可能であることは理解していますが、これでは問題は解決しませんか?または、MIT Kerberos KDCに対してAD認証を行うことはできますか?パスワードはKerberosのハッシュに格納されているため、クリアテキストで移動できません。ハッシュはMITとAD。パスワードを暗号化された形式でADに入力することもできます。

誰かがこれの経験がありますか?すべての認証が共存せずにある場所から別の場所に切り替わるときに、すべてのユーザーにパスワードの変更を要求し、1つの大きな問題を抱えることを除けば、あなたの提案は何でしょうか。

1
tstm

しかし、私には問題があります。パスワード/認証情報をMIT KerberosからADに移動する方法は?

あなたはしません。 Kerberosハッシュはシステム間で同じである必要がありますが、暗号化キーと復号化キーとして使用されるため、パブリックAPIでは直接設定できません。 ADでプレーンテキストのパスワードを指定する必要があり、LDAP/KRB5のインストールでそれが忠実に破棄されている場合、パスワードの変更を待つか、基本ルールに違反して、パスワードを少なくとも一時的に元に戻せる形式で保持する必要があります。パスワードの変更をOpenLDAP/Kerberosに送信するためのミドルウェアを入手しました。

それらの間で何らかの委任が可能であることは理解していますが、これでは問題は解決しませんか?または、MIT Kerberos KDCに対してAD認証を行うことはできますか?

これが現在検討中のアプローチです。 Kerberosを使用したWindowsへの認証これは、レルム間信頼と呼ばれます。注意すべきいくつかの重要なこと。すべてのレルムに共通の暗号化タイプを見つけることは重要であり、通常はADに依存します。通常、使用しているADのバージョンによって、その日の地下室が決まります。私が見つけたこれを設定するための最良のガイドは、実際にはMicrosoftからのものです: Windows Server 2003のKerberos相互運用性ステップバイステップガイド 。私が遭遇した重要な問題は、クロスレルムの信頼にどの暗号化タイプを使用するかを伝えることでした。これは、ずっと前に書かれた他のガイドが言及しなかったものです。

2
jldugger

Samba4とfreeipaは、Windowsワークステーションが認証できるようにすることができます。それらの1つを検討しましたか。

0
rjt

以下のリンクにあるようなソリューションの使用を検討することをお勧めします。

http://www.centrify.com/solutions/unix-linux-identity-management.asp

移行する限り、移動中のパスワード同期にPCNSなどのシステムを使用できます。両方のシステムをしばらく並行して実行し、移動前に同期していることを確認するために、「全員がパスワードをリセット」する日数を数日持っています。 PCNSは、実行していることに関してKerberos相互運用機能よりもはるかに優れたソリューションです。

PCNS(パスワード変更通知サービス)はドメインコントローラー上で実行され、パスワードを「ターゲット」に転送してから、パスワードを設定します。次のリンクはそれを行う方法を説明しています。

http://technet.Microsoft.com/en-us/library/bb463208.aspx

新しいADフォレストを構築する場合は、構築する前にセキュリティGPO設定を調べてください。そうすれば、可能な限り安全に開始できます... NTLMバージョン、LDAP署名、等...

0
Joshua Toon