Как стать автором
Обновить

Arenadata добавила Kerberos Active Directory для трёх продуктов

Время прочтения 2 мин
Просмотры 585
Блог компании Arenadata Open source *Big Data *Хранилища данных *Data Engineering *

Компания Arenadata дала пользователям трёх своих продуктов — Arenadata Hadoop (ADH), Arenadata Streaming (ADS) и Arenadata Platform Security (ADPS)  — возможность предотвращать несанкционированный доступ к сервисам и данным кластеров. Теперь достаточно включить Kerberos-авторизацию для всех компонентов, которая позволит хранить авторизационные данные в Active Directory.

Благодаря релизу конечные пользователи при обращении к данным смогут защитить свою конфиденциальную информацию. Совместно с системой управления групповыми политиками безопасности Arenadata Platform Security можно закрыть данные от неперсонифицированного доступа (без ввода доменного логина и пароля). Кроме того, Kerberos Active Directory помогает централизованно и гибко управлять правами доступа к сервисам и данным.

Читать далее
Всего голосов 4: ↑2 и ↓2 0
Комментарии 0

Сквозная авторизация из Windows в Linux

Время прочтения 4 мин
Просмотры 5.5K
Чулан
Захотелось мне как-то попадать на линуксовую машину через PuTTY не вводя пароль. Оказывается это можно сделать. Правда немного сложнее чем хотелось бы.
Итак.

Мы будем настраивать SSH доступ на хосте sshhost, который входит в домен kerberos DOMAN.LOCAL
Обратите внимание на заглавные буквы. Для кербероса это критично, поэтому везде где имеем с ним дело пишем имя домена заглавными.

Входные данные.
KDC (Key Distribution Centre), DNS сервер и контроллер AD совпадают: dc1.domain.local. Правами админа в нашем домене обладет пользователь Administrator. На машине sshhost установлена Gentoo Linux

Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 11

GSSAPI и Firefox/Thunderbird для сквозной авторизации в Windows

Время прочтения 2 мин
Просмотры 8.6K
Чулан
Ваша машина находиться Windows домене и вы хотите использовать единую авторизацию например на прокси и почтовом сервере. Для того чтобы включить в Firefox использование сквозной авторизации вам нужно отредактировать 2 ключа на странице about:config.
  • network.negotiate-auth.delegation-uris = https://,http://
  • network.negotiate-auth.trusted-uris = https://,http://

Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Комментарии 13

В тылу врага. Внедрение

Время прочтения 3 мин
Просмотры 4.2K
Настройка Linux *
События происходят за садовым кольцом в стандартной фирме, использующей, в основном, решения от Microsoft, не выделяясь в этом плане на фоне остальных. С некоторых пор в фирме работает линуксоид, который терпеть не может работать в ОС Windows.

При всей нелюбви к юзабилити, предоставляемым продуктами небезызвестной корпорации, линуксоиду необходимо интегрироваться в сеть для осуществления деятельности, за которую он будет получать зарплату. В частности ему будет необходимо работать с почтой, обмениваться файлами через общие папки, открывать документы MS Office.

Как же выживают линуксоиды в таких условиях?
Всего голосов 96: ↑84 и ↓12 +72
Комментарии 65

Безопасность SharePoint — Часть 2. Аутентификация пользователей

Время прочтения 6 мин
Просмотры 6.1K
ECM/СЭД *
Для начинающих SharePoint представляется чем-то большим и непонятным. А между тем, SharePoint – обычное ASP.NET приложение, работающее на IIS. Это, безусловно, отражается и на системе безопасности, важным элементом которой является аутентификация пользователей.
Читать дальше →
Всего голосов 12: ↑6 и ↓6 0
Комментарии 0

FreeBSD 8.2, Samba 3.4, Active Directory и кириллические логины

Время прочтения 5 мин
Просмотры 8.5K
*nix *
Из песочницы
В нашей компании давно и успешно работает такая связка: Samba 3.x, установленная на FreeBSD (6.x или 7.x), для доступа к шарам использует аутентификацию пользователей в домене Active Directory. Все клиенты – Windows XP и выше. Домен AD – Windows 2003.
Все было хорошо, пока один из серверов FreeBSD не был обновлен до версии 8.2. После обновления пользователи с кириллическими логинами не смогли получить доступ к расшаренным ресурсам этого сервера. В то же время пользователи с логинами в латинице нормально аутентифицировались. Команды wbinfo -u и wbinfo -g как и положено показывали всех пользователей и группы AD, включая кириллические. Другой сервер FreeBSD 7.3 с такой же версией Samba – 3.4.9 и с таким же конфигом работал нормально с любыми логинами.
Читать дальше →
Всего голосов 30: ↑28 и ↓2 +26
Комментарии 15

Настройка сервера аутентификации посредством связки Kerberos+LDAP на базе ROSA Enterprise Linux Server

Время прочтения 11 мин
Просмотры 39K
Настройка Linux *Системное администрирование *
Туториал
Введение
Продолжение серии туториалов. Предыдущие части:
Развёртывание DNS/DDNS и DHCP сервера на ROSA Enterpise Linux Server за несколько минут
Почтовый сервер на базе ROSA Server Enterpise Linux за несколько минут
Простой домен на базе ROSA Enterprise Linux Server и Samba 3 с поддержкой перемещаемых профилей

В этой статье мы рассмотрим создание сервера для централизованной аутентификации пользователей посредством Kerberos, а также аутентификацию с помощью Kerberos с хранением информации о профилях в дереве каталогов LDAP. В качестве приятной мелочи — автоматическое создание профилей в домашнем каталоге при подключении.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Комментарии 10

Настройка Kerberos-аутентификации с использованием смарт-карт

Время прочтения 7 мин
Просмотры 104K
Блог компании «Актив» Информационная безопасность *
Туториал
В продолжение давней темы про использование двухфакторной аутентификации в ОС GNU/Linux позвольте рассказать про схему работы и настройку аутентификации с помощью Kerberos. В этой статье мы рассмотрим процесс настройки MIT Kerberos для аутентификации пользователей по сертификатам и ключевым парам, находящимся на USB-токене. Также материалы, изложенные в статье, можно использовать для настройки аутентификации в домене Windows.
Читать дальше →
Всего голосов 17: ↑15 и ↓2 +13
Комментарии 2

Advanced Active Directory Services WS2012 – информация от Экс-Архитектора Microsoft

Время прочтения 1 мин
Просмотры 12K
Блог компании «Звезды и С»
Алексей Кибкало продолжает делиться секретами! Предлагаем посмотреть запись вебинара.


За два часа были освещены следующие темы:
Читать дальше →
Всего голосов 12: ↑8 и ↓4 +4
Комментарии 11

Linux в домене Active Directory

Время прочтения 6 мин
Просмотры 210K
Системное администрирование *
Туториал
Перед администраторами иногда встают задачи интеграции Linux серверов и рабочих станций в среду домена Active Directory. Обычно требуется:
1. Предоставить доступ к сервисам на Linux сервере пользователям домена.
2. Пустить на Linux сервер администраторов под своими доменными учётными данными.
3. Настроить вход на Linux рабочую станцию для пользователей домена, причём желательно, чтобы они могли при этом вкусить все прелести SSO (Я, например, не очень люблю часто вводить свой длинный-предлинный пароль).

Обычно для предоставления Linux системе пользователей и групп из домена Active Directory используют winbind либо настраивают библиотеки nss для работы с контроллером домена Active Directory по LDAP протоколу. Но сегодня мы пойдём иным путём: будем использовать PowerBroker Identity Services (Продукт известен также под именем Likewise).
Как ввести Linux машину в домен Active Directory
Всего голосов 28: ↑23 и ↓5 +18
Комментарии 14

Установка сервера Openfire на Debian в домене AD2008 с прозрачной авторизацией пользователей

Время прочтения 6 мин
Просмотры 38K
Мессенджеры *
Туториал
Из песочницы
Здравствуйте!

Хочу поделиться опытом установки сервера Openfire на Debian в домене AD Windows Server 2008 с использованием SSO клиентом Spark.

Сама установка проста и занимает немного времени, основные сложности для меня возникли при настройке kerberos-авторизации всей связки ПО.

Инфраструктура:
Openfire 3.8.2 устанавливаем на Debian 7.0 «Wheezy» x64 с использованием СУБД MySQL.
Имя Debian-сервера: openfireserver.
Служба Active Directory развернута на Windows 2008 Server Standard (Kerberos использует шифрование RC4-HMAC-NT по умолчанию).
Домен realm.local.
Рабочие станции Windows XP Pro и Windows 7 Pro x32/x64 с установленным клиентом Spark 2.6.3.
Читать дальше →
Всего голосов 18: ↑15 и ↓3 +12
Комментарии 36

SMB Hijacking. Kerberos не помеха

Время прочтения 5 мин
Просмотры 24K
Информационная безопасность *
Про SMBRelay (или если быть точным NTLM-Relay) написано и сказано довольно много. Совершенно нет желания
вспоминать подробности данной атаки. Напомню только то, что суть атаки сводится к манипуляциям с аутентификационными данными пользователя, которые затем могут быть перенаправлены на другой ресурс.
Такое перенаправление позволяет аутентифицироваться и получить доступ к третьему ресурсу, что обычно выливается в загрузку файла с его последующим запуском.
Читать дальше →
Всего голосов 21: ↑20 и ↓1 +19
Комментарии 7

Безопасное динамическое обновление DNS записей в Windows домене из Linux (GSS-TSIG)

Время прочтения 3 мин
Просмотры 15K
Настройка Linux *Системное администрирование *
Туториал
Из песочницы
Необходимость в таком обновлении возникла у меня в такой ситуации: на линуксе поднят openvpn сервер, к нему коннектятся удаленные клиенты. Openvpn сервер сам динамически выдает адреса клиентам и, хотелось бы, чтобы он и создавал dns записи с common name сертификата на DNS сервере, который интегрирован в Active Directory. Тут можно пойти простым путем, и поставить в свойстве зоны «Динамическое обновление» опцию «Небезопасные и безопасные», но тогда любой, кто имеет доступ к DNS серверу, сможет менять записи зоны – не комильфо. Если поставить «Только безопасные», то DNS сервер обязательно будет требовать аутентификацию по протоколу GSS-TSIG. Дальше пойдет речь о том, как это все настроить.
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Комментарии 4

SSO на FreeIPA+Apache+Flask-Login+JWT

Время прочтения 11 мин
Просмотры 12K
Информационная безопасность *Разработка веб-сайтов *Python *Flask *
Всем привет.

В статье описывается разработка и развёртывание системы SSO-аутентификации, использующей Kerberos и JWT. Модуль аутентификации разработан с применением Flask, Flask-Login и PyJWT. Развёртывание выполнено с использованием веб-сервера Apache, сервера идентификации FreeIPA и модуля mod_lookup_identity на CentOS 6/7. В статье много текста, средне кода и мало картинок. В общем, будет интересно.

image
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 7

Интеграция OTRS v4 с Active Directory. Настройка сквозной (Single Sign On) аутентификации

Время прочтения 8 мин
Просмотры 24K
Open source *
Туториал
Данное руководство предназначено для случая, когда уже есть настроенный сервер с установленной OTRS. Подробное руководство об установке OTRS v4 в Windows-среде можно прочитать в здесь .
image
Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Комментарии 13

OTRS 4.0.10. Ставим на Ubuntu + AD + Kerberos + SSO (Часть первая)

Время прочтения 18 мин
Просмотры 54K
Open source *
Из песочницы
Вииду того, что статья и так получилась слишком большая, а к тому же хочеться добавить к ней её пару нюансов разбиваю её на несколько частей, и дальнейшие дополнения буду публиковать как отдельные части.

Часть первая: подготовка системы
Часть вторая: установка и настройка OTRS
Часть третья: исправляем косяки прикручиваем плюшки

Вместо введения


Любая достаточно крупная организация рано или поздно сталкивается с необходимостью внедрения системы тикетов или helpdesk. И наша организация не исключение, в связи с чем руководством была поставлена задача выбрать и внедрить систему.

Откровенно говоря сомнений по поводу выбора особых не было, по личным соображениям выбор пал на OTRS. Мощная и гибкая с огромным количеством отчётов, которые так любит руководство. Но как оказалось внедрить её совсем нетривиальная задача. Мучения продолжались две недели, были перелопачены тонны инофрмации, перепробовано куча различных мануалов, и складывалось впечатление, что я либо полный кретин, либо одно из двух, потому как во всех мануалах и в куче отзывов все в один голос утверждали что всё работает и отлично ставиться и настраивается, а у меня ни как.

На самом деле проблема всех этих мануалов в том, что всё вроде бы так же как у тебя, но где-то чуть-чуть не та версия пакета, чуть чуть не такая структура AD и т. д. Вот из-за всех этих чуть чуть и не складывается цветок каменный. Одним словом методом проб и ошибок, чтений документации и анализа мануалов был выработан свой, вполне рабочий метод, который я и хотел бы изложить.
Для тех кому интересно, добро пожаловать под кат
Всего голосов 16: ↑15 и ↓1 +14
Комментарии 8

OTRS 4.0.10. Ставим на Ubuntu + AD + Kerberos + SSO (Часть вторая)

Время прочтения 12 мин
Просмотры 28K
Open source *
Продолжаю повествование о том, как собственно установить сего зверя на Ubuntu и настроить прозрачную доменную авторизацию, плюс о том, как прикрутить некоторые приятные плюшки, доступные в бесплатной версии OTRS.

Часть первая: подготовка системы
Часть вторая: установка и настройка OTRS
Часть третья: исправляем косяки прикручиваем плюшки

6. Установка и настройка OTRS


Ну вот, система полностью подготовлена, даже более чем и мы с чистой совестью и легким сердцем приступаем к установке непосредственно OTRS.

6.1. Суть предлагаемого метода и необходимые пакеты

Ставить мы будем последнюю стабильную версию, на данный момент это 4.0.10, на самом деле это не существенно, потому как мы изначально пошли канонически правильным путем и не стали использовать всякие прокладки и костыли типа адамтеров NTLM, SSPI и прочего, а подняли полноценную Kerberos аутентификацию. А за неё в OTRS отвечает модуль HTTPBasicAuth, который не претерпел существенных изменений, поэтому описываемый способ будет работать на всех версиях системы начиная как минимум с 3.1.1.

В чем собственно суть способа? А вся суть заключается в том, что OTRS вообщем то и не проводит никакой авторизации и аутентификации пользователя, а просто берёт имя залогиневшегося пользователя из переменной окружения $_ENV['Remote_User'] ищет его в своей базе и если находит, то открывает для него интерфейс Кустомера в залогиненом виде. То есть вся нагрузка по верификации пользователя ложится на плечи Apache, который механизмом Kerberos аутентифицирует пользователя и если ему это удалось, то загоняет его логин в переменную окружения. Откуда его и подхватывает OTRS, считая, что если там что-то есть, то аутентификация уже прошла успешно. Итак, приступим.

Для тех кому интересно, добро пожаловать под кат
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 18

OTRS 4.0.10. Ставим на Ubuntu + AD + Kerberos + SSO (Часть третья)

Время прочтения 4 мин
Просмотры 15K
Open source *
Третья часть статьи по установки и настройке OTRS на UbuntuServer в среде MS AD. Теперь поговорим об исправлениях различных косяков и прикручивании полезных плюшек. Первые две статьи более меняться не будут, а все остальны мои наработки будут дописываться в эту статью, получится такой неплохой howto.

Часть первая: подготовка системы
Часть вторая: установка и настройка OTRS
Часть третья: исправляем косяки прикручиваем плюшки

Как обычно, кому интересно, добро пожаловать под кат
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 0