Adminisztrátori kézikönyv 2 openldap
OpenLDAP szoftver úgy tervezték, hogy a sokféle számítástechnikai környezetben, egy teljesen ellenőrzött, zárt hálózatok a globális interneten. Ezért OpenLDAP szoftver támogatja a különböző biztonsági mechanizmusokat. Ez a rész leírja ezeket a mechanizmusokat, valamint tárgyalja a biztonságos használatát OpenLDAP.
További információk a section Command Line Options és slapd (8).
Általában slapd (8) hallgatja 389 / tcp ldap ülés: // és a kikötő 636 / TCP az ldaps ülés: //. Azt is meg lehet beállítani, hogy hallgatni más kikötőkben.
Mivel az IP-beállítások faevola függ az adott típusú IP-tűzfal, akkor nem ad példát. Lásd a dokumentációt az IP-tűzfal.
slapd (8) támogatja a TCP csomagológépek. TCP szűrők egy szabály-alapú hozzáférés-vezérlési rendszer hozzáférés szabályozására a szerver TCP / IP. Például egy szabály host_options (5):
lehetővé teszi a hozzáférést a könyvtár szolgáltatás csak a bejövő kapcsolatokat a magánhálózat és 10.0.0.0 a localhost (127.0.0.1).
Ne feledje, hogy a TCP szűrők kell adnia a kapcsolat kell venni. Mivel a legtöbb esetben, éppen ellenkezőleg, arra van szükség, hogy betiltsa a vegyület előnyös az IP-tűzfal védelmet nyújt, mint a TCP szűrők.
További információkat a TCP wrapper szabályok hosts_access (5).
Annak érdekében, hogy az adatok integritását és a magánélet, akkor Transport Layer Security (TLS). OpenLDAP támogatja a TLS tárgyalás (SSL) keresztül egyaránt StartTLS, és ezen keresztül ldaps: //. További információkért lásd: A TLS. A STARTTLS -Standard kapcsolat beállításához mechanizmus.
Továbbá, az adatok integritását és titkosságát védelmi mechanizmusok által támogatott több Simple Authentication and Security Layer (SASL), mint például az MD5-kivonat és GSSAPI. További tudnivalók: Az SASL.
A kiszolgáló a biztonsági erők tényezők (Biztonsági Erő Factor s, SSF) jelzi a relatív erőssége védelmet. SSF 0 jelzi, hogy a védelem nem szükséges. SSF értéke 1, azt jelzi, hogy a kívánt integritást védelmet. SSF egységnél nagyobb (> 1), nagyjából korrelál a tényleges hossza a titkosítási kulcsot. Például, DES 56, 3DES 112, és az AES - 128, 192 vagy 256.
Ennek része a LDAP ülésen az adminisztratív ellenőrzések kiszabott keresztül SSF van társítva fokú védelmet útján TLS és SASL.
biztonsági ellenőrzések nem teszik lehetővé a műveletet, ha nem tesz eleget a megadott fokú védelmet. Például:
Ez megköveteli az integritás védelme minden művelet és frissítési műveletek (mint például hozzáadása, törlése, módosítása) igényel titkosítást egyenértékű 3DES. Részletes leírása megtalálható a slapd.conf (5).
SSF lehet használni beléptető céljából beállítás pontosabb irányítást. További információkért lásd: Access Control.
Egy egyszerű módszer hitelesítési LDAP három üzemmódja van:
- hozzáférés biztosítása a névtelen felhasználók
- hozzáférést biztosít a felhasználó anélkül halad a hitelesítés és
- hozzáférést biztosít a felhasználó hitelesítés a felhasználó nevét és jelszavát.
Kérelem névtelen hozzáférés történik, amikor a kapcsolat, ha az eljárás végrehajtására az „egyszerű” nem telt el olyan felhasználói nevet és jelszót. Való hozzáférésre irányuló kérelmeket a felhasználó anélkül, hogy a hitelesítés akkor történik, amikor rácsatlakozik csak továbbított felhasználói név és jelszó nem visszük át. Végül a hozzáférés iránti kérelmet a felhasználói hitelesítést akkor jelentkezik, ha csatlakozni át a helyes felhasználónevet és jelszót.
Megjegyzés: Ha kikapcsolja anonim kapcsolat mechanizmus nem akadályozza a névtelen hozzáférést a könyvtár. Annak érdekében, hogy az adatbázis eléréséhez hitelesítési mindig szükség van, ahelyett, hogy az irányelv meghatározza „igényel authc” a fenti.
összekötő mechanizmus hitelesítés felhasználói név és jelszó is teljesen kikapcsolható a „letiltja bind_simple” irányelvet.
LDAP SASL hitelesítési módszer lehetővé teszi, hogy bármely hitelesítési mechanizmus SASL. A módszer alkalmazása tárgyalja SASL.
LDAP jelszó általában tárolt userPassword attribútumot. Az RFC4519 meghatározza, hogy a jelszavakat nem szabad tárolni titkosított (vagy szaggatva) formában. Ami lehetővé teszi a használatát sokféle hitelesítési mechanizmusok alapján jelszavakat, mint például az MD5-kivonat. Ez a tároló rendszer is kompatibilis a legtöbb implementáció hitelesítési rendszerek a különböző kliens programok.
A gyakorlatban azonban legtöbbször kívánatos még tartani egy hash a jelszó. slapd (8) támogat különböző tárolási rendszerek a választás a rendszergazda.
Megjegyzés: A jelszó tulajdonítja, függetlenül a tárolási rendszer, védeni kell, valamint, ha azokat tárolják tiszta szöveget. Hashed jelszavak érzékenyek a szótár alapú támadások és brute force támadások.
Képesség userPassword lehet egynél több jelentése van, és mindegyik tárolható különböző formában. A hitelesítési folyamat szánható következetesen át az értékekre, amíg nem talál olyat, amely megfelel a javasolt jelszót, vagy amíg az értékek nem ér véget. A tárolási rendszer említett előtag egy olyan értékre, hogy a jelszóval zaheshirovanny rendszer Sózott SHA1 (SSHA) a következő:
Az előnye, hogy a kivonatolt jelszavak, hogy a támadó, betekintés a hash nem rendelkezik közvetlen hozzáféréssel a jelszót. Sajnos, ezek egész egyszerűen kiválaszthatók a szótár támadások vagy nyers erő, így az előny elég illuzórikus (ezért minden modern Unix-orientált használ jelszót árnyék fájl).
Hiánya kivonatolt jelszót tároló, hogy nem szabványos, és problémákat okozhat a kompatibilitás. Ez ahhoz vezethet, hogy az a tény, hogy a használata bármilyen jelszót hitelesítési mechanizmusok, erősebb Egyszerű (vagy SASL / sima), egyáltalán kizárt.
Ez a változat a SHA áramkör „só”. Úgy véljük, a legbiztonságosabb jelszó tárolási rendszert által támogatott slapd.
Ezek az értékek egy és ugyanazt a jelszót:
Ez az áramkör használ tördelő függvény crypt (3) az operációs rendszer. Jellemzően ebben az áramkörben generálja a hagyományos 13 karakteres hash Unix stílusú, de glibc2 is biztonságosabb generált 34 byte-os MD5 hash rendszereket.
CRYPT rendszer előnye, hogy a jelszavak átvihetők egy meglévő Unix jelszó fájlt anélkül, hogy szükség van a jelszavakat az egyértelmű. Mindkét forma használja a kripta „só”, de van egy bizonyos ellenállás szótár támadások.
Megjegyzés: Mivel ez a rendszer használ egy hash függvény crypt (3) operációs rendszert, akkor az egyes operációs rendszer.
Ez a rendszer tart egy MD5 hash a jelszó és tárolja azt a base64-kódolt formában:
Ez nem egy nagyon biztonságos rendszer, bár biztonságosabb, mint tároló az egyértelmű. MD5 - gyors algoritmus, és mivel nem használja a „só”, ez a tároló rendszer ki van téve a szótárban támadásokat.
Ez a rendszer növeli a rendszerek alapvető MD5 hozzáadásával „só” (azaz, véletlenszerű adat), ami azt jelenti, hogy egy és ugyanaz a jelszót nyílt szövegként megfelelhet több megjelenítési formák hash. Például a két érték képviseli ugyanazt a jelszót:
Mint MD5 rendszer, ez a rendszer egyszerűen átmegy a folyamat jelszó hash SHA. SHA tartják sokkal biztonságosabb, mint az MD5, de a hiánya „só” így téve a szótárban támadásokat.
Tény, hogy ez nem az a jelszó tárolási rendszert. Ez használ a userPassword attribútumot. delegálni jelszavas hitelesítés másik folyamat. A részleteket lásd alább.
Megjegyzés: Ez nem ugyanaz, mint a SASL hitelesítés LDAP ülésén.
Kezdve OpenLDAP 2.0 slapd lehetősége delegálni jelszó ellenőrzése egyes folyamatokat. Ez használ sasl_checkpass funkció (3). így minden olyan mechanizmust, amely támogatja Cyrus SASL lehet vonni az ellenőrzési folyamatot, hogy ellenőrizze a jelszót. A választás a mechanizmusok igen széles, az egyik lehetőség - használata saslauthd (8). amely úgy van kialakítva, hogy használja a helyi fájlok, Kerberos, IMAP szerver egy másik LDAP kiszolgáló, vagy bármi mást támogatott PAM mechanizmusát.
Ahhoz, hogy pass-through hitelesítési szerver kell építeni a konfigurációs --enable-spasswd.
Megjegyzés: Ez nem ugyanaz, mint a SASL hitelesítés LDAP ülésén.
Átmenő azonosítást csak akkor működik, jelszavak egyszerű szövegként, azok, amelyeket a hitelesítési mechanizmusok „egyszerű kötést” és „SASL NORMÁL”.
Átmenő azonosítást szelektív módon megy végbe: ez csak azokra vonatkozik, akik rendelkeznek userPassword tulajdonság értéke „” előtag rendszer. A méret attribútum:
Azon felhasználók, akik lehetővé tették, hogy pass-through hitelesítés, adott esetben útján beléptető, megtiltják változtassák meg a jelszavukat az LDAP.
Nyilvántartások jelszóval attribútum értéke a rendszer „” OpenLDAP teljesen átruházhatja a folyamat felvétel Cyrus SASL jelszó ellenőrzés. Így minden beállításokat a konfigurációs fájlok SASL.
Az első fájl, hogy meg kell vizsgálni zavaró slapd.conf neve és általában megtalálható SASL könyvtár, gyakran található /usr/lib/sasl2/slapd.conf. Ez a fájl a SASL- munka, ha együtt használjuk slapd. és az is használt, amikor SASL mechanizmusok átmenő hitelesítést. Részletes információk találhatók a következő oldalon options.html dokumentáció Cyrus SASL. Itt egy egyszerű példa a szerver, amely használni fogja a saslauthd ellenőrzéséhez jelszavak:
saslauthd képes használni egy csomó különböző hitelesítési szolgáltatások. A részleteket lásd a saslauthd (8). Általános gyakorlat - delegálni hitelesítés, részben vagy teljesen, egy másik LDAP szervert. Itt egy példa saslauthd.conf fájl azonosítás a Microsoft Active Directory (AD):
Ebben az esetben a saslauthd indítása a hitelesítési mechanizmus és ldap jelezve kombinálni SASL tartományt a felhasználói név:
Ez azt jelenti, hogy a húr „felhasználónév @ realm”, azaz az érték userPassword tulajdonság. Meg fogják használni egy AD egyezés keresése a szűrő „userPrincipalName = felhasználónév @ realm”. Ezután ezt a jelszót, ellenőrizni csatlakozik AD a bejegyzés található a keresési és jelszót, melyet az LDAP kliens.
Jellemzően tesztelés legjobb módja a felülről lefelé, kezdve a végső hitelesítés-szolgáltató, és le a slapd saslauthd és az LDAP kliensek.
A fenti példában az AD először ellenőrizzük, és e, hogy az AD c DN és egy jelszót, amely akkor használható, ha összekötő saslauthd:
Ezután megvizsgálja a vizsgálat azt találtuk, hogy az AD-felhasználó:
Ezután ellenőrzi, hogy a felhasználó tud csatlakozni az AD:
Ha működik, akkor saslauthd képes lesz ugyanezt:
Most helyezzük a mágikus sorrendet a kívánt bejegyzést OpenLDAP:
Most is létrehozhat egy kapcsolatot OpenLDAP, a DN a fiókot és jelszót AD-felhasználó.