Best Practice für die Authentifizierung von DMZ gegen AD im LAN

Wir haben nur wenige kundenorientierte Server in der DMZ, die auch Benutzerkonten haben. Alle Konten befinden sich in einer Schattenkennwortdatei. Ich versuche, Benutzeranmeldungen zu konsolidieren und denke darüber nach, LAN-Benutzer die Authentifizierung bei Active Directory zu ermöglichen. Dienste, die eine Authentifizierung benötigen, sind Apache, Proftpd und ssh. Nach Rücksprache mit dem Sicherheitsteam habe ich eine Authentifizierungs-DMZ eingerichtet, die über einen LDAPS-Proxy verfügt, der wiederum einen anderen LDAPS-Proxy (Proxy2) im LAN kontaktiert, und dieser übergibt Authentifizierungsinformationen über LDAP (als LDAP-Bindung) an den AD-Controller. Der zweite LDAP-Proxy wird nur benötigt, weil der AD-Server lehnt es ab, TLS mit unserer sicheren LDAP-Implementierung zu sprechen. Dies funktioniert für Apache mit dem entsprechenden Modul. Zu einem späteren Zeitpunkt kann ich versuchen, Kundenkonten von Servern auf LDAP-Proxy zu verschieben, damit sie nicht auf Servern verteilt sind.

Für SSH habe ich Proxy2 zur Windows-Domäne hinzugefügt, damit sich Benutzer mit ihren Windows-Anmeldeinformationen anmelden können. Anschließend habe ich SSH-Schlüssel erstellt und sie mit SSH-Copy auf DMZ-Server kopiert, um die kennwortlose Anmeldung zu aktivieren, sobald Benutzer authentifiziert sind.

Ist dies ein guter Weg, um diese Art von SSO zu implementieren? Habe ich hier Sicherheitsprobleme verpasst oder gibt es vielleicht einen besseren Weg, um mein Ziel zu erreichen?

Wenn Sie PAM für Ihren Authentifizierungsstapel verwenden, können Sie mit pam_krb5 die Kerberos-Authentifizierung für Ihre Dienste bereitstellen. Kerberos wurde sofort für den Umgang mit feindlichen Umgebungen entwickelt, verwaltet die Authentifizierung per Proxy und ist bereits Teil der AD-Spezifikation. Warum mit LDAP kämpfen, wenn Sie Kerberos dazu bringen können, das schwere Heben für Sie zu erledigen und mit dem Leben weiterzumachen? Ja, Sie müssen etwas lesen, und ja, es wird einige Zeit dauern, aber ich habe jahrelang die Curb-to-AD-Authentifizierung verwendet und festgestellt, dass dies der einfachste und schnellste Weg ist, um SSO zu erhalten sofort einsatzbereit, wenn Sie Active Directory als Authentifizierungs-Backend haben.

Die Hauptsache, auf die Sie stoßen werden, ist, dass Microsoft beschlossen hat, die Standardverschlüsselungstypen sehr genau zu definieren (sie haben im Grunde genommen ihre eigenen gemacht). Daher müssen Sie Ihre Kerberos-Clients so einrichten, dass sie über die richtigen passenden Verschlüsselungstypen verfügen AD-Server lehnen dies weiterhin ab. Dies ist zum Glück eine einfache Prozedur und sollte nicht mehr als ein paar Änderungen an krb5.conf erfordern.

Und jetzt einige Links, die Sie berücksichtigen sollten ...

Microsofts Ansicht von Kerberos

• Kerberos erklärt

Vernetzung von Kerberos und Active Directory

• Schritt-für-Schritt-Anleitung zur Interoperabilität von Kerberos 5 (krb5 1.0)

SSH- und Kerberos-Authentifizierung über PAM

• Ein Ausschnitt aus O'Reillys Buch über SSH
• IBM hat ein paar Worte zu OpenSSH und Kerberos

Apache und Kerberos

• mod_auth_kerb über SourceForge
• Bereitstellung der Active Directory-Authentifizierung über das Kerberos-Protokoll in Apache

ProFTP und Kerberos

• ProFTPD-Modul mod_gss auch über SourceForge

RFCs der Microsoft-Aktivitäten mit Kerberos (über die Sie wirklich nicht lesen möchten):

• RFC3244 Microsoft Windows 2000 Kerberos Kennwort ändern und Kennwortprotokolle festlegen
• RFC4757 Die von Microsoft Windows verwendeten RC4-HMAC-Kerberos-Verschlüsselungstypen