Sitio personal de Ariel M. Liguori De Gottig

Friday, April 11

Integración Linux/Windows - Parte II.

Finalmente, luego de varios días de trabajo he logrado lo que quería. Como recordarán el problema que tenía era que quería validar un usuario (que estaba en un entorno Linux) con un AD dentro de una estructura PKI Windows. El problema número uno era: La PC no esta en dominio. El problema número dos: El auto-enrollment de win le dará un certificado de maquina valido.

Bueno, aquí vienen las respuestas a todo aquello.
El paso numero uno consistía en seguir unos sencillos pasos, para meter la maquina en dominio use una gran cantidad de elementos:
Kerberos Client,
Samba,
nssswitch,
WinBind.

Los pasos son bastante simples y los pueden encontrar en el Wiki Samba. Recomiendo leer toda la documentacion para no perderse en ningún archivo de configuración.

Bueno como ya dije lo primero es entrar en el dominio, lo cual implica lo siguiente:


stigma@debian/>kinit algunuserdeldomain@domain.LOCAL
Password for algunuserdeldomain@DOMAIN.LOCAL: ******

stigma@debian/>net ads join -U algunuserdeldomain

stigma@debian/>/etc/init.d/samba start
* samba -> start: smbd ... [ ok ]
* samba -> start: nmbd ... [ ok ]
* samba -> start: winbind ... [ ok ]
stigma@debian/> rc-update add samba default
* samba added to runlevel default

// Para chequear.

stigma@debian/>wbinfo -u
user1
user2
...



Listo, estamos en dominio.
Ahora nos vamos al Domain Controller del AD.
deberemos ver nuestro user, y con el administrador de certificados seremos capaces de ver en que grupo entro el user y los cert de maquina y de usuario.
Ahora nuestro Linux esta en dominio y tiene credenciales validas.

Lo que se viene ahora es la configuracion de un FreeRadius, ponerle como Realm (lease Proxy) el IAS,y asignar el mismo a nuestro user. Esa configuracion la dejo en manos de quien quiera probar, no es para nada complicada y se puede hallar toda la información necesaria en Wiki FreeRadius.

Luego de todos estos pasos con un simple intento de validación contra el freeradius seremos redirigidos al IAS el cual comprobara nuestras credenciales contra el AD. Como el certificado de maquina y de usuario es valido el resultado de la transacción sera satisfactorio.

¿Como hago para ver esto desde un sistema de monitoreo?

Muy fácil, simplemente se debe analizar linea a linea el log del radius (en realidad un tail del mismo). El mensaje de validacion correcta que se recibe desde un FreeRadius es: ACCESS-ACCEPT.

En mi caso utilizo este string en un chequeo del sitema Nagios y en caso de recibir este valor el estado de la autenticación es correcto.

Eso es todo, espero les haya servido.
Saludos.



0 comentarios: