sslug-teknik team mailing list archive

[Björn Lundin <b.f.lundin@xxxxxxxxx>]

> Hvorfor skal den linuxbox have adgang til internettet? Egentlig behøver den vel kun adgang til software- og sikkerhedsupdates.

Nej , för vi behöver ofta göra ändrignar ute hos våra kunder. Ett
lager är en individ, och ofta blir systemen individer.
Det innebär att vi sitter ute hos kund, och gör 'svn update' och 'svn commit'.
Då behöver vi ad-uppslag, för även om våra laptops kan gå via VPN, så
kan inte kundens unix (aix) burkar det.
Så vi sitter alltså emellanåt med ute i kundens nät, med ssh till aix
burken (produktions burken) och gör svn up,
med våra domänkonto


>> Säkerhetsrisk, säger alla.
>>
>> Så då skapas ett  externt AD, som sitter på en maskin i dmz.
>> Det finns någon form av trust/push mellan det interna och externa ad:t
>> så att subversionservern ska kunna köra ldap mot det externa AD:t,
>> utan säkerhetsrisk.
>>
>> Problemet blir då att det externa ad:t inte ser likadant ut som det interna.
>> ms har lyckats ändra formatet på det externa, med pekare till strukturer , istället för data.
>>
>> Ad är windows modell 2008 r2 .
>>
>> Frågan/spörsmålet är : hur hanteras detta i andra företag?
>
> Jeg har adgang til både internet og den interne AD.
>
>
>> Hur sätter vi upp ett ad, som en linuxburk kan slå mot, som är en 'slav' till ett internt ad?
>
> Opsæt en ldap slave? Eller en 2. domain controller?
Ja jo, men det är det som är gjort. Men
Nedanstående utdrag kommer från
http://technet.microsoft.com/en-us/library/bb727067.aspx

Security Principals

Active Directory user and computer accounts (as well as groups,
covered later) are referred to as security principals, a term that
emphasizes the security that the operating system implements for these
entities. Security principals are directory objects that are
automatically assigned SIDs when they are created. Objects with SIDs
can log on to the network and can then access domain resources.

If you establish a trust relationship between a domain in your Windows
2000 forest and a Windows 2000 domain external to your forest, you can
grant security principals from the external domain access to resources
in your forest. To do so, add external security principals to a
Windows 2000 group, which causes Active Directory to create a "foreign
security principal" object for those security principals3. You can
make foreign security principals members of domain local groups
(covered later). You cannot manually modify foreign security
principals, but you can see them in the Active Directory Users and
Computers interface by enabling Advanced Features.


Problemet är att

CN=Pelle Persson,OU=Ett bolag AB,OU=SE
Lund,OU=Users,OU=Viper,DC=mydomaine,DC=net
med exempelvis attributet sAMAccountName: ppma

blir

CN=S-1-5-21-606747145-1580436667-725345543-10019,CN=ForeignSecurityPrincipals,DC=mydomaine,DC=biz

Istället för att innehålla de faktiska användarobjekten, innehåller
attributet member referenser till användarna via
ForeignSecurityPrincipals.

när man slår mot det EXTERNA ad:t (slaven), men fungerar bra när man
slår mote det INTERNA ad:T (master)


>
> Hvis jeres AD giver certifikater til hver eneste bruger så kan jeres subversion server bare kræve et client certifikat som så skal installeres på jeres SVN clienter.

Hmm, detta är över min egen nivå, vill du utveckla lite?


-- 
/Björn