sslug-teknik team mailing list archive

[Jon Bendtsen <bendtsen@xxxxxxx>]

On 04/11/2011, at 09.38, Björn Lundin wrote:
>> Hvorfor skal den linuxbox have adgang til internettet? Egentlig behøver den vel kun adgang til software- og sikkerhedsupdates.
> 
> Nej , för vi behöver ofta göra ändrignar ute hos våra kunder. Ett
> lager är en individ, och ofta blir systemen individer.
> Det innebär att vi sitter ute hos kund, och gör 'svn update' och 'svn commit'.
> Då behöver vi ad-uppslag, för även om våra laptops kan gå via VPN, så
> kan inte kundens unix (aix) burkar det.
> Så vi sitter alltså emellanåt med ute i kundens nät, med ssh till aix
> burken (produktions burken) och gör svn up,
> med våra domänkonto

okay, det giver mening.


> 
> 
>>> Säkerhetsrisk, säger alla.
>>> 
>>> Så då skapas ett  externt AD, som sitter på en maskin i dmz.
>>> Det finns någon form av trust/push mellan det interna och externa ad:t
>>> så att subversionservern ska kunna köra ldap mot det externa AD:t,
>>> utan säkerhetsrisk.
>>> 
>>> Problemet blir då att det externa ad:t inte ser likadant ut som det interna.
>>> ms har lyckats ändra formatet på det externa, med pekare till strukturer , istället för data.
>>> 
>>> Ad är windows modell 2008 r2 .
>>> 
>>> Frågan/spörsmålet är : hur hanteras detta i andra företag?
>> 
>> Jeg har adgang til både internet og den interne AD.
>> 
>> 
>>> Hur sätter vi upp ett ad, som en linuxburk kan slå mot, som är en 'slav' till ett internt ad?
>> 
>> Opsæt en ldap slave? Eller en 2. domain controller?
> Ja jo, men det är det som är gjort. Men
> Nedanstående utdrag kommer från
> http://technet.microsoft.com/en-us/library/bb727067.aspx
> 
> Security Principals
> 
> Active Directory user and computer accounts (as well as groups,
> covered later) are referred to as security principals, a term that
> emphasizes the security that the operating system implements for these
> entities. Security principals are directory objects that are
> automatically assigned SIDs when they are created. Objects with SIDs
> can log on to the network and can then access domain resources.
> 
> If you establish a trust relationship between a domain in your Windows
> 2000 forest and a Windows 2000 domain external to your forest, you can
> grant security principals from the external domain access to resources
> in your forest. To do so, add external security principals to a
> Windows 2000 group, which causes Active Directory to create a "foreign
> security principal" object for those security principals3. You can
> make foreign security principals members of domain local groups
> (covered later). You cannot manually modify foreign security
> principals, but you can see them in the Active Directory Users and
> Computers interface by enabling Advanced Features.
> 
> 
> Problemet är att
> 
> CN=Pelle Persson,OU=Ett bolag AB,OU=SE
> Lund,OU=Users,OU=Viper,DC=mydomaine,DC=net
> med exempelvis attributet sAMAccountName: ppma
> 
> blir
> 
> CN=S-1-5-21-606747145-1580436667-725345543-10019,CN=ForeignSecurityPrincipals,DC=mydomaine,DC=biz
> 
> Istället för att innehålla de faktiska användarobjekten, innehåller
> attributet member referenser till användarna via
> ForeignSecurityPrincipals.
> 
> när man slår mot det EXTERNA ad:t (slaven), men fungerar bra när man
> slår mote det INTERNA ad:T (master)

Ja, det kan jeg godt se ikke virker.



>> Hvis jeres AD giver certifikater til hver eneste bruger så kan jeres subversion server bare kræve et client certifikat som så skal installeres på jeres SVN clienter.
> 
> Hmm, detta är över min egen nivå, vill du utveckla lite?

okay.

Certifikater er en del af PKI http://en.wikipedia.org/wiki/Public_key_infrastructure hvor alle parter har en public og en private key.

Jeres AD tager så en private key og signerer sin egen public key => selfsigned certifikate, også kaldet CA.

Jeres subversion server har et andet nøgle par af public og private key. Den public key bliver signeret af CA, og din subversion server har et certifikat.

Du laver også et public/private key par, får din public key signeret af CA, og så har du et certifikat.


Siden både du og subversion serveren stoler på CA, så kan subversion serveren (eller rettere apache) sættes op til at stole på at når dit certifikat forbinder sig, så har du lov til adgang.

Alle certifikater har en gyldigheds dato, og desuden så kan CA publicere en Certifikate Revokation List, som man kan kikke i før der gives adgang.

certifikater kan bruges som en del af 2-faktor auth, i det at certifikatet er noget du har. Men det betyder også at alle som har bare en kopi af dit certifikat har din adgang... det plejer man at løse ved at kræve et password ved adgang til sit certifikat når det ligger på ens PC. Man kan også bruge USB dimser hvor den private nøgle er låst inden I så man ikke kan få den ud.




JonB