SAMBA4-Federico_Nan

Samba 4

• Un poco de historia y teoría

•Conozcamos Active Directory!

•Integraciones posibles: Samba3, Kerberos, Winbind, etc

•Instalación de SAMBA4

•Preguntas?

viernes 6 de noviembre de 2009

Samba 4 -un poco de

historia

•Samba4 Comienza su desarrollo en Mayo del 2004

•Samba 3 reemplaza DC de Windows NT

•Al poco tiempo de desarrollo Windows XP puede unirse a Samba4 usando Kerberos

•Actualmente Samba4 puede ser miembro de confianza con Active Directory para replicación.


Samba 4 -conozcamosActive Directory

• Active Directory es un servidor LDAP.....FALSO!!!!!!

•AD es mucho más que un backend LDAP.

•Integración de varias tecnologías, varias propietarias y NO documentadas

•Servicio de directorio, Unificación, Políticas (GPO).


Samba 4 -Protocolos

• CIFS (common internet file system)No es solo un File System, es encargado de transportar mucha más información.

• SMB no es CIFS!!....si bien proviene de él.

• CIFS soporta IPC (Inter Process Comunication).

• CIFS + IPC + TCP/IP = DCE-PRC Distributed Computing Environment / Remote Procedure Calls


Samba 4 -Protocolos

• CLDAP (Connectionless LDAP) Ldapv2 over UDP.

• CLDAP no estandar, basado en versión 3. No documentado.

• CLDAP se usa , en general, para Descubrir AD´s y prioridades.

• DNS totalmente necesario para el funcionamiento de AD. Ej: entradas SRV (record type) _msdcs sub-domain.

• Actualización de DNS vía Kerberos.

• SNTP (Simple Network Time Protocol) NECESARIO para Kerberos.


Samba 4 -Autenticación

• Un poco de teoría:

• Quién sos?

• Quienes son ellos?

• Integridad de datos

•Encriptación de datos

• Registro.

• Quién entra a qué?


Samba 4 -NTLM (Microsoft Karma)

• LANMAN (antes de Windows NT)

• NTLM: NT hash + LANMAN (Windows NT)

• Por “algunos” problemas de seguridad nace: NTLMv2

• NTLMv2, vuela LM, se introduce otro sistema de challenge-response: HMAC-MD5

• Session Keys: para verificar la información.


Samba 4 -NTLMSSP SSPI (Security Support

Provider Interface)

• Framework para NTLM, como una API para brindar autenticación a los clientes sin conocer el método.

• Pasos de la autenticación NTLMSSP:

• Negotiate

• Challenge

• Authenticate


Samba 4 -KERBEROS

• KDC (Key Distribution Center).

• Tickets

• Heimdal Kerberos

• MIT Kerberos

• Full integración con Active Directory


Samba 4 -Security Negotiation

• SASL: Libreria de abstracción, muy utilizada en GNU/Linux.

• GSSAPI: Generic Security Services Application Program Interface

• SPENGO: Simple and Protected NEGOtiation protocol. Negociación entre NTLMSSP y Kerberos.


Samba 4 -Integraciones posibles

GNU/LINUX como server •Samba 3: NO ES ACTIVE DIRECTORY....es NT DOMAIN, no kerberos. Funciona bien, con las limitaciones en la ejecución de políticas. Gosa es una buena GUI para manejar Samba3.

• Samba 4: Funcionan las GPO, todavía no hay GUI interesantes. Se puede usar la mmc de Microsoft desde un Windows XP. Hace unas semanas, SAMBA4 funciona como servidor de confianza para replicación con Microsoft AD.


Samba 4 -Integraciones posibles

GNU/LINUX como cliente Hay dos integraciones posibles y estables (para mí :))

• GNU/Linux usando ldap client, pam y winbind. Para esto es necesario instalar UNIX SERVICES en el Windows con AD. Funciona bien, no es recomendable para estaciones de trabajo, sí para proxy de algún servicio con OpenLdap. También puede utilizarse NIS con Windows 2008, pero no es recomendable!!!

• GNU/Linux “kerberizado”. Hace uso de los TGT que otorga el KDC de Microsoft. Funciona también con PAM y nsswicht. Funciona estable. Para implementarlo hace falta usar ktpass en Microsoft por cada cliente, eso es un poco molesto!.


Samba 4 -DEMO

- Windows XP SP3, 4 5 y todos los que sigan saliendo...- Debian Lenny GNU/Linux - Samba 4- Windows Support Tools- Bind9- Vim


Samba 4 -Preguntas?

Preguntas?

Federico [email protected]


mailto:[email protected]

mailto:[email protected]

SAMBA4-Federico_Nan

Documents

Transcript of SAMBA4-Federico_Nan