SAMBA4-Federico_Nan

14
Samba 4 Un poco de historia y teoría Conozcamos Active Directory! Integraciones posibles: Samba3, Kerberos, Winbind, etc Instalación de SAMBA4 Preguntas? viernes 6 de noviembre de 2009

Transcript of SAMBA4-Federico_Nan

Page 1: SAMBA4-Federico_Nan

Samba 4

• Un poco de historia y teoría

•Conozcamos Active Directory!

•Integraciones posibles: Samba3, Kerberos, Winbind, etc

•Instalación de SAMBA4

•Preguntas?

viernes 6 de noviembre de 2009

Page 2: SAMBA4-Federico_Nan

Samba 4 -un poco de

historia

•Samba4 Comienza su desarrollo en Mayo del 2004

•Samba 3 reemplaza DC de Windows NT

•Al poco tiempo de desarrollo Windows XP puede unirse a Samba4 usando Kerberos

•Actualmente Samba4 puede ser miembro de confianza con Active Directory para replicación.

viernes 6 de noviembre de 2009

Page 3: SAMBA4-Federico_Nan

Samba 4 -conozcamosActive Directory

• Active Directory es un servidor LDAP.....FALSO!!!!!!

•AD es mucho más que un backend LDAP.

•Integración de varias tecnologías, varias propietarias y NO documentadas

•Servicio de directorio, Unificación, Políticas (GPO).

viernes 6 de noviembre de 2009

Page 4: SAMBA4-Federico_Nan

Samba 4 -Protocolos

• CIFS (common internet file system)No es solo un File System, es encargado de transportar mucha más información.

• SMB no es CIFS!!....si bien proviene de él.

• CIFS soporta IPC (Inter Process Comunication).

• CIFS + IPC + TCP/IP = DCE-PRC Distributed Computing Environment / Remote Procedure Calls

viernes 6 de noviembre de 2009

Page 5: SAMBA4-Federico_Nan

Samba 4 -Protocolos

• CLDAP (Connectionless LDAP) Ldapv2 over UDP.

• CLDAP no estandar, basado en versión 3. No documentado.

• CLDAP se usa , en general, para Descubrir AD´s y prioridades.

• DNS totalmente necesario para el funcionamiento de AD. Ej: entradas SRV (record type) _msdcs sub-domain.

• Actualización de DNS vía Kerberos.

• SNTP (Simple Network Time Protocol) NECESARIO para Kerberos.

viernes 6 de noviembre de 2009

Page 6: SAMBA4-Federico_Nan

Samba 4 -Autenticación

• Un poco de teoría:

• Quién sos?

• Quienes son ellos?

• Integridad de datos

•Encriptación de datos

• Registro.

• Quién entra a qué?

viernes 6 de noviembre de 2009

Page 7: SAMBA4-Federico_Nan

Samba 4 -NTLM (Microsoft Karma)

• LANMAN (antes de Windows NT)

• NTLM: NT hash + LANMAN (Windows NT)

• Por “algunos” problemas de seguridad nace: NTLMv2

• NTLMv2, vuela LM, se introduce otro sistema de challenge-response: HMAC-MD5

• Session Keys: para verificar la información.

viernes 6 de noviembre de 2009

Page 8: SAMBA4-Federico_Nan

Samba 4 -NTLMSSP SSPI (Security Support

Provider Interface)

• Framework para NTLM, como una API para brindar autenticación a los clientes sin conocer el método.

• Pasos de la autenticación NTLMSSP:

• Negotiate

• Challenge

• Authenticate

viernes 6 de noviembre de 2009

Page 9: SAMBA4-Federico_Nan

Samba 4 -KERBEROS

• KDC (Key Distribution Center).

• Tickets

• Heimdal Kerberos

• MIT Kerberos

• Full integración con Active Directory

viernes 6 de noviembre de 2009

Page 10: SAMBA4-Federico_Nan

Samba 4 -Security Negotiation

• SASL: Libreria de abstracción, muy utilizada en GNU/Linux.

• GSSAPI: Generic Security Services Application Program Interface

• SPENGO: Simple and Protected NEGOtiation protocol. Negociación entre NTLMSSP y Kerberos.

viernes 6 de noviembre de 2009

Page 11: SAMBA4-Federico_Nan

Samba 4 -Integraciones posibles

GNU/LINUX como server •Samba 3: NO ES ACTIVE DIRECTORY....es NT DOMAIN, no kerberos. Funciona bien, con las limitaciones en la ejecución de políticas. Gosa es una buena GUI para manejar Samba3.

• Samba 4: Funcionan las GPO, todavía no hay GUI interesantes. Se puede usar la mmc de Microsoft desde un Windows XP. Hace unas semanas, SAMBA4 funciona como servidor de confianza para replicación con Microsoft AD.

viernes 6 de noviembre de 2009

Page 12: SAMBA4-Federico_Nan

Samba 4 -Integraciones posibles

GNU/LINUX como cliente Hay dos integraciones posibles y estables (para mí :))

• GNU/Linux usando ldap client, pam y winbind. Para esto es necesario instalar UNIX SERVICES en el Windows con AD. Funciona bien, no es recomendable para estaciones de trabajo, sí para proxy de algún servicio con OpenLdap. También puede utilizarse NIS con Windows 2008, pero no es recomendable!!!

• GNU/Linux “kerberizado”. Hace uso de los TGT que otorga el KDC de Microsoft. Funciona también con PAM y nsswicht. Funciona estable. Para implementarlo hace falta usar ktpass en Microsoft por cada cliente, eso es un poco molesto!.

viernes 6 de noviembre de 2009

Page 13: SAMBA4-Federico_Nan

Samba 4 -DEMO

- Windows XP SP3, 4 5 y todos los que sigan saliendo...- Debian Lenny GNU/Linux - Samba 4- Windows Support Tools- Bind9- Vim

viernes 6 de noviembre de 2009

Page 14: SAMBA4-Federico_Nan

Samba 4 -Preguntas?

Preguntas?

Federico [email protected]

viernes 6 de noviembre de 2009