SAMBA4-Federico_Nan
Transcript of SAMBA4-Federico_Nan
Samba 4
• Un poco de historia y teoría
•Conozcamos Active Directory!
•Integraciones posibles: Samba3, Kerberos, Winbind, etc
•Instalación de SAMBA4
•Preguntas?
viernes 6 de noviembre de 2009
Samba 4 -un poco de
historia
•Samba4 Comienza su desarrollo en Mayo del 2004
•Samba 3 reemplaza DC de Windows NT
•Al poco tiempo de desarrollo Windows XP puede unirse a Samba4 usando Kerberos
•Actualmente Samba4 puede ser miembro de confianza con Active Directory para replicación.
viernes 6 de noviembre de 2009
Samba 4 -conozcamosActive Directory
• Active Directory es un servidor LDAP.....FALSO!!!!!!
•AD es mucho más que un backend LDAP.
•Integración de varias tecnologías, varias propietarias y NO documentadas
•Servicio de directorio, Unificación, Políticas (GPO).
viernes 6 de noviembre de 2009
Samba 4 -Protocolos
• CIFS (common internet file system)No es solo un File System, es encargado de transportar mucha más información.
• SMB no es CIFS!!....si bien proviene de él.
• CIFS soporta IPC (Inter Process Comunication).
• CIFS + IPC + TCP/IP = DCE-PRC Distributed Computing Environment / Remote Procedure Calls
viernes 6 de noviembre de 2009
Samba 4 -Protocolos
• CLDAP (Connectionless LDAP) Ldapv2 over UDP.
• CLDAP no estandar, basado en versión 3. No documentado.
• CLDAP se usa , en general, para Descubrir AD´s y prioridades.
• DNS totalmente necesario para el funcionamiento de AD. Ej: entradas SRV (record type) _msdcs sub-domain.
• Actualización de DNS vía Kerberos.
• SNTP (Simple Network Time Protocol) NECESARIO para Kerberos.
viernes 6 de noviembre de 2009
Samba 4 -Autenticación
• Un poco de teoría:
• Quién sos?
• Quienes son ellos?
• Integridad de datos
•Encriptación de datos
• Registro.
• Quién entra a qué?
viernes 6 de noviembre de 2009
Samba 4 -NTLM (Microsoft Karma)
• LANMAN (antes de Windows NT)
• NTLM: NT hash + LANMAN (Windows NT)
• Por “algunos” problemas de seguridad nace: NTLMv2
• NTLMv2, vuela LM, se introduce otro sistema de challenge-response: HMAC-MD5
• Session Keys: para verificar la información.
viernes 6 de noviembre de 2009
Samba 4 -NTLMSSP SSPI (Security Support
Provider Interface)
• Framework para NTLM, como una API para brindar autenticación a los clientes sin conocer el método.
• Pasos de la autenticación NTLMSSP:
• Negotiate
• Challenge
• Authenticate
viernes 6 de noviembre de 2009
Samba 4 -KERBEROS
• KDC (Key Distribution Center).
• Tickets
• Heimdal Kerberos
• MIT Kerberos
• Full integración con Active Directory
viernes 6 de noviembre de 2009
Samba 4 -Security Negotiation
• SASL: Libreria de abstracción, muy utilizada en GNU/Linux.
• GSSAPI: Generic Security Services Application Program Interface
• SPENGO: Simple and Protected NEGOtiation protocol. Negociación entre NTLMSSP y Kerberos.
viernes 6 de noviembre de 2009
Samba 4 -Integraciones posibles
GNU/LINUX como server •Samba 3: NO ES ACTIVE DIRECTORY....es NT DOMAIN, no kerberos. Funciona bien, con las limitaciones en la ejecución de políticas. Gosa es una buena GUI para manejar Samba3.
• Samba 4: Funcionan las GPO, todavía no hay GUI interesantes. Se puede usar la mmc de Microsoft desde un Windows XP. Hace unas semanas, SAMBA4 funciona como servidor de confianza para replicación con Microsoft AD.
viernes 6 de noviembre de 2009
Samba 4 -Integraciones posibles
GNU/LINUX como cliente Hay dos integraciones posibles y estables (para mí :))
• GNU/Linux usando ldap client, pam y winbind. Para esto es necesario instalar UNIX SERVICES en el Windows con AD. Funciona bien, no es recomendable para estaciones de trabajo, sí para proxy de algún servicio con OpenLdap. También puede utilizarse NIS con Windows 2008, pero no es recomendable!!!
• GNU/Linux “kerberizado”. Hace uso de los TGT que otorga el KDC de Microsoft. Funciona también con PAM y nsswicht. Funciona estable. Para implementarlo hace falta usar ktpass en Microsoft por cada cliente, eso es un poco molesto!.
viernes 6 de noviembre de 2009
Samba 4 -DEMO
- Windows XP SP3, 4 5 y todos los que sigan saliendo...- Debian Lenny GNU/Linux - Samba 4- Windows Support Tools- Bind9- Vim
viernes 6 de noviembre de 2009