Kerberos, Maschinen-Konten Keytab für Service-SPN . Rotation
Hi Leute,
ich nutze aktuell SSSD um Linux-Maschinen in unser AD zu joinen. Das geht 1a.
Dafür legt sich SSSD dann auch gleich eine Keytab für das Maschinenkonto ab (/etc/krb5.keytab)
Jetzt füge ich diesem Maschinen-Konto im AD je nach Bedarf SPNs hinzu für z.B. HTTP/ oder SQL/.
Jedoch habe ich dabei etwas Bauchweh, den Diensten auf der Maschine die Keytab lesen zu lassen, da ich damit auch den Zugang zum Maschinenkonto offenlege.
Meinungen dazu?
Wie regelt Ihr die Rotation von Keytab-Dateien?
ich nutze aktuell SSSD um Linux-Maschinen in unser AD zu joinen. Das geht 1a.
Dafür legt sich SSSD dann auch gleich eine Keytab für das Maschinenkonto ab (/etc/krb5.keytab)
Jetzt füge ich diesem Maschinen-Konto im AD je nach Bedarf SPNs hinzu für z.B. HTTP/ oder SQL/.
Jedoch habe ich dabei etwas Bauchweh, den Diensten auf der Maschine die Keytab lesen zu lassen, da ich damit auch den Zugang zum Maschinenkonto offenlege.
Meinungen dazu?
Wie regelt Ihr die Rotation von Keytab-Dateien?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7915329027
Url: https://administrator.de/forum/kerberos-maschinen-konten-keytab-fuer-service-spn-rotation-7915329027.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Jedoch habe ich dabei etwas Bauchweh, den Diensten auf der Maschine die Keytab lesen zu lassen, da ich damit auch den Zugang zum Maschinenkonto offenlege.
hast du mal einen LDAP Browser genommen, diesen anonym mit dem AD verbunden und geschaut was du so an Infos auslesen kannst?! Ich würde behaupten (kann es gerade nicht prüfen), dass du die SPNs der Computerkonten auslesen kannst.Gruß,
Dani
Auf die Gefahr hin, dass ich dir jetzt nichts ganz neues erzähle, aber du kannst die Keytab-Files auf dem Linux-Host ja auch nur einem Dienst zugänglich machen. Hier mal die Beispielhaft die Befehle für Ubuntu in Kombi für einen SQL-Server.
Vielleicht lindert das ja ein wenig deine Bauschmerzen.
VG
eure OfficeKrake
sudo chown mssql:mssql /var/opt/mssql/secrets/*DeinDateiName*.keytab
sudo chmod 400 /var/opt/mssql/secrets/*DeinDateiName*.keytab
Vielleicht lindert das ja ein wenig deine Bauschmerzen.
VG
eure OfficeKrake
Moin,
By the way: Wie gehst du mit der vermeidlichen Problematik mit verschiedenen Anwendungen auf einem Windows Server um, welcher auch einfaches Domänenmitglied ist?!
Gruß,
Dani
Mir geht es nicht darum, welche Infos ich auslesen kann
doch darum geht es. Es bringt doch nichts, eine Information zu schützen welche du anonym sowieso aus dem Active Directory auslesen darfst. Wo ist da aus deiner Sicht der Sicherheitsgewinn? Das ist wie die Haustüre abzuschließen, aber die Terassentüren offen zu lassen.By the way: Wie gehst du mit der vermeidlichen Problematik mit verschiedenen Anwendungen auf einem Windows Server um, welcher auch einfaches Domänenmitglied ist?!
Gruß,
Dani
Moin,
Gruß,
Dani
Jetzt versteh ich Dich. Keytab-Dateien beinhalten schützenswertes Schlüsselmaterial
Keine Frage. Aber eigentlich hast du doch pro Services eigentlich auch eine dedizierte Keytab Datei erstellen und verwendet werden können. Somit kannst du die Services dedizierte pro Datei berechtigen. Oder laufen die Services über SSSD?Gruß,
Dani