siegmarb
Goto Top

Kerberos, Maschinen-Konten Keytab für Service-SPN . Rotation

Hi Leute,

ich nutze aktuell SSSD um Linux-Maschinen in unser AD zu joinen. Das geht 1a.
Dafür legt sich SSSD dann auch gleich eine Keytab für das Maschinenkonto ab (/etc/krb5.keytab)

Jetzt füge ich diesem Maschinen-Konto im AD je nach Bedarf SPNs hinzu für z.B. HTTP/ oder SQL/.

Jedoch habe ich dabei etwas Bauchweh, den Diensten auf der Maschine die Keytab lesen zu lassen, da ich damit auch den Zugang zum Maschinenkonto offenlege.

Meinungen dazu?

Wie regelt Ihr die Rotation von Keytab-Dateien?

Content-ID: 7915329027

Url: https://administrator.de/forum/kerberos-maschinen-konten-keytab-fuer-service-spn-rotation-7915329027.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

Dani
Dani 21.07.2023 um 17:50:49 Uhr
Goto Top
Moin,
Jedoch habe ich dabei etwas Bauchweh, den Diensten auf der Maschine die Keytab lesen zu lassen, da ich damit auch den Zugang zum Maschinenkonto offenlege.
hast du mal einen LDAP Browser genommen, diesen anonym mit dem AD verbunden und geschaut was du so an Infos auslesen kannst?! Ich würde behaupten (kann es gerade nicht prüfen), dass du die SPNs der Computerkonten auslesen kannst.


Gruß,
Dani
OfficeKrake
OfficeKrake 21.07.2023 um 21:06:39 Uhr
Goto Top
Auf die Gefahr hin, dass ich dir jetzt nichts ganz neues erzähle, aber du kannst die Keytab-Files auf dem Linux-Host ja auch nur einem Dienst zugänglich machen. Hier mal die Beispielhaft die Befehle für Ubuntu in Kombi für einen SQL-Server.

sudo chown mssql:mssql /var/opt/mssql/secrets/*DeinDateiName*.keytab

sudo chmod 400 /var/opt/mssql/secrets/*DeinDateiName*.keytab

Vielleicht lindert das ja ein wenig deine Bauschmerzen.

VG
eure OfficeKrake
siegmarb
Lösung siegmarb 24.07.2023 um 17:59:47 Uhr
Goto Top
Danke für eure Antworten, aber leider helfen mir diese nicht weiter. Ich hab wohl meine Frage unverständlich gestellt.

Mir geht es nicht darum, welche Infos ich auslesen kann, oder wie ich eine lokale Datei mit Rechten versehe, sondern dass ein lokaler Dienst eine Keytab-Datei lesen kann, die er nicht lesen sollte, da damit das Computerkonto verknüpft ist, worauf ein einfacher Dienst auf der Maschine keinen Zugriff haben sollte.
Dani
Dani 24.07.2023 um 19:30:35 Uhr
Goto Top
Moin,
Mir geht es nicht darum, welche Infos ich auslesen kann
doch darum geht es. Es bringt doch nichts, eine Information zu schützen welche du anonym sowieso aus dem Active Directory auslesen darfst. Wo ist da aus deiner Sicht der Sicherheitsgewinn? Das ist wie die Haustüre abzuschließen, aber die Terassentüren offen zu lassen.

By the way: Wie gehst du mit der vermeidlichen Problematik mit verschiedenen Anwendungen auf einem Windows Server um, welcher auch einfaches Domänenmitglied ist?!


Gruß,
Dani
siegmarb
siegmarb 24.07.2023 um 19:47:40 Uhr
Goto Top
Danke für deinen Gedankengang. Jetzt versteh ich Dich. Keytab-Dateien beinhalten schützenswertes Schlüsselmaterial, was es ermöglicht, sich ohne Eingabe von zusätzlichen Kennwörtern o.ä. als Maschinenkonto auszugeben. Es handelt sich hier also um kritische Authentisierungsinformationen.

Diese Informationen sind so nicht im LDAP o.ä. auslesbar und nur im geschützten KDC/AD-Bereich und dort ausschließlich für den krbtgt-Benutzer einsehbar.
Dani
Dani 05.08.2023 aktualisiert um 11:49:27 Uhr
Goto Top
Moin,
Jetzt versteh ich Dich. Keytab-Dateien beinhalten schützenswertes Schlüsselmaterial
Keine Frage. Aber eigentlich hast du doch pro Services eigentlich auch eine dedizierte Keytab Datei erstellen und verwendet werden können. Somit kannst du die Services dedizierte pro Datei berechtigen. Oder laufen die Services über SSSD?


Gruß,
Dani
siegmarb
siegmarb 05.08.2023 um 12:34:32 Uhr
Goto Top
Danke für deine Mühe. Betrachten wir das Thema - in diesem Forum - als erledigt. Wir drehen uns im Kreis face-smile