7
Kerberos, Maschinen-Konten Keytab für Service-SPN . Rotation
Hi Leute,
ich nutze aktuell SSSD um Linux-Maschinen in unser AD zu joinen. Das geht 1a.
Dafür legt sich SSSD dann auch gleich eine Keytab für das Maschinenkonto ab (/etc/krb5.keytab)
Jetzt füge ich diesem Maschinen-Konto im AD je nach Bedarf SPNs hinzu für z.B. HTTP/ oder SQL/.
Jedoch habe ich dabei etwas Bauchweh, den Diensten auf der Maschine die Keytab lesen zu lassen, da ich damit auch den Zugang zum Maschinenkonto offenlege.
Meinungen dazu?
Wie regelt Ihr die Rotation von Keytab-Dateien?
ich nutze aktuell SSSD um Linux-Maschinen in unser AD zu joinen. Das geht 1a.
Dafür legt sich SSSD dann auch gleich eine Keytab für das Maschinenkonto ab (/etc/krb5.keytab)
Jetzt füge ich diesem Maschinen-Konto im AD je nach Bedarf SPNs hinzu für z.B. HTTP/ oder SQL/.
Jedoch habe ich dabei etwas Bauchweh, den Diensten auf der Maschine die Keytab lesen zu lassen, da ich damit auch den Zugang zum Maschinenkonto offenlege.
Meinungen dazu?
Wie regelt Ihr die Rotation von Keytab-Dateien?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7915329027
Url: https://administrator.de/contentid/7915329027
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Jedoch habe ich dabei etwas Bauchweh, den Diensten auf der Maschine die Keytab lesen zu lassen, da ich damit auch den Zugang zum Maschinenkonto offenlege.
hast du mal einen LDAP Browser genommen, diesen anonym mit dem AD verbunden und geschaut was du so an Infos auslesen kannst?! Ich würde behaupten (kann es gerade nicht prüfen), dass du die SPNs der Computerkonten auslesen kannst.Gruß,
Dani
Auf die Gefahr hin, dass ich dir jetzt nichts ganz neues erzähle, aber du kannst die Keytab-Files auf dem Linux-Host ja auch nur einem Dienst zugänglich machen. Hier mal die Beispielhaft die Befehle für Ubuntu in Kombi für einen SQL-Server.
Vielleicht lindert das ja ein wenig deine Bauschmerzen.
VG
eure OfficeKrake
sudo chown mssql:mssql /var/opt/mssql/secrets/*DeinDateiName*.keytabsudo chmod 400 /var/opt/mssql/secrets/*DeinDateiName*.keytabVielleicht lindert das ja ein wenig deine Bauschmerzen.
VG
eure OfficeKrake
Danke für eure Antworten, aber leider helfen mir diese nicht weiter. Ich hab wohl meine Frage unverständlich gestellt.
Mir geht es nicht darum, welche Infos ich auslesen kann, oder wie ich eine lokale Datei mit Rechten versehe, sondern dass ein lokaler Dienst eine Keytab-Datei lesen kann, die er nicht lesen sollte, da damit das Computerkonto verknüpft ist, worauf ein einfacher Dienst auf der Maschine keinen Zugriff haben sollte.
Mir geht es nicht darum, welche Infos ich auslesen kann, oder wie ich eine lokale Datei mit Rechten versehe, sondern dass ein lokaler Dienst eine Keytab-Datei lesen kann, die er nicht lesen sollte, da damit das Computerkonto verknüpft ist, worauf ein einfacher Dienst auf der Maschine keinen Zugriff haben sollte.
Moin,
By the way: Wie gehst du mit der vermeidlichen Problematik mit verschiedenen Anwendungen auf einem Windows Server um, welcher auch einfaches Domänenmitglied ist?!
Gruß,
Dani
Mir geht es nicht darum, welche Infos ich auslesen kann
doch darum geht es. Es bringt doch nichts, eine Information zu schützen welche du anonym sowieso aus dem Active Directory auslesen darfst. Wo ist da aus deiner Sicht der Sicherheitsgewinn? Das ist wie die Haustüre abzuschließen, aber die Terassentüren offen zu lassen.By the way: Wie gehst du mit der vermeidlichen Problematik mit verschiedenen Anwendungen auf einem Windows Server um, welcher auch einfaches Domänenmitglied ist?!
Gruß,
Dani
Danke für deinen Gedankengang. Jetzt versteh ich Dich. Keytab-Dateien beinhalten schützenswertes Schlüsselmaterial, was es ermöglicht, sich ohne Eingabe von zusätzlichen Kennwörtern o.ä. als Maschinenkonto auszugeben. Es handelt sich hier also um kritische Authentisierungsinformationen.
Diese Informationen sind so nicht im LDAP o.ä. auslesbar und nur im geschützten KDC/AD-Bereich und dort ausschließlich für den krbtgt-Benutzer einsehbar.
Diese Informationen sind so nicht im LDAP o.ä. auslesbar und nur im geschützten KDC/AD-Bereich und dort ausschließlich für den krbtgt-Benutzer einsehbar.
Moin,
Gruß,
Dani
Jetzt versteh ich Dich. Keytab-Dateien beinhalten schützenswertes Schlüsselmaterial
Keine Frage. Aber eigentlich hast du doch pro Services eigentlich auch eine dedizierte Keytab Datei erstellen und verwendet werden können. Somit kannst du die Services dedizierte pro Datei berechtigen. Oder laufen die Services über SSSD?Gruß,
Dani
1
Danke für deine Mühe. Betrachten wir das Thema - in diesem Forum - als erledigt. Wir drehen uns im Kreis 
