14
LDAP vs Kerberos
Moin,
wir sind gerade dabei unsere Systeme von LDAP auf LDAPS umzustellen.
Bis gestern bin ich noch davon ausgegangen, dass Linux-Systeme / Appliances die domain-joined sind, ausschließlich Kerberos mit dem AD sprechen.
Laut Event-Log und Firewall-Log wird aber zusätzlich auch per LDAP kommuniziert.
Beispiel: Ein AD integriertes NAS-System: Zugriff per AD-Gruppen funktioniert super. Der Karteireiter mit LDAP-Anbindung ist erst gar nicht aktiviert und konfiguriert.
Kann mich jemand über diesen Zusammenhang aufklären?
Ist das immer ein Mix aus beidem?
Aber wozu AD-Join wenn trotzdem noch LDAP konfiguriert werden muss?
(Mein LINUX Epertise beschränkt sich leider auf das Buchstabieren des Wortes. )
Danke und Gruß
wir sind gerade dabei unsere Systeme von LDAP auf LDAPS umzustellen.
Bis gestern bin ich noch davon ausgegangen, dass Linux-Systeme / Appliances die domain-joined sind, ausschließlich Kerberos mit dem AD sprechen.
Laut Event-Log und Firewall-Log wird aber zusätzlich auch per LDAP kommuniziert.
Beispiel: Ein AD integriertes NAS-System: Zugriff per AD-Gruppen funktioniert super. Der Karteireiter mit LDAP-Anbindung ist erst gar nicht aktiviert und konfiguriert.
Kann mich jemand über diesen Zusammenhang aufklären?
Ist das immer ein Mix aus beidem?
Aber wozu AD-Join wenn trotzdem noch LDAP konfiguriert werden muss?
(Mein LINUX Epertise beschränkt sich leider auf das Buchstabieren des Wortes. )
Danke und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 661134
Url: https://administrator.de/contentid/661134
Printed on: April 20, 2024 at 06:04 o'clock
14 Comments
Latest comment
Moin,
Active Directory ist LDAP mit einer entsprechenden Struktur. Kerberos ist lediglich ein Authentifizierungsmechanismus...
Du vergleichst hier Äpfel mit Birnen...
Manche NAS können auch mit LDAP-Servern sprechen, die nicht mit der AD-Struktur arbeiten, daher gibt es dazu ggf. noch eine zusätzliche Konfigurationsmöglichkeit.
VG
Active Directory ist LDAP mit einer entsprechenden Struktur. Kerberos ist lediglich ein Authentifizierungsmechanismus...
Du vergleichst hier Äpfel mit Birnen...
Manche NAS können auch mit LDAP-Servern sprechen, die nicht mit der AD-Struktur arbeiten, daher gibt es dazu ggf. noch eine zusätzliche Konfigurationsmöglichkeit.
VG
Moin,
kurz gesagt: Im LDAP stehen die Informationen zur Benutzer- und Geräteverwaltung. Kerberos ist ein Protokoll, um sichere Verbindungen zwischen Rechnern herzustellen und ein single sign login zu ermöglichen. Genauer z. B. hier:
https://www.mat.univie.ac.at/~praxis/sosem14/vorlesung/folien_08.pdf
hth
Erik
kurz gesagt: Im LDAP stehen die Informationen zur Benutzer- und Geräteverwaltung. Kerberos ist ein Protokoll, um sichere Verbindungen zwischen Rechnern herzustellen und ein single sign login zu ermöglichen. Genauer z. B. hier:
https://www.mat.univie.ac.at/~praxis/sosem14/vorlesung/folien_08.pdf
hth
Erik
Hallo,
seid ihr da sicher? Auch das wiederspricht allem was mir bislang bekannt war...
Meiner Meinung nach sind Kerberos und LDAP Protokolle (das bestätigt auch Wikipedia). Lediglich die Funktionsweise ist anders.
AD und OpenLDAP wiederum die Verzeichnis Dienste (auch das bestätigt Wikipedia).
Die Folien aus dem Link würde ich genau so interpretieren.
Gruß
seid ihr da sicher? Auch das wiederspricht allem was mir bislang bekannt war...
Meiner Meinung nach sind Kerberos und LDAP Protokolle (das bestätigt auch Wikipedia). Lediglich die Funktionsweise ist anders.
AD und OpenLDAP wiederum die Verzeichnis Dienste (auch das bestätigt Wikipedia).
Die Folien aus dem Link würde ich genau so interpretieren.
Gruß
Hallo,
Kerberus stellt sagen wir eine Art Sicherheitsbeziehung her. Das muss für den Host (beim AD-Join) einmalig uns systemweit konfiguriert werden.
Die Anfragen an das AD laufen aber aus der Anwendung direkt an den Domaincontroller, es gibt da keine Art lokalen "Proxy-Daemon" für den man LADPS systemweit einstellen könnte. Du musst daher für jede Anwendungssoftware einzeln sicherstellen, dass sie LADPS verwendet.
Grüße
lcer
Kerberus stellt sagen wir eine Art Sicherheitsbeziehung her. Das muss für den Host (beim AD-Join) einmalig uns systemweit konfiguriert werden.
Die Anfragen an das AD laufen aber aus der Anwendung direkt an den Domaincontroller, es gibt da keine Art lokalen "Proxy-Daemon" für den man LADPS systemweit einstellen könnte. Du musst daher für jede Anwendungssoftware einzeln sicherstellen, dass sie LADPS verwendet.
Grüße
lcer
Moin,
AD ist LDAP+Kerberos mit MS-VerhunzungenErweiterungen!
Daher brauchst Du ein funktionierendes LDAP um am AD teilzunehmen.
lks
AD ist LDAP+Kerberos mit MS-
Daher brauchst Du ein funktionierendes LDAP um am AD teilzunehmen.
lks
Das wäre nach meiner Meinung wie Apache ist HTTP und HTTPS.
Es geht mir nur um die Frage, warum diese Systeme gleichzeitg sowohl per Kerberos als auch per LDAP/s mit dem DC sprechen.
Ein AD gejointes Linux spricht mit dem eigenen Security Objekt mit dem AD. Das sehe ich auch im Log vom DC und auch auf der Firewall. Ein dedizierter User ist dann nicht mehr notwendig. Ich gehe davon aus, dass dies Kerberos ist, da auch Kerberos im Log auftaucht.
Auf allen nicht AD gejointen Systemen haben wir LDAP/s entsprechend mit einem User konfiguriert. Funktioniert.
DANKE
Gruß
Daher brauchst Du ein funktionierendes LDAP um am AD teilzunehmen.
Das LDAP / LDAPS zum AD / DomainController funktioniert ja prinzipiell.Es geht mir nur um die Frage, warum diese Systeme gleichzeitg sowohl per Kerberos als auch per LDAP/s mit dem DC sprechen.
Ein AD gejointes Linux spricht mit dem eigenen Security Objekt mit dem AD. Das sehe ich auch im Log vom DC und auch auf der Firewall. Ein dedizierter User ist dann nicht mehr notwendig. Ich gehe davon aus, dass dies Kerberos ist, da auch Kerberos im Log auftaucht.
Auf allen nicht AD gejointen Systemen haben wir LDAP/s entsprechend mit einem User konfiguriert. Funktioniert.
DANKE
Gruß
Zitat von @lcer00:
Die Anfragen an das AD laufen aber aus der Anwendung direkt an den Domaincontroller, es gibt da keine Art lokalen "Proxy-Daemon" für den man LADPS systemweit einstellen könnte. Du musst daher für jede Anwendungssoftware einzeln sicherstellen, dass sie LADPS verwendet.
Ja, das ergibt Sinn. Zumindest bei Systemn wo das Linux mit der Software irgendwie zusammengebracht wird.Die Anfragen an das AD laufen aber aus der Anwendung direkt an den Domaincontroller, es gibt da keine Art lokalen "Proxy-Daemon" für den man LADPS systemweit einstellen könnte. Du musst daher für jede Anwendungssoftware einzeln sicherstellen, dass sie LADPS verwendet.
Bei unseren Appliances erfolgt die AD Integration innerhalb der Software. Da würde ich auch erwarten, dass dies dann nicht mehr notwendig ist.
Hallo,
Wenn Du vom LADP wissen willst, welche Telefonnummer der Benutzer hat, fragst Du über LADP (unverschlüsselt))/LADPs(Verschlüsselt) an und bekommst die Antwort dann über LADP (unverschlüsselt))/LADPs(Verschlüsselt) zurück. Kerberos sichert dabei ab, ob du überhaupt anfragen darfst. Kerberus verschlüsselt aber keine Nutzdaten!
Grüße
lcer
Zitat von @ElmerAcmeee:
Das LDAP / LDAPS zum AD / DomainController funktioniert ja prinzipiell.
Es geht mir nur um die Frage, warum diese Systeme gleichzeitg sowohl per Kerberos als auch per LDAP/s mit dem DC sprechen.
Na weil Kerberos keine Nutzdaten überträgt, sondern nur für die Absicherung / Authentifizierung zuständig ist.Das LDAP / LDAPS zum AD / DomainController funktioniert ja prinzipiell.
Es geht mir nur um die Frage, warum diese Systeme gleichzeitg sowohl per Kerberos als auch per LDAP/s mit dem DC sprechen.
Wenn Du vom LADP wissen willst, welche Telefonnummer der Benutzer hat, fragst Du über LADP (unverschlüsselt))/LADPs(Verschlüsselt) an und bekommst die Antwort dann über LADP (unverschlüsselt))/LADPs(Verschlüsselt) zurück. Kerberos sichert dabei ab, ob du überhaupt anfragen darfst. Kerberus verschlüsselt aber keine Nutzdaten!
Grüße
lcer
Zitat von @ElmerAcmeee:
Hallo,
seid ihr da sicher? Auch das wiederspricht allem was mir bislang bekannt war...
Ja, sind wir. Da hast du etwas Grundsätzlich falsch verstanden.Hallo,
seid ihr da sicher? Auch das wiederspricht allem was mir bislang bekannt war...
Meiner Meinung nach sind Kerberos und LDAP Protokolle (das bestätigt auch Wikipedia). Lediglich die Funktionsweise ist anders.
Es sind so viele Dinge Protokolle... Die Frage ist eben für welchen Zweck.AD und OpenLDAP wiederum die Verzeichnis Dienste (auch das bestätigt Wikipedia).
AD/LDAP ist der Verzeichnisdienst, Kerberos ist ein Authentifizierungsprotokoll...Die Folien aus dem Link würde ich genau so interpretieren.
Dann interpretierst du falsch und solltest nochmal aufmerksam lesen.Gruß
Zitat von @ElmerAcmeee:
Bei unseren Appliances erfolgt die AD Integration innerhalb der Software. Da würde ich auch erwarten, dass dies dann nicht mehr notwendig ist.
Stimmt nur bedingt. Auf bei den Appliances muss Kerberos für die Maschine separat konfiguriert sein. Der Domänenjoin läuft meist über SMB / Kerberos. Das macht vielleicht der Appliance-Installer, aber Kerberos läuft separat.Zitat von @lcer00:
Die Anfragen an das AD laufen aber aus der Anwendung direkt an den Domaincontroller, es gibt da keine Art lokalen "Proxy-Daemon" für den man LADPS systemweit einstellen könnte. Du musst daher für jede Anwendungssoftware einzeln sicherstellen, dass sie LADPS verwendet.
Ja, das ergibt Sinn. Zumindest bei Systemn wo das Linux mit der Software irgendwie zusammengebracht wird.Die Anfragen an das AD laufen aber aus der Anwendung direkt an den Domaincontroller, es gibt da keine Art lokalen "Proxy-Daemon" für den man LADPS systemweit einstellen könnte. Du musst daher für jede Anwendungssoftware einzeln sicherstellen, dass sie LADPS verwendet.
Bei unseren Appliances erfolgt die AD Integration innerhalb der Software. Da würde ich auch erwarten, dass dies dann nicht mehr notwendig ist.
Zu LADP unter z.B. Debian schau mal hier: https://wiki.debian.org/LDAP
Kerberos für Linux ist ein separates Paket z.B. https://tracker.debian.org/pkg/krb5
Grüße
lcer
Zitat von @lcer00:
Stimmt nur bedingt. Auf bei den Appliances muss Kerberos für die Maschine separat konfiguriert sein. Der Domänenjoin läuft meist über SMB / Kerberos. Das macht vielleicht der Appliance-Installer, aber Kerberos läuft separat.
Das setup der Appliances läuft vollkommen automatisiert und das OS ist teilweise gehärtet.Stimmt nur bedingt. Auf bei den Appliances muss Kerberos für die Maschine separat konfiguriert sein. Der Domänenjoin läuft meist über SMB / Kerberos. Das macht vielleicht der Appliance-Installer, aber Kerberos läuft separat.
Ausser der GUI bleibt mir da nicht viel.
Wir haben zwei Versionen. Bei der einen gibt es nur den AD-Join aber keine LDAP-Config.
Ich wende mich da mal an den Hersteller.
Danke
Zitat von @ElmerAcmeee:
Ausser der GUI bleibt mir da nicht viel.
Wir haben zwei Versionen. Bei der einen gibt es nur den AD-Join aber keine LDAP-Config.
Ich wende mich da mal an den Hersteller.
Danke
Schau mal zum vergleich hier bei ESET: https://help.eset.com/protect_deploy_va/80/de-DE/configure_ldaps_connect ...Zitat von @lcer00:
Stimmt nur bedingt. Auf bei den Appliances muss Kerberos für die Maschine separat konfiguriert sein. Der Domänenjoin läuft meist über SMB / Kerberos. Das macht vielleicht der Appliance-Installer, aber Kerberos läuft separat.
Das setup der Appliances läuft vollkommen automatisiert und das OS ist teilweise gehärtet.Stimmt nur bedingt. Auf bei den Appliances muss Kerberos für die Maschine separat konfiguriert sein. Der Domänenjoin läuft meist über SMB / Kerberos. Das macht vielleicht der Appliance-Installer, aber Kerberos läuft separat.
Ausser der GUI bleibt mir da nicht viel.
Wir haben zwei Versionen. Bei der einen gibt es nur den AD-Join aber keine LDAP-Config.
Ich wende mich da mal an den Hersteller.
Danke
Der verlinkte Artikel auf Microsoft 1 ist eher unglücklich, man muss kein AD LDS installieren, da steht nur drin, wie man das CA-Zertifikat exportiert. Aber da sieht man, an welchen Stellen die Konfiguration geändert werden muss:
- Anpassung an der Config-Datei des ESET-Dienstes zur Aktivierung von LADPS (Das ist der LADPS-Teil)
- Das Zertifikat der AD-CA muss importiert und dem System bekannt gemacht werden. (Das ist der Kerberos Teil)
Grüße
lcer
Hallo,
Und AD und LDAP-Server sind die Dienste.
Okay, der Groschen ist nur Pfennigweise bei mir gefallen.
Mein Denkfehler bei der Sache ist evtl folgender: Die Anbindung zum AD soll nur für die Authentifizierung genutzt werden. D.h. Telefonnummer vom Objekt spielt da keine Rolle.
Und das sollte auch ausschießlich mit Kerberos möglich sein. Punkt 2 bei Kerberos in deiner Folie.
Für die Abfrage von Metadaten wäre mir jetzt klar wozu LDAP/s genutzt wird - hoffentlich
DANKE
Zitat von @BirdyB:
Sorry, aber genau das steht in den Folien. LDAP und Kerberos sind Protokolle. Jeweils erster Satz im zugehörigen AbschnittZitat von @ElmerAcmeee:
AD und OpenLDAP wiederum die Verzeichnis Dienste (auch das bestätigt Wikipedia).
AD/LDAP ist der Verzeichnisdienst, Kerberos ist ein Authentifizierungsprotokoll...AD und OpenLDAP wiederum die Verzeichnis Dienste (auch das bestätigt Wikipedia).
Die Folien aus dem Link würde ich genau so interpretieren.
Dann interpretierst du falsch und solltest nochmal aufmerksam lesen.Und AD und LDAP-Server sind die Dienste.
Zitat von @BirdyB:
Zitat von @ElmerAcmeee:
Meiner Meinung nach sind Kerberos und LDAP Protokolle (das bestätigt auch Wikipedia). Lediglich die Funktionsweise ist anders.
Es sind so viele Dinge Protokolle... Die Frage ist eben für welchen Zweck.Meiner Meinung nach sind Kerberos und LDAP Protokolle (das bestätigt auch Wikipedia). Lediglich die Funktionsweise ist anders.
Okay, der Groschen ist nur Pfennigweise bei mir gefallen.
Mein Denkfehler bei der Sache ist evtl folgender: Die Anbindung zum AD soll nur für die Authentifizierung genutzt werden. D.h. Telefonnummer vom Objekt spielt da keine Rolle.
Und das sollte auch ausschießlich mit Kerberos möglich sein. Punkt 2 bei Kerberos in deiner Folie.
Für die Abfrage von Metadaten wäre mir jetzt klar wozu LDAP/s genutzt wird - hoffentlich
DANKE
Moin,
Ja.
Das soll vorkommen. BTW: Da ist ein E zuviel.
Streng genommen stimmt das. Wenn man aber sagt: "Im LDAP steht die Benutzerverwaltung." oder "In unserem LDAP stehen die Telefonnummern." meint man damit in der Langform: "In unserem Verzeichnis, auf das mittels des LDAPs zugegriffen wird." Da das aber viel zu lang ist, hat sich die kurze Form eingebürgert und alle wissen, dass man damit nicht das Zugriffsprotokoll, sondern die dahinterstehende DB meint (ähnlich wie z. B. bei SQL).
Genau. Die Funktion ist eine ganz andere: Kerberos dient der Authentifizierung und LDAP der Autorisierung im Netz. Anders ausgedrückt: Der Kerberos sorgt dafür, dass niemand eine falsche Identität vorgaukeln kann. Im LDAP steht, was diese Identität so darf. Sehr schön erklärt, was Kerberos macht und wie: http://2014.kes.info/archiv/online/06-4-019.htm
Das ist auch richtig. BTW: In den Folien, die ich verlinkt habe, findet sich eine Ungenauigkeit. Da steht: "Bekannte Implementierung sind MIT Kerberos, Heimdal Kerberos und Microsoft Active Directory." Das würde ich so nie sagen. Die ersten beiden sind reine Kerberos-Server. AD ist weit mehr. Kerberos ist hier nur ein Teil des Ganzen.
Liebe Grüße
Erik
Ja.
Auch das wiederspricht allem was mir bislang bekannt war...
Das soll vorkommen. BTW: Da ist ein E zuviel.
Meiner Meinung nach sind Kerberos und LDAP Protokolle (das bestätigt auch Wikipedia).
Streng genommen stimmt das. Wenn man aber sagt: "Im LDAP steht die Benutzerverwaltung." oder "In unserem LDAP stehen die Telefonnummern." meint man damit in der Langform: "In unserem Verzeichnis, auf das mittels des LDAPs zugegriffen wird." Da das aber viel zu lang ist, hat sich die kurze Form eingebürgert und alle wissen, dass man damit nicht das Zugriffsprotokoll, sondern die dahinterstehende DB meint (ähnlich wie z. B. bei SQL).
Lediglich die Funktionsweise ist anders.
Genau. Die Funktion ist eine ganz andere: Kerberos dient der Authentifizierung und LDAP der Autorisierung im Netz. Anders ausgedrückt: Der Kerberos sorgt dafür, dass niemand eine falsche Identität vorgaukeln kann. Im LDAP steht, was diese Identität so darf. Sehr schön erklärt, was Kerberos macht und wie: http://2014.kes.info/archiv/online/06-4-019.htm
AD und OpenLDAP wiederum die Verzeichnis Dienste (auch das bestätigt Wikipedia).
Das ist auch richtig. BTW: In den Folien, die ich verlinkt habe, findet sich eine Ungenauigkeit. Da steht: "Bekannte Implementierung sind MIT Kerberos, Heimdal Kerberos und Microsoft Active Directory." Das würde ich so nie sagen. Die ersten beiden sind reine Kerberos-Server. AD ist weit mehr. Kerberos ist hier nur ein Teil des Ganzen.
Liebe Grüße
Erik
