elmeracmeee
Goto Top

LDAP vs Kerberos

Moin,

wir sind gerade dabei unsere Systeme von LDAP auf LDAPS umzustellen.
Bis gestern bin ich noch davon ausgegangen, dass Linux-Systeme / Appliances die domain-joined sind, ausschließlich Kerberos mit dem AD sprechen.
Laut Event-Log und Firewall-Log wird aber zusätzlich auch per LDAP kommuniziert.
Beispiel: Ein AD integriertes NAS-System: Zugriff per AD-Gruppen funktioniert super. Der Karteireiter mit LDAP-Anbindung ist erst gar nicht aktiviert und konfiguriert.
Kann mich jemand über diesen Zusammenhang aufklären?
Ist das immer ein Mix aus beidem?
Aber wozu AD-Join wenn trotzdem noch LDAP konfiguriert werden muss?

(Mein LINUX Epertise beschränkt sich leider auf das Buchstabieren des Wortes. )

Danke und Gruß

Content-Key: 661134

Url: https://administrator.de/contentid/661134

Printed on: July 20, 2024 at 06:07 o'clock

Member: BirdyB
BirdyB Mar 10, 2021 at 07:07:20 (UTC)
Goto Top
Moin,
Active Directory ist LDAP mit einer entsprechenden Struktur. Kerberos ist lediglich ein Authentifizierungsmechanismus...
Du vergleichst hier Äpfel mit Birnen...
Manche NAS können auch mit LDAP-Servern sprechen, die nicht mit der AD-Struktur arbeiten, daher gibt es dazu ggf. noch eine zusätzliche Konfigurationsmöglichkeit.
VG
Member: erikro
erikro Mar 10, 2021 at 07:19:50 (UTC)
Goto Top
Moin,

kurz gesagt: Im LDAP stehen die Informationen zur Benutzer- und Geräteverwaltung. Kerberos ist ein Protokoll, um sichere Verbindungen zwischen Rechnern herzustellen und ein single sign login zu ermöglichen. Genauer z. B. hier:
https://www.mat.univie.ac.at/~praxis/sosem14/vorlesung/folien_08.pdf

hth

Erik
Member: ElmerAcmeee
ElmerAcmeee Mar 10, 2021 updated at 07:52:29 (UTC)
Goto Top
Hallo,
seid ihr da sicher? Auch das wiederspricht allem was mir bislang bekannt war...
Meiner Meinung nach sind Kerberos und LDAP Protokolle (das bestätigt auch Wikipedia). Lediglich die Funktionsweise ist anders.
AD und OpenLDAP wiederum die Verzeichnis Dienste (auch das bestätigt Wikipedia).
Die Folien aus dem Link würde ich genau so interpretieren.

Gruß
Member: lcer00
lcer00 Mar 10, 2021 at 07:47:39 (UTC)
Goto Top
Hallo,

Kerberus stellt sagen wir eine Art Sicherheitsbeziehung her. Das muss für den Host (beim AD-Join) einmalig uns systemweit konfiguriert werden.

Die Anfragen an das AD laufen aber aus der Anwendung direkt an den Domaincontroller, es gibt da keine Art lokalen "Proxy-Daemon" für den man LADPS systemweit einstellen könnte. Du musst daher für jede Anwendungssoftware einzeln sicherstellen, dass sie LADPS verwendet.

Grüße

lcer
Member: Lochkartenstanzer
Lochkartenstanzer Mar 10, 2021 at 08:14:00 (UTC)
Goto Top
Moin,

AD ist LDAP+Kerberos mit MS-VerhunzungenErweiterungen!

Daher brauchst Du ein funktionierendes LDAP um am AD teilzunehmen.

lks
Member: ElmerAcmeee
ElmerAcmeee Mar 10, 2021 updated at 08:45:03 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

AD ist LDAP+Kerberos mit MS-VerhunzungenErweiterungen!

Das wäre nach meiner Meinung wie Apache ist HTTP und HTTPS.

Daher brauchst Du ein funktionierendes LDAP um am AD teilzunehmen.

Das LDAP / LDAPS zum AD / DomainController funktioniert ja prinzipiell.
Es geht mir nur um die Frage, warum diese Systeme gleichzeitg sowohl per Kerberos als auch per LDAP/s mit dem DC sprechen.

Ein AD gejointes Linux spricht mit dem eigenen Security Objekt mit dem AD. Das sehe ich auch im Log vom DC und auch auf der Firewall. Ein dedizierter User ist dann nicht mehr notwendig. Ich gehe davon aus, dass dies Kerberos ist, da auch Kerberos im Log auftaucht.

Auf allen nicht AD gejointen Systemen haben wir LDAP/s entsprechend mit einem User konfiguriert. Funktioniert.

DANKE
Gruß
Member: ElmerAcmeee
ElmerAcmeee Mar 10, 2021 at 08:54:33 (UTC)
Goto Top
Zitat von @lcer00:

Die Anfragen an das AD laufen aber aus der Anwendung direkt an den Domaincontroller, es gibt da keine Art lokalen "Proxy-Daemon" für den man LADPS systemweit einstellen könnte. Du musst daher für jede Anwendungssoftware einzeln sicherstellen, dass sie LADPS verwendet.

Ja, das ergibt Sinn. Zumindest bei Systemn wo das Linux mit der Software irgendwie zusammengebracht wird.
Bei unseren Appliances erfolgt die AD Integration innerhalb der Software. Da würde ich auch erwarten, dass dies dann nicht mehr notwendig ist.
Member: lcer00
lcer00 Mar 10, 2021 at 08:58:23 (UTC)
Goto Top
Hallo,
Zitat von @ElmerAcmeee:
Das LDAP / LDAPS zum AD / DomainController funktioniert ja prinzipiell.
Es geht mir nur um die Frage, warum diese Systeme gleichzeitg sowohl per Kerberos als auch per LDAP/s mit dem DC sprechen.
Na weil Kerberos keine Nutzdaten überträgt, sondern nur für die Absicherung / Authentifizierung zuständig ist.

Wenn Du vom LADP wissen willst, welche Telefonnummer der Benutzer hat, fragst Du über LADP (unverschlüsselt))/LADPs(Verschlüsselt) an und bekommst die Antwort dann über LADP (unverschlüsselt))/LADPs(Verschlüsselt) zurück. Kerberos sichert dabei ab, ob du überhaupt anfragen darfst. Kerberus verschlüsselt aber keine Nutzdaten!

Grüße

lcer
Member: BirdyB
BirdyB Mar 10, 2021 at 08:58:28 (UTC)
Goto Top
Zitat von @ElmerAcmeee:

Hallo,
seid ihr da sicher? Auch das wiederspricht allem was mir bislang bekannt war...
Ja, sind wir. Da hast du etwas Grundsätzlich falsch verstanden.
Meiner Meinung nach sind Kerberos und LDAP Protokolle (das bestätigt auch Wikipedia). Lediglich die Funktionsweise ist anders.
Es sind so viele Dinge Protokolle... Die Frage ist eben für welchen Zweck.
AD und OpenLDAP wiederum die Verzeichnis Dienste (auch das bestätigt Wikipedia).
AD/LDAP ist der Verzeichnisdienst, Kerberos ist ein Authentifizierungsprotokoll...
Die Folien aus dem Link würde ich genau so interpretieren.
Dann interpretierst du falsch und solltest nochmal aufmerksam lesen.

Gruß
Viele Grüße!
Member: lcer00
lcer00 Mar 10, 2021 at 09:05:58 (UTC)
Goto Top
Zitat von @ElmerAcmeee:

Zitat von @lcer00:

Die Anfragen an das AD laufen aber aus der Anwendung direkt an den Domaincontroller, es gibt da keine Art lokalen "Proxy-Daemon" für den man LADPS systemweit einstellen könnte. Du musst daher für jede Anwendungssoftware einzeln sicherstellen, dass sie LADPS verwendet.

Ja, das ergibt Sinn. Zumindest bei Systemn wo das Linux mit der Software irgendwie zusammengebracht wird.
Bei unseren Appliances erfolgt die AD Integration innerhalb der Software. Da würde ich auch erwarten, dass dies dann nicht mehr notwendig ist.
Stimmt nur bedingt. Auf bei den Appliances muss Kerberos für die Maschine separat konfiguriert sein. Der Domänenjoin läuft meist über SMB / Kerberos. Das macht vielleicht der Appliance-Installer, aber Kerberos läuft separat.

Zu LADP unter z.B. Debian schau mal hier: https://wiki.debian.org/LDAP
Kerberos für Linux ist ein separates Paket z.B. https://tracker.debian.org/pkg/krb5

Grüße

lcer
Member: ElmerAcmeee
ElmerAcmeee Mar 10, 2021 at 09:56:05 (UTC)
Goto Top
Zitat von @lcer00:

Stimmt nur bedingt. Auf bei den Appliances muss Kerberos für die Maschine separat konfiguriert sein. Der Domänenjoin läuft meist über SMB / Kerberos. Das macht vielleicht der Appliance-Installer, aber Kerberos läuft separat.

Das setup der Appliances läuft vollkommen automatisiert und das OS ist teilweise gehärtet.
Ausser der GUI bleibt mir da nicht viel.
Wir haben zwei Versionen. Bei der einen gibt es nur den AD-Join aber keine LDAP-Config.
Ich wende mich da mal an den Hersteller.
Danke
Member: lcer00
lcer00 Mar 10, 2021 at 10:05:33 (UTC)
Goto Top
Zitat von @ElmerAcmeee:

Zitat von @lcer00:

Stimmt nur bedingt. Auf bei den Appliances muss Kerberos für die Maschine separat konfiguriert sein. Der Domänenjoin läuft meist über SMB / Kerberos. Das macht vielleicht der Appliance-Installer, aber Kerberos läuft separat.

Das setup der Appliances läuft vollkommen automatisiert und das OS ist teilweise gehärtet.
Ausser der GUI bleibt mir da nicht viel.
Wir haben zwei Versionen. Bei der einen gibt es nur den AD-Join aber keine LDAP-Config.
Ich wende mich da mal an den Hersteller.
Danke
Schau mal zum vergleich hier bei ESET: https://help.eset.com/protect_deploy_va/80/de-DE/configure_ldaps_connect ...
Der verlinkte Artikel auf Microsoft 1 ist eher unglücklich, man muss kein AD LDS installieren, da steht nur drin, wie man das CA-Zertifikat exportiert. Aber da sieht man, an welchen Stellen die Konfiguration geändert werden muss:
  • Anpassung an der Config-Datei des ESET-Dienstes zur Aktivierung von LADPS (Das ist der LADPS-Teil)
  • Das Zertifikat der AD-CA muss importiert und dem System bekannt gemacht werden. (Das ist der Kerberos Teil)

Grüße

lcer
Member: ElmerAcmeee
ElmerAcmeee Mar 10, 2021 at 10:08:27 (UTC)
Goto Top
Hallo,
Zitat von @BirdyB:

Zitat von @ElmerAcmeee:

AD und OpenLDAP wiederum die Verzeichnis Dienste (auch das bestätigt Wikipedia).
AD/LDAP ist der Verzeichnisdienst, Kerberos ist ein Authentifizierungsprotokoll...
Die Folien aus dem Link würde ich genau so interpretieren.
Dann interpretierst du falsch und solltest nochmal aufmerksam lesen.

Sorry, aber genau das steht in den Folien. LDAP und Kerberos sind Protokolle. Jeweils erster Satz im zugehörigen Abschnitt
Und AD und LDAP-Server sind die Dienste.

Zitat von @BirdyB:

Zitat von @ElmerAcmeee:

Meiner Meinung nach sind Kerberos und LDAP Protokolle (das bestätigt auch Wikipedia). Lediglich die Funktionsweise ist anders.
Es sind so viele Dinge Protokolle... Die Frage ist eben für welchen Zweck.

Okay, der Groschen ist nur Pfennigweise bei mir gefallen.
Mein Denkfehler bei der Sache ist evtl folgender: Die Anbindung zum AD soll nur für die Authentifizierung genutzt werden. D.h. Telefonnummer vom Objekt spielt da keine Rolle.
Und das sollte auch ausschießlich mit Kerberos möglich sein. Punkt 2 bei Kerberos in deiner Folie.

Für die Abfrage von Metadaten wäre mir jetzt klar wozu LDAP/s genutzt wird - hoffentlich face-smile

DANKE face-smile
Member: erikro
erikro Mar 10, 2021 at 14:59:35 (UTC)
Goto Top
Moin,

Zitat von @ElmerAcmeee:
seid ihr da sicher?

Ja. face-wink

Auch das wiederspricht allem was mir bislang bekannt war...

Das soll vorkommen. BTW: Da ist ein E zuviel.

Meiner Meinung nach sind Kerberos und LDAP Protokolle (das bestätigt auch Wikipedia).

Streng genommen stimmt das. Wenn man aber sagt: "Im LDAP steht die Benutzerverwaltung." oder "In unserem LDAP stehen die Telefonnummern." meint man damit in der Langform: "In unserem Verzeichnis, auf das mittels des LDAPs zugegriffen wird." Da das aber viel zu lang ist, hat sich die kurze Form eingebürgert und alle wissen, dass man damit nicht das Zugriffsprotokoll, sondern die dahinterstehende DB meint (ähnlich wie z. B. bei SQL).

Lediglich die Funktionsweise ist anders.

Genau. Die Funktion ist eine ganz andere: Kerberos dient der Authentifizierung und LDAP der Autorisierung im Netz. Anders ausgedrückt: Der Kerberos sorgt dafür, dass niemand eine falsche Identität vorgaukeln kann. Im LDAP steht, was diese Identität so darf. Sehr schön erklärt, was Kerberos macht und wie: http://2014.kes.info/archiv/online/06-4-019.htm

AD und OpenLDAP wiederum die Verzeichnis Dienste (auch das bestätigt Wikipedia).

Das ist auch richtig. BTW: In den Folien, die ich verlinkt habe, findet sich eine Ungenauigkeit. Da steht: "Bekannte Implementierung sind MIT Kerberos, Heimdal Kerberos und Microsoft Active Directory." Das würde ich so nie sagen. Die ersten beiden sind reine Kerberos-Server. AD ist weit mehr. Kerberos ist hier nur ein Teil des Ganzen.

Liebe Grüße

Erik