Como in HOW T tegrar o Fire um servidor O ewall Aker co r LDAP om

HOW TO Como integrar o Fireewall Aker co
om um servidorr LDAP Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Página:
ção
Introduç
Um dos sistemas de autentic
cação que os nossos produtos suportam é o LDAP. É bastante complicada a inte
egração, devido às pa
articularidades e con
nfigurações
personalizadas de cada servido
or. Mostraremos quais
s os passos e dicas pa
ara termos sucesso ne
essa integração.
Solução
1. É nece
essário que a comunic
cação entre o Firewall e o Servidor na Porta
a 389 TCP esteja libera
ada.
2. Atualm
mente a integração de um Firewall com uma
a base LDAP só é poss
sível se o servidor trabalhar com suporte a versão 2 do Protocolo
o LDAP.
3. São ne
ecessárias algumas informações para a inte
egração. São elas:
DN Roott de conexão: DN do usuário utilizado pelo
o firewall para as cons
sultas (precisa ser cap
paz de listar todos os usuários e grupos do sistema)
Senha Root
R
de conexão: a senha
s
deste usuário
DN Base
e: DN para começar a busca (dc=aker,dc=c
com,dc=br)
ObjectCllass da Conta: a clas
sse de objeto presente
e em todas as contas de usuário e não pres
sente em entradas de outros tipos
Atributo
o nome do usuário: o atributo onde se enc
contra o nome do usu
uário
Atributo
o senha: o atributo on
nde se encontra a senha do usuário (somen
nte autenticação pelo método HASH)
Atributo
o grupo: o atributo on
nde se encontra o grupo do usuário
Permitirr senha em branco: permite senhas em branco para o usuário quando
q
marcado
Método de Autenticação: Es
ste campo especifica se
s o firewall deve busc
car a senha ou se conectar na base LDAP com as credenciais do usuário para validá-lo
o.
Na prátic
ca a diferença ao utilizar o método HASH é que nos conectamos ao servidor LDAP por meio das informações do ROOT (DN Root de conexão) e fazemos a
pesquisa em toda base LDAP criando os filtros base
eados nas informaçõe
es cadastradas no Age
ente de autenticação que é o atributo refe
erente ao nome do us
suário e ao
grupo. Es
sta pesquisa é parame
etrizada segundo a RF
FC 2307. Normalmentte os servidores basea
ados no UNIX trabalha
am desta forma.
Quando trabalhamos
t
com a opção
o
de “Conectar com
c
credenciais do usuário”
u
a requisição do Firewall Aker ao servidor LDAP simula
a uma autenticação do
d usuário
diretamente a base LDAP, com
mo se o usuário estive
esse autenticando dire
etamente o servidor e o Firewall não existisse. Este método é u
utilizado quando os attributos de
senha (A
Atributo senha) não es
stão contidos na base
e LDAP do servidor ou
u a senha não está forrmatada com um hash RFC 2307, impossib
bilitando a utilização do
d método
anterior, a função do Firewall neste caso é verifica
ar se a resposta destta autenticação foi be
em sucedida ou não. (Servidores LDAP que
e trabalham desta forma são o
Active Directory e o Novell).
Conexão LDAP segura: Este ca
ampo especifica se a conexão
c
ao servidor LDAP será encriptada ou
o não.
Ele consis
ste das seguintes opções:
• SSL: es
specifica que o firewalll usará conexão encriptada via SSL
• TLS: es
specifica que o firewall usará conexão encriptada via TLS
• Nenhum
ma: especifica que o firewall
f
não usará crip
ptografia ao se conecta
ar ao servidor LDAP
4. A gran
nde dificuldade de inte
egrar qualquer sistema
a LDAP com outro pro
oduto é coletar as info
ormações para serem cadastradas.
Dicas parra pegar estas informa
ações:
Olhar o arquivo
a
de configuraçã
ão do servidor LDAP (sladap.conf), procure pela entrada do usuá
ário “root do LDAP”, in
nfelizmente alguns administradores costumam alterar
o usuário
o de “root” para outro nome veja o exemplo
o abaixo:
¶dn: uid=ldapadmin,ou=P
People,dc=aker,dc=com,dc=br
objec
ctClass: top
objec
ctClass: inetOrgPerson
n
objec
ctClass: posixAccount
objec
ctClass: shadowAccount
objec
ctClass: sambaSAMAc
ccount
cn: ld
dapadmin
sn: ld
dapadmin
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
Aker Securrity Solutions
www.aker.com.br
Firewall Aker
5.1 e 6.0
1.0
01/0
09/11
07/0
08/06
1 de 3
HOW TO Como integrar o Fireewall Aker co
om um servidorr LDAP Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Página:
uid: ldapadmin
l
uidNu
umber: 1031
gidNu
umber: 513
home
eDirectory: /home//ld
dapadmin
loginShell: /bin/bash
gecos
s: System User
descrription: System User
samb
baLogonTime: 0
samb
baLogoffTime: 214748
83647
samb
baKickoffTime: 2147483647
samb
baPwdCanChange: 0
displa
ayName: System User
samb
baSID: S-1-5-21-4009
9924465-4050584017
7-1856797543-3062
samb
baPrimaryGroupSID: S-1-5-21-4009924465
S
5-4050584017-18567
797543-2027
samb
baLogonScript: ldapad
dmin.cmd
samb
baNTPassword: CAF13
3C4F321B608B27FD75
5D2549BA53C
samb
baLMPassword: 02D09
93CE93078E8FAAD3B
B435B51404EE
userP
Password: {MD5}aY3B
BnUicTk23PiinE+qwew
w==
Neste cas
so o nome do usuário
o ROOT é “ldapadmin””, normalmente a resp
posta para os problem
mas está no próprio arrquivo de configuração
o, porém demanda ce
erto tempo
até acertar quais os parâmetro
os que devemos utiliza
ar nas configurações.
Utilizando
o o ldapsearch
O ldapsearch é um cliente parra conectar em bases
s ldap e fazer consulta
as utilizando linha de comando. Ele se enc
contra nos pacotes de
e instalação de linux/unix e nos
pacotes do
d “open-ldap-client”.
Utilizando
o este comando você consegue validar se as
a configurações coletadas estão corretas, caso
c
estejam, será listado toda a base LDA
AP do servidor (users e groups).
Exemplo de sintaxe para a bas
se mostrada acima:
¶ldapsea
arch -h 10.0.10.2 -W
W -D uid=ldapadmin
n,ou=People,dc=aker,dc=com,dc=br -b
b dc=aker,dc=com,d
dc=br “(objectClass
s=posixAccount)”
Onde:
¶-h = ip/host do serverr
-D = DN ROOT
-b = DN BASE
“ob
bjectClass” = objectClass da Conta
Quando conseguimos
c
listar esttes usuários significa que estas informaçõe
es estão corretas, bas
sta configurar o Agentte externo LDAP do F
Firewall e seguir a rotiina normal
de ativaç
ção de autenticação.
5. Dificuldades
O que faz
zemos quando conseg
guimos listar os usuários via ldapsearch, ma
as o firewall não lista e nem autentica os usuários?
Siga o roteiro:
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
Aker Securrity Solutions
www.aker.com.br
Firewall Aker
5.1 e 6.0
1.0
01/0
09/11
07/0
08/06
2 de 3
HOW TO Como integrar o Fireewall Aker co
om um servidorr LDAP Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Página:
Snife é a comunicação entre o server e o cliente do ldapsearch com os pa
arâmetros abaixo:
“tcpdump
p -i <if> -n -p -s65535 -w ldapsearch.pcap
p port 389”
Efetue o mesmo snifer, agora com o Firewall tentan
ndo conectar no servid
dor.
Usando o ethereal compare os dois. É bem simple
es, pega uma seqüênc
cia de conexão (Syn, SYN ACK, ACK), o quarto
q
pacote envia a requisição completa e o sexto
pacote é o server respondendo
o, basta analisar a dife
erença destes 2 pacottes para pegar o erro de configuração e/ou incompatibilidade enttre os sistemas.
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
Aker Securrity Solutions
www.aker.com.br
Firewall Aker
5.1 e 6.0
1.0
01/0
09/11
07/0
08/06
3 de 3