Základní info
Adresářová služba LDAP a autentikace pomocí Kerberos nejsou ve světě IT žádnými novinkami. Široká škála jejich implementací pokrývá jak platformu Windows (ActiveDirectory), tak svět unixových a linuxových distribucí (389 Directory Server, OpenLDAP, Sun ONE Directory Server a další).
S narůstající složitostí IT systémů a jejich správy se administrátoři i vývojáři často vzdalují základní konfiguraci nebo implementaci jednotlivých služeb a používají nadstavbu konfiguračních nástrojů nebo vyšší implementační postupy, aniž by měli detailní znalosti o funkcích, možnostech a omezeních základních technologických prvků nebo protokolů.
Kurz Kerberos a LDAP jde v tomto ohledu ke kořenům. Je koncipován tak, že jednak poskytne systematický úvod do fungování obou služeb jednotlivě i ve vzájemném propojení a dále poukáže na některé speciální vlastnosti a aspekty jejich nasazení. Teoretický výklad se v kurzu střídá s praktickými laby tak, aby účastníci po absolvování kurzu měli kromě teoretického porozumění schopnosti a dovednosti bezprostředně použitelné při nasazování a správě obou technologií.
Cílová skupina
- systémoví administrátoři
- projektanti IT systémů
- vývojáři aplikací
Cíle kurzu
- porozumět principům adresářových služeb a protokolu LDAP
- osvojit si různé typy modelů při návrhu adresářové služby
- umět provést standardní instalaci a základní konfiguraci serveru OpenLDAP
- porozumět problematice zabezpečení dat v LDAP adresáři a řízení přístupu k datům
- umět základní manipulace s daty v LDAP – vkládání a mazání, změny obsahu a vyhledávání
- získat znalosti o monitorování, zálohování a vysoké dostupnosti LDAP
- umět nastavit LDAP klienta a použít LDAP jako autentikační a autorizační službu
- porozumět účelu a principům Kerberos
- umět provést standardní instalaci a konfigurace Kerberos serveru, konfiguraci klientů a kerberizovaných služeb na aplikačních serverech
- umět použít Kerberos jako autentikační autoritu pro přístup k LDAP datům
- vědět, jak jednoduše nastavit na systému s RHEL centralizovanou autentikaci a správu účtu s využitím Kerberos a LDAP
- porozumět použití Kerberos pro zabezpečení NFSv4
Osnova
- Úvod do adresářových služeb a typy modelů
- Co je adresářová služba
- Příklady použití adresářové služby
- Historie služby X.500 a její slabiny
- LDAP jako nástupce X.509
- Typy LDAP modelů: informační, jmenný, funkcionální a bezpečnostní
- Informační model
- Adresářové schema: atributy, třídy, OID
- Standardy definování schemat
- Definice atributů
- Vyhledávání a porovnávací operátory pro atributy
- Objektové třídy: strukturální a pomocné
- Odvozování a dědičnost ve třídách
- Speciální pomocná třída extensibleObject
- LDIF
- Aspekty při rozvrhování adresářové služby
- Bezpečnost dat v adresáří a řízení přístupu k datům
- Jmenný model a organizace dat
- Distinguished Name a Directory Information Tree
- Role sufixu a jeho volba
- Dvě základní koncepce jmenného prostoru: hloubka a šíře
- Definice jmenného prostoru v LDIF
- Projektování adresáře
- Práce s existujícím adresářem
- Funkcionální model
- Dotazování (search, compare)
- Manipulace s daty (add, delete, modify, modify RDN)
- Autentikace (bind, unbind, abandon)
- Řádkové nástroje balíku openldap-clients
- Konfigurace LDAP klienta
- Vyhledávání v adresáři: rozsahy, operátory a filtry
- Speciální sufixy cn=config, cn=monitor a cn=schema
- Praktické použití ldapadd, ldapdelete, ldappasswd, ldapmodify
- Použití formátu LDIF pro manipulaci s daty
- Autentikace a bezpečnost
- Autentikace-autorizace-audit
- Autentizační metody: simple-bind a SASL-bind
- Bezpečná komunikace: TLS a SSL
- Tvorba a instalace certifikátu pomocí OpenSSL, konfigurace klienta
- Politika řízení klientského přístupu k adresářové službě: bind-policy
- Bezpečnost dat: šifrování a Access Control Lists
- Provoz
- Instalace jednoduché LDAP služby s použitím OpenLDAP
- Vysoká dostupnost a replikace
- Distribuce dat: refereall
- Zálohování a disaster recovery
- Zvýšení efektivity přístupu: indexování
- Monitorování a logování
- LDAP jako centrální autentikační autorita
- Projektové úvahy: výběr tříd a mapování atributů
- LDAP a PAM
- Jednoduchá cesta: LDAP, authconfig a sssd
- LDAP a Samba: krátké nahlédnutí
- Kerberos, počítáme do tří
- Historický úvod: co je Kerberos a co Cerberus?
- Základní pojmy a zkratky: KDC, AS, TGS, TGT, principal, realm, a další.
- Od klienta ke KDC a aplikačnímu serveru: jak to všechno funguje
- Aktuální implementace: krb5, balíky, služby a konfigurační soubory
- Kerberos, DNS a NTP
- Instalace a bezpečnost
- Jednoduchá instalace Master KDC, kadmin,další nástroje a utility
- Prvotní zabezpečení: conf a kadm5.acl
- Instalace aplikačního serveru, principály služeb, keytabs a nástroje ktutil a kvno
- Příprava klientského systému: instalace balíků a konfigurace
- Testovací trivium: kinit, klist a kdestroy
- Zabezpečení komunikace: preautentikace klienta a validace tiketu
- Vysoká dostupnost: replikace, slave KDC
- Zálohování a obnova KDC databáze
- Kerberos a přístup k LDAP
- GSSAPI mechanismus v SASL
- LDAP jako „kerberizovaná“ služba
- Mapování GSSAPI autentikovaných uživatelů
- Centralizovaná správa účtů a něco navíc
- Kerberos a PAM
- Jednoduchá cesta: Kerberos, LDAP, authconfig a sssd
- Vztahy přímé a nepřímé důvěry mezi KDC
- Kerberos jako zdroj šifrovacích klíčů: NFSv4
- Ještě je tu IPA
Předpoklady účastníka
- praktické ovládání standardních administračních postupů na systémech s RHEL/CentOS verze 7.x: instalace balíků, správa služeb, konfigurace
- rutinní práce s příkazovým řádkem, editory vim nebo nano (Upozornění: naprostá většina postupů a příkladů se odehrává v prostředí příkazového řádku)
- základní znalost síťových protokolů IP/TCP
Studijní materiály
Tištěné materiály.
