Re: Duda sobre seguridad de un PDC en Debian Lenny

Raydel Hernández Martínez escribió:
> Esa es una de mis dudas, la otra se debe a la seguridad del PDC en el
> dominio, me refiero, a que en los PDC con controladores Windows Server,
> en las políticas de seguridad del dominio, se le puede especificar al
> dominio en general, que las claves de los usuarios del dominio caduquen
> cada un cierto periodo de tiempo, (ejemplo cada 45 días, que es lo que
> especifica el Plan de Seguridad Informática de la entidad), que las
> claves sean mayores a 8 caracteres, que la clave nueva al ponerla se
> diferencia de la que tuvieron anteriormente, etc, he visto que en las
> opciones del LAM (Front-End para administrar ldap) se encuentran estas
> opciones, pero las habilito, y nada, no me surten efecto de ninguna
> manera, ni al reiniciar los servicios. *Kerberos me sirve para lograr
> estas cosas ??*. En estos momentos estoy usando lo mismo en un server de
> test, y en ves de usar LAM para administrar, estoy usando Gosa, hasta
> ahora todo funciona de maravillas, las maquinas en el dominio,
> autenticación de usuarios, y todo, pero veo que hay un apartado que se
> refiere a Kerberos, y quisiera saber si con este se puede gestionar y
> aumentar un poco más la seguridad.

Si tu backend para usuarios y credenciales en Samba es LDAP, entonces
debes delegar la política de cuentas y credenciales a LDAP. OpenLDAP y
389 (antes Fedora Directory Server) implementan el último draft de IETF
para políticas de contraseñas. Con ellas puedes especificar longitud de
clave, expiración y tiempos de gracia, 'fortaleza' con scripts externos
y políticas de rotación de claves ("no usar ninguna de las últimas 5")
por ejemplo. slapo_ppolicy te da más información; 389 tiene interfaces
simplificadas para esto.

Kerberos no te va a ofrecer una capa de políticas de contraseñas, lo que
hace es implementar un protocolo de tickets que puedes usar para single
sign-on y un factor adicional de autenticación. A Kerberos también le
pones un backend, por ejemplo LDAP, para las contraseñas.

Al usar una política de credenciales en el lado del servidor (en este
caso LDAP) las operaciones de autenticación van a depender de lo que
este overlay reporte; por ejemplo si alguien se autentica con una clave
válida pero está vencida, el servidor va a reportarlo. Por lo tanto las
aplicaciones que lidian con el usuario final deben colaborar para que el
mensaje que el usuario ve sea algo más que 'invalid credentials', pero
por otro lado, tienes la ventaja de que no tienes que configurar más
nada para que la política entre en efecto.

Adicionalmente en el caso de Samba hay una serie de parámetros que te
sirven para implementar una política de contraseñas específica para SMB/
CIFS, mira por ejemplo:

http://fts.ifac.cnr.it/cgi-bin/dwww//usr/share/doc/samba-doc/examples/LDAP/samba.schema

sambaPwdMustChange, sambaUserWorkstations, logon y logoffTime,
badPasswordCount, etc., todas son el paraíso del admin de Windows.

En cuanto a tu duda sobre el hecho de que al especificar una política de
contraseñas en cualquiera de los DCs Windows Server, tu BDC Samba no lo
está tomando, te pediría que nos dijeras si estás usando security=domain
en tu smb.conf. Si no delegas la autenticación al DC, la política de
contraseñas no entrará nunca en efecto.

Gosa es una buena interfaz, 389 tiene una propia, pero phpLdapAdmin es
un producto muy completo que se adapta a la realidad de servidores LDAP
que es que cuentan con schemas flexibles: hoy tienes userPassword y
mañana tienes sambaLMPassowrd, sambaNTPassword, atributos de historia,
de Kerberos... ninguna interfaz puede sanamente llevar ese ritmo.

Espero te sirva de ayuda, déjanos saber cómo te va,

--
José Miguel Parrella Romero (bureado.com.ve)          PGP: 0×88D4B7DF
Debian Developer                                Caracas, VE/Quito, EC