Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona,...
Transcript of Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona,...
![Page 1: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/1.jpg)
Linux vo svete Windows
Richard Ostertág
![Page 2: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/2.jpg)
Linux vo svete WindowsRichard Ostertág
![Page 3: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/3.jpg)
A. Prístup k Windows AD DS z Linuxu
3
![Page 4: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/4.jpg)
Windows Server 2012 R2
4
![Page 5: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/5.jpg)
Nastavenie mena počítača
5
![Page 6: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/6.jpg)
Nastavenie mena počítača
5
![Page 7: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/7.jpg)
Nastavenie mena počítača
5
![Page 8: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/8.jpg)
Nastavenie mena počítača
5
![Page 9: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/9.jpg)
Nastavenie pevnej IP adresy
6
![Page 10: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/10.jpg)
Nastavenie pevnej IP adresy
6
![Page 11: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/11.jpg)
Nastavenie pevnej IP adresy
6
![Page 12: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/12.jpg)
Nastavenie pevnej IP adresy
6
![Page 13: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/13.jpg)
Inštalácia Active Directory Domain Services
7
![Page 14: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/14.jpg)
Inštalácia Active Directory Domain Services
7
![Page 15: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/15.jpg)
Inštalácia Active Directory Domain Services
7
![Page 16: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/16.jpg)
Inštalácia Active Directory Domain Services
7
![Page 17: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/17.jpg)
Inštalácia Active Directory Domain Services
7
![Page 18: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/18.jpg)
Inštalácia Active Directory Domain Services
7
![Page 19: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/19.jpg)
Inštalácia Active Directory Domain Services
7
![Page 20: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/20.jpg)
Inštalácia Active Directory Domain Services
7
![Page 21: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/21.jpg)
Inštalácia Active Directory Domain Services
7
![Page 22: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/22.jpg)
Inštalácia Active Directory Domain Services
7
![Page 23: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/23.jpg)
Inštalácia Active Directory Domain Services
7
![Page 24: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/24.jpg)
Inštalácia Active Directory Domain Services
7
![Page 25: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/25.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 26: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/26.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 27: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/27.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 28: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/28.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 29: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/29.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 30: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/30.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 31: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/31.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 32: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/32.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 33: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/33.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 34: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/34.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 35: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/35.jpg)
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
![Page 36: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/36.jpg)
Správa používateľov a počítačov v AD
9
![Page 37: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/37.jpg)
Správa používateľov a počítačov v AD
9
![Page 38: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/38.jpg)
Pohľad do obsahu LDAP
10
![Page 39: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/39.jpg)
Pohľad do obsahu LDAP
10
![Page 40: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/40.jpg)
Pohľad do obsahu LDAP
10
![Page 41: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/41.jpg)
Pohľad do obsahu LDAP
10
![Page 42: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/42.jpg)
Pohľad do obsahu LDAP
10
![Page 43: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/43.jpg)
Dokončenie konfigurácie AD
• premenovanie štandardnej lokality
• Default-First-Site-Name
• synchronizácia času
• ...
• overenie funkčnosti DNS servera na radiči domény:tester@linwo:~$ dig srv _ldap._tcp.corp.vasaorg.sk
;; ANSWER SECTION:
_ldap._tcp.corp.vasaorg.sk. 600 IN SRV 0 100 389 winse.corp.vasaorg.sk.
;; ADDITIONAL SECTION:
winse.corp.vasaorg.sk. 3600 IN A 172.22.222.10
11
![Page 44: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/44.jpg)
Otestovanie prístupu k LDAP
• sudo apt-get install ldap-utils
tester@linwo:~$ ldapsearch -LLL -H ldap://172.22.222.10 -x \-D "CORP\Administrator" -W -b "cn=Tester,cn=Users,dc=corp,dc=vasaorg,dc=sk"
Enter LDAP Password: dn: CN=Tester,CN=Users,DC=corp,DC=vasaorg,DC=skobjectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: usercn: TesterdistinguishedName: CN=Tester,CN=Users,DC=corp,DC=vasaorg,DC=skmemberOf: CN=Users,CN=Builtin,DC=corp,DC=vasaorg,DC=skmemberOf: CN=Administrators,CN=Builtin,DC=corp,DC=vasaorg,DC=skname: TesterobjectGUID:: Xib3K3fxPkajTHrN9gKcWQ==badPwdCount: 0primaryGroupID: 513objectSid:: AQUAAAAAAAUVAAAA3Mj+6DkA3oQy4yIz6QMAAA==sAMAccountName: TesterobjectCategory: CN=Person,CN=Schema,CN=Configuration,DC=corp,DC=vasaorg,DC=sk
12
![Page 45: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/45.jpg)
Dekódovanie SID
• AQUAAAAAAAUVAAAA3Mj+6DkA3oQy4yIz6QMAAA==• base64 kódovanie
• po dekódovaní nasledovná postupnosť hex. bytov:
• 01 – revízia SID štruktúry (aktuálne vždy 1)
• 05 – počet „SubAuthority“ záznamov (5, max. 15)
• 00 00 00 00 00 05 – „IdentifierAuthority“ (5, NT SID authority)
• 15 00 00 00 – 1. „SubAuthority“ (21)
• DC C8 FE E8 – 2. „SubAuthority“ (3909011676)
• 39 00 DE 84 – 3. „SubAuthority“ (2229141561)
• 32 E3 22 33 – 4. „SubAuthority“ (857924402)
• E9 03 00 00 – 5. „SubAuthority“ (1 001) – RID
• S-1-5-21-3909011676-2229141561-857924402-1001
13
![Page 46: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/46.jpg)
Samba
• open-source projekt, ktorého cieľom je integrácia medzi Windows a Unix prostredím
• umožňuje:• zdieľať súbory a tlačiarne medzi Windows a UNIX systémami
• implementácia SMB (CIFS) protokolu pre UNIX systémy
• emulovať radič domény na UNIX serveri
• UNIX počítačom využívať služby ponúkané AD DS
• autentifikácia, adresárové služby
• slobodný softvér pod licenciou GNU GPL v3• môže byť komerčne použitý
• autori nemôžu byť braní na zodpovednosť
• pozostáva z viacerých balíkov
14
![Page 47: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/47.jpg)
Balík: samba
• obsahuje komponenty potrebné pre samostatný
• súborový server
• tlačový server
• radič domény (NT4 alebo AD)
• pre použitie v doméne je potrebný aj balík winbind
• tento balík nie je potrebný pre
• „interaktívne“ pripojenie k existujúcim súborovým alebo tlačovým
serverom na báze SMB/CIFS protokolu
• balík smbclient
• lokálne pripojenie vzdialeného súborového systému
• balík cifs-utils
15
![Page 48: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/48.jpg)
Balík: winbind
• obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové služby (vyhľadanie používateľov a skupín)• sprostredkováva komunikáciu medzi PAM a NSS subsystémom Linuxu
a adresárovými službami
• používa• Kerberos pre autentifikáciu voči adresárovým službám
• cez PAM (/etc/pam.d) vyžaduje balík libpam-winbind
• LDAP pre získanie informácií o používateľoch a skupinách
• cez NSS (/etc/nsswitch.conf) vyžaduje balík libnss-winbind
• poskytuje aj ďalšie služby:• lokalizáciu radiča domény pomocou algoritmu DC Locator
• vychádza z DNS SRV záznamov
• výhoda oproti PAM s Kerberosom (nutné napevno nastaviť adresu DC)
• zmena hesla v AD komunikáciou s DC cez RPC
16
![Page 49: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/49.jpg)
Balíky: libnss-winbind a libpam-winbind
• balík libnss-winbind obsahuje:
• nss_winbind
• zásuvný modul pre NSS, ktorý cez lokálny winbind server poskytuje
systému vyhľadávanie používateľov a skupín
• nss_wins
• zásuvný modul pre NSS, ktorý poskytuje vyhľadávanie názvu hostiteľa
(hostname) cez NBNS a NetBIOS broadcast protokoly
• balík libpam-winbind obsahuje:
• pam_winbind
• zásuvný modul pre PAM, ktorý cez lokálny winbind server poskytuje
systému autentifikáciu používateľov vo Windows doméne
17
![Page 50: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/50.jpg)
Balík: smbclient
• umožňuje „interaktívne“ pripojenie k existujúcim
súborovým alebo tlačovým serverom na báze SMB/CIFS
protokolu (či už Microsoft Windows alebo Samba)
• obsahuje príkazy
• smbclient – prístup k zdieľaným zdrojom (podobné ako FTP)
• smbspool – pošle súbor na zdieľanú tlačiareň
• smbtree – zobrazí sieťový strom
• nástroje pre lokálne pripojenie zdieľaných adresárov sa
nachádzajú
• v balíku cifs-utils
18
![Page 51: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/51.jpg)
smbclient: Zoznam zdieľaných priečinkov
tester@ubuntu:~$ smbclient --list=winseEnter tester's password:
Domain=[CORP] OS=[Windows Server …] Server=[Win…]
Sharename Type Comment--------- ---- -------ADMIN$ Disk Remote AdminC$ Disk Default shareIPC$ IPC Remote IPCNETLOGON Disk Logon server shareSYSVOL Disk Logon server shareUsers Disk
…
19
![Page 52: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/52.jpg)
smbclient: Chybové hlásenia
• používateľ nemá prístup k požadovaným údajom:
tester@ubuntu:~$ smbclient -U ric //winse/c$
Enter ric's password:
Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]
tree connect failed: NT_STATUS_ACCESS_DENIED
• používateľ zadá zlý názov zdieľaného priečinka:
tester@ubuntu:~$ smbclient //winse/neexistuje
Enter tester's password:
Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]
tree connect failed: NT_STATUS_BAD_NETWORK_NAME
20
![Page 53: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/53.jpg)
smbclient: „FTP“ prístup k súborom
tester@ubuntu:~$ smbclient --user=Administrator //winse/c$
Enter Administrator's password:
Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]
smb: \> dir
$Recycle.Bin DHS 0 Tue Aug …
Boot DHS 0 Thu Aug …
bootmgr AHSR 404250 Sat Jun …
… 61435 blocks of size 524288. 29682 blocks available
smb: \> get bootmgr
getting file \bootmgr of size 404250 as bootmgr (1530.1 KiloBytes/sec) (average 1530.1 KiloBytes/sec)
smb: \> recurse
smb: \> mput *
Put directory Pictures? n
Put directory Pictures/foto1.jpg? n
21
![Page 54: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/54.jpg)
smbclinet: Tlač na zdieľanú tlačiareň
• tlač na zdieľanú tlačiareň cez smbclient nie je moc pohodlná:
tester@ubuntu:~$ smbclient --user=Richard //velox/lexmark
Enter Richard's password:
Domain=[VELOX] OS=[Windows 7 …] Server=[Windows 7 …]
smb: \> print sprava.txt
putting file sprava.txt as sprava.txt (2.7 kb/s) (average 2.7 kb/s)
smb: \>
22
![Page 55: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/55.jpg)
smbspool: Tlač na zdieľanú tlačiareň
• pohodlnejšia tlač z príkazového riadku
• smbspool [DEVICE_URI] job-id user title copies options [file]
• DEVICE_URI:
• smb://[username:password@][workgroup/]server[:port]/printer
• DEVICE_URI môže byť aj premenná prostredia
smbspool smb://richard:pass@velox/lexmark 3 Tester "title" 1 "" mail.txt
DEBUG: Connected with username/password...
23
![Page 56: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/56.jpg)
Balík: cifs-utils
• lokálne pripojenie zdieľaných adresárov (CIFS protokol)
• vytvorenie bodu pripojenia:
tester@ubuntu:~$ sudo mkdir /mnt/cifs
• pripojenie zdieľaného adresára pomocou mount:
sudo mount -t cifs //winse/users /mnt/cifs/ \-o username=tester,password=tester
• pripojenie zdieľaného adresára pomocou mount.cifs:
sudo mount.cifs //winse/users /mnt/cifs \-o username=tester,password=tester
tester@ubuntu:~$ mount/dev/sda1 on / type ext4 (rw,errors=remount-ro)proc on /proc type proc (rw,nodev,noexec,nosuid)sysfs on /sys type sysfs (rw,nodev,noexec,nosuid)…//winse/users on /mnt/cifs type cifs (rw)
24
![Page 57: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/57.jpg)
cifs-utils: Pripojenie bez hesla alebo mena
• pripojenie bez zadania hesla:
tester@ubuntu:~$ sudo mount.cifs //winse/users /mnt/cifs \
-o username=tester
Password for tester@//winse/users: ******
• pripojenie bez zadania mena a hesla:
tester@ubuntu:~$ sudo mount.cifs //winse/users /mnt/cifs
Password for root@//winse/users: ****
mount error(13): Permission denied
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
• v zozname parametrov za -o môže byť aj• credentials=filename
25
formát súboru je:
username=value
password=value
domain=value
![Page 58: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/58.jpg)
Doménová autentifikácia vo Windows
• doménový radič Windows NT poskytoval autentifikačné
služby klientom pomocou NT LAN Manager protokolu
• ukázalo sa, že NTLM protokol má bezpečnostné slabiny
• elegantne vyriešil problém s udržovaním duplicitných
používateľských účtov na rôznych serveroch v sieti
• od Windows 2000 Microsoft prešiel z NTLM protokolu na
Active Directory
• integruje v sebe Kerberos autentifikačné služby a LDAP
• Kerberos je podstatne bezpečnejší než NTLM
• Kerberos už bol štandardom používaným na UNIXe
26
![Page 59: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/59.jpg)
Linux PAM
• Pluggable Authentication Modules• navrhnuté firmou Sun v roku 1995
• poskytuje• množinu autentifikačných programových rozhraní využiteľnú všetkými
aplikáciami
• správcom nastaviteľný spôsob poprepájania autentifikačných modulov do požadovanej autentifikačnej schémy (cez /etc/pam.d)
• väčšina distribúcií obsahuje niekoľko autentifikačných modulov• podporujú napríklad autentifikáciu na základe:
• LDAP adresára (pam_ldap.so)• umožňuje použiť ľubovoľný LDAP v2 alebo v3 server
• OpenLDAP, prípadne Microsoft Active Directory
• Kerberos protokolu (pam_krb5.so)• umožňuje použiť ľubovoľný Kerberos server
• MIT Kerberos, Heimdal Kerberos, prípadne Microsoft Active Directory
• radiča domény (pam_winbind.so)• /lib/x86_64-linux-gnu/security/pam_winbind.so
27
![Page 60: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/60.jpg)
Linux NSS
• Name Service Switch poskytuje
• programové rozhranie pre získanie informácií o používateľoch, ...
• skrýva špecifiká rôznych zdrojov pred aplikáciou
• spája ich do jedného zdroja
• správcom konfigurovateľný spôsob poprepájania rôznych zdrojov
informácií (cez /etc/nsswitch.conf)
• špeciálne nás zaujíma konfigurácia spôsobov získavania informácie
o používateľoch a skupinách
• príklady zdrojov:• files – /lib/x86_64-linux-gnu/libnss_files.so.2
• winbind – /lib/x86_64-linux-gnu/libnss_winbind.so.2
• dajú sa konfigurovať aj iné informácie, napríklad:
• services – mapovanie názvu služby na port/protokol
28
![Page 61: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/61.jpg)
Tri autentifikačné stratégie voči AD
• LDAP autentifikácia• najjednoduchšie, ale najmenej vyhovujúce riešenie
• Windows používa Kerberos, s núdzovým prechodom na NTLM, nie LDAP
• posiela po sieti meno a heslo v otvorenom tvare• toto riziko sa dá zmierniť vytvorením bezpečného kanálu
• napríklad pomocou SSL• to zas ale vyžaduje dodatočnú starostlivosť o SSL certifikáty na oboch koncoch
• autentifikácia pomocou LDAP a Kerberos• autentifikácia cez Kerberos pomocou PAM
• informácie o používateľoch a skupinách cez LDAP pomocou NSS
• nevyužíva DNS SRV záznamy, ktoré radič domény zverejňuje• je nutné vybrať konkrétne radiče domén pre autentifikáciu
• neposkytuje intuitívny spôsob správy expirujúcich hesiel
• autentifikácia pomocou winbind• PAM a NSS komunikujú s winbind démonom
• winbind preloží rôzne PAM a NSS požiadavky do zodpovedajúcich požiadaviek na doménový radič, použitím LDAP, Kerberos alebo RPC, podľa toho, čo je najvhodnejšie
29
![Page 62: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/62.jpg)
Linux – konfigurácia siete
• Linux by mal používať DNS server domény, do ktorej sa pripája• vo väčšine prípadov sa asi používa DNS integrované do Active Directory
• potom radič domény prevádzkuje aj DNS
• /etc/network/interfaces:auto eth0iface eth0 inet static
address 172.22.222.30netmask 255.255.0.0gateway 172.22.0.1dns-search corp.vasaorg.skdns-nameservers 172.22.222.10
• meno počítača musí zodpovedať jeho menu v doméne• pokiaľ je iné, tak po pridaní počítača do domény sa môže vytvoriť v AD
nesprávny objekt pre počítač
• /etc/hostname: linwo
• /etc/hosts:172.22.222.30 linwo.corp.vasaorg.sk linwo
30
![Page 63: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/63.jpg)
Linux – konfigurácia synchronizácie času
• Kerberos protokol vyžaduje, aby server a klient mali synchronizovaný čas • štandardne Active Directory povoľuje maximálny časový posun 5 minút
• pre zaistenie synchronizácie času medzi klientom a serverom treba nakonfigurovať Linux aby využíval službu NTP (Network Time Protocol) radiča domény
tester@linwo:~$ ntpdate winsetester@linwo:~$ sudo apt-get install ntp
• /etc/ntp.conf:server 172.22.222.10 iburst prefer
tester@linwo:~$ sudo service ntp reload
tester@linwo:~$ ntpdc -premote local st poll reach delay offset disp
========================================================================172.22.222.10 172.22.222.30 1 64 377 0.00072 0.007596 0.12845
• alebo:tester@linwo:~$ ntpq -p
31
![Page 64: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/64.jpg)
Konfigurácia PAM – autentifikačné služby
• PAM poskytuje štyri autentifikačné služby:
• auth• umožňuje aplikácii overiť identitu používateľa (napr. zadaním hesla)
• získa poverenia účtu (UID, skupiny, ...)
• account• rieši dostupnosť účtu, ktorá priamo nesúvisí s autentifikáciou
• napríklad obmedzenie na základe:• času, kedy sa môže používateľ prihlásiť
• systémových zdrojov (napríklad maximálny počet používateľov)
• spôsobu pripojenia (napríklad root sa môže prihlásiť iba na konzole)
• password• umožňuje zmenu hesla
• napríklad pri expirácii alebo z vôle používateľa
• session• vykonáva úlohy spojené s vytvorením a likvidáciou sedenia
• napr.: logovanie, vytvorenie domovského adresára, pripojenie adresárov, ...
32
![Page 65: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/65.jpg)
Konfigurácia PAM – formát súborov
• PAM má uložené konfiguračné súbory v adresári /etc/pam.d• obsahuje textový súbor pre každú aplikáciu, ktorá používa PAM pre
autentifikáciu
• napríklad /etc/pam.d/login
• každý riadok v PAM konfiguračnom súbore na nasledovný tvar:
<group> <control> <module> <params>
• <group> určuje jednu z autentifikačných služieb (auth, ...)
• každá skupina služieb má spravidla niekoľko záznamov
• PAM spracuje záznamy v poradí, v akom sú uvedené v súbore• zavolá uvedený modul <module> s parametrami <params>
• modul vráti návratovú hodnotu (success, ignore, ...) a PAM na základe nej a riadiacej časti <control> pokračuje v spracovaní
• @include súbor• vloží obsah uvedeného súboru a spracuje jeho záznamy
33
![Page 66: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/66.jpg)
Konfigurácia PAM – hodnoty v <control>
• riadiaca časť <control> má tvar zoznamu priradení:
[hodnota1=akcia1 hodnota2=akcia2 …]
• hodnota je návratovou hodnotou z modulu, napríklad:
• success
• úspešné vykonanie funkcie
• new_authtok_reqd
• požadovaný nový autentifikačný token
• napríklad, keď bezpečnostná politika vyžaduje, aby sa zmenilo heslo
• lebo je prázdne alebo expirovalo
• ignore
• ignoruj návratovú hodnotu tohto modulu
• default (špeciálna hodnota)
• všetky hodnoty, ktoré neboli explicitne uvedené v zozname priradení
34
![Page 67: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/67.jpg)
Konfigurácia PAM – akcie v <control>
• ignore• modul neovplyvní úspešnosť/neúspešnosť celkovej autentifikácie
• bad• indikuje, že modul zlyhal
• ak je to prvý modul, ktorý zlyhal, tak jeho stav bude stavom celej autentifikácie
• vyhodnocovanie pokračuje ďalej
• die• podobné ako bad, len s tým rozdielom, že vyhodnocovanie sa okamžite preruší
• ok• ak predošlý stav bol úspešný, tak návratová hodnota modulu ho prepíše
• ak predošlý stav bolo zlyhanie, tak sa tento stav nezmení
• vyhodnocovanie pokračuje ďalej
• done• podobné ako ok, len s tým rozdielom, že vyhodnocovanie sa okamžite preruší
• N (prirodzené číslo > 0)• podobné ako ok, len s tým rozdielom, že vyhodnocovanie preskočí nasledujúcich
N modulov
• reset• zahodí aktuálny stav a začne s ďalším modulom s čistým stavom
35
![Page 68: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/68.jpg)
Konfigurácia PAM – riadiace kľúčové slová
• required [success=ok new_authtok_reqd=ok ignore=ignore default=bad]• ak modul uspeje, PAM pokračuje vyhodnocovaním zostávajúcich záznamov
• výsledok bude určený výsledkom ostatných modulov
• ak modul zlyhá, tak PAM pokračuje vo vyhodnocovaní, ale výsledkom bude zlyhanie
• requisite [success=ok new_authtok_reqd=ok ignore=ignore default=die]• ak modul uspeje, PAM pokračuje vyhodnocovaním zostávajúcich záznamov
• výsledok bude určený výsledkom ostatných modulov
• ak modul zlyhá, tak PAM zastaví vyhodnocovanie a výsledkom bude zlyhanie
• použiteľné napríklad na ochranu pred zadaním hesla cez nezabezpečené médium
• sufficient [success=done new_authtok_reqd=done default=ignore]• ak modul uspeje, tak PAM zastaví vyhodnocovanie a vráti úspech (ale len ak žiadny
predchádzajúci required modul nezlyhal)
• ak modul zlyhá, tak PAM pokračuje vo vyhodnocovaní• výsledok bude určený výsledkom ostatných modulov
• optional [success=ok new_authtok_reqd=ok default=ignore]• PAM ignoruje výsledok modulu (iba ak by to bol jediný modul v skupine)
36
![Page 69: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/69.jpg)
Konfigurácia PAM
• v common-account zmeniť riadok:account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
• na riadky:account [success=2 new_authtok_reqd=done default=ignore] pam_unix.soaccount [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
• v common-auth zmeniť riadok:auth [success=1 default=ignore] pam_unix.so nullok_secure
• na riadky:auth [success=2 default=ignore] pam_unix.so nullok_secureauth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE
cached_login try_first_pass
• v common-password zmeniť riadok:password [success=1 default=ignore] pam_unix.so obscure sha512
• na riadky:password [success=2 default=ignore] pam_unix.so obscure sha512password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass
• v common-session (aj v c-s-noninteractive) za riadok:session required pam_unix.so
• vložiť riadok:session optional pam_winbind.so
37
![Page 70: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/70.jpg)
Konfigurácia NSS
• keďže chceme, aby aplikácie vyhľadávali informácie o používateľoch
a skupinách v Active Directory použitím Winbind, musíme modifikovať
konfiguračný súbor NSS pridaním modulu winbind:
• /etc/nsswitch.conf:
passwd: compat winbind
group: compat winbind
shadow: compat
...
38
![Page 71: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/71.jpg)
Interná reprezentácia objektov
• Windows:
• Security Identifier (SID)
• štruktúra s premenlivou dĺžkou
• SID obsahuje jednoznačný identifikátor domény
• Windows môže rozlíšiť objekty z rôznych domén
• Unix
• jednoduchšia schéma
• každý objekt má ID, ktoré je 32-bitové celé číslo
• ID je jednoznačné iba v rámci jedného počítača
• t.j. nič nezaručuje, že používateľ s UID 1234 na jednom počítači je
rovnaký používateľ s UID 1234 na inom počítači
39
![Page 72: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/72.jpg)
winbind: Mapovanie SID na Unix ID
• SID nie je možné priamo použiť ako Unix ID
• winbind práve ako jednu zo svojich služieb poskytuje
mapovanie SID na Unix ID
• mapovanie môže robiť pomocou rôznych „backend“-ov:
• idmap_tdb
• idmap_rid
• idmap_ad
• ...
40
![Page 73: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/73.jpg)
Mapovanie ID – idmap_tdb
• postupne ako winbind vyhľadáva používateľov a skupiny
na serveri, tak mapuje ich SID na Unix ID z vybraného
rozsahu a ukladá ich do tdb databázy
• toto sa deje v poradí, v akom prichádzajú požiadavky
• všetci používatelia (skupiny) budú namapovaní akonáhle klient
vykoná príkaz na enumeráciu používateľov (skupín)
• Pozor:
• tdb databáza je jediné miesto, kde je mapovanie uložené
• ak sa poškodí alebo zmaže, tak sa nedá zistiť ktoré SID bolo
mapované na ktoré Unix ID
• na rôznych počítačoch môžu vzniknúť rôzne mapovania
41
![Page 74: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/74.jpg)
Mapovanie ID – idmap_rid
• časť SID, ktorá jednoznačne určuje objekt v rámci
domény sa volá: Relative Identifier (RID)
• RID je 32-bitové celé číslo, rovnako ako Unix ID
• je to posledný „SubAuthority“ záznam v reťazci
• winbind môže jednoducho vybrať RID zo SID a použiť
RID ako Unix ID
• winbind označuje túto stratégiu ako „RID mapping“
• nepoužiteľné pre prostredie s viacerými doménami
• dvaja používatelia s rôznym SID môžu mať rovnaké RID
42
CN=Tester,CN=Users,DC=corp,…• sAMAccountName: Tester
• objectSid: S-1-5-21-1409194518-899342298-2743070129-1001
winbind UID = 1001
![Page 75: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/75.jpg)
Mapovanie ID – idmap_ad
• pre každého používateľa a skupinu sa v prislúchajúcom
objekte v Active Directory uloží jeho Unix ID
• keď winbind autentifikuje používateľa, vyhľadá jeho Unix
ID v AD a poskytne ho Linux-u ako interný identifikátor
• winbind označuje túto stratégiu ako „Active Directory ID mapping“
• nevýhodou tohto riešenia je, že je nutné toto mapovanie v
AD udržiavať a zaručiť, že je v celom lese jednoznačné
43
CN=Tester,CN=Users,DC=corp,…
• sAMAccountName: Tester
• uidNumber: 10000
• gidNumber: 10000
winbind UID = 10000
![Page 76: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/76.jpg)
Identity Management for UNIX
• obsahuje sadu nástrojov pre synchronizáciu hesiel, integráciu NIS, rozširuje AD o RFC 2307 atribúty a UI na ich správu
• pohodlné (obsahuje UI), ale zastarané
• Windows Server 2012 R2 tieto atribúty už obsahuje
• pre inštaláciu na Windows Server 2012 treba použiť DSIM (Deployment Image Servicing and Management tool)
• spúšťať z príkazového riadku spusteného ako správca
• DISM /Online /Enable-Feature /FeatureName:adminui /All• /Online
• cieľom je bežiaci operačný systém
• /Enable-Feature
• povolí špecifikovanú vlastnosť v obraze
• /All
• povolí aj všetky nadradené vlastnosti k uvedenej vlastnosti
44
![Page 77: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/77.jpg)
Inštalácia Identity Management for UNIX
• Administrátorské rozhranie
PS> DISM /Online /Enable-Feature /FeatureName:adminui /All
Deployment Image Servicing and Management tool
Version: 6...
Image Version: 6...
Enabling feature(s)
[==========================100.0%==========================]
The operation completed successfully.
Restart Windows to complete this operation.
Do you want to restart the computer now? (Y/N)
• Server for NIS (treba pre zobrazenie záložky UNIX Attributes)
PS> DISM /Online /Enable-Feature /FeatureName:nis /All
• Password Synchronization (pre UI netreba)
PS> DISM /Online /Enable-Feature /FeatureName:psync /All
45
![Page 78: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/78.jpg)
UI pre správu UNIX-ových atribútov
46
![Page 79: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/79.jpg)
UI pre správu UNIX-ových atribútov
46
![Page 80: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/80.jpg)
UI pre správu UNIX-ových atribútov
46
![Page 81: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/81.jpg)
Samba – konfigurácia 1/2
• smb.conf (v časti [global])realm = corp.vasaorg.sksecurity = ADS
• správa sa ako člen domény vo vyššie uvedenom ADS realm
server role = member server• overuje používateľov cez ADS (server najprv musí byť pridaný do domény)
winbind enum users = yeswinbind enum groups = yes
• hodnota „no“ by zakázala enumerovanie (vhodné pre veľké systémy)
winbind nss info = rfc2307• schéma pre vyhľadávanie informácií
template homedir = /home/%D/%Utemplate shell = /bin/bash
• štandardný domovský adresár a shell (pokiaľ sa nešpecifikuje v AD iný)
idmap cache time = 1idmap negative cache time = 1winbind cache time = 1
• ak chceme rýchlu reakciu na zmenu údajov v AD
47
![Page 82: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/82.jpg)
Samba – konfigurácia 2/2
• smb.conf (v časti [global])
idmap config * : backend = tdb
idmap config * : range = 1000000-1999999
• slúži ako záložný mapovací spôsob, pokiaľ sa nedá aplikovať nasledovný:
idmap config CORP : backend = ad
idmap config CORP : range = 10000-999999
• range pracuje ako filter, t.j ak je ID v AD mimo rozsah, tak je ignorované a
nepoužije sa na mapovanie (použije sa tdb)
• ochrana pred nechceným prekryvom medzi lokálnymi a vzdialenými ID
idmap config CORP : schema_mode = rfc2307
• určuje schému, ktorú idmap_ad použije pri vyhľadávaní informácií o
používateľoch a skupinách v AD
• sfu: Windows Services for UNIX
• rfc2307: An Approach for Using LDAP as a Network Information Service
• Services for UNIX sú staršie ako RFC 2307
48
![Page 83: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/83.jpg)
Automatické vytvorenie domovského adresára
• keď sa do Linuxu prihlási používateľ, tak systém očakáva, že bude mať vytvorený domovský adresár
• keďže používateľov vytvárame v AD, Linux automaticky nevytvorí ich domovské adresáre pri ich pridaní
• našťastie, PAM je možné nakonfigurovať tak, aby domovský adresár vytvorilo ako súčasť prípravy sedenia
• v /etc/pam.d/common-session za riadok:session optional pam_umask.so
• pridať riadok:session optional pam_mkhomedir.so skel=/etc/skel
• tento riadok zabezpečí vytvorenie domovského adresára,
pokiaľ už neexistuje
49
![Page 84: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/84.jpg)
Pridanie Samba servera do domény
tester@linwo:~$ sudo net rpc join -U Administrator MEMBER
Enter Administrator's password:
Joined domain CORP.
• spustenie služby winbind:
tester@linwo:~$ sudo service winbind start
50
![Page 85: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/85.jpg)
Používatelia a skupiny z AD
tester@linwo:~$ wbinfo -u
CORP\administrator
CORP\guest
CORP\tester
CORP\krbtgt
tester@linwo:~$ wbinfo -g
CORP\domain computers
CORP\domain controllers
CORP\schema admins
CORP\enterprise admins
CORP\domain admins
CORP\domain users
CORP\domain guests
…
51
![Page 86: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/86.jpg)
Integrácia lokálnych a AD používateľov
tester@linwo:~$ getent passwd
...
tester:x:1000:1000:Tester,,,:/home/tester:/bin/bash
CORP\tester:*:10001:10001:Tester:/home/Tester:/bin/sh
CORP\ric:*:10002:10001:Richard Ostertag:/home/ric:/bin/sh
52
![Page 87: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/87.jpg)
Prihlásenie používateľa z AD
tester@linwo:/etc$ ssh CORP\\ric@localhost
CORP\ric@localhost's password:
Creating directory '/home/ric'.
Welcome to Ubuntu 14.10 (GNU/Linux 3.16.0-25-generic x86_64) ...
CORP\ric@linwo:~$ ls -la
total 36
drwxr-xr-x 3 CORP\ric CORP\domain users 4096 Aug 30 14:07 .
drwxr-xr-x 4 root root 4096 Aug 30 14:07 ..
-rw-r--r-- 1 CORP\ric CORP\domain users 220 Aug 30 14:07 .bash_logout
-rw-r--r-- 1 CORP\ric CORP\domain users 3760 Aug 30 14:07 .bashrc
drwx------ 2 CORP\ric CORP\domain users 4096 Aug 30 14:07 .cache
-rw-r--r-- 1 CORP\ric CORP\domain users 8980 Aug 30 14:07 examples.desktop
-rw-r--r-- 1 CORP\ric CORP\domain users 675 Aug 30 14:07 .profile
CORP\ric@linwo:~$ id
uid=10002(CORP\ric) gid=10001(CORP\domain users) ...
53
![Page 88: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/88.jpg)
smbclinet: Autentifikácia cez AD
• prihlásenie do systému ako doménový používateľtester@linwo:~$ ssh CORP\\ric@localhost
CORP\ric@localhost's password:
• vyžaduje hesloCORP\ric@linwo:~$ smbclient //winse/users
Enter CORP\ric's password:
Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]
smb: \>
• nevyžaduje hesloCORP\ric@linwo:~$ smbclient --kerberos //winse/users
Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]
smb: \>
54
![Page 89: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/89.jpg)
Zmena hesla v AD
CORP\ric@linwo:~$ passwd
Changing password for CORP\ric
(current) NT password:
Enter new NT password:
Retype new NT password:
passwd: password updated successfully
#password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass
password [success=1 default=ignore] pam_winbind.so try_first_pass
• use_authtok• nastaví nové heslo na heslo poskytnuté predošlým „password“
modulom
• ak táto možnosť nie je nastavená, tak pam_winbind sa opýta používateľa na nové heslo
55
![Page 90: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/90.jpg)
B. Samba 4 ako radič domény AD na Linuxe
56
![Page 91: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/91.jpg)
Konfigurácia siete
• /etc/NetworkManager/system-connections/Wired connection 1:
[ipv4]
method=manual
dns=172.22.0.1;
address1=172.22.222.11/16,172.22.0.1
• /etc/NetworkManager/NetworkManager.conf zakomentovať:
#dns=dnsmasq
• /etc/hostname: linse
• /etc/hosts: namiesto riadku
127.0.1.1 linse• vložiť riadok:
172.22.222.30 linse.corp.vasaorg.sk linse
• sudo apt-get purge avahi-autoipd avahi-daemon avahi-utils• zbytočné pre server s dobre nakonfigurovanou sieťou
57
![Page 92: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/92.jpg)
Odporúčania pre Samba AD DC
• pri väčšom počte používateľov sa odporúča prevádzkovať
viac DC
• odporúča sa prevádzkovať súborový server ako
samostatný členský server
• oddelenie umožňuje aktualizovať DC a FS samostatne, bez
narušenia činnosti druhého servera
• problémy s winbind integrovaným do DC
• Samba má svoju implementáciu Kerberos a LDAP
• neodporúča sa používať externé implementácie
58
![Page 93: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/93.jpg)
Základná inštalácia
• súborový systém s podporou rozšírených atribútov
• Tam, kde budú zdieľané priečinky (/var/lib/samba/sysvol)
• cat /boot/config-3.16.0-25-generic | grep "EXT._FS_"
CONFIG_EXT4_FS_XATTR=y
CONFIG_EXT4_FS_POSIX_ACL=y
CONFIG_EXT4_FS_SECURITY=y
• v súbore /etc/fstab, pridať k správnemu FS: user_xattr,acl,barrier=1
• barrier=1: zaistí, že tdb transakcie zvládnu neočakávaný výpadok napájania
• sudo apt-get install krb5-userDefault Kerberos version 5 realm: CORP.VASAORG.SK
Kerberos servers for your realm: linse.corp.vasaorg.sk
Administrative server for your Kerberos realm: linse.corp.vasaorg.sk
• sudo apt-get install samba
• momentálne je v Ubuntu 14.10 samba verzia 4.1.11
59
![Page 94: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/94.jpg)
Zriadenie domény (DCPROMO)
• vytvorí Active Directory databázu
• najprv zmazať /etc/samba/smb.conf
• ak existuje
• sudo samba-tool domain provision --use-rfc2307 --interactive \--option="interfaces=lo eth0" --option="bind interfaces only=yes" \--function-level=2008_R2
• --use-rfc2307
• RFC 2307 (An Approach for Using LDAP as a Network Information Service)
• doplní do schémy AD rozšírenie o atribúty ako uidNumber
• bez tohto parametra sa rozšírené atribúty nepridajú
• --interactive
• samba-tool sa bude interaktívne pýtať na potrebné parametre
• preddefinované hodnoty budú v hranatých zátvorkách
• pre ich použitie stačí stlačiť ⏎
60
![Page 95: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/95.jpg)
Ďalšie parametre
• --function-level=2008_R2
• funkčná úroveň domény a celého lesa
• možnosti sú: 2000, 2003, 2008, 2008_R2
• preddefinovaná hodnota je 2003
• --site=SITENAME
• nastaví meno fyzickej lokality
• --option=OPTION
• pridá OPTION do smb.conf
• --option="interfaces=lo eth0"
• --option="bind interfaces only=yes"
• niekedy je vhodné obmedziť rozhrania, kde bude Samba počúvať
• napríklad keď je server priamo pripojený na Internet
61
![Page 96: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/96.jpg)
Interakcia so samba-tool domain provision
Realm: CORP.VASAORG.SK
Domain [corp]: CORP
Server Role (dc, member, standalone) [dc]: dc
DNS backend (…) [SAMBA_INTERNAL]: SAMBA_INTERNAL
DNS forwarder IP address (…) [127.0.1.1]: 172.22.0.1
Administrator password: ****
Retype password: ****
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=corp,DC=vasaorg,DC=sk
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=corp,DC=vasaorg,DC=sk
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has beengenerated at /var/lib/samba/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba4 serverwill be ready to use
Server Role: active directory domain controller
Hostname: linse
NetBIOS Domain: CORP
DNS Domain: corp.vasaorg.sk
DOMAIN SID: S-1-5-21-2144280183-3080654876-3525390984
62
![Page 97: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/97.jpg)
Význam parametrov 1/2
• Realm: corp.vasaorg.sk• Kerberos realm (oblasť)
• automaticky sa použije aj ako AD DNS meno
• malo by byť veľkými písmenami
• Domain [corp]: corp• meno domény
• obyčajne prvá časť AD DNS mena
• veľkými písmenami
• Server Role (dc, member, standalone) [dc]: dc• dc ako Domain Controller
• DNS backend (…) [SAMBA_INTERNAL]: SAMBA_INTERNAL• SAMBA_INTERNAL – interný DNS server
• preddefinovaná a najlepšia voľba (pokiaľ nie sú kladené špeciálne požiadavky na DNS)
• nevyžaduje žiadne ďalšie konfigurovanie
• BIND9 – pre komplexnejšie požiadavky na DNS• BIND9_DLZ – informácie o zónach sú uložené v AD, odporúčané
• BIND9_FLATFILE – textová databáza pre BIND9, nepoužívať• nedokumentované, nepodporované
63
![Page 98: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/98.jpg)
Význam parametrov 2/2
• DNS forwarder IP address (…) [127.0.1.1]: 172.22.0.1• nastaviteľné iba ak sa používa interná DNS
• definuje IP adresu jedného DNS servera, kam sa posielajú požiadavky, pre ktoré interný server nie je autoritatívny
• Administrator password: ****• musí mať aspoň 8 znakov a obsahovať aspoň tri z nasledujúcich
skupín znakov:
• veľké písmená
• malé písmená
• číslice
• symboly
• všetky znaky na klávesnici, ktoré nie sú definované ako písmená alebo číslice
• ak heslo nespĺňa tieto požiadavky, zriadenie domény sa nepodarí:
ERROR(ldb): uncaught exception - 0000052D: Constraint violation
- check_password_restrictions: the password is too short.
It should be equal or longer than 7 characters!
64
![Page 99: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/99.jpg)
Vytvorený konfiguračný súbor
• /etc/samba/smb.conf: (samba-tool testparm)
[global]workgroup = CORP
• meno domény
realm = CORP.VASAORG.SK• názov Kerberos oblasti
netbios name = LINSE• NetBIOS meno Samba servera (štandardne prvá časť DNS mena počítača)
interfaces = lo, eth0bind interfaces only = Yesserver role = active directory domain controller
• standalone, member server, classic primary alebo netbios backup domain controller
dns forwarder = 172.22.0.1• používa sa iba pri internom DNS serveri pre preposielanie požiadaviek pre ktoré samotná Samba nie
je autoritatívny server
idmap_ldb:use rfc2307 = yes• zabuduje do LDAP rozšírené atribúty z RFC 2307 (ako napr. uid)
[netlogon]path = /var/lib/samba/sysvol/corp.vasaorg.sk/scriptsread only = No
[sysvol]path = /var/lib/samba/sysvolread only = No
65
![Page 100: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/100.jpg)
Konfiguračný súbor – implicitné parametre
• samba-tool testparm vs. testparmpassdb backend = samba_dsdb
• Samba directory services database
rpc_server:tcpip = no # yes je momentálne iba pre testovanie
rpc_daemon:spoolssd = embedded
rpc_server:spoolss = embedded # Network Printing Spooler
rpc_server:winreg = embedded # Remote Registry Service
rpc_server:ntsvcs = embedded # Plug and Play Services
rpc_server:eventlog = embedded # Event Logger
rpc_server:srvsvc = embedded # Remote Server Services
rpc_server:svcctl = embedded # Service Control
rpc_server:default = external
idmap config * : backend = tdb
map archive = No # nepoužíva špeciálne mapovanie týchto atribútov
map readonly = no # do štandardných UNIX atribútov, ale používa
store dos attributes = Yes # mapovanie DOS atribútov (S,H,A,RO) do
# rozšíreného atribútu FS s názvom user.DOSATTRIB
vfs objects = dfs_samba4, acl_xattr
# dfs_samba4: Distributed File System založený na doméne
# acl_xattr: ukladá NTFS ACL do rozšíreného atribútu security.NTACL
66
![Page 101: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/101.jpg)
Spustenie a kontrola Samba AD-DC procesov
• zlý stavtester@linse:~$ ps axf | grep -E "samba|smbd|nmbd|winbindd"3949 ? Ss 0:00 smbd -F4028 ? S 0:00 \_ smbd -F3989 ? Ss 0:00 nmbd –D
tester@linse:~$ sudo service smbd stopsmbd stop/waitingtester@linse:~$ sudo service nmbd stopnmbd stop/waiting
• dobrý stavtester@linse:~$ ps axf | grep -E "samba|smbd|nmbd|winbindd"4445 ? Ss 0:00 samba -D4484 ? S 0:00 \_ samba -D4489 ? Ss 0:00 | \_ /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground4501 ? S 0:00 | \_ /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground4485 ? S 0:00 \_ samba -D4486 ? S 0:00 \_ samba -D4487 ? S 0:00 \_ samba -D4488 ? S 0:00 \_ samba -D4490 ? S 0:00 \_ samba -D4491 ? S 0:00 \_ samba -D4492 ? S 0:00 \_ samba -D4493 ? S 0:00 \_ samba -D4494 ? S 0:00 \_ samba -D4495 ? S 0:00 \_ samba -D4496 ? S 0:00 \_ samba -D4497 ? S 0:00 \_ samba -D
67
• spustenietester@linse:~$ sudo service samba startnmbd start/runningsmbd start/running, process 4429samba-ad-dc start/running, process 4445
![Page 102: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/102.jpg)
Kontrola portovtester@linse:~$ sudo netstat -tulpn | egrep "samba|smbd|nmbd|winbindd"tcp 0 0 172.22.222.11:1024 0.0.0.0:* LISTEN 1410/sambatcp 0 0 127.0.0.1:1024 0.0.0.0:* LISTEN 1410/samba…
68
TCP UDP Local Address Port Service PID Program
✔ ✔
127.0.0.1 / 172.22.222.11
53 DNS 1454 samba
✔ ✔ 88 Kerberos 1434 samba
✔ 135End Point Mapper
DCE/RPC Locator Service1410 samba
✔ 127.0.0.1 / 127.255.255.255
172.22.222.11 / 172.22.255.255
137 NetBIOS Name Service 1411 samba
✔ 138 NetBIOS Datagram 1411 samba
✔
127.0.0.1 / 172.22.222.11
139 NetBIOS Session 1412 smbd
✔ ✔ 389 LDAP 1429 samba
✔ 445 SMB over TCP 1412 smbd
✔ ✔ 464 Kerberos kpasswd 1434 samba
✔ 636 LDAPS 1429 samba
✔ 1024 Dynamic RPC Ports (1024-5000) 1410 samba
✔ 3268 Global Catalog 1429 samba
✔ 3269 Global Catalog SSL 1429 samba
![Page 103: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/103.jpg)
Kontrola konfigurácie zdieľaných priečinkov
• kontrola, či AD DC poskytuje priečinky netlogon a sysvol
• sudo apt-get install smbclient
• -Uusername[%password]
tester@linse:~$ smbclient --list localhost -UGuest%
Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.1.11-Ubuntu)
Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]
Server Comment
--------- -------
Workgroup Master
--------- -------
69
![Page 104: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/104.jpg)
Kontrola autentifikácie
tester@linse:~$ smbclient //localhost/sysvol -UGuest% -c 'ls'
Anonymous login successful
Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]
tree connect failed: NT_STATUS_ACCESS_DENIED
tester@linse:~$ smbclient //localhost/sysvol -UAdministrator -c 'ls'
Enter Administrator's password:
Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]
. D 0 Fri …
.. D 0 Fri …
corp.vasaorg.sk D 0 Fri …
38043 blocks of size 524288. 26251 blocks available
70
![Page 105: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/105.jpg)
Konfigurácia DNS a kontrola funkčnosti
• pre správnu činnosť AD je nutná korektná funkčnosť DNS
• napríklad bez správnych záznamov nebude pracovať Kerberos
• /etc/NetworkManager/system-connections/Wired connection 1:
[ipv4]
method=manual
dns=172.22.222.11;
dns-search=corp.vasaorg.sk;
address1=172.22.222.11/16,172.22.0.1
• sudo service network-manager restart
• host -t SRV _ldap._tcp.corp.vasaorg.sk.
• _ldap._tcp.corp.vasaorg.sk has SRV record 0 100 389 linse.corp.vasaorg.sk.
• host -t SRV _kerberos._udp.corp.vasaorg.sk.
• _kerberos._udp.corp.vasaorg.sk has SRV record 0 100 88 linse.corp.vasaorg.sk.
• host -t A linse.corp.vasaorg.sk
• linse.corp.vasaorg.sk has address 172.22.222.11
71
![Page 106: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/106.jpg)
Konfigurácia Kerberos
• Kerberos je dôležitou súčasťou AD
• počas zriadenia domény vznikla konfigurácia pre používateľské programy Kerberosu, preto treba nahradiť /etc/krb5.conf súborom /var/lib/samba/private/krb5.conf:
[libdefaults]
default_realm = CORP.VASAORG.SK
dns_lookup_realm = false
dns_lookup_kdc = true
• sudo ln -sf /var/lib/samba/private/krb5.conf /etc/krb5.conftester@linse:~$ kinit Administrator
Password for [email protected]:
Warning: Your password will expire in 41 days on …
tester@linse:~$ klist -fe
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]
Valid starting Expires Service principal
… … krbtgt/[email protected]
renew until …, Flags: RIA
Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96
72
![Page 107: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/107.jpg)
Test pripojenia cez Kerberos
tester@linse:~$ smbclient //linse/sysvol --kerberos -c 'ls'
Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]
. D 0 Fri …
.. D 0 Fri …
corp.vasaorg.sk D 0 Fri …
38043 blocks of size 524288. 26128 blocks available
tester@linse:~$ klist -fe
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]
Valid starting Expires Service principal
… … krbtgt/[email protected]
renew until …, Flags: RIA
Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96
… … cifs/[email protected]
renew until …, Flags: RATO
Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96
73
![Page 108: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/108.jpg)
NTP server pre AD
• AD vyžaduje synchronizáciu času s klientmi• pre riešenie konfliktov pri replikácii
• pre zabránenie útokov opakovaním v Kerberos protokole
• maximálny povolený časový rozdiel je štandardne 5 minút
• Windows klienti požadujú NTP server s podporou MS-SNTP• Network Time Protocol (NTP) Authentication Extensions
• špecifikácia Windows protokolov (≈ 400 PDF, ≈ 900 MB)• http://go.microsoft.com/fwlink/?LinkId=389156
• Samba štandardne poskytuje pre ntpd podpisovanie paketov• aby NTP server nemusel riešiť, odkiaľ má získať kľúč
• server services = +ntp_signd
• pre komunikáciu s ntpd používa socket• ntp signd socket directory = /var/lib/samba/ntp_signd
• ntpd vo verzii aspoň 4.2.6 s podporou ntp_signd• --enable-ntp-signd
• sudo apt-get install ntp
74
![Page 109: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/109.jpg)
Konfigurácia NTP servera
• chown root:ntp /var/lib/samba/ntp_signd
• chmod 750 /var/lib/samba/ntp_signd
• /etc/ntp.conf:driftfile /var/lib/ntp/ntp.drift
ntpsigndsocket /var/lib/samba/ntp_signd # without /socket !
# Specify one or more NTP servers.
server 0.ubuntu.pool.ntp.org iburst prefer
…
# Local clock pseudo IP (used in case of network problems).
server 127.127.1.0
fudge 127.127.1.0 stratum 10
# By default, exchange time with everybody (incl. MS-SNTP), but don't allow configuration.
restrict default notrap nomodify noquery nopeer mssntp
# Local users may interrogate the ntp server more closely, allow everything.
restrict 127.0.0.1
restrict ::1
# For time servers allow queries.
restrict 0.ubuntu.pool.ntp.org notrap nomodify nopeer
…
75
![Page 110: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/110.jpg)
samba-tool fsmo
• FSMO – Flexible Single Master Operations
tester@linse:~$ sudo samba-tool fsmo show
InfrastructureMasterRole owner: ...
RidAllocationMasterRole owner: ...
PdcEmulationMasterRole owner: ...
DomainNamingMasterRole owner: ...
SchemaMasterRole owner: ...
• kde ... sú:
CN=NTDS Settings,CN=LINSE,CN=Servers,
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,
DC=corp,DC=vasaorg,DC=sk
76
![Page 111: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/111.jpg)
Kontrola lokálnej AD databázy
tester@linse:~$ sudo samba-tool dbcheck
Checking 265 objects
Checked 265 objects (0 errors)
77
![Page 112: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/112.jpg)
Zoznam všetkých používateľov domény
tester@linse:~$ sudo samba-tool user list
Administrator
krbtgt
Guest
78
![Page 113: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/113.jpg)
Zmena funkčnej úrovne domény a lesa
tester@linse:~$ sudo samba-tool domain level show
Domain and forest function level for domain 'DC=corp,DC=vasaorg,DC=sk'
Forest function level: (Windows) 2003
Domain function level: (Windows) 2003
Lowest function level of a DC: (Windows) 2008 R2
tester@linse:~$ sudo samba-tool domain level raise --forest-level=2008_R2 \
--domain-level=2008_R2
Domain function level changed!
Forest function level changed!
All changes applied successfully!
tester@linse:~$ sudo samba-tool domain level show
Domain and forest function level for domain 'DC=corp,DC=vasaorg,DC=sk'
Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2008 R2
79
![Page 114: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/114.jpg)
Zobrazenie politiky hesiel v doméne
tester@linse:~$ sudo samba-tool domain passwordsettings show
Password informations for domain 'DC=corp,DC=vasaorg,DC=sk'
Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
80
![Page 115: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/115.jpg)
Pridanie Windows do domény – predpoklady
• správna edícia Windows:• Windows 8 / 8.1 Pro, Enterprise
• Windows 7 Professional, Ultimate, Enterprise
• Windows Vista Business, Ultimate, Enterprise
• práva lokálneho správcu (na PC, ktoré sa pripája)
• znalosť mena a hesla doménového účtu, ktorý má oprávnenie pridávať počítače do domény• Domain Administrator
• DNS nastavené tak, aby sa dala zistiť IP adresa pre DC, LDAP, Kerberos, ...• v našom prípade DNS nastavíme priamo na DC
• správny čas• synchronizácia s PDC sa nastaví automaticky po pripojení do
domény
81
![Page 116: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/116.jpg)
Pridanie Windows do domény
82
![Page 117: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/117.jpg)
Pridanie Windows do domény
82
![Page 118: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/118.jpg)
Pridanie Windows do domény
82
![Page 119: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/119.jpg)
Pridanie Windows do domény
82
![Page 120: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/120.jpg)
Pridanie Windows do domény
82
![Page 121: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/121.jpg)
Pridanie Windows do domény
82
![Page 122: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/122.jpg)
Pridanie Windows do domény
82
![Page 123: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/123.jpg)
Pridanie Windows do domény
82
![Page 124: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/124.jpg)
Pridanie Windows do domény
82
![Page 125: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/125.jpg)
Pridanie Windows do domény
82
![Page 126: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/126.jpg)
Kontrola synchronizácie času
PS C:\Users\Administrator.CORP> w32tm /resync
Sending resync command to local computer
The computer did not resync because no time data was available.
• pozrieť či náhodou v /var/log/syslog nie je niečo ako:… linse kernel: … apparmor="DENIED" operation="open"
profile="/usr/sbin/ntpd" … requested_mask="r" denied_mask="r" …
• ak áno, tak AppArmor má zlý záznam v /etc/apparmor.d/usr.sbin.ntpd:# samba4 ntp signing socket
/{,var/}run/samba/ntp_signd/socket rw,
• opraviť pridaním riadku do /etc/apparmor.d/local/usr.sbin.ntpd# Site-specific additions and overrides for usr.sbin.ntpd.
# For more details, please see /etc/apparmor.d/local/README.
/var/lib/samba/ntp_signd/socket rw,
• správna synchronizácia času:PS C:\Users\Administrator.CORP> w32tm /resync
Sending resync command to local computer
The command completed successfully.
83
![Page 127: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/127.jpg)
Prihlásenie ako používateľ domény
84
![Page 128: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/128.jpg)
Prihlásenie ako používateľ domény
84
![Page 129: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/129.jpg)
Inštalácia RSAT
• RSAT – Remote Server Administration Tools
• najjednoduchší spôsob, ako spravovať Samba doménu
• nástroje priamo od Microsoftu
• dobrá dokumentácia
• samba-tool ešte nie je ich plnohodnotnou náhradou
• Remote Server Administration Tools for Windows 8.1
• http://www.microsoft.com/en-us/download/details.aspx?id=39296
• Windows8.1-KB2693643-x64.msu (67,6 MB)
• Remote Server Administration Tools for Windows 7 (SP1)
• http://www.microsoft.com/en-us/download/details.aspx?id=7887
• Windows6.1-KB958830-x64-RefreshPkg.msu (239,5 MB)
85
![Page 130: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/130.jpg)
Inštalácia RSAT
86
![Page 131: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/131.jpg)
Inštalácia RSAT
86
![Page 132: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/132.jpg)
Inštalácia RSAT
86
![Page 133: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/133.jpg)
Inštalácia RSAT
86
![Page 134: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/134.jpg)
Inštalácia RSAT
86
![Page 135: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/135.jpg)
ADSI Edit
87
![Page 136: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/136.jpg)
ADUC – pridanie nového používateľa
88
![Page 137: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/137.jpg)
ADUC – pridanie nového používateľa
88
![Page 138: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/138.jpg)
ADUC – pridanie nového používateľa
88
![Page 139: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/139.jpg)
ADUC – pridanie nového používateľa
88
![Page 140: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/140.jpg)
ADUC – pridanie nového používateľa
88
![Page 141: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/141.jpg)
ADUC – pridanie nového používateľa
88
![Page 142: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/142.jpg)
ADUC – pridanie nového používateľa
88
![Page 143: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/143.jpg)
Expirované heslo
tester@linse:~$ kinit ric
Password for [email protected]:
Password expired. You must change it now.
Enter new password:
Enter it again:
Password change rejected: Try a more complex password, or contact your administrator.. Please try again.
Enter new password:
Enter it again:
Warning: Your password will expire in 24 hours on …
89
![Page 144: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/144.jpg)
Samba 4 – skupinové politiky
• vie obsluhovať skupinové politiky (GPO) pre klientov
• ignoruje nastavenia GPO, ktoré by boli pre ňu aplikovateľné
• napríklad minimálna dĺžka hesla
• existuje projekt, ktorého cieľom je, aby
• Samba 4 DC vedel o GPO, ktoré sú na neho aplikovateľné
• aplikoval na seba uvedené nastavenie
• pravidelne (nie len pri štarte)
• s ohľadom na hierarchiu GPO
90
![Page 145: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/145.jpg)
Group Policy Management
91
![Page 146: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/146.jpg)
Group Policy Management
91
![Page 147: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/147.jpg)
List all GPOs
tester@linse:~$ sudo samba-tool gpo listall
GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}
display name : Default Domain Policy
path : \\corp.vasaorg.sk\sysvol\corp.vasaorg.sk\Policies\
{31B2F340-016D-11D2-945F-00C04FB984F9}
dn : CN={31B2F340-016D-11D2-945F-00C04FB984F9},
CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk
version : 0
flags : NONE
GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9}
display name : Default Domain Controllers Policy
path : ...\{6AC1786C-016F-11D2-945F-00C04FB984F9}
dn : CN={6AC1786C-016F-11D2-945F-00C04FB984F9},...
version : 0
flags : NONE
92
![Page 148: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/148.jpg)
Vytvorenie nového GPO
93
![Page 149: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/149.jpg)
Vytvorenie nového GPO
93
![Page 150: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/150.jpg)
Vytvorenie nového GPO
93
![Page 151: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/151.jpg)
Vytvorenie nového GPO
93
![Page 152: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/152.jpg)
Vytvorenie nového GPO
93
![Page 153: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/153.jpg)
Editácia obsahu GPO
94
![Page 154: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/154.jpg)
Editácia obsahu GPO
94
![Page 155: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/155.jpg)
Vyvorenie prihlasovacieho skriptu
95
![Page 156: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/156.jpg)
Vyvorenie prihlasovacieho skriptu
95
![Page 157: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/157.jpg)
Vyvorenie prihlasovacieho skriptu
95
![Page 158: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/158.jpg)
Vyvorenie prihlasovacieho skriptu
95
![Page 159: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/159.jpg)
Vyvorenie prihlasovacieho skriptu
95
![Page 160: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/160.jpg)
Vyvorenie prihlasovacieho skriptu
95
![Page 161: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/161.jpg)
Vyvorenie prihlasovacieho skriptu
95
![Page 162: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/162.jpg)
Vyvorenie prihlasovacieho skriptu
95
![Page 163: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/163.jpg)
Vyvorenie prihlasovacieho skriptu
95
![Page 164: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/164.jpg)
Nové politiky z pohľadu samba-tool
tester@linse:~$ sudo samba-tool gpo listall
GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}
...
GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9}
...
GPO : {BC83D076-EA0A-436C-BFEC-5FEA5E58E042}
display name : no recycle bin
path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}
dn : CN={BC83D076-EA0A-436C-BFEC-5FEA5E58E042},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk
version : 65536
flags : NONE
GPO : {22CC4007-CEED-45BE-9896-9D1C65A833A7}
display name : logon script
path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{22CC4007-CEED-45BE-9896-9D1C65A833A7}
dn : CN={22CC4007-CEED-45BE-9896-9D1C65A833A7},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk
version : 65536
flags : NONE
96
![Page 165: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/165.jpg)
Nové politiky z pohľadu samba-tool
tester@linse:~$ sudo samba-tool gpo listall
GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}
...
GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9}
...
GPO : {BC83D076-EA0A-436C-BFEC-5FEA5E58E042}
display name : no recycle bin
path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}
dn : CN={BC83D076-EA0A-436C-BFEC-5FEA5E58E042},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk
version : 65536
flags : NONE
GPO : {22CC4007-CEED-45BE-9896-9D1C65A833A7}
display name : logon script
path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{22CC4007-CEED-45BE-9896-9D1C65A833A7}
dn : CN={22CC4007-CEED-45BE-9896-9D1C65A833A7},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk
version : 65536
flags : NONE
96
![Page 166: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/166.jpg)
Rozšírené atribúty súborov
tester@linse:~$ sudo getfattr -m- /var/lib/samba/sysvol/corp.vasaorg.sk/Policies/
{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}/User/Registry.pol
getfattr: Removing leading '/' from absolute path names
# file: var/lib/samba/sysvol/corp.vasaorg.sk/Policies/
{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}/User/Registry.pol
security.NTACL
system.posix_acl_access
user.DOSATTRIB
tester@linse:~$ sudo getfattr -n security.NTACL /var/lib/samba/sysvol/corp.vasaorg.sk/Policies/
{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}/User/Registry.pol
getfattr: Removing leading '/' from absolute path names
# file: var/lib/samba/sysvol/corp.vasaorg.sk/Policies/
{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}/User/Registry.pol
security.NTACL=0sBAAEAAAAAgAEAAIAAQDHJo3bocwWXCSwtThCodEAGTuLcpqEAN6n31Xa7yJo1gAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAcG9zaXhfYWNsABTBJxfLEtABesnBiD0TEekl+JDvtnA3/bC0GPPrAtJpZKHDeQ043fcAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEABIS0AAAAxAAAAAAAAADgAAAAAQIAAAAAAAUgAAAAIAIAAAEFAAAA
AAAFFQAAAHcez38cEJ+3iDIh0gECAAACAKQABgAAAAAQJAD/AR8AAQUAAAAAAAUVAAAAdx7PfxwQn7eIMiHSAAIAAAAQJAD
/AR8AAQUAAAAAAAUVAAAAdx7PfxwQn7eIMiHSBwIAAAAQGAD/AR8AAQIAAAAAAAUgAAAAIAIAAAAQFAD/AR8AAQEAAAAAAA
USAAAAABAUAKkAEgABAQAAAAAABQsAAAAAEBQAqQASAAEBAAAAAAAFCQAAAA==
97
![Page 167: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/167.jpg)
C. Cygwin
98
![Page 168: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/168.jpg)
Cygwin
• Cygwin poskytuje pre Windows• veľkú zbierku štandardných GNU a Open Source nástrojov
• ktoré sú bežné pre mnohé Unixové distribúcie
• knižnicu (DLL) implementujúcu POSIX API
• systémové volania a prostredie, ktoré Unixové aplikácie očakávajú
• vďaka tomu je možné portovať mnohé Unixové programy na Windows bez výrazných zmien v zdrojovom kóde
• Cygwin neumožňuje:• spúšťať „binárky“ Linuxových aplikácií na Windows
• aplikácie treba minimálne prekompilovať zo zdrojových súborov s použitím Cygwin knižnice
• domovská stránka Cygwin projektu: https://www.cygwin.com
• k dispozícii zadarmo v podstate pod GPL licenciou• pre portovanie proprietárnej aplikácie (bez zverejnenia zdrojových
kódov) na Windows s pomocou Cygwin je potrebné zakúpiť špeciálnu licenciu od firmy Red Hat
99
![Page 169: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/169.jpg)
Cygwin – inštalácia
• stiahnuť inštalačný súbor
• http://cygwin.com/setup-x86_64.exe
• kedykoľvek možné spustiť pre inštaláciu alebo
aktualizáciu
• možná aj bez administrátorských oprávnení
• tie sú potrebné len pre inštaláciu pre všetkých používateľov na PC
• setup-x86_64.exe --no-admin
100
![Page 170: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/170.jpg)
Cygwin – inštalácia
101
![Page 171: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/171.jpg)
Cygwin – inštalácia
101
![Page 172: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/172.jpg)
Cygwin – inštalácia
101
![Page 173: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/173.jpg)
Cygwin – inštalácia
101
![Page 174: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/174.jpg)
Cygwin – inštalácia
101
![Page 175: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/175.jpg)
Cygwin – inštalácia
101
![Page 176: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/176.jpg)
Cygwin – inštalácia
101
![Page 177: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/177.jpg)
Cygwin – inštalácia
101
![Page 178: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/178.jpg)
Cygwin – inštalácia
101
![Page 179: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/179.jpg)
Cygwin – inštalácia
101
![Page 180: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/180.jpg)
Cygwin – inštalácia
101
![Page 181: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/181.jpg)
Cygwin – inštalácia
101
![Page 182: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/182.jpg)
Cygwin – inštalácia
101
![Page 183: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/183.jpg)
Cygwin – inštalácia
101
![Page 184: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/184.jpg)
Cygwin – ssh
102
![Page 185: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/185.jpg)
Cygwin – ssh
102
![Page 186: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/186.jpg)
Cygwin – ssh
102
![Page 187: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/187.jpg)
Cygwin – ssh
102
![Page 188: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/188.jpg)
Cygwin – ssh
102
![Page 189: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/189.jpg)
Cygwin – ssh
102
![Page 190: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/190.jpg)
Cygwin – ssh
102
![Page 191: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/191.jpg)
Cygwin – ssh
102
![Page 192: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/192.jpg)
Cygwin – ssh
102
![Page 193: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/193.jpg)
Cygwin – ssh
102
![Page 194: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/194.jpg)
Cygwin – ssh
102
![Page 195: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/195.jpg)
Cygwin – ssh
102
![Page 196: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/196.jpg)
Cygwin/X - inštalácia
103
![Page 197: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/197.jpg)
Cygwin/X - inštalácia
103
![Page 198: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/198.jpg)
Cygwin/X - inštalácia
103
![Page 199: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/199.jpg)
Cygwin/X - inštalácia
103
![Page 200: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/200.jpg)
Cygwin/X - inštalácia
103
![Page 201: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/201.jpg)
Cygwin/X - inštalácia
103
![Page 202: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/202.jpg)
Cygwin/X - inštalácia
103
![Page 203: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/203.jpg)
Cygwin/X - inštalácia
103
![Page 204: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/204.jpg)
Cygwin/X - inštalácia
103
![Page 205: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/205.jpg)
Cygwin/X - inštalácia
103
![Page 206: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/206.jpg)
Cygwin/X - inštalácia
103
![Page 207: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/207.jpg)
Cygwin/X - inštalácia
103
![Page 208: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/208.jpg)
Cygwin/X - inštalácia
103
![Page 209: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/209.jpg)
Cygwin/X - inštalácia
103
![Page 210: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/210.jpg)
Cygwin/X - inštalácia
103
![Page 211: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/211.jpg)
Cygwin/X - inštalácia
103
![Page 212: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/212.jpg)
Cygwin/X – integrácia s Windows
• integrácia schránok (clipboard)
• umožňuje kopírovať medzi Windows oknami a X oknami
• windowing mode
• rooted mode
• každá X obrazovka (screen) sa zobrazí ako jedno Windows okno
• všetky X okná tejto obrazovky sa zobrazujú v rámci tohto okna
• je možné si zvoliť vlastného správcu okien (window manager)
• napríklad /usr/bin/fvwm2
• multiwindow mode
• interný správca okien (window manager)
• každé „top-level“ X okno je samostatné Windows okno
• rootless mode
• koreňové (root) X okno sa nezobrazuje, ale zobrazujú sa „top-level“ okná
• umožňuje integráciu s Windows ale s použitím vybraného správcu okien
104
![Page 213: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/213.jpg)
Cygwin/X – spustenie
• mutiwindow mode• startxwin (z terminálového okna)
• XWin Server (zo štart menu)
• možné prispôsobiť cez ~/.startxwinrc
• cp /etc/X11/xinit/startxwinrc ~/.startxwinrc
• server beží aj po skončení skriptu
• rooted mode• startx – hneď skončí (lebo štandardne nič nespúšťa)
• startx /usr/bin/fvwm2
• keď chceme spustiť iba jeden program (napr. správcu okien)
• konfigurovateľné cez ~/.xinitrc
• cp /etc/X11/xinit/xinitrc ~/.xinitrc
• startx skončí, keď ~/.xinitrc skript skončí
• XLaunch (zo štart menu)• konfigurovateľné cez dialógové okno
105
![Page 214: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/214.jpg)
Cygwin/X – XWin Server
• spustiť XWin Server
• spustiť Cygwin64 Terminal alebo použiť xterm
• nastaviť premennú prostredia DISPLAY:
• export DISPLAY=:0.0
• tento krok nie je potrebný, pokiaľ sa používa xterm
• premenná DISPLAY totiž už musí byť nastavená
• spustiť v termináli ssh pripojenie na vzdialený server:• ssh -Y tester@linse
• spustiť aplikáciu na vzdialenom počítači:
• xcalc &
• pokiaľ vzdialený SSH server nedovoľuje preposielanie
• /etc/ssh/sshd_config: X11Forwarding yes
106
![Page 215: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/215.jpg)
Cygwin/X – XWin Server
107
![Page 216: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/216.jpg)
Cygwin/X – startx /usr/bin/fvwm2
108
![Page 217: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/217.jpg)
Cygwin/X – startx /usr/bin/fvwm2
108
![Page 218: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/218.jpg)
Cygwin/X – startx /usr/bin/fvwm2
108
![Page 219: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/219.jpg)
Cygwin/X – startx /usr/bin/fvwm2
108
![Page 220: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/220.jpg)
Cygwin/X – XLaunch
109
![Page 221: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/221.jpg)
Cygwin/X – XLaunch
109
![Page 222: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/222.jpg)
Cygwin/X – XLaunch
109
![Page 223: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/223.jpg)
Cygwin/X – XLaunch
109
![Page 224: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/224.jpg)
Cygwin/X – XLaunch
109
![Page 225: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/225.jpg)
Cygwin/X – XLaunch
109
![Page 226: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/226.jpg)
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
![Page 227: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/227.jpg)
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
![Page 228: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/228.jpg)
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
![Page 229: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/229.jpg)
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
![Page 230: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/230.jpg)
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
![Page 231: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/231.jpg)
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
![Page 232: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/232.jpg)
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
![Page 233: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/233.jpg)
D. RDP – pripojenie vzdialenej pracovnej
plochy Windows na Linuxe
111
![Page 234: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/234.jpg)
rdesktop
• natívny Windows RDP klient pre Linux
• nepodporuje Network Level Authentication (NLA)
• zavedené s Windows Vista
• sudo apt-get install rdesktop
• 1.7.1-1ubuntu2
• tester@linse:~$ rdesktop -u tester -z -x l winwo
• -u meno používateľa
• -d doména
• -z povolí kompresiu dátového toku
• -x nastaví šírku dátového toku (l[an], b[roadband], m[oden])
112
![Page 235: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/235.jpg)
Vypnutie vynucovania NLA
113
![Page 236: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/236.jpg)
Vypnutie vynucovania NLA
113
![Page 237: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/237.jpg)
Pripojenie cez rdesktop bez NLA
114
![Page 238: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/238.jpg)
Pripojenie cez rdesktop bez NLA
114
![Page 239: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/239.jpg)
FreeRDP
• sudo apt-get install freerdp-x11
• 1.0.2-2ubuntu1 (na githube je 1.2)
• podporuje NLA
• xfreerdp -u tester -z -x 0 --rfx --sec nla winwo.corp.vasaorg.sk
• -u meno používateľa
• -d doména
• -z povolí kompresiu dátového toku
• -x nastaví šírku dátového toku
• l[an] = 0, b[roadband] = 1, m[oden] = 15
• --rfx povolí RemoteFX
• technológia pre zlepšenie vizuálneho zážitku pri RDP
• --sec nla vynúti použitie NLA
115
![Page 240: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/240.jpg)
Prepojenie cez FreeRDP s NLA
• sudo apt-get install freerdp-x11• 1.0.2-2ubuntu1 (na github verzia 1.2)
• podporuje NLA
tester@linse:~$ xfreerdp -u tester -z -x 0 --rfx --sec nla winwo.corp.vasaorg.sk
connected to winwo.corp.vasaorg.sk:3389
creating directory /home/tester/.freerdp/certs
Password:
Certificate details:
Subject: CN = winwo.corp.vasaorg.sk
Issuer: CN = winwo.corp.vasaorg.sk
Thumbprint: fd:e7:f3:3a:59:40:08:62:8b:3a:e3:8d:be:35:d9:6e:06:ff:a9
The above X.509 certificate could not be verified, possibly because you do not have the CA
certificate in your certificate store, or the certificate has expired. Please look at the
documentation on how to create local certificate store for a private CA.
Do you trust the above certificate? (Y/N) y
tester@linse:~/.freerdp$ cat known_hosts
winwo.corp.vasaorg.sk fd:e7:f3:3a:59:40:08:62:8b:3a:e3:8d:be:35:d9:6e:06:ff:a9
116
![Page 241: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/241.jpg)
Prepojenie cez FreeRDP s NLA
117
![Page 242: Linux vo svete Windows - CSIRT.SK · 2016. 6. 8. · Balík: winbind •obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové](https://reader033.fdocuments.net/reader033/viewer/2022060817/6095cb6406676c122d6a5a7a/html5/thumbnails/242.jpg)
Ďakujem za pozornosť
118