Samba 4
•
Un poco de historia y teoría
Conozcamos Active Directory!
•
Integraciones posibles: Samba3, Kerberos, Winbind, etc
•
Instalación de SAMBA4
•
Preguntas?
•
Samba 4 -un poco de
historia
Samba4 Comienza su desarrollo en Mayo del 2004
•
Samba 3 reemplaza DC de Windows NT
•
Al poco tiempo de desarrollo Windows XP puede unirse a Samba4 usando Kerberos •
Actualmente Samba4 puede ser miembro de confianza con Active Directory para replicación. •
Samba 4 -conozcamos Active Directory
•
Active Directory es un servidor LDAP.....FALSO!!!!!!
AD es mucho más que un backend LDAP.
•
Integración de varias tecnologías, varias propietarias y NO documentadas •
Servicio de directorio, Unificación, Políticas (GPO).
•
Samba 4 -Protocolos
CIFS (common internet file system)No es solo un File System, es encargado de transportar mucha más información.
•
•
SMB no es CIFS!!....si bien proviene de él.
•
CIFS soporta IPC (Inter Process Comunication).
•
CIFS + IPC + TCP/IP = DCE-PRC Distributed Computing Environment / Remote
Procedure Calls
Samba 4 -Protocolos
•
CLDAP (Connectionless LDAP) Ldapv2 over UDP.
•
CLDAP no estandar, basado en versión 3. No documentado.
CLDAP se usa , en general, para Descubrir AD´s y prioridades. •
DNS totalmente necesario para el funcionamiento de AD. Ej: entradas SRV (record type) _msdcs sub-domain.
•
•
Actualización de DNS vía Kerberos.
SNTP (Simple Network Time T ime Protocol) NECESARIO para Kerberos. •
Samba 4 -Autenticación
•
Un poco de teoría:
•
Quién sos?
•
Quienes son ellos?
•
Integridad de datos
Encriptación de datos
•
•
Registro.
•
Quién entra a qué?
Samba 4 -NTLM (Microsoft Karma)
•
LANMAN (antes de Windows NT)
•
NTLM: NT hash + LANMAN (Windows NT)
•
Por “algunos” problemas de seguridad nace: NTLMv2
NTLMv2, vuela LM, se introduce otro sistema de challengeresponse: HMAC-MD5
•
•
Session Keys: para verificar la información.
Samba 4 -NTLMSSP SSPI (Security Support Provider Interface)
Framework para NTLM, como una API para brindar autenticación a los clientes sin conocer el método.
•
•
Pasos de la autenticación NTLMSSP:
•
Negotiate
•
Challenge
•
Authenticate
Samba 4 -KERBEROS
•
KDC (Key Distribution Center).
•
Tickets
•
Heimdal Kerberos
•
MIT Kerberos
•
Full integración con Active Directory
Samba 4 -Security Negotiation
•
SASL: Libreria de abstracción, muy utilizada en GNU/Linux.
•
GSSAPI: Generic Security Services Application Program Interface
SPENGO: Simple and Protected NEGOtiation protocol. Negociación entre NTLMSSP y Kerberos. •
Samba 4 -Integraciones posibles
GNU/LINUX como server Samba 3: NO ES ACTIVE DIRECTORY....es NT DOMAIN, no kerberos. Funciona bien, con las limitaciones en la ejecución de políticas. Gosa es una buena GUI para manejar Samba3. •
Samba 4: Funcionan las GPO, todavía no hay GUI interesantes. Se puede usar la mmc de Microsoft desde un Windows XP. Hace unas semanas, SAMBA4 funciona como servidor de confianza para replicación con Microsoft AD. •
Samba 4 -Integraciones posibles
GNU/LINUX como cliente Hay dos integraciones posibles y estables (para mí :)) GNU/Linux usando ldap client, pam y winbind. Para esto es necesario instalar UNIX SERVICES en el Windows con AD. Funciona bien, no es recomendable para estaciones de trabajo, sí para proxy de algún servicio con OpenLdap. También puede utilizarse NIS con Windows 2008, pero no es recomendable!!! •
GNU/Linux “kerberizado”. Hace uso de los TGT que otorga el KDC de Microsoft. Funciona también con PAM y nsswicht. Funciona estable. Para implementarlo hace falta usar ktpass en Microsoft por cada cliente, eso es un poco molesto!.
•
Samba 4 -DEMO
- Windows XP SP3, 4 5 y todos los que sigan saliendo... - Debian Lenny GNU/Linux - Samba 4 - Windows Support Tools - Bind9 - Vim
Samba 4 -Preguntas?
Preguntas? Federico Nan
[email protected]
