Download: Sysadmin_kerberos
Transkrypt
Download: Sysadmin_kerberos
NIS i Kerberos SYSADMIN Oparta na Kerberosie autoryzacja w NIS Bilety zaufania Infrastruktura oparta na usługach Network Information Service (NIS) i Kerberos umożliwia administratorom zarządzanie dużą ilością użytkowników, zapewniając jednocześnie bezpieczne logowanie. Możliwości kryptograficzne Kerberosa, pozwalające zastąpić niebezpieczne usługi oparte na IP, są kluczem do budowy tej infrastruktury. THORSTEN SCHERF J większość zagrożeń pochodzi z sieci lokaleśli korzystasz z usług Network Inforzwany też NIS+, jest również o wiele bardziej nej. Napastnik działający od tej strony może mation Service do scentralizowanego skomplikowany do konfiguracji. Jeśli chcesz łatwo przechwytywać hasła. Rozwiązaniem zarządzania użytkownikami, masz się dowiedzieć czego więcej o NIS+, zajrzyj tego problemu może być oprogramowanie spory problem związany z bezpieczeństwem do dokumentu NIS HOWTO [2]. takie jak Kerberos. Programiści z Massachu– szczególnie, jeśli używasz NIS do zarząsetts Institute of Technology (MIT) stworzydzania bazą haseł typu shadow. Idea plików Trzygłowa hydra li Kerberosa, żeby zapewnić bezpieczną aushadow jest taka, żeby chronić zaszyfrowane Administratorzy często traktują filrewalle toryzację dla aplikacji pracujących w archihasła przed bezpośrednim dostępem użytjako rozwiązanie wszystkich problemów tekturze klient-serwer. W tym celu Kerberos kowników. Jeśli NIS zajmuje się obsługą tezwiązanych z bezpieczeństwem. Tymczasem wykorzystuje silne szyfrowanie go pliku, zhaszowane hasła są i protokół autoryzacji oparty na przesyłane przez sieć przy każListing 1: Konfiguracja klienta NIS wydawaniu specjalnych biletów. dym logowaniu. Napastnik może 01 # Popularne usługi, takie jak FTP oczywiście przechwycić te dane 02 # domain NISDOMAIN server HOSTNAME lub POP3, zazwyczaj oznaczają zaużywając sniffera typu Ethereal, 03 # Użyj serwera HOSTNAME dla domeny NISDOMAIN. grożenie dla bezpieczeństwa sieci a następnie przeprowadzić próbę 04 # ponieważ nazwy użytkowników łamania haseł metodą słownikową 05 # domain NISDOMAIN broadcast i ich hasła są przesyłane od klienta lub brute force. 06 # Użyj adresu broadcast dla domeny NISDOMAIN do serwera w postaci czystego tekSpójrzmy, co oferuje Kerberos 07 # stu. Kerberos usuwa to niebezpie[1]. Kerberos wykorzystuje do 08 # ypserver HOSTNAME czeństwo, sprawiając, że żadne nieochrony haseł techniki szyfrujące 09 # Użyj serwera HOSTNAME dla lokalnej domeny. zaszyfrowane hasła nie są przesyłai pomysłowe rozwiązanie problemu 10 # Adres IP musi być w /etc/hosts. ne. Kerberos utrudnia również transportu informacji o autoryzacji 11 # podszywanie się (spoofing) i inne od klienta. W tym artykule zajmie11 # broadcast klasyczne ataki, dając również my się systemem NIS w wersji 12 # Na koniec spróbuj adresu broadcast możliwość jednorazowej autoryza2, używającym Kerberosa 5 do au13 # jako ostatniej deski ratunku cji (single sign-on), tzn. że po dokotoryzacji. Mimo że ukazał się już 14 # naniu (jednorazowej) autoryzacji, NIS 3, obecnie dla Linuksa dostęp15 # użytkownik ma dostęp do wszystny jest jedynie klient, serwer jest 16 domain EXAMPLE server nis1.notexample.com kich usług. Klienci raz autoryzują wciąż w stadium rozwoju. NIS 3, www.linux-magazine.pl Czerwiec 2004 59 SYSADMIN NIS i Kerberos się do sieci i uzyskują automatycznie dostęp do usług, które chroni Kerberos. Kerberos obsługuje proces autoryzacji. Nie zajmuje się natomiast obsługą informacji, takich jak nazwa logowania, domyślna powłoka czy ścieżka do katalogu domowego. Obsługą tych danych zajmuje się usługa katalogowa taka jak NIS. AS TGS KDC Rozproszony Kerberos Architektura rozproszona Kerberosa zapewnia wysoki poziom bezpieczeństwa. Klient najpierw otwiera połączenie do centrum dystrybucji kluczy – KDC (Key Distribution Center) – patrz Rysunek 2. Ten proces jest całkowicie przezroczysty dla użytkownika i jest wykonywany przez program login albo kinit. KDC składa się z dwóch elementów logicznych: serwera autoryzacji – AS (Authentication Server) i serwera przyznawania biletów – TGS (Ticket Granting Server). Serwer autoryzujący czeka na żądania klienta i sprawdza, czy użytkownik ma uprawnienia do dostępu do usługi w ramach określonej strefy Kerberos. Po sprawdzeniu, że użytkownik istnieje w bazie Kerberos, AS generuje losowy klucz sesji i tzw. Ticket Granting Ticket (TGT). TGT zawiera kilka istotnych informacji, takich jak nazwa hosta klienta i jego adres IP, data ważności biletu, stempel czasowy i klucz sesji. Kerberos szyfruje TGT przy pomocy klucza, który jest znany jedynie serwerowi autoryzującemu i serwerowi przyznającemu bilety. Serwer wysyła bilet do klienta wraz z kluczem bieżącej sesji. Żeby zapobiec podsłuchowi, bilet jest szyfrowany przy pomocy zhaszowanego hasła klienta. Wpisz hasło Po odebraniu odpowiedzi (w formie zaszyfrowanego TGT i klucza sesji) od serwera autoryzacji – lokalny system wyświetla zaproszenie do logowania. Klient NIS dokonuje konwersji hasła do postaci klucza DES, który jest używany do odszyfrowania odebranego TGT. Klient przechowuje odszyfrowane TGT w specjalnym buforze i usuwa hasło z pamięci. Użytkownik może „udowodnić” swoją tożsamość przy pomocy TGT tak długo, jak bilet jest ważny. Kiedy bilet wygasa, użytkownik będzie musiał zalogować się jeszcze raz i cała procedura zostanie powtórzona. Hasło i TGT potwierdzają tożsamość użytkowników lokalnej stacji roboczej. Jeśli taki użytkownik chce skorzystać z usługi sieciowej, np. FTP, musi poprosić centrum dystrybucji kluczy o przyznanie specjalnego 60 Czerwiec 2004 � TGT � ST � � Primerg y � ST Server � Client Rysunek 1: W trakcie sesji Kerberos hasło nigdy nie przechodzi przez sieć w formie niezaszyfrowanej. Konfiguracja klienta NIS W Red Hat Linux konfiguracja klienta NIS jest prosta, ponieważ narzędzie Authconfig zawiera odpowiednie menu konfiguracyjne (patrz Rysunek 1). Należy po prostu podać nazwę serwera i domeny NIS. Narzędzie zapisuje zmiany w /etc/yp.conf (patrz Listing 1). Authconfig zmienia również plik /etc/sysconfig/network, ponownie dodając nazwę domeny NIS, która będzie używana po restarcie. Trzecim krokiem konfiguracji NIS przez program Authconfig jest plik /etc/nsswitch.conf. Plik określa, gdzie i w jakiej kolejności klient wyszukuje informacji o hasłach i plikach hosta. Oto wymagane wpisy: passwd: files nis shadow: files group: files nis W tym przypadku klient najpierw sprawdzi lokalne pliki /etc/passwd i /etc/group, a następnie sprawdzi mapy NIS – passwd i group. Możesz pominąć wpis files, jeśli nie potrzebujesz lokalnej autoryzacji. To jednak uniemożliwi lokalne logowanie nawet użytkownikowi root. www.linux-magazine.pl Rysunek 2: Administratorzy mogą użyć narzędzia Authconfig do konfiguracji klienta NIS, a szczególnie określenia domeny i serwera NIS. Authconfig zmienia również plik PAM /etc/pam.d/system-auth, tak żeby hasło użytkownika na serwerze NIS było zmieniane, jeśli należy do kont obsługiwanych przez NIS. Użytkownicy mogą do zmiany hasła użyć programu yppasswd. No koniec program Authconfig uruchamia usługę klienta NIS, ypbind w tle, aby otworzyć połączenie do serwera NIS. SYSADMIN NIS i Kerberos Konfiguracja NIS Serwer NIS zarządza informacjami o użytkownikach i hostach, udostępniając te informacje klientom w ramach tej samej domeny NIS. Administratorzy mogą wykorzystać NIS do centralizacji zarządzania użytkownikami i hostami. Użytkownicy mogą uzyskać dostęp do bazy używając dowolnego klienta NIS do autoryzacji. Żeby umożliwić taką autoryzację, administrator musi po prostu zezwolić NIS na zarządzanie plikami /etc/passwd i /etc/group. Serwer NIS może również zarządzać o wiele częściej stosowanymi plikami haseł shadow. Konfiguracja serwera NIS Zanim rozpoczniemy konfigurację serwera, administrator musi najpierw określić nazwę dla nowej domeny NIS. Zdecydowanie nie powinna być ona taka, jak nazwa domeny DNS, ponieważ ułatwiłoby to zadane hakerom. W tym artykule przykładowa domena NIS nosi po prostu nazwę example. Tworzymy zatem wpis NISDOMAIN=example w pliku /etc/sysconfig/network. Teraz, dla poprawnej konfiguracji musimy dostosować plik Makefile, który znajduje się w katalogu /var/yp. Większość ustawień domyślnych nie wymaga zmiany. Parametr MINUID określa minimalną listę użytkowników, którymi NIS może zarządzać. Parametr MINGID oznacza to samo, ale dla grup użytkowników. W naszym przykładzie musimy dla zmiennej MERGEPASSWD określić wartość false, ponieważ NIS nie będzie zajmował się sprawdzaniem haseł. Ostatnim krokiem jest wskazanie NIS, żeby zarządzał naszymi kontami użytkowników i grup, w tym celu dodajemy all: passwd group. NIS może oczywiście o wiele więcej, jednak inne opcje nie są nam teraz potrzebne. biletu. Dlatego klient kontaktuje się najpierw z serwerem TGS (Ticket Granting Server), który przyznaje tzw. Service Ticket (ST), właśnie taki specjalny bilet dający dostęp do jednej określonej usługi – w tym przypadku do FTP. Żądanie biletu dla usługi Żądanie biletu dla usługi jest o wiele bardziej skomplikowane niż pobieranie TGT. Klient przesyła żądanie do TGS. Żądanie jest generowane w oparciu o nazwę usługi, do której klient chce uzyskać dostęp i używany TGT. Żądanie obejmuje nazwę klienta, jego adres IP oraz dokładny czas po 62 Czerwiec 2004 NIS nie korzysta z plików /etc/passwd czy /etc/group, ale używa narzędzia makedbm do tworzenia plików GDBM, które w terminologii NIS określane są mianem „map”. Makedbm tworzy dwie mapy NIS z każdego pliku. Każda mapa jest sortowana według innych kryteriów. Mapa pliku passwd jest sortowana według nazwy logowania (passwd.byname) i identyfikatora użytkownika (passwd.byuid). Wprowadzenie polecenia /usr/lib/yp/ypinit m spowoduje zainicjowanie serwera, nowe mapy znajdziesz w katalogu /var/yp. Zostanie utworzony katalog o takie samej nazwie jak twoja domena NIS. Baza NIS zawiera wpisy dla istniejących w chwili migracji kont użytkowników. Jeśli później będziesz dodawać użytkowników lub grupy, będzie trzeba zsynchronizować te informacje z mapami NIS. Administratorzy mogą to wykonać poleceniem make -C /var/yp. Serwer NIS rozpoczyna nasłuchiwanie z momentem uruchomienia usług portmap i ypserv. W celu uruchomienia tych usług należy zmodyfikować wpisy w katalogach /etc/init.d/. Redundancja i bezpieczeństwo W przypadku zcentralizowanej usługi katalogowej, takiej jak NIS, bardzo ważne jest posiadanie serwera zapasowego. Dzięki temu użytkownicy będą mieli możliwość logowania w przypadku, gdy główny serwer NIS nie będzie działać. Serwer zapasowy jest łatwy do uruchomienia. Po prostu podajemy adres IP serwera pierwszorzędnego jako argument polecenia ypinit: /usr/lib/yp/ypinit -s U Master-Server-IP Od tej chwili druga maszyna będzie miała taką samą mapę jak serwer główny (na- stąpi synchronizacja). Pozostają jeszcze dwa kroki – serwer zapasowy musi być skonfigurowany jako klient NIS, a plik /var/yp/ypservers na serwerze podstawowym musi wskazywać serwer zapasowy. Administratorzy powinni również przyjrzeć się temu, jak są zabezpieczone ich serwery NIS. Pamiętajmy, że klient NIS może wyświetlać zawartość każdego pliku, którym zarządza NIS. Polecenie ypcap passwd wyświetli mapę haseł. W tym przypadku passwd to alias dla passwd.byname i passwd.byuid. Plik /var/yp/nicknames zawiera więcej podobnych aliasów. Mimo że klient nie będzie miał dostępu do zaszyfrowanych haseł użytkowników, ponieważ ustawienie MERGEPASSWD=false w pliku Makefile, to i tak serwer udostępnia informacje o nazwach użytkowników. Dlatego administratorzy powinni ograniczyć dostęp do map NIS. Służy do tego plik /var/yp/securenets (patrz Listing 2), który zawiera listę dozwolonych sieci. Na poziomie IP najlepiej użyć reguł filtrujących, które ograniczą dostęp do portmappera. Reguła filtrująca mogłaby wyglądać w następujących sposób: iptables -t filter -A FORWARD U -p udp -dport 111 -s U 192.168.0.0/24 -d 192.168.0.100 U -j ACCEPT W tym przykładzie 192.168.0.0/24 to sieć posiadająca prawo dostępu, natomiast portmapper działa pod adresem 192.168.0.100. Należy jednak pamiętać, że te ograniczenia będą odnosiły się także do dowolnych, innych usług, które posługują się portmapperem. To samo ma zastosowanie, jeśli używasz TCP Wrappers do ochrony portmappera. jący bilety właśnie wygenerował. Całość stronie klienta i jest szyfrowane kluczem jest szyfrowana kluczem sesji TGT i przesesji TGT. Klient wysyła zaszyfrowane żąkazywana do klienta. danie i sam TGT do serwera przyznającego Klient odbiera bilet dla usługi (ST) i przebilety. TGS deszyfruje żądanie i TGT, a następnie porównuje zawartość, zwłaszcza adres IP. Jeśli informacje potwierdzające tożsamość są identyczne, serwer generuje nowy klucz sesji, w którym przyznaje klientowi dostęp do żądanej usługi (w naszym przykładzie do FTP). Nowy klucz sesji jest zawarty w bilecie Rysunek 3: Program konfiguracyjny Authconfig zawiera opcję usługi, który serwer przyznakonfiguracji strefy (realm) i kontrolera domeny Kerberos. www.linux-magazine.pl NIS i Kerberos Wydarzenia w trakcie sesji Kerberos ■ Użytkownik loguje się na lokalnej maszynie i przesyła żądanie logowania do serwera autoryzacji – AS (Authentication Server). Listing 2: Securenets 01 02 03 04 05 06 07 08 # Zezwalamy na dostęp dla localhost-a: host 127.0.0.1 # Zezwalamy na dostęp hosta z sieci 192.168.0.0/24: 255.255.255.0 192.168.0.0 ■ Serwer autoryzacji odpowiada, przekazując w odpowiedzi Ticket Granting Ticket (TGT). ■ Klient ustanawia połączenie do usługi obsługiwanej przez Kerberosa, żądając wydania biletu specyficznego dla usługi – Service Ticket (ST). adresem [3] znajdują się informacje na temat szyfrowania NTP. ■ Serwer przydzielający bilety – TGS (Ticket Granting Server) generuje ST. Serwer Kerberos ■ Klient przekazuje bilet do usługi obsługiwanej przez Kerberosa. ■ Użytkownik jest autoryzowany, połączenie jest ustanawiane, a użytkownik nie musi się ponownie autoryzować w okresie ważności biletu ST. kazuje go do serwera FTP, aby potwierdzić tożsamość klienta. Klient ponownie przesyła żądanie dostępu do usługi (tak jak dla TGS) i przesyła go do serwera. Jeśli treść ST i żądanie dostępu zgadzają się, klient otrzymuje dostęp do serwera. Klient już jest zautoryzowany wobec serwera i nie potrzebuje już wpisywać nazwy użytkownika i hasła. Nie ma ochrony bez NTP Powyższy sposób daje skuteczną ochronę przeciwko snifferom i przeciwko przechwyceniu biletu usługi, którego można by było użyć do prób podszywania się. Czynnikiem niezbędnym do prawidłowego działania autoryzacji klienta jest synchronizacja czasu w sieci lokalnej. Można do tego użyć usługi NTP (Network Time Protocol) [3]. Jednak ponieważ samo NTP jest niebezpieczną usługą IP, należy ją chronić używając szyfrowania. Pod Oprogramowanie Dla celów tego artykułu wykorzystaliśmy dystrybucję Red Hat 9. Opisane przykłady będą działać również w innych dystrybucjach - takich jak Red Hat Enterprise 3.x czy Fedora Core 1. Należy mieć jedynie zainstalowane następujące pakiety RPM [6]: ■ krb5-workstation-1.3.1-6 ■ krb5-libs-1.3.1-6 ■ krb5-server-1.3.1-6 ■ pam_krb5-2.0.4-1 SYSADMIN # Zezwalamy na dostęp globalny (niebezpieczne!): #0.0.0.0 0.0.0.0 Serwer Kerberos zarządza bazą, w której przechowywani są użytkownicy. Serwer taki musi być specjalnie chroniony – także fizycznie. Należy unikać uruchamiania innych usług na maszynie, na której działa serwer Kerberos, ponieważ zmniejsza to poziom bezpieczeństwa. Obiekty reprezentują zarówno usługi korzystające z Kerberos-a, jak i hosty. Obiekt ma następującą strukturę: Primary/instance@REALM (instancja jest opcjonalna). Użytkownik może wyglądać następująco: thorsten/[email protected]. Obiekt serwera FTP może wyglądać następująco: ftp/station1.notexample.com@ NOTEXAMPLE.COM. Strefa (realm) jest rodzajem zbiornika dla nazw użytkowników w określonym obszarze i wygląda jak pisana dużymi literami nazwa domeny DNS. Baza Kerberos przechowuje hasła użytkowników i usług wraz z nazwami użytkowników. Serwer jest całkiem prosty w konfiguracji. Wprowadź nazwę strefy (realm) Kerberos w pliku /etc/krb5.conf (patrz Rysunek 3). Użyj polecenia kdb5_util create, żeby utworzyć bazę danych w pliku /var/kerberos/krb5kdc. Do zarządzania bazą lokalnie używamy polecenia kadmin.local, a zdalnie – kadmin. Oczywiście zakładamy, że usługa kadmin działa na KDC i że do pliku /var/kerberos/krb5kdc/kadm5.acl dodano odpowiedniego administratora. Żeby dodać nowego użytkownika do bazy danych, użyj add_principal, np.: add_principal -pw U Password thorsten Dodawanie użytkownika usługi lub stacji roboczej przebiega podobnie:: Listing 3: Konfiguracja klienta Kerberos 01 #/etc/krb5.conf 02 [logging] 03 default = FILE:/var/log/krb5libs.log 04 kdc = FILE:/var/log/krb5kdc.log 05 admin_server = FILE:/var/log/kadmind.log 06 07 [libdefaults] 08 ticket_lifetime = 24000 09 default_realm = NOTEXAMPLE.COM 10 dns_lookup_realm = false 11 dns_lookup_kdc = false 12 13 [realms] 14 NOTEXAMPLE.COM = { 15 kdc = kdc1.notexample.com:88 16 admin_server = kdc1.notexample.com:749 17 default_domain = notexample.com 18 } 19 20 [domain_realm] 21.example.com = NOTEXAMPLE.COM 22 example.com = NOTEXAMPLE.COM 23 24 [kdc] 25 profile = /var/kerberos/krb5kdc/kdc.conf 26 27 [appdefaults] 28 pam = { 29 debug = false 30 ticket_lifetime = 36000 31 renew_lifetime = 36000 32 forwardable = true 33 krb4_convert = false 34 } www.linux-magazine.pl Czerwiec 2004 63 SYSADMIN NIS i Kerberos add_principal -pw U ftp ftp/ftp.notU example.com add_principal -pw U host host/station1.U notexample.com Hasła dla usług muszą być znane samym serwerom. Można to osiągnąć dokonując ekstrakcji hasła usługi z bazy Kerberos: ktadd -k U /etc/krb5.keytab host/station1.U notexample.com Rysunek 4: Bilet użytkownika po kinit. Po wykonaniu tych wszystkich czynności, w bezpieczny sposób skopiuj plik /etc/krb5.keytab na maszynę, na której ma działać usługa (można do tego użyć np. polecenia scp). Uruchom następnie KDC, wpisując service krb5kdc start (w Red Hat), aby uruchomić serwer Kerberos. Korzystanie z usług Kerberos AUTOR Żeby uruchomić usługę opartą na Kerberos, musisz najpierw zainstalować ją na komputerach, które mają ją udostępniać. Kerberos może obsługiwać wiele usług jednocześnie na jednej maszynie. Przykładowo katalog /usr/kerberos/sbin zawiera wersję demona FTP ftpd ze wsparciem dla Kerberosa. Jego plik konfiguracyjny gssftp znajduje się w katalogu /etc/xinetd.d. Możesz użyć tego pliku do określenia, czy demon Xinetd powinien uruchamiać tę usługę i jakie mają być ogólne prawa dostępu. Kerberos może zabezpieczać każdą usługę, która obsługuje GSS API (Generic Security Service, [4]). Administratorzy muszą pamiętać o zasadzie, że port TCP/UDP może być przypisany tylko do jednej usługi. Zatem jeśli będziesz chcieć używać obsługującej Kerberosa usługi ftpd, będziesz musiał wyłączyć i usunąć dotychczas wykorzystywanego demona FTP. Należy też doThorsten Scherf jest specjalistą z zakresu bezpieczeństwa sieci, który pracuje dla firmy Red Hat, gdzie zajmuje się rozwojem projektów i szkoleniami. konać konfiguracji pliku /etc/krb5.conf na serwerach (patrz Listing 3). Konfiguracja klienta Kerberos Administratorzy korzystający z Red Hat-a mogą użyć narzędzia Authconfig (patrz Rysunek 3), aby dokonać konfiguracji stacji roboczej, tak jak w przypadku NIS (patrz opis w ramce). Wprowadź strefę Kerberos, KDC i serwer administracyjny – w naszym przykładzie jest to ta sama maszyna co stacja robocza. Narzędzie Authconfig dodaje te parametry do plików /etc /krb5.conf (patrz Listing 3) i /etc/pam.d/system-auth. Klient Kerberos-a wywołuje moduł PAM pam_krb5.so w system-auth po to, żeby przekazać nazwę użytkownika do KDC (a właściwie serwera autoryzacji), żądając TGT. Alternatywnie możesz zastąpić program obsługi logowania, /bin/login, wersją z obsługą Kerberos-a, która znajduje się w katalogu /usr/kerberos/sbin. Po przekazaniu tożsamości użytkownika (niezbędnej do autoryzacji stacji roboczej w tej konfiguracji), do użytkownika zostaje przypisany ważny TGT. Polecenie klist lub klist -5 (oznacza obsługę biletów Kerberos-a w wersji 5) pozwala użytkownikowi sprawdzić poprawność biletu. Program klist wyświetla nie tylko odebrane bilety, ale także dodatkowe informacje, takie jak nazwa usługi i szczegóły na temat ważności biletu. Normalnie bilet jest ważny tylko 10 godzin, ale można zmienić to ustawienie w pliku /etc/krb5.conf. Użytkownicy mogą zmieniać swoje hasła na serwerze Kerberos, używając narzędzia kpasswd. A co na to Windows? Klienci korzystający z MS Microsoft mogą 64 Czerwiec 2004 www.linux-magazine.pl również używać Linux KDC dla celów autoryzacji [5]. Poza tym pamiętajmy, że kontroler domeny Windows (od 2000 wzwyż) jest po prostu kombinacją serwera Kerberos i LDAP (Lightweight Directory Access Protocol). Żeby dołączyć klienta Windows, należy przede wszystkim zdefiniować hosta Windows w bazie Kerberos. Klienci Windows muszą również wiedzieć, którego KDC będą używać, znać strefę (realm) Krberos oraz hasło hosta. Całkiem łatwo można to wszystko ustawić używając Ksetup, programu zawartego w Windows 2000 Resource Kit. Dodatkowo klienci Windows muszą mieć możliwość pobierania informacji o użytkownikach z usługi katalogowej (takiej jak LDAP). NIS się niestety do tego nie nadaje, ponieważ jest przeznaczony do obsługi systemów uniksowych. Bez wymówek Kerberos znacząco podnosi bezpieczeństwo sieci, chroniąc przed przesyłaniem haseł czystym tekstem. Kerberos jednak nie pomoże, jeśli użytkownicy będą korzystać z usług, które nie należą do strefy (realm) Kerberosa. Jeśli Kerberos nie potrafi obsługiwać usługi, z której korzystasz, być może najlepiej pozbyć się tej usługi. Tak czy inaczej – jeśli potrzebujesz bezpiecznej autoryzacji, nie ma już żadnych wymówek! ■ INFO [1] Kerberos: http://web.mit.edu/kerberos [2] NIS HOWTO: http://www.linux-nis.org/nis-howto [3] NTP: http://www.eecis.udel.edu/ ~mills/ntp/servers.html [4] GSS API RFC: http://www.faqs.org/rfcs/rfc1964.html [5] Kerberos 5 Interoperability: http://www.microsoft.com/windows2000/ techinfo/planning/security/kerbsteps.asp [6] Serwer FTP Red Hat-a: ftp://ftp.redhat.com/redhat/linux/9/ en/os/i386/RedHat/RPMS [7] Connection Tracking: http://www.sns.ias.edu/~jns/security/ iptables/iptables_conntrack.html