Központi hitelesítés nagyon heterogén környezetben

Hálózatok általános

Sziasztok!

Adott egy kis-közepes cég, az elmúlt évek során sikerült kialakítani egy jófajta IT dzsungelt. Jó lenne a szerverek, szolgáltatások elérésére és hitelesítésére egy központi megoldást alkalmazni, de nem tudom melyik megoldás fogja ezt mind megcsinálni, mibe ássam bele magam, minden tanács jól jön :)

Tehát ami van:
- Tesztrendszerekre bejelentkezés: linux és solaris
- Fájlmegosztás (most FTP, de lehet teljesen más is)
- Több alhálózat, IPSEC kapcsolat más helyekre, stb
- Windows, OSX és Linux kliensek a felhasználóknál

Ami jó lenne:
- VLAN kialakítása, adott felhasználó és gép csak adott hálózati eszközöket lásson
- A különféle szerverekre csak a központi authentikáción keresztül lehessen belépni
- Kliensek munkakörnyezetének archiválása (mint a MS féle ADben)

Most így hirtelen ilyenek jutnak eszembe. Pénzt lehet költeni :) Ha jól tájékozódom, akkor pl egy RADIUS szerver + CISCO hálózati eszközökkel ez nagyrészt megvalósítható, de még nem dolgoztam ilyennel, úgyhogy lehet hogy félreértem. Van mindenesetre egy halom központi beléptető lehetőség, LDAP, akár Active Diretory is felállítható talán, de nem tudom, hogy a VLAN kialakítását lehet-e azon keresztül.

Ilyesmi, remélem érthető a kérdés, tudom kicsit nagy téma, nekem most elég némi iránymutatás, hogy melyik technológiával ismerkedjek közelről.

  • 7395 megtekintés

( DoDver | 2012. 05. 15., k – 13:38 )

En LDAP-ot javaslok kozponti cimtarnak. A megfelelo fastruktura kialakitasaval tudod konnyeden szabalyozni, hogy attol fuggoen, hogy melyik felhasznalo melyik agon belul csucsul, mit tehet, es mit nem. De megoldhato adott felhasznalo bizonyos attributumanak figyelesevel is. Vagy a ket modszertan egyuttes alkalmazasaval.
De ne gondold azt, hogy maga az LDAP cimtar meg fog oldani neked mindent out-of-the-box, a hitelesitesekhez szukseg lesz mindenhova egy hitelesito backendre, ami az LDAP cimtar megfelelo reszfajat bejarva vegzi el a hitelesitest.
Igy pl. Linux belepteteshez: libpam-ldap. Windowsok domain logon, es roaming profilehoz Samba Domain controller, esetleg melle halozati meghajto samban kiajanlva. Halozati eszkozok radiust szoktak szeretni, ehhez FreeRadius szerver hasznalhato. WIFI v. authentikalt switchport eseten 802.1x -> radius.
VLAN kialakitashoz az adott switchnek kell eleg okosnak lennie, hogy tudjon vlanokat, es trunk-oket kezelni.

Megvan a sajat lelki vilaga, de ez az egyetlen altalam ismert cimtar, amit altalaban minden authentikacios backend tamogat. Sokaig MySQL-t hasznaltam, sot, most is hasznalok sok helyen, ahol a backend tamogatja. Viszont ott bukott a dolog, amikor samba PDC-t kellett osszeraknom, es sambaek bejelnetettek, hogy mysql backend nem lesz tamogatott. Azota nem neztem utana, hogy mi a helyzet ezen a teren.

Áhh, pont fel kéne eleveníteni ezt a threadet - éppen azon gondolkodom, hogy hogy lehetne legjobban megcsinálni azt, hogy a "dolgokra" (linux, windows, cisco eszközök, webes alkalmazások) a felhasználóknak egyetlen felhasználóneve és "jelszava, plusz néhány helyre tokenje is" legyen.

Amiben elsősorban gondolkodom az egy IPA + AD összeszinkronizálva, és valamelyikre ráültetve egy Cisco ACS (vagy Radius) megoldás, a webes cuccok meg mehetnek az LDAP-okhoz.

De ötleteket szívesen fogadok :-)

azért a Ciscon túl is van élet (egyes vélemények szerint az élet ott kezdődik :)

nyilván valami RADIUS-alapú eszköz kell neked, de itt már érdemes lehet elmenni rögtön a NAC irányába, mert a usernév-jelszó a BYOD világában már egyre kevésbé elég.

a kedvencem egy olyan cucc, ami a NAC után jön, és automatikusan sign-on-ol a megfelelő alkalmazásokba (amihez integrálod, de csomó minden alapból támogatja, pl Google cuccok, stb). annál erősebben úgysem akarod authentikálni a felhasználót, mint amikor rárakod a hálóra és kiadod neki a hálózati jogosultságokat, szóval miért ne lehetne rögtön SSO-jelleggel beléptetni minden másba is? és akkor nem kell jelszavakat megjegyezni ide sem. nem akarok reklámozni, ha érdekel, részletek privátban.

Párezer Cisco (és csak Cisco) hálózati eszköz boldog üzemeltetőjeként szerintem érdemes arra koncentrálni, hogy ezekkel minden flottul menjen. Ha ebből az állapotból lesz nyitás/váltás/csere, akkor a legkisebb gond azzal lesz, hogy az ACS-t lecseréljük bármi másra...

Egyébként konkrét termék választásánál még közel sem tartok, egyelőre egyik szálon a technikai feltételeket (egyáltalán mi hajlandó együttműködni mivel) meg a jogi kritériumokat (melyik rendszerben vannak előírások az identity/authentication mikéntjére, mely rendszerek között van kötelezően szétválasztandó identity információ, mit jelent pontosan a szétválasztás a "külön datacenterben legyen" - "logoljuk, hogy melyik rendszer kérdezett le" tengelyen stb.) Ezekre a kérdésekre nem valamilyen termék ad választ, hanem viccesen feszengő jogászok és hasonlók. :-)

oké, ez valid álláspont. ezzel együtt a "minden mindennel flottul menjen" című mondásodra pont a konkurensek (és nagyjából az összes konkurens) adnak jobb választ a NAC/ISEvel szemben (sima ACS-nél persze kb. mindegy, amíg kapható sima ACS).

de félrement a thread. a fő mondandóm az volt, h ne állj meg a sima RADIUS funkcionalitásnál, mert a mai világban az már nem elég. teljes BYOD-támogatás kell, ha használtok ma -hivatalosan- saját eszközöket, ha nem.

( mrceeka v | 2012. 05. 15., k – 19:36 )

Szia,

Ilyesmire az Active Directory bevalt eszkoz jopar magyar nagyvallalatnal.
Ugyanis nemcsak ldap alapu cimtar, de hitelesites (kerberos, ntlm) szolgaltatassal is bir, sot, authorizacios lehetosegekkel is.
Integraltan mukodik a radius es ipsec megoldasokkal es tudsz iranyaba bejelentkeztetni Windows-rol, OSX-rol es Linux/Unix felol is. FTP authentikaciot es a fileszervert is trivialidan meg tudod oldani.
A VLAN-okra vonatkozo igenyedet nem ertem pontosan, de amennyire en latom a VLAN az nem biztonsagi, hanem adminisztracios hatar, igy biztonsagi elszigetelesre nem hasznalnam.

Udv,
Marci
A Microsoftnal dolgozok.

Köszönöm a választ!

Igen, az AD egyértelműen benne van a kalapban, egyelőre az a kérdés, hogy érdemes-e az adminisztrációs erőforrások szempontjából. Ugyanis az összes dolgozó power user (IT szakember, fejlesztő stb), tehát az olyan okosságok, hogy jogok korlátozása a klienseken, nyomtató hozzárendelése a felhasználóhoz, stb teljesen felesleges itt. Szinte az egyetlen és egyúttal legfontosabb kérdés, hogy ki melyik cucchoz fér hozzá.

Tudom, hogy meg lehet csinálni nagyon redundánsra, de az elmúlt években találkoztam néhány ADvel és azért előfordult ilyen-olyan probléma. Mivel elég kevés erőforrás lesz arra, hogy ezt adminisztrálják, ezért kicsit necces hogy esetleg a DC megáll és senki nem tud semmit se csinálni. Ezt is figyelembe vesszük, hogy vész esetén milyen gyorsan lehet átállítani egy rendszert egy átmeneti, de használható állapotba.

A VLAN kérdés lehet hogy láma, de úgy néztem, hogy a CISCO berendezésekben van opció, hogy a RADIUS szerveren keresztül hitelesítve a felhasználókat bizonyos VLANhoz rendelje. Ez nem tudom hogy mennyire megkerülhető, első olvasatra nekem használható megoldásnak tűnik, de lehet hogy valamit félre értek.

Én Marcival értek egyet: az AD-t preferálom. Egyrészről tudod bővíteni a sémát, továbbá az AD fölé tehetsz egy RADIUS(Windows: NPS - 2003-ban még IAS) szervert, így a Cisco eszközöket is integrálhatod a rendszerbe.
Én a BME-n csináltam olyan rendszert FTP szervernél, hogy minden felhasználó az AD-ből authentikált. Így megoldódott rengeteg jelszókezelési probléma is - jelszó bonyolultság, lejárat stb. Sose volt gond a működéssel.
Mivel multimaster működésű az AD, így a DC leállásával se kell foglalkoznod. Mindenképp legyen több DC, szépen szétosztva az FSMO szerepköröket.

A VLAN-hoz rendelés alatt nem a 802.1x-t érted? Ekkor a felhasználónak authentikálnia kell és csak ezután fér hozzá a megfelelő VLAN-okhoz, generálhat forgalmat a switchen. Aki nem authentikál, semmilyen forgalmat nem generálhat a switchen. Egyszerűen nem engedi még DHCP-zni se.

Igen, lehet csinalni olyat Cisco eszkozokkel, hogy 802.1x authentikaciot kersz a portra, es RADIUSban mondod meg, hogy adott felhasznalo eseten sikeres azonositas utan melyik VLAN-t rendelje az eszkoz az adott porthoz.
Az azonositasi folyamat lezarasaig csak elore definialt ethernet keretek vandorolnak az adott gep es a Cisco eszkoz kozott, a Cisco beszelget a RADIUS szerverrel.

Ezzel kapcsolatben adok neked egy linket. Ebben a peldaban egy wireless screnario van, Cisco wireless controllerrel, es a Cisco sajat RADIUS szerverevel, tudom, de arra jo pelda lehet, hogy megertsd egy kicsit a mukodeset:

http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_…