Administración de usuarios/seguridad: Configurar la funcionalidad de inicio de sesión PAM

Document created by RSA Information Design and Development on May 2, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se explica cómo configurar NetWitness Suite para usar módulos de autenticación con capacidad para conectarse (PAM) con el fin de autenticar nombres de inicio de sesión del usuario externos.

La funcionalidad de inicio de sesión PAM implica dos componentes por separado:

  • PAM para la autenticación de usuarios
  • NSS para la autorización de grupos

En conjunto, proporcionan a los usuarios externos la funcionalidad de iniciar de sesión en NetWitness Suite sin disponer de una cuenta interna de NetWitness Suite y de recibir permisos o funciones según el mapeo del grupo externo a una función de seguridad de NetWitness Suite. Se requieren ambos componentes para que un inicio de sesión se realice correctamente.

La autenticación externa es una configuración en el nivel del sistema. Antes de configurar PAM, revise cuidadosamente toda la información que se presenta aquí.

Pluggable Authentication Modules

PAM es una biblioteca que proporciona Linux, cuyo objetivo es autenticar usuarios en proveedores de autenticación, como RADIUS, Kerberos o LDAP. Para su implementación, cada proveedor de autenticación usa un módulo propio, el cual tiene la forma de un paquete del sistema operativo (SO), como pam_ldap. Para autenticar usuarios, NetWitness Suite usa la biblioteca de PAM que proporciona el SO y el módulo que la biblioteca de PAM está configurada para usar.

Nota: PAM solo proporciona la capacidad de autenticar.

Name Service Switch

NSS es una función de Linux que proporciona bases de datos que usan el SO y las aplicaciones para descubrir información, como nombres de host, y atributos de usuario, como el directorio principal, el grupo primario y el shell de inicio de sesión, y para enumerar a los usuarios que pertenecen a un determinado grupo. De forma similar a PAM, NSS se puede configurar y usa módulos para interactuar con distintos tipos de proveedores. NetWitness Suite usa funcionalidades de NSS que proporciona el SO para autorizar a usuarios externos de PAM, para lo cual consulta si NSS conoce a un usuario y después solicita a NSS los grupos de los cuales ese usuario es miembro. NetWitness Suitecompara los resultados de la solicitud con el mapeo de grupo externo de NetWitness Suite y, si se encuentra un grupo coincidente, se otorga acceso al usuario para iniciar sesión en NW con el nivel de seguridad definido en el mapeo de grupo externo.

Nota: NSS no proporciona autenticación.

Combinación de PAM y NSS

Tanto PAM (autenticación) como NSS (autorización) deben ejecutarse correctamente para que un usuario externo reciba autorización para iniciar sesión en NetWitness Suite. El procedimiento para configurar y solucionar problemas de PAM es diferente del procedimiento para configurar y solucionar problemas de NSS. Los ejemplos de PAM de esta guía incluyen Kerberos, LDAP y Radius. Los ejemplos de NSS incluyen Samba, LDAP y UNIX. Las necesidades del sitio determinan la combinación de módulos PAM y NSS que se usa.

Descripción general del proceso

Para configurar la funcionalidad de inicio de sesión PAM, siga las instrucciones de este documento para realizar cada paso:

  1. Configurar y probar el módulo PAM.
  2. Configurar y probar el servicio NSS.
  3. Habilitar PAM en Servidor de NetWitness.
  4. Crear mapeos de grupo en Servidor de NetWitness.

Requisitos previos

Antes de comenzar con la configuración de PAM, revise el procedimiento y recopile detalles del servidor de autenticación externa según el módulo PAM que desea implementar.

Antes de comenzar con la configuración de NSS, revise el procedimiento, identifique los nombres de grupo que usará en el mapeo de grupo externo y recopile detalles del servidor de autenticación externa según el servicio NSS que está en uso.

Antes de comenzar con la configuración de PAM en NetWitness Suite, identifique los nombres de grupo que usará en el mapeo de grupo externo. Cuando se mapean funciones, la función en NetWitness Suite debe coincidir con un nombre de grupo existente en el servidor de autenticación externa.

Configurar y probar el módulo PAM

Elija una de las siguientes secciones para configurar el componente PAM:

  • Kerberos en PAM
  • LDAP en PAM
  • RADIUS en PAM
  • SecurID

Kerberos en PAM

Puertos de comunicación Kerberos: TCP 88

Para configurar la autenticación PAM mediante Kerberos:

  1. Ejecute el siguiente comando (pero primero, verifique que el paquete krb5-workstation esté instalado en su ambiente):
    yum install krb5-workstation pam_krb5  
  2. Edite las siguientes líneas del archivo de configuración de Kerberos /etc/krb5.conf. Reemplace las variables, delimitadas por <paréntesis angulares> por sus valores y omita los paréntesis angulares. Ponga atención al requisito de mayúsculas/minúsculas donde se indica.

    # Configuration snippets may be placed in this directory as well
    includedir /etc/krb5.conf.d/

    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    dns_lookup_kdc = true
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = <DOMAIN.COM>
    default_ccache_name = KEYRING:persistent:%{uid}

    [realms]
    <DOMAIN.COM> = {
    kdc = <SERVER.DOMAIN.COM>
    admin_server = <SERVER.DOMAIN.COM>
    }

    [domain_realm]
    <domain.com> = <DOMAIN.COM>
    <.domain.com> = <DOMAIN.COM>
  3. Pruebe la configuración de Kerberos con el comando:
    kinit <user>@<DOMAIN.COM>
    Si no hay ninguna salida después de ingresar la contraseña, la operación se realizó correctamente.
  4. Edite el archivo de configuración de Servidor de NetWitness PAM, /etc/pam.d/securityanalytics, para agregar la siguiente línea. Si el archivo no existe, créelo y agregue la siguiente línea:
    auth sufficient pam_krb5.so no_user_check

Con esto finaliza la configuración de Kerberos en PAM. Ahora, continúe con la sección siguiente, Configurar y probar el servicio NSS.

LDAP en PAM

Puertos de comunicación de LDAP: TCP 389 o TCP 636

TCP 389 se puede usar para el tráfico no cifrado y, en la mayoría de los casos, cifrado y generalmente es suficiente. La mayoría de las implementaciones de LDAP modernas son compatibles con el comando start_tls una vez que se conectan al puerto 389, lo cual actualiza la conexión de un estado no cifrado a uno cifrado. En esta instancia, las URI de LDAP comienzan con ldap://, incluso cuando se usa start_tls.

TCP 636 se usa solo en instancias donde el servidor de LDAP no es compatible con el comando start_tls. En este caso, las URI de LDAP comienzan con ldaps:// y el comando start_tls no se usa.

Para configurar la autenticación PAM mediante LDAP:

  1. Ejecute el siguiente comando (pero primero, verifique que el paquete openldap-clients esté instalado en su ambiente):
    yum install nss-pam-ldapd openldap-clients
  2. Edite el archivo de configuración de LDAP, /etc/nslcd.conf, como se muestra en el siguiente ejemplo:

Nota: Reemplace las variables, delimitadas por <paréntesis angulares> por sus valores y omita los paréntesis angulares. Ponga atención al requisito de mayúsculas/minúsculas donde se indica.

Ejemplo de entradas del archivo /etc/nslcd.conf:
uri ldap://<server.domain.com>
base <dc=domain,dc=com>
binddn <cn=bineuser,dc=domain,dc=com>
bindpw <secret>

  1. Después de modificar el archivo /etc/nslcd.conf, ejecute el siguiente comando:
    systemctl restart nslcd
  2. (Opcional) Para habilitar el transporte seguro para la comunicación LDAP con verificación de certificado de par (más segura), consulte la página de manuales de Linux de nslcd para obtener la modificación del código correcta para el archivo /etc/nslcd.conf.

Nota: de manera predeterminada, el transporte de LDAP seguro no está activado en los controladores de dominio de Windows. Requieren la instalación de un certificado de servidor para la autenticación del servidor. La obtención y la instalación de este certificado en los DC están fuera del alcance de este documento. En https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx encontrará orientación relacionada con este tema.

  1. (Opcional) Para habilitar el transporte seguro para la comunicación LDAP sin certificado de par, consulte la página de manuales de Linux de nslcd para obtener la modificación del código correcta para el archivo /etc/nslcd.conf.
  2. Para solucionar problemas de configuración de LDAP, primero detenga el servicio nslcd mediante el ingreso del siguiente comando:
    systemctl stop nlscd
  3. Para enviar información de solución de problemas y estado como salida desde el servicio a la consola, ejecute el servicio nslcd en modo de depuración desde la línea de comandos:
    nslcd -d
  4. Edite el archivo de configuración de Servidor de NetWitness PAM, /etc/pam.d/securityanalytics, para agregar la siguiente línea. Si el archivo no existe, créelo y agregue la siguiente línea:
    auth sufficient pam_ldap.so

Con esto finaliza la configuración de LDAP en PAM. Ahora, continúe con la sección siguiente, Configurar y probar el servicio NSS.

RADIUS en PAM

Puertos de comunicación de Radius: UDP 1812 o UDP 1813

Para configurar la autenticación de PAM mediante Radius, debe agregar el servidor Servidor de NetWitness a la lista de clientes del servidor de Radius y configurar una seña secreta compartida. Póngase en contacto con el administrador del servidor de Radius para este procedimiento.

Para configurar la autenticación de PAM para RADIUS mediante LDAP:

  1. Ejecute el siguiente comando (pero primero, verifique que el paquete pam_radius esté instalado en su ambiente):
    yum install pam_radius
  2. Edite el archivo de configuración de RADIUS, /etc/raddb/server, de la siguiente manera:
    # server[:port] shared_secret  timeout (s)
    server          secret         3
  3. Edite el archivo de configuración de Servidor de NetWitness PAM, /etc/pam.d/securityanalytics, para agregar la siguiente línea. Si el archivo no existe, créelo y agregue la siguiente línea:
    auth sufficient pam_radius_auth.so

Precaución: Para que RADIUS en PAM funcione, los archivos /etc/raddb/server deben tener permiso de escritura. El comando necesario para esto es: chown netwitness:netwitness /etc/raddb/server.

Los módulos de PAM y los servicios asociados envían información como salida a /var/log/messages y /var/log/secure. Estas salidas se pueden usar como ayuda en la solución de problemas de configuración.

El siguiente procedimiento es un ejemplo de los pasos para configurar la autenticación de PAM para RADIUS mediante SecurID:

Nota: Los ejemplos de estas tareas usan RSA Authentication Manager como el servidor RADIUS.

  1. Ejecute el siguiente comando (pero primero, verifique que el paquete pam_radius esté instalado en su ambiente):

    yum install pam_radius

  2. Edite el archivo de configuración de RADIUS, /etc/raddb/server, y actualícelo con el nombre de host de instancia del Authentication Manager, la seña secreta compartida y el valor de tiempo de espera agotado:

    # server[:port] shared_secret timeout (s)

    111.222.33.44 secret 1

    #other-server other-secret 3

    192.168.12.200:6369 securid 10

    Nota: Debe comentar las líneas 127.0.0.1 y other-server, y agregar la dirección IP de la instancia primaria de Authentication Manager con el número de puerto de RADIUS (por ejemplo, 192.168.12.200:1812), la seña secreta compartida de RADIUS y un valor de tiempo de espera agotado de 10.

  3. Edite el archivo de configuración de Servidor de NetWitness PAM, /etc/pam.d/securityanalytics, para agregar la siguiente línea. Si el archivo no existe, créelo y agregue la siguiente línea:

    auth sufficient pam_radius_auth.so

    Nota: Puede agregar debug al final de la línea anterior en el archivo /etc/pam.d/securityanalytics para habilitar la depuración de PAM (por ejemplo, auth sufficient pam_radius_auth.so debug)

Los módulos de PAM y los servicios asociados envían información como salida a /var/log/messages y /var/log/secure. Estas salidas se pueden usar para ayudar a solucionar problemas de configuración.

Agregar un cliente de RADIUS y un agente asociado

Nota: Los ejemplos de estas tareas usan RSA Authentication Manager como el servidor RADIUS.
Debe usar las credenciales de cuenta administrativa para iniciar sesión en la consola de seguridad de RSA Authentication Manager.

Para agregar un cliente de RADIUS y un agente asociado:

  1. Inicie sesión en RSA Authentication Manager.
    Se muestra la consola de seguridad.
  2. En la Consola de seguridad, haga clic en RADIUS > Cliente de RADIUS > Agregar nuevo.
    Se muestra la página Agregar cliente de RADIUS.
    Imagen de la Consola de seguridad de RSA para agregar configuración del cliente de RADIUS
  3. En Configuración del cliente de RADIUS, proporcione la siguiente información:
    1. En el campo Nombre de cliente, escriba el nombre del cliente, por ejemplo, NetWitness Suite.
    2. En el campo Dirección IPv4, ingrese la dirección IPv4 del cliente de RADIUS, por ejemplo, 192.168.12.108.
    3. En la lista desplegable Marca/modelo, seleccione el tipo de cliente de RADIUS, por ejemplo, Fortinet.
    4. En el campo Seña secreta compartida, ingrese la seña secreta compartida de autenticación.
  4. Haga clic en Guardar y crear agente de RSA asociado.
    Imagen de la página Agregar nuevo agente de autenticación.
  5. Haga clic en Guardar.

Si la instancia de Authentication Manager no puede encontrar el agente de autenticación en la red, se muestra una página de advertencia. Haga clic en Sí, guardar agente.

Para obtener más información, consulte el tema Agregar un cliente de RADIUS en Guía del Administrador de RSA Authentication Manager 8.2.

Con esto finaliza la configuración de RADIUS en PAM. Ahora, continúe con la sección siguiente, Configurar y probar el servicio NSS.

Agente PAM para SecurID

Puerto de comunicación de PAM: UDP 5500

Requisitos previos
El módulo PAM de RSA SecurID solo es compatible en las siguientes condiciones:

  1. Las conexiones de confianza deben estar habilitadas y en funcionamiento entre NetWitness Suite y los servicios principales.

Descripción general del proceso

Los pasos generales para configurar el módulo PAM de SecurID son:

  1. Configurar Authentication Manager:
    a. Agregar el agente de autenticación.
    b. Descargar el archivo de configuración.
  2. Configurar Servidor de NetWitness:
    a. Copiar el archivo de configuración desde Authentication Manager y personalizarlo.
    b. Instalar el módulo SecurID en PAM.
  3. Probar la conectividad y la autenticación.

Posteriormente, siga los procedimientos restantes de las secciones que se indican a continuación:

  • Configurar NSS.
  • Habilitar PAM en Servidor de NetWitness.
  • Configurar mapeos de grupo en Servidor de NetWitness.

Para configurar Authentication Manager:

  1. Inicie sesión en RSA Authentication Manager.
    Se muestra la Consola de seguridad.
    Imagen de la consola de seguridad de Authentication Manager
  2. En la Consola de seguridad, agregue un nuevo agente de autenticación.
    Haga clic en Acceso > Agentes de autenticación > Agregar nuevo.
    Se muestra la página Agregar nuevo agente de autenticación.
    Imagen de la página Agregar nuevo agente de autenticación.
  3. En el campo Nombre de host, escriba el nombre de host del Servidor de NetWitness.
  4. Haga clic en Resolver dirección IP.
    La dirección IP del Servidor de NetWitness se muestra automáticamente en el campo Dirección IP.
  5. Conserve la configuración predeterminada y haga clic en Guardar.
  6. Genere un archivo de configuración.
    Vaya a Acceso > Agentes de autenticación > Generar archivo de configuración.
    Se muestra la página Generar archivo de configuración.
    Imagen de la página Generar el archivo de configuración.
  7. Conserve los valores predeterminados y haga clic en Generar archivo de configuración.
    Esto crea AM_Config.zip, el cual contiene dos archivos.
  8. Haga clic en Descargar ahora.

Para instalar y configurar el módulo SecurID en PAM:

  1. En el Servidor de NetWitness, cree un directorio:
    mkdir /var/ace
  2. En el Servidor de NetWitness, copie sdconf.rec desde el archivo .zip a /var/ace.
  3. Cree un archivo de texto sdopts.rec en el directorio /var/ace.
  4. Inserte la siguiente línea:
    CLIENT_IP=<IP address of Servidor de NetWitness>
  5. Instale el agente de autorización de SecurID para PAM, el cual está disponible en el repositorio YUM:
    yum install sid-pam-installer
  6. Ejecute el script de instalación:
    /opt/rsa/pam-agent-installer/install_pam.sh
  7. Siga los indicadores para aceptar o cambiar los valores predeterminados. 
  8. Edite el archivo de configuración de Servidor de NetWitness PAM, /etc/pam.d/securityanalytics, para agregar la siguiente línea. Si el archivo no existe, créelo y agregue la siguiente línea:
    auth sufficient pam_securid.so

Con esto finaliza la instalación del módulo SecurID en PAM.  A continuación, pruebe la conectividad y la autenticación. Posteriormente, siga los procedimientos que se indican en Configurar y probar el servicio NSS.

Nota: Si la configuración de PAM SecurID no está completa, puede bloquearse el servidor Jetty y la interfaz del usuario de NetWitness Suite no se mostrará. Debe esperar hasta que finalice la configuración de autenticación de PAM y, a continuación, reinicie el servidor Jetty.

Para probar la conectividad y la autenticación:

  1. Ejecute /opt/pam/bin/64bit/acetest e ingrese username passcode
  2. (Opcional) Si acetest falla, active la depuración:
    vi/etc/sd_pam.conf
    RSATRACELEVEL=15
  3. Ejecute /opt/pam/bin/64bit/acestatus. La salida es la siguiente

RSA ACE/Server Limits
---------------------
Configuration Version : 15 Client Retries : 5 
Client Timeout : 5 DES Enabled : Yes 

RSA ACE/Static Information
--------------------------
Service : securid Protocol : udp Port Number : 5500 

RSA ACE/Dynamic Information
---------------------------
Server Release : 8.1.0.0 Communication : 5

RSA ACE/Server List
-------------------
Server Name :           auth81.netwitness.local
Server Address :        192.168.100.10
Server Active Address : 192.168.100.10
Master : Yes Slave : No Primary : Yes 
Usage : Available for Authentications

  1. (Opcional) Para solucionar problemas del servidor de Authentication Manager,
    vaya a Reporting > Monitores de actividad en tiempo real > Monitor de actividad de autenticación.
    A continuación, haga clic en Iniciar monitor.
  2. Si cambió la configuración, restablezca RSATRACELEVEL a 0:
    vi/etc/sd_pam.conf
    RSATRACELEVEL=0

Precaución: Después de la instalación, verifique que VAR_ACE en el archivo /etc/sd_pam.conf señale la ubicación correcta del archivo sdconf.rec. Esta es la ruta a los archivos de configuración. El comando necesario para esto es: chown -R netwitness:netwitness /var/ace.

Con esto finaliza la configuración de Agente PAM para SecurID. Ahora, continúe con la sección siguiente, Configurar y probar el servicio NSS.

Configurar y probar el servicio NSS

Elegir un servicio NSS

Existen tres opciones para el servicio NSS: Samba, LDAP y UNIX. Las tres tienen ventajas y desventajas.

                           
Ventajas de Samba en NSSDesventajas de Samba en NSS
Especialmente diseñado para Active DirectoryNo se puede usar con back-ends que no pertenecen a AD
Requiere configuración mínima en Active Directory o no la requiere en absolutoLa configuración y la solución de problemas pueden ser más difíciles
No se requieren cuentas de usuario especialesRequiere que la máquina de Servidor de NW esté unida al dominio de Active Directory
 Usa muchos puertos para comunicarse con Active Directory; la implementación es más difícil a través de firewalls y proxies

 

                         
Ventajas de LDAP en NSSDesventajas de LDAP en NSS
La configuración básica es más simplePuede requerir configuración y funciones adicionales dentro de Active Directory
Puede comunicarse con cualquier implementación de LDAPRequiere la configuración de una cuenta de vinculación de LDAP
Usa un único puerto TCP para la comunicación; es más fácil trabajar con firewalls y proxiesEl transporte seguro es más difícil de habilitar a menos que esté configurado para no validar los certificados del servidor
No requiere la unión del host de NW a un dominio de AD 

UNIX en NSS

No se requiere configuración para habilitar el módulo UNIX en NSS; está habilitado de manera predeterminada en el sistema operativo del host. Para autorizar a un usuario para un grupo específico, agréguelo simplemente al sistema operativo y a un grupo:

  1. Cree el grupo del SO que usará y agregue el usuario externo con este comando:
    groupadd <groupname>
  2. Agregue el usuario externo al SO con este comando:
    adduser -G <groupname> -M -N <externalusername>

Nota: Observe que esto NO permite ni autoriza el acceso a la consola del Servidor de NW.

Con esto finaliza la configuración de UNIX en NSS. A continuación, vaya a Probar la funcionalidad de NSS.

Samba en NSS

Puertos de comunicación de AD Winbind

Los siguientes puertos corresponden al mínimo que debe estar abierto según las pruebas internas para permitir la funcionalidad Samba en NSS. Estos se proporcionan solo como referencia.

TCP 88: Kerberos
TCP 139: Netbios
TCP 389: LDAP
UDP 53: DNS
UDP 88: Kerberos
UDP 389: LDAP

Pueden ser necesarios puertos adicionales, según los requisitos de implementación específicos del sitio. Consulte el siguiente artículo para obtener información sobre todos los puertos que puede requerir la comunicación de Active Directory: http://technet.microsoft.com/en-us/library/dd772723(ws.10).aspxhttp://technet.microsoft.com/en-us/library/dd772723%28ws.10%29.aspx

Para configurar Samba en NSS:

  1. Edite el archivo de configuración de Samba, /etc/samba/smb.conf, de la siguiente manera. Reemplace las variables, delimitadas por <paréntesis angulares> por sus valores y omita los paréntesis angulares. Ponga atención al requisito de mayúsculas/minúsculas donde se indica.
    [global]
    workgroup = domain
    netbios name = <NW_APPLIANCE_HOSTNAME>
    password server = <ADSERVER.DOMAIN.COM>
    realm = <DOMAIN.COM>

    local master = no
    security = ads
    syslog only = yes
    log file = /var/log/samba/log.%m
    max log size = 5120
    idmap config * : range = 16777216-33554431
    template shell = /bin/bash
    winbind use default domain = true
    winbind offline logon = false
    winbind enum groups = yes
  2. Para habilitar e iniciar el servicio de vinculación de Windows, winbind, escriba los siguientes comandos:
    systemctl enable winbind
    systemctl start winbind
  3. Edite el archivo de configuración de NSS, /etc/nsswitch.conf. Actualice solo las 2 entradas siguientes y conserve todos los demás valores predeterminados:
    passwd:     files winbind
    group:      files winbind
  4. Para unirse al dominio, escriba el siguiente comando:
    net ads join -U <DomainAdminUser>
  5. Para almacenar el SID del controlador de dominio, escriba el siguiente comando:
    net rpc getsid -S <SERVER.DOMAIN.COM>
  6. Pruebe la funcionalidad de NSS como se describe en la sección Probar la funcionalidad de NSS.  
  7. Cuando haya confirmado que NSS funciona correctamente desde la línea de comandos, para reiniciar el host de modo que se apliquen los cambios en NSS, escriba el siguiente comando.
    reboot

Para solucionar problemas de Samba en NSS:

Para comprobar si Winbind en NSS puede comunicarse correctamente con Active Directory:

  1. Escriba los siguientes comandos:
    wbinfo -u para obtener una lista de usuarios de AD
    wbinfo -g para obtener una lista de grupos de AD
  2. Si ninguno de los comandos se ejecuta correctamente, ejecute winbind en el modo de depuración de la consola mediante el ingreso de los siguientes comandos:
    systemctl stop winbind
    winbindd -S -F -d <optional debugleve 0-10>
  3. Desde una sesión del protocolo SSH por separado, repita el paso 1 y observe la salida de winbindd para ver si hay alguna señal del problema.
    Aumente el detalle de la depuración de winbindd según sea necesario.
  4. Realice los ajustes necesarios en /etc/samba/smb.conf.
  5. En la ventana de depuración de winbindd del paso 2, detenga winbindd mediante el ingreso de CTRL-C
    Repita los pasos 1 y 2 y continúe con la solución de problemas hasta que los comandos wbinfo se ejecuten correctamente.
  6. Cuando los comandos wbinfo se hayan ejecutado correctamente, use los comandos getent de la sección Probar la funcionalidad de NSS de esta guía para probar NSS.
    getent passwd <pamUser>
    getent group <groupOfPamUser>
  7. Cuando getent se haya ejecutado correctamente, detenga la línea de comandos winbindd mediante el ingreso de CTRL-C y escriba el siguiente comando para iniciar el demonio del servicio:
    systemctl start winbind

Si wbinfo -g se ejecuta correctamente desde la línea de comandos, pero la búsqueda del mapeo de grupo externo no muestra ningún grupo de Active Directory:

  1. Agregue la siguiente línea a /etc/samba/smb.conf:
    allow trusted domains = no
  2. Escriba systemctl restart winbind .

Con esto finaliza la configuración de Samba en NSS. A continuación, vaya a Probar la funcionalidad de NSS.

LDAP en NSS

Nota: Estas instrucciones requieren que todos los objetos de usuario de PAM y de grupo de NSS de Active Directory tengan sus atributos uidNumber y gidNumber configurados en números de UID y GID estilo UNIX para que LDAP en NSS pueda usarlos. Es posible que esquemas de Active Directory más antiguos no tengan estos atributos de manera predeterminada. Los esquemas de AD más nuevos pueden tener estos atributos, pero puede que no estén definidos en cada objeto. La configuración correcta de estos atributos escapa del alcance de este documento. Póngase en contacto con el administrador de Active Directory para que defina estos atributos para los usuarios de PAM y los grupos de NSS.

Para usar NSS, se debe crear un usuario de vinculación de LDAP en Active Directory. Este usuario se debe configurar de modo que su contraseña no venza. Debido a que estas credenciales se deben especificar en texto sin formato para el servicio LDAP en NSS, los permisos de /etc/nslcd.conf se deben dejar en su valor predeterminado de 600 de modo que los usuarios del sistema, con excepción del usuario raíz, no puedan leer el archivo.

Puertos de comunicación de LDAP: TCP 389 o TCP 636

TCP 389 se puede usar para el tráfico no cifrado y, en la mayoría de los casos, cifrado y generalmente es suficiente. La mayoría de las implementaciones de LDAP modernas son compatibles con el comando start_tls una vez que se conectan al puerto 389, lo cual actualiza la conexión de un estado no cifrado a uno cifrado. En esta instancia, las URI de LDAP comienzan con ldap://, incluso cuando se usa start_tls.

TCP 636 se usa solo en instancias donde el servidor de LDAP no es compatible con el comando start_tls.  En esta instancia, las URI de LDAP comienzan con ldaps:// y el comando start_tls no se usa.

Para configurar el módulo NSS para LDAP con Active Directory:

  1. Obtenga el paquete nss-pam-ldapd del repositorio SMCUPDATE o del repositorio de actualización de Servidor de NetWitness si el servidor está sincronizado con SMCUPDATE. Esto requiere una cuenta de Live configurada en NetWitness Suite.
  2. Ejecute el siguiente comando para instalar el paquete:
    yum install nss-pam-ldapd
  3. Edite /etc/nslcd.conf para incluir las siguientes líneas y asegúrese de dejar como comentario todas las líneas existentes en el archivo mediante una marca hash # en el comienzo de la línea:
    uid nslcd
    gid ldap
    uri ldap://<server.domain.com>
    base <dc=domain,dc=com>
    binddn <cn=binduser,dc=domain,dc=com
    bindpw <secret>

    Nota: Debe agregar mapeos adicionales entre las búsquedas de NSS y las búsquedas de LDAP para su ambiente específico. Consulte la página de los manuales Linux para nslcd para obtener detalles específicos.
  4. (Opcional) Para habilitar el transporte seguro para la comunicación LDAP con verificación de certificado de par (más segura), consulte la página de manuales de Linux de nslcd para obtener la modificación del código correcta para el archivo /etc/nslcd.conf.

Nota: de manera predeterminada, el transporte de LDAP seguro no está activado en los controladores de dominio de Windows. Requieren la instalación de un certificado de servidor para la autenticación del servidor. La obtención y la instalación de este certificado en los DC están fuera del alcance de este documento. Encontrará orientación relacionada con este tema en la siguiente URL: https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx

  1. (Opcional) Para habilitar el transporte seguro para la comunicación LDAP sin certificado de par, consulte la página de manuales de Linux de nslcd para obtener la modificación del código correcta para el archivo /etc/nslcd.conf.
  2. Edite el archivo de configuración de NSS, /etc/nsswitch.conf. Actualice solo las dos entradas siguientes y deje las demás en sus valores predeterminados:
    passwd:files ldap
    group:files ldap
  3. Para habilitar e iniciar el servicio NSLCD, escriba estos comandos:
    systemctl enable nslcd
    systemctl start nslcd
  4. Pruebe la funcionalidad de NSS de acuerdo con lo que se indica en la sección Probar la funcionalidad de NSS. Si las pruebas de NSS fallan, solucione problemas de LDAP en NSS, como se describe en Solucionar problemas de LDAP en NSS.
  5. Cuando haya confirmado que NSS funciona correctamente desde la línea de comandos, reinicie el host de modo que se apliquen los cambios en NSS.
    reboot

Para solucionar problemas de LDAP en NSS:

  1. Para solucionar problemas de LDAP en NSS, primero detenga el servicio nslcd mediante el ingreso del siguiente comando:
    systemctl stop nslcd
  2. Para enviar información de solución de problemas y estado como salida desde el servicio a la consola, ejecute el servicio nslcd en modo de depuración desde la línea de comandos.
    nslcd -d
  3. (Opcional) Para aumentar el detalle de la depuración, agregue una d adicional varias veces al final de nslcd -d; por ejemplo, escriba el siguiente comando:
    nslcd -ddd
  4. Desde una sesión del protocolo SSH por separado, use los comandos getent de la sección Probar la funcionalidad de NSS de esta guía para probar NSS. Observe alguna indicación de dónde se está produciendo la falla en la salida de depuración de nslcd.  Aumente el detalle de la depuración de nslcd según sea necesario.
    getent passwd <pamUser>
    getent group <groupOfPamUser>
  5. Realice los ajustes necesarios en /etc/nslcd.conf de acuerdo con la salida del paso 2 o 3.
  6. En la ventana de depuración de nslcd del paso 2 o 3, detenga nslcd con CTRL-C.  Repita el paso 2 o 3 y continúe con la solución de problemas hasta que el comando getent se ejecute correctamente.
  7. Cuando getent se haya ejecutado correctamente, detenga la línea de comandos nslcd e inicie el demonio del servicio:
    systemctl start nslcd

Entre los problemas comunes se pueden incluir:

  • Certificado SSL de transporte seguro de LDAP no instalado en el servidor de LDAP/AD.
  • Verificación del certificado de CA fallida: deje como comentario la línea tls_cacert en /etc/nslcd.conf e intente con tls_reqcert never.  Una ejecución correcta demuestra que la verificación del certificado está fallando.
    • El certificado de CA raíz no está en el formato PEM.
    • Se usa el certificado de la CA emisora en lugar del certificado de CA raíz.
    • El nombre del certificado SSL del servidor de LDAP no coincide con su nombre de host.
  • DN base incorrecto.
  • El usuario de vinculación o la contraseña de LDAP no se especificaron correctamente.
  • Especificación incorrecta de ldaps:// en lugar de ldap:// en la línea uri de /etc/nslcd.conf. ldaps:// solo se debe utilizar cuando se usa LDAPS y no se usa el comando start_tls.
  • Los usuarios y los grupos de Active Directory no tienen los atributos uidNumber ni gidNumber configurados.
  • El firewall de la red está bloqueando las comunicaciones.
  • El nombre de host del servidor de LDAP especificado no se puede resolver.
    • Configuración incorrecta de DNS en /etc/resolv.conf.
    • Se especificó un nombre de host incorrecto en la línea uri de /etc/nslcd.conf.

Con esto finaliza la configuración de LDAP en NSS. A continuación, vaya a Probar la funcionalidad de NSS.

Probar la funcionalidad de NSS

Para probar si NSS está funcionando con cualquiera de los servicios NSS anteriores, use los siguientes comandos:

getent passwd <pamUser>
getent group <groupOfPamUser>

La salida debe ser similar a:

[root@~]# getent passwd myuser
myuser:*:10000:10000::/home/myuser:/bin/sh

[root@~]# getent group mygroup
mygroup:*:10000:myuser3

  • Si ninguno de los comandos produce salida, NSS no está funcionando correctamente para la autorización externa. Consulte la orientación sobre la solución de problemas correspondiente a su módulo NSS que se proporciona en este documento.
  • Si los comandos getent se ejecutan correctamente y la autenticación correcta se confirma en /var/log/secure, pero NetWitness Suite continúa sin permitir el inicio de sesión de usuarios externos:
    • ¿Se especificó el nombre de grupo correcto para el grupo NSS en el mapeo de grupo externo de NW?  Consulte Activar PAM y crear mapeos de grupo a continuación.
    • Es posible que la configuración de NSS haya cambiado y que NetWitness Suite no haya reconocido el cambio.  Un reinicio del host de NetWitness Suite hará que NetWitness Suite reconozca los cambios en la configuración de NSS.  Un reinicio de jetty no es suficiente.

Continúe con la sección siguiente, Habilitar PAM en Servidor de NetWitness.

Habilitar PAM en Servidor de NetWitness

  1. En NetWitness Suite, vaya a ADMIN > Seguridad.
    La vista Admin > Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Ajustes de configuración.
  3. En Autenticación de PAM, seleccione Habilitar autenticación de PAM y haga clic en Aplicar.
    Este es un ejemplo de la sección Autenticación de PAM.

Probar la autenticación de PAM

Para probar la autenticación externa de PAM:

  1. Vaya a ADMIN > Seguridad.
    La vista Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Ajustes de configuración.
  3. En Autenticación de PAM, seleccione Habilitar autenticación de PAM.
    Imagen de las secciones Autenticación de PAM y Configuraciones de Active Directory de la pestaña Ajustes de configuración
  4. En las opciones de Autenticación de PAM, haga clic en Probar.
    Se muestra el cuadro de diálogo Prueba de autenticación de PAM.
    Imagen del cuadro de diálogo Prueba de autenticación de PAM, donde de solicita un nombre de usuario y una contraseña
  5. Escriba un nombre de usuario y una contraseña para los que desee probar su autenticación mediante la configuración actual de PAM.
  6. Haga clic en Probar.
    Se prueba el método de autenticación externa para garantizar la conectividad.
  7. Si la prueba no se realiza correctamente, revise y edite la configuración.

PAM se habilita y las configuraciones de Active Directory también permanecen habilitadas. Las configuraciones de PAM se completan automáticamente en la pestaña Mapeo de grupo externo, de modo que pueda mapear las funciones de seguridad a cada grupo. Para configurar las funciones de seguridad que se usan para el acceso de PAM, consulte el Paso 5. (Opcional) Mapear funciones de usuario a grupos externos.

You are here
Table of Contents > Configurar la seguridad del sistema > Paso 4. (Opcional) Configurar la autenticación externa > Configurar la funcionalidad de inicio de sesión PAM

Attachments

    Outcomes