Sicherheit/Benutzermanagement: Konfigurieren der PAM-Anmeldefunktion

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird erläutert, wie Sie NetWitness Suite so konfigurieren, dass mithilfe von PAM (Pluggable Authentication Modules) externe Benutzeranmeldungen authentifiziert werden können.

Die PAM-Anmeldefunktion umfasst zwei separate Komponenten:

  • PAM für die Benutzerauthentifizierung
  • NSS für die Gruppenautorisierung

Zusammen bieten sie externen Benutzern die Möglichkeit, sich bei NetWitness Suite anzumelden, ohne ein internes NetWitness Suite-Konto zu haben, und Berechtigungen oder Rollen zu erhalten, die durch Zuordnung der externen Gruppe zu einer NetWitness Suite-Sicherheitsrolle festgelegt wurden. Beide Komponenten sind für eine erfolgreiche Anmeldung erforderlich.

Externe Authentifizierung ist eine Einstellung auf Systemebene. Vor der PAM-Konfiguration sollten Sie alle hierin enthaltenen Informationen aufmerksam lesen.

PAM (Pluggable Authentication Modules)

PAM ist eine von Linux bereitgestellte Bibliothek, die der Authentifizierung von Benutzern gegenüber Authentifizierungsprovidern dient, z. B. RADIUS, Kerberos oder LDAP. Für die Implementierung verwendet jeder Authentifizierungsprovider sein eigenes Modul, das in Form eines Betriebssystempakets (OS), wie etwa pam_ldap bereitgestellt wird. NetWitness Suite verwendet die vom Betriebssystem bereitgestellte PAM-Bibliothek und das Modul, das zur Verwendung durch die PAM-Bibliothek konfiguriert wurde, zur Authentifizierung von Benutzern.

Hinweis: PAM bietet nur die Fähigkeit zur Authentifizierung.

NSS (Name Service Switch)

NSS ist eine Linux-Funktion zur Bereitstellung von Datenbanken, die vom Betriebssystem und den Anwendungen verwendet werden, um Informationen wie Hostnamen und Benutzerattribute (z. B. Stammverzeichnis, primäre Gruppe und Anmeldeshell) zu erkennen und um Benutzer aufzulisten, die einer angegebenen Gruppe angehören. Ähnlich wie PAM kann NSS konfiguriert werden und verwendet Module zur Interaktion mit verschiedenen Anbietertypen. NetWitness Suite verwendet vom Betriebssystem bereitgestellte NSS-Funktionen, um externe PAM-Benutzer zu autorisieren, indem überprüft wird, ob ein Benutzer in NSS bekannt ist. Anschließend werden von NSS die Gruppen abgerufen, bei denen dieser Benutzer Mitglied ist. NetWitness Suite vergleicht die Ergebnisse der Abfrage mit der externen NetWitness Suite-Gruppenzuordnung. Wenn eine entsprechende Gruppe gefunden wird, erhält der Benutzer Zugriff auf die Anmeldung bei NW mit der Sicherheitsebene, die in der externen Gruppenzuordnung definiert wurde.

Hinweis: NSS bietet keine Authentifizierung.

Kombination von PAM und NSS

Sowohl PAM (Authentifizierung) als auch NSS (Autorisierung) müssen erfolgreich sein, damit sich ein externer Benutzer bei NetWitness Suite anmelden darf. Das Verfahren zur Konfiguration und zum Troubleshooting von PAM ist anders als das Verfahren zur Konfiguration und zum Troubleshooting von NSS. Zu den PAM-Beispielen in diesem Leitfaden gehören Kerberos, LDAP und Radius. Zu den NSS-Beispielen gehören Samba, LDAP und UNIX. Welche Kombination von PAM- und NSS-Modul verwendet wird, bestimmen die Anforderungen des Standorts.

Prozessübersicht

Führen Sie zur Konfiguration der PAM-Anmeldefunktion die Anweisungen in diesem Dokument aus:

  1. Konfigurieren und testen Sie das PAM-Modul.
  2. Konfigurieren und testen Sie den NSS-Service.
  3. Aktivieren Sie PAM in NetWitness-Server.
  4. Erstellen Sie Gruppenzuordnungen in NetWitness-Server.

Voraussetzungen

Bevor Sie mit der Einrichtung von PAM beginnen, überprüfen Sie abhängig von dem PAM-Modul, das Sie implementieren möchten, das Verfahren und sammeln Sie die Details des externen Authentifizierungsservers.

Bevor Sie mit der Einrichtung von NSS beginnen, überprüfen Sie das Verfahren und identifizieren Sie die Gruppennamen, die Sie in der externen Gruppenzuordnung verwenden werden, und sammeln Sie abhängig von dem verwendeten NSS-Service die Details des externen Authentifizierungsservers.

Bevor Sie damit beginnen, PAM in NetWitness Suite einzurichten, identifizieren Sie die Gruppennamen, die Sie in der externen Gruppenzuordnung verwenden werden. Wenn Rollen zugeordnet werden, muss die Rolle in NetWitness Suite einem Gruppennamen entsprechen, der auf dem externen Authentifizierungsserver vorhanden ist.

Konfigurieren und Testen des PAM-Moduls

Wählen Sie einen der folgenden Abschnitte aus, um die PAM-Komponente einzurichten und zu konfigurieren:

  • PAM – Kerberos
  • PAM – LDAP
  • PAM – RADIUS
  • SecurID

PAM – Kerberos

Kerberos-Kommunikationsports – TCP 88

So konfigurieren Sie die PAM-Authentifizierung mithilfe von Kerberos:

  1. Führen Sie den folgenden Befehl aus (aber überprüfen Sie zuerst, ob das krb5-workstation-Paket in Ihrer Umgebung installiert ist):
    yum install krb5-workstation pam_krb5  
  2. Bearbeiten Sie die folgenden Zeilen in der Kerberos-Konfigurationsdatei /etc/krb5.conf. Ersetzen Sie Variablen, die mit <Spitzklammern> abgesetzt sind, durch Ihre Werte und lassen Sie die Spitzklammern weg. Die angegebene Groß- und Kleinschreibung muss befolgt werden.

    # Configuration snippets may be placed in this directory as well
    includedir /etc/krb5.conf.d/

    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    dns_lookup_kdc = true
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = <DOMAIN.COM>
    default_ccache_name = KEYRING:persistent:%{uid}

    [realms]
    <DOMAIN.COM> = {
    kdc = <SERVER.DOMAIN.COM>
    admin_server = <SERVER.DOMAIN.COM>
    }

    [domain_realm]
    <domain.com> = <DOMAIN.COM>
    <.domain.com> = <DOMAIN.COM>
  3. Testen Sie die Kerberos-Konfiguration mit dem Befehl:
    kinit <user>@<DOMAIN.COM>
    Keine Ausgabe nach Eingabe des Passworts bedeutet Erfolg.
  4. Bearbeiten Sie die NetWitness-Server-PAM-Konfigurationsdatei /etc/pam.d/securityanalytics, um die folgende Zeile hinzuzufügen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie und fügen Sie die folgende Zeile hinzu:
    auth sufficient pam_krb5.so no_user_check

Damit ist die Konfiguration für PAM Kerberos abgeschlossen. Fahren Sie jetzt mit dem nächsten Abschnitt Konfigurieren und Testen des NSS-Services fort.

PAM – LDAP

LDAP-Kommunikationsports – TCP 389 oder TCP 636

TCP 389 kann für unverschlüsselten und in den meisten Fällen auch für verschlüsselten Datenverkehr verwendet werden und ist in der Regel ausreichend. Die meisten modernen LDAP-Implementierungen unterstützen nach dem Verbinden mit Port 389 den Befehl start_tls, mit dem der Status der Verbindung von unverschlüsselt zu verschlüsselt hochgestuft wird. In dieser Instanz beginnen LDAP-URIs immer noch mit ldap://, auch wenn sie start_tls. verwenden.

TCP 636 wird nur in Instanzen verwendet, in denen der LDAP-Server den Befehl start_tls nicht unterstützt. In diesem Fall beginnen LDAP-URIs mit ldaps:// und der Befehl start_tls wird nicht verwendet.

So konfigurieren Sie die PAM-Authentifizierung mithilfe von LDAP:

  1. Führen Sie den folgenden Befehl aus (aber überprüfen Sie zuerst, ob das openldap-clients-Paket in Ihrer Umgebung installiert ist):
    yum install nss-pam-ldapd openldap-clients
  2. Bearbeiten Sie die LDAP-Konfigurationsdatei /etc/nslcd.conf, wie im folgenden Beispiel gezeigt:

Hinweis: Ersetzen Sie die durch <Spitzklammern> abgesetzten Variablen durch Ihre Werte und entfernen Sie die Spitzklammern. Die angegebene Groß- und Kleinschreibung muss befolgt werden.

Beispiel für Einträge in der Datei /etc/nslcd.conf:
uri ldap://<server.domain.com>
base <dc=domain,dc=com>
binddn <cn=bineuser,dc=domain,dc=com>
bindpw <secret>

  1. Führen Sie nach dem Ändern der Datei /etc/nslcd.conf den folgenden Befehl aus:
    systemctl restart nslcd
  2. (Optional) Wenn Sie einen sicheren Transport für die LDAP-Kommunikation mit Peer-Zertifikatüberprüfung (höhere Sicherheit) aktivieren möchten, finden Sie auf der Linux-Manpage für nslcd die korrekte Codeänderung für die Datei /etc/nslcd.conf.

Hinweis: Windows-Domain-Controller ermöglichen standardmäßig keinen sicheren LDAP-Transport. Sie erfordern die Installation eines Serverzertifikats für die Serverauthentifizierung. Abruf und Installation dieses Zertifikat auf dem DC gehen über den Umfang dieses Dokuments hinaus. Einige Informationen dazu sind verfügbar unter https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx.

  1. (Optional) Wenn Sie einen sicheren Transport für die LDAP-Kommunikation ohne Peer-Zertifikat aktivieren möchten, finden Sie auf der Linux-Manpage für nslcd die korrekte Codeänderung für die Datei /etc/nslcd.conf.
  2. Beenden Sie für das Troubleshooting der LDAP-Konfiguration zunächst den nslcd-Service, indem Sie den folgenden Befehl eingeben:
    systemctl stop nlscd
  3. Um Troubleshooting- und Statusinformationen vom Service an die Konsole auszugeben, führen in der Befehlszeile den nslcd-Service im Debug-Modus aus:
    nslcd -d
  4. Bearbeiten Sie die NetWitness-Server-PAM-Konfigurationsdatei /etc/pam.d/securityanalytics, um die folgende Zeile hinzuzufügen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie und fügen Sie die folgende Zeile hinzu:
    auth sufficient pam_ldap.so

Dadurch wird die Konfiguration für PAM LDAP abgeschlossen. Fahren Sie jetzt mit dem nächsten Abschnitt fort: Konfigurieren und Testen des NSS-Services.

PAM – RADIUS

Radius-Kommunikationsports – UDP 1812 oder UDP 1813

Zur Konfiguration der PAM-Authentifizierung mithilfe von Radius müssen Sie den NetWitness-Server zur Clientliste Ihres Radius-Servers hinzufügen und einen gemeinsamen geheimen Schlüssel konfigurieren. Wenden Sie sich hierfür an den Radius-Serveradministrator.

So konfigurieren Sie die PAM-Authentifizierung für RADIUS mithilfe von LDAP:

  1. Führen Sie den folgenden Befehl aus (aber überprüfen Sie zuerst, ob das pam_radius-Paket in Ihrer Umgebung installiert ist):
    yum install pam_radius
  2. Bearbeiten Sie die RADIUS-Konfigurationsdatei /etc/raddb/server wie folgt:
    # server[:port] shared_secret  timeout (s)
    server          secret         3
  3. Bearbeiten Sie die NetWitness-Server-PAM-Konfigurationsdatei /etc/pam.d/securityanalytics, um die folgende Zeile hinzuzufügen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie und fügen Sie die folgende Zeile hinzu:
    auth sufficient pam_radius_auth.so

Achtung: Damit PAM RADIUS verwendet werden kann, muss die Datei /etc/raddb/server über Schreibberechtigungen verfügen. Der hierfür erforderliche Befehl lautet: chown netwitness:netwitness /etc/raddb/server.

Die PAM-Module und zugehörigen Services geben Informationen nach /var/log/messages und /var/log/secure aus. Diese Ausgaben können beim Troubleshooting von Konfigurationsproblemen hilfreich sein.

Das folgende Verfahren ist ein Beispiel für die Schritte zum Konfigurieren der PAM-Authentifizierung für RADIUS mithilfe von SecurID:

Hinweis: In den Beispielen für diese Aufgaben wird RSA Authentication Manager als RADIUS-Server verwendet.

  1. Führen Sie den folgenden Befehl aus (aber überprüfen Sie zuerst, ob das pam_radius-Paket in Ihrer Umgebung installiert ist):

    yum install pam_radius

  2. Bearbeiten Sie die RADIUS-Konfigurationsdatei /etc/raddb/server und aktualisieren Sie sie mit dem Hostnamen der Authentication Manager-Instanz, dem gemeinsamen geheimen Schlüssel und dem Timeout-Wert:

    # server[:port] shared_secret timeout (s)

    111.222.33.44 secret 1

    #other-server other-secret 3

    192.168.12.200:6369 securid 10

    Hinweis: Sie müssen die Zeilen 127.0.0.1 und other-server auskommentieren und die IP-Adresse der primären Authentication Manager-Instanz mit der RADIUS-Portnummer (z. B. 192.168.12.200:1812), dem gemeinsamen geheimen RADIUS-Schlüssel und einem Timeout-Wert von 10 hinzufügen.

  3. Bearbeiten Sie die NetWitness-Server-PAM-Konfigurationsdatei /etc/pam.d/securityanalytics, um die folgende Zeile hinzuzufügen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie und fügen Sie die folgende Zeile hinzu:

    auth sufficient pam_radius_auth.so

    Hinweis: Sie können debug in der Datei /etc/pam.d/securityanalytics an das Ende der oben genannten Zeile hinzufügen, um PAM-Debugging zu aktivieren (z. B. auth sufficient pam_radius_auth.so debug).

Die PAM-Module und zugehörigen Services geben Informationen nach /var/log/messages und /var/log/secure aus. Diese Ausgaben können beim Troubleshooting von Konfigurationsproblemen hilfreich sein.

Hinzufügen eines RADIUS-Clients und zugeordneten Agent

Hinweis: In den Beispielen für diese Aufgaben wird RSA Authentication Manager als RADIUS-Server verwendet.
Sie müssen die Anmeldedaten des Administratorkontos verwenden, um sich bei der Sicherheitskonsole von RSA Authentication Manager anzumelden.

So fügen Sie einen RADIUS-Client und zugeordneten Agent hinzu:

  1. Melden Sie sich bei RSA Authentication Manager an.
    Die Sicherheitskonsole wird angezeigt.
  2. Klicken Sie in der Sicherheitskonsole auf RADIUS > RADIUS-Clients > Neue hinzufügen.
    Die Seite „RADIUS-Client hinzufügen“ wird angezeigt.
    Bild der RSA Sicherheitskonsole zum Hinzufügen der RADIUS-Clienteinstellungen
  3. Geben Sie im Bereich „RADIUS-Clienteinstellungen“ folgende Informationen ein:
    1. Geben Sie im Feld Clientname den Namen des Clients ein, z. B. „NetWitness Suite“.
    2. Geben Sie im Feld IPv4-Adresse die IPv4-Adresse des RADIUS-Clients ein, z. B. 192.168.12.108.
    3. Wählen Sie in der Drop-down-Liste Marke/Modell den Typ des RADIUS-Clients aus, z. B. Fortinet.
    4. Geben Sie im Feld Gemeinsamer geheimer Schlüssel den freigegebenen Authentifizierungsschlüssel ein.
  4. Klicken Sie auf Zugeordneten RSA-Agent speichern und erstellen.
    Bild der Seite „Neuen Authentifizierungs-Agent hinzufügen“
  5. Klicken Sie auf Speichern.

Wenn die Authentication Manager-Instanz den Authentifizierungs-Agent im Netzwerk nicht finden kann, wird eine Seite mit einer Warnmeldung angezeigt. Klicken Sie auf Ja, Agent speichern.

Weitere Informationen hierzu finden Sie im Thema „Hinzufügen eines RADIUS-Clients“ im Administratorhandbuch für RSA Authentication Manager 8.2.

Damit ist die Konfiguration für PAM RADIUS abgeschlossen. Fahren Sie jetzt mit dem nächsten Abschnitt fort, Konfigurieren und Testen des NSS-Services.

PAM-Agent für SecurID

PAM-Kommunikationsport – UDP 5500

Voraussetzungen
Das RSA SecurID PAM-Modul wird nur unter den folgenden Bedingungen unterstützt:

  1. Vertrauenswürdige Verbindungen zwischen NetWitness Suite und Core-Services müssen aktiviert und funktionsbereit sein.

Prozessübersicht

Die allgemeinen Schritte zur Konfiguration des SecurID-PAM-Moduls sind:

  1. Konfigurieren Sie Authentication Manager:
    a. Fügen Sie den Authentifizierungs-Agent hinzu.
    b. Konfigurationsdatei herunterladen
  2. Konfigurieren Sie NetWitness-Server:
    a. Kopieren Sie die Konfigurationsdatei von Authentication Manager und passen Sie sie an.
    b. Installieren Sie das PAM-SecurID-Modul.
  3. Testen Sie die Verbindung und die Authentifizierung.

Befolgen Sie dann die übrigen Verfahren in den folgenden Abschnitten:

  • Konfigurieren Sie NSS.
  • Aktivieren Sie PAM in NetWitness-Server.
  • Konfigurieren Sie Gruppenzuordnungen in NetWitness-Server.

So konfigurieren Sie Authentication Manager:

  1. Melden Sie sich bei RSA Authentication Manager an.
    Die Sicherheitskonsole wird angezeigt.
    Bild der Authentication Manager-Sicherheitskonsole
  2. Fügen Sie in der Sicherheitskonsole einen neuen Authentifizierungs-Agent hinzu.
    Klicken Sie auf Zugriff > Authentifizierungs-Agent > Neu hinzufügen
    .Die Seite „Neuen Authentifizierungs-Agent hinzufügen“ wird angezeigt.
    Bild der Seite „Neuen Authentifizierungs-Agent hinzufügen“
  3. Geben Sie im Feld Hostname den Hostnamen von NetWitness-Server ein.
  4. Klicken Sie auf IP auflösen.
    Die IP-Adresse von NetWitness-Server wird automatisch im Feld IP-Adresse angezeigt.
  5. Behalten Sie die Standardeinstellungen bei und klicken Sie auf Speichern.
  6. Erzeugen Sie eine Konfigurationsdatei.
    Navigieren Sie zu Zugriff > Authentifizierungs-Agent > Konfigurationsdatei erzeugen.
    Die Seite „Konfigurationsdatei erzeugen“ wird angezeigt.
    Bild der Seite „Konfigurationsdatei erzeugen“
  7. Behalten Sie die Standardeinstellungen bei und klicken Sie auf Konfigurationsdatei erzeugen.
    Dies erzeugt AM_Config.zip mit zwei Dateien.
  8. Klicken Sie auf Jetzt herunterladen.

So installieren und konfigurieren Sie das PAM-SecurID-Modul:

  1. Legen Sie auf dem NetWitness-Server ein Verzeichnis an:
    mkdir /var/ace
  2. Kopieren Sie auf dem NetWitness-Server die Datei sdconf.rec aus der ZIP-Datei in das Verzeichnis /var/ace.
  3. Erstellen Sie die Textdatei sdopts.rec im Verzeichnis /var/ace.
  4. Fügen Sie die folgende Zeile ein:
    CLIENT_IP=<IP address of NetWitness-Server>
  5. Installieren Sie den SecurID-Autorisierungs-Agent für PAM, der im yum-Repository verfügbar ist:
    yum install sid-pam-installer
  6. Führen Sie das Installationsskript aus:
    /opt/rsa/pam-agent-installer/install_pam.sh
  7. Befolgen Sie die Eingabeaufforderungen, um die Standardeinstellungen zu akzeptieren oder zu ändern. 
  8. Bearbeiten Sie die NetWitness-Server-PAM-Konfigurationsdatei /etc/pam.d/securityanalytics, um die folgende Zeile hinzuzufügen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie und fügen Sie die folgende Zeile hinzu:
    auth sufficient pam_securid.so

Damit ist die Installation des SecurID-PAM-Moduls abgeschlossen.  Testen Sie als Nächstes die Verbindung und die Authentifizierung. Befolgen Sie dann die Verfahren in „Konfigurieren und Testen des NSS-Services“.

Hinweis: Wenn die PAM-SecurID-Konfiguration nicht abgeschlossen ist, kann der Jetty-Server abstürzen und die NetWitness Suite-Benutzeroberfläche wird nicht angezeigt. Sie müssen warten, bis die Konfiguration der PAM-Authentifizierung abgeschlossen ist. Starten Sie dann den Jetty-Server neu.

So testen Sie Verbindung und Authentifizierung:

  1. Führen Sie /opt/pam/bin/64bit/acetest aus und geben Sie den Benutzernamen und Passcode ein. 
  2. (Optional) Wenn acetest fehlschlägt, aktivieren Sie das Debugging:
    vi/etc/sd_pam.conf
    RSATRACELEVEL=15
  3. Führen Sie /opt/pam/bin/64bit/acestatus aus. Ausgabe unten

RSA ACE/Server Limits
---------------------
Configuration Version : 15 Client Retries : 5 
Client Timeout : 5 DES Enabled : Yes 

RSA ACE/Static Information
--------------------------
Service : securid Protocol : udp Port Number : 5500 

RSA ACE/Dynamic Information
---------------------------
Server Release : 8.1.0.0 Communication : 5

RSA ACE/Server List
-------------------
Server Name :           auth81.netwitness.local
Server Address :        192.168.100.10
Server Active Address : 192.168.100.10
Master : Yes Slave : No Primary : Yes 
Usage : Available for Authentications

  1. (Optional) Navigieren Sie zum Beheben von Problemen mit dem Authentication Manager-Server
    zu Reporting > Echtzeit-Aktivitätsüberwachung > Authentifizierungs-Aktivitätsüberwachung.
    Klicken Sie dann auf Überwachung starten.
  2. Wenn Sie die Einstellung geändert haben, setzen Sie RSATRACELEVEL auf 0 zurück:
    vi/etc/sd_pam.conf
    RSATRACELEVEL=0

Achtung: Überprüfen Sie nach der Installation, ob VAR_ACE in der Datei /etc/sd_pam.conf auf den korrekten Speicherort der Datei sdconf.rec verweist. Dies ist der Pfad zu den Konfigurationsdateien. Der hierfür erforderliche Befehl lautet: chown -R netwitness:netwitness /var/ace.

Damit ist die Konfiguration des PAM-Agent für SecurID abgeschlossen. Fahren Sie jetzt mit dem nächsten Abschnitt fort: Konfigurieren und Testen des NSS-Services.

Konfigurieren und Testen des NSS-Services

Wählen Sie einen NSS-Service aus.

Es stehen drei NSS-Services zur Auswahl: Samba, LDAP und UNIX. Jede der drei Methoden ist mit Vor- und Nachteilen verbunden.

                           
NSS Samba – VorteileNSS Samba – Nachteile
Speziell auf Active Directory zugeschnittenKann nicht mit anderen als Active Directory-Back-ends verwendet werden
Minimale bis gar keine Konfiguration von Active Directory erforderlichKonfiguration und Troubleshooting potenziell schwieriger
Keine besonderen Benutzerkonten erforderlichNW-Server-Rechner muss der Active Directory-Domain hinzugefügt werden
 Verwendet viele Ports für die Kommunikation mit Active Directory; Implementierung über Firewalls und Proxyserver hinweg schwieriger

 

                         
NSS LDAP – VorteileNSS LDAP – Nachteile
Basiskonfiguration einfacherKann zusätzliche Konfiguration und Rollen innerhalb von Active Directory erfordern
Kann mit jeder LDAP-Implementation kommunizierenErfordert Konfiguration eines LDAP-Bind-Kontos
Verwendet einen einzigen TCP-Port für die Kommunikation - einfacher im Umgang mit Firewalls und ProxyserverSchwieriger, sicheren Transport zu aktivieren, wenn nicht so konfiguriert, dass Serverzertifikate nicht validiert werden
Hinzufügen des NW-Hosts zur Active Directory-Domain nicht erforderlich 

NSS UNIX

Es ist keine Konfiguration zur Aktivierung des NSS-UNIX-Moduls erforderlich. Dieses ist bereits standardmäßig im Betriebssystem des Hosts aktiviert. Fügen Sie zur Autorisierung eines Benutzers für eine spezifische Gruppe diesen Benutzer einfach zum Betriebssystem und zur Gruppe hinzu:

  1. Erstellen Sie eine Betriebssystemgruppe, um Ihren externen Benutzer mit diesem Befehl hinzuzufügen:
    groupadd <groupname>
  2. Fügen Sie den externen Benutzer mit diesem Befehl dem Betriebssystem hinzu:
    adduser -G <groupname> -M -N <externalusername>

Hinweis: Beachten Sie, dass dies NICHT zum Zugriff auf die NW-Server-Konsole berechtigt.

Damit ist die Konfiguration für NSS UNIX abgeschlossen. Fahren Sie fort mit dem Abschnitt „Testen der NSS-Funktion“.

NSS Samba

Active Directory-Winbind-Kommunikationsports

Interne Tests legen nahe, dass mindestens die folgenden Ports geöffnet sein sollten, damit NSS Samba funktioniert. Diese werden nur zur Referenz bereitgestellt.

TCP 88 – Kerberos
TCP 139 – Netbios
TCP 389 – LDAP
UDP 53 – DNS
UDP 88 – Kerberos
UDP 389 – LDAP

Zusätzliche Ports können je nach standortspezifischen Implementierungsanforderungen erforderlich sein. Der folgende Artikel enthält Informationen zu allen Ports, die für die Active Directory-Kommunikation erforderlich sein können: http://technet.microsoft.com/en-us/library/dd772723(ws.10).aspxhttp://technet.Microsoft.com/de-de/library/dd772723%28WS.10%29.aspx.

So konfigurieren Sie NSS Samba:

  1. Bearbeiten Sie die Samba-Konfigurationsdatei /etc/samba/smb.conf wie folgt. Ersetzen Sie Variablen, die mit <Spitzklammern> abgesetzt sind, durch Ihre Werte und lassen Sie die Spitzklammern weg. Die angegebene Groß- und Kleinschreibung muss befolgt werden.
    [global]
    workgroup = domain
    netbios name = <NW_APPLIANCE_HOSTNAME>
    password server = <ADSERVER.DOMAIN.COM>
    realm = <DOMAIN.COM>

    local master = no
    security = ads
    syslog only = yes
    log file = /var/log/samba/log.%m
    max log size = 5120
    idmap config * : range = 16777216-33554431
    template shell = /bin/bash
    winbind use default domain = true
    winbind offline logon = false
    winbind enum groups = yes
  2. Geben Sie die folgenden Befehle ein, um den Windows-Binding-Service winbind zu aktivieren und zu starten:
    systemctl enable winbind
    systemctl start winbind
  3. Bearbeiten Sie die NSS-Konfigurationsdatei, /etc/nsswitch.conf. Aktualisieren Sie nur die beiden unten stehenden Einträge und belassen Sie für die anderen die Standardwerte:
    passwd:     files winbind
    group:      files winbind
  4. Geben Sie für den Beitritt zur Domain den folgenden Befehl ein:
    net ads join -U <DomainAdminUser>
  5. Geben Sie zum Speichern der Domain-Controller-SID den folgenden Befehl ein:
    net rpc getsid -S <SERVER.DOMAIN.COM>
  6. Testen Sie die NSS-Funktion, wie im Abschnitt Testen der NSS-Funktion beschrieben.  
  7. Wenn Sie festgestellt haben, dass NSS von der Befehlszeile aus richtig funktioniert, geben Sie den folgenden Befehl ein, um den Host neu zu starten, damit die Änderungen an NSS wirksam werden.
    reboot

So führen Sie ein Troubleshooting von NSS Samba durch:

So stellen Sie fest, ob NSS Winbind erfolgreich mit Active Directory kommunizieren kann:

  1. Geben Sie die folgenden Befehle ein:
    wbinfo -u, um eine Liste der Active Directory-Benutzer zurückzugeben
    wbinfo -g, um eine Liste der Active Directory-Gruppen zurückzugeben
  2. Wenn keiner der Befehle erfolgreich ist, führen Sie winbind im Konsolen-Debug-Modus aus, indem Sie die folgenden Befehle eingeben:
    systemctl stop winbind
    winbindd -S -F -d <optional debugleve 0-10>
  3. Wiederholen Sie Schritt 1 in einer separaten ssh-Sitzung aus und untersuchen Sie die winbindd-Ausgabe auf Hinweise zu dem Problem.
    Erhöhen Sie die Ausführlichkeit von winbindd nach Bedarf.
  4. Nehmen Sie alle notwendigen Anpassungen an /etc/samba/smb.conf vor.
  5. Beenden Sie im winbindd-Debug-Fenster aus Schritt 2 winbindd, indem Sie CTRL-C eingeben.
    Wiederholen Sie die Schritte 1 und 2 und fahren Sie mit dem Troubleshooting fort, bis die wbinfo-Befehle erfolgreich sind.
  6. Wenn die wbinfo-Befehle erfolgreich ausgeführt wurden, verwenden Sie die getent-Befehle aus dem Abschnitt „Testen der NSS-Funktion“ in diesem Leitfaden, um NSS zu testen.
    getent passwd <pamUser>
    getent group <groupOfPamUser>
  7. Wenn getent erfolgreich ausgeführt wurde, beenden Sie die Befehlszeile winbindd, indem Sie CTRL-C eingeben. Geben Sie dann den folgenden Befehl ein, um den Service-Daemon zu starten:
    systemctl start winbind

Wenn wbinfo -g von der Befehlszeile erfolgreich ist, aber die Suche nach externer Gruppenzuordnung keine Active Directory-Gruppen anzeigt:

  1. Fügen Sie die folgenden Zeilen zu /etc/samba/smb.conf hinzu:
    allow trusted domains = no
  2. Geben Sie systemctl restart winbind  ein.

Damit ist die Konfiguration für NSS Samba abgeschlossen. Fahren Sie fort mit dem Abschnitt „Testen der NSS-Funktion“.

NSS LDAP

Hinweis: Diese Anweisungen erfordern, dass für alle Active Directory-PAM-Benutzer- und NSS-Gruppenobjekte die Attribute uidNumber und gidNumber auf UID- und GID-Nummern im UNIX-Stil festgelegt sind, damit sie von NSS LDAP verwendet werden können. Ältere Active Directory-Schemata verfügen möglicherweise nicht standardmäßig über diese Attribute. Neuere Active Directory-Schemata verfügen möglicherweise über diese Attribute, sie sind aber eventuell nicht in jedem Objekt definiert. Die korrekte Konfiguration dieser Attribute geht über den Rahmen dieses Dokuments hinaus. Wenden Sie sich an Ihren Active Directory-Administrator, um diese Attribute für Ihre PAM-Benutzer und NSS-Gruppen definieren zu lassen.

Ein LDAP-Bind-Benutzer muss in Active Directory erstellt werden, damit NSS verwendet werden kann. Dieser Benutzer muss so konfiguriert werden, dass sein Passwort nicht abläuft. Da diese Anmeldedaten für den NSS LDAP-Service in Klartext angegeben werden müssen, müssen die Berechtigungen von /etc/nslcd.conf auf dem Standardwert von 600 belassen werden, damit die Datei von keinen anderen Benutzern des Systems außer Root gelesen werden kann.

LDAP-Kommunikationsports – TCP 389 oder TCP 636

TCP 389 kann für unverschlüsselten und in den meisten Fällen auch für verschlüsselten Datenverkehr verwendet werden und ist in der Regel ausreichend. Die meisten modernen LDAP-Implementierungen unterstützen nach dem Verbinden mit Port 389 den Befehl start_tls, mit dem der Status der Verbindung von unverschlüsselt zu verschlüsselt hochgestuft wird. In dieser Instanz beginnen LDAP-URIs immer noch mit ldap://, auch wenn sie start_tls verwenden.

TCP 636 wird nur in Instanzen verwendet, in denen der LDAP-Server den Befehl start_tls nicht unterstützt.  In dieser Instanz beginnen LDAP-URIs mit ldaps:// und der Befehl start_tls wird nicht verwendet.

So konfigurieren Sie das NSS-Modul für LDAP mit Active Directory:

  1. Rufen Sie das Paket nss-pam-ldapd aus dem SMCUPDATE-Repository oder aus dem Update-Repository für den NetWitness-Server ab, wenn der Server mit SMCUPDATE synchronisiert wird. Dies erfordert ein konfiguriertes Live-Konto in NetWitness Suite.
  2. Führen Sie für die Installation des Pakets den folgenden Befehl aus:
    yum install nss-pam-ldapd
  3. Bearbeiten Sie /etc/nslcd.conf so, dass die Zeilen unten enthalten sind, und vergewissern Sie sich dabei, dass alle vorhandenen Zeilen in der Datei zunächst mithilfe des Hash-Zeichens # am Anfang der Zeile auskommentiert sind:
    uid nslcd
    gid ldap
    uri ldap://<server.domain.com>
    base <dc=domain,dc=com>
    binddn <cn=binduser,dc=domain,dc=com
    bindpw <secret>

    Hinweis: Sie müssen zusätzliche Zuordnungen zwischen den NSS- und LDAP-Suchvorgängen für Ihre spezifische Umgebung hinzufügen. Genaue Details erhalten Sie auf der Linux-Manpage für nslcd.
  4. (Optional) Wenn Sie einen sicheren Transport für die LDAP-Kommunikation mit Peer-Zertifikatüberprüfung (höhere Sicherheit) aktivieren möchten, finden Sie auf der Linux-Manpage für nslcd die korrekte Codeänderung für die Datei /etc/nslcd.conf.

Hinweis: Windows-Domain-Controller ermöglichen standardmäßig keinen sicheren LDAP-Transport. Sie erfordern die Installation eines Serverzertifikats für die Serverauthentifizierung. Abruf und Installation dieses Zertifikat auf dem DC gehen über den Umfang dieses Dokuments hinaus. Einige Informationen dazu sind verfügbar unter der folgenden URL: https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx

  1. (Optional) Wenn Sie einen sicheren Transport für die LDAP-Kommunikation ohne Peer-Zertifikat aktivieren möchten, finden Sie auf der Linux-Manpage für nslcd die korrekte Codeänderung für die Datei /etc/nslcd.conf.
  2. Bearbeiten Sie die NSS-Konfigurationsdatei /etc/nsswitch.conf. Aktualisieren Sie nur die beiden unten stehenden Einträge und belassen Sie für die anderen die Standardwerte:
    passwd:files ldap
    group:files ldap
  3. Geben Sie diese Befehle ein, um den NSLCD-Service zu aktivieren und zu starten:
    systemctl enable nslcd
    systemctl start nslcd
  4. Testen Sie die NSS-Funktion anhand der Informationen im Abschnitt Testen der NSS-Funktion. Wenn die NSS-Tests fehlschlagen, führen Sie ein Troubleshooting von NSS LDAP wie in Troubleshooting von NSS LDAP beschrieben durch.
  5. Wenn Sie überprüft haben, ob NSS von der Befehlszeile aus richtig funktioniert, starten Sie den Host neu, damit die Änderungen an NSS wirksam werden.
    reboot

So führen Sie ein Troubleshooting von NSS LDAP durch:

  1. Beenden Sie für das Troubleshooting von NSS LDAP zunächst den nslcd-Service, indem Sie den folgenden Befehl eingeben:
    systemctl stop nslcd
  2. Um Troubleshooting- und Statusinformationen vom Service an die Konsole auszugeben, führen Sie in der Befehlszeile den nslcd-Service im Debug-Modus aus:
    nslcd -d
  3. (Optional) Fügen Sie zur Steigerung der Ausführlichkeit des Debuggings zusätzlich mehrmals den Buchstaben „d“ am Ende von „nslcd -d“ hinzu. Geben Sie also zum Beispiel den folgenden Befehl ein:
    nslcd -ddd
  4. Verwenden Sie von einer separaten ssh-Sitzung aus die getent-Befehle aus dem Abschnitt „Testen der NSS-Funktion“ in diesem Leitfaden, um NSS zu testen. Untersuchen Sie die Debug-Ausgabe von nslcd auf Hinweise, wo der Fehler auftritt.  Erhöhen Sie die Ausführlichkeit des Debuggings von nslcd nach Bedarf.
    getent passwd <pamUser>
    getent group <groupOfPamUser>
  5. Nehmen Sie alle notwendigen Anpassungen an /etc/nslcd.conf basierend auf der Ausgabe von Schritt 2 oder 3 vor.
  6. Beenden Sie im nslcd-Debug-Fenster aus Schritt 2 oder 3 nslcd mit CTRL-C.  Wiederholen Sie Schritt 2 oder 3 und fahren Sie mit dem Troubleshooting fort, bis der Befehl getent erfolgreich ist.
  7. Wenn getent erfolgreich ist, beenden Sie die Befehlszeile nslcd und starten Sie den Service-Daemon:
    systemctl start nslcd

Folgende Probleme treten häufiger auf:

  • Das SSL-Zertifikat für sicheren LDAP-Transport ist nicht auf dem LDAP/Active Directory-Server installiert.
  • Die Überprüfung des CA-Zertifikats ist fehlgeschlagen. Kommentieren Sie die Zeile tls_cacert in /etc/nslcd.conf aus und versuchen Sie es stattdessen mit tls_reqcert never.  Wenn das Erfolg hat, wissen Sie, dass die Zertifikatüberprüfung fehlgeschlagen ist.
    • Das Zertifikat der Stammzertifizierungsstelle ist nicht im PEM-Format.
    • Es wird das Zertifikat der ausgebenden Zertifizierungsstelle, nicht der Stammzertifizierungsstelle verwendet.
    • Der Name des SSL-Zertifikats des LDAP-Servers entspricht nicht seinem Hostnamen.
  • Basis-DN ist nicht korrekt.
  • LDAP-Bind-Benutzer oder -Passwort nicht korrekt angegeben
  • Fälschlicherweise ist ldaps:// statt ldap:// in Zeile uri von /etc/nslcd.conf angegeben. ldaps:// darf nur verwendet werden, wenn LDAPS verwendet wird, jedoch nicht mit dem Befehl start_tls.
  • Bei Active Directory-Benutzern und -Gruppen ist das Attribut uidNumber oder gidNumber nicht festgelegt.
  • Die Firewall des Netzwerks blockiert die Kommunikation.
  • Der Hostname des angegebenen LDAP-Servers kann nicht aufgelöst werden.
    • Falsche DNS-Einstellungen in /etc/resolv.conf
    • Falscher Hostname in Zeile uri von /etc/nslcd.conf angegeben

Damit ist die Konfiguration für NSS LDAP abgeschlossen. Fahren Sie fort mit dem Abschnitt „Testen der NSS-Funktion“.

Testen der NSS-Funktion

Verwenden Sie die folgenden Befehle, um zu testen, ob NSS mit allen vorherigen NSS-Services funktioniert:

getent passwd <pamUser>
getent group <groupOfPamUser>

Die Ausgabe sollte ähnlich aussehen wie:

[root@~]# getent passwd myuser
myuser:*:10000:10000::/home/myuser:/bin/sh

[root@~]# getent group mygroup
mygroup:*:10000:myuser3

  • Wenn keiner der Befehle eine Ausgabe generiert, funktioniert NSS für die externe Autorisierung nicht einwandfrei. Konsultieren Sie die Troubleshooting-Informationen für Ihr NSS-Modul in diesem Dokument.
  • Wenn die getent-Befehle erfolgreich ausgeführt wurden und die erfolgreiche Authentifizierung in /var/log/secure bestätigt wird, NetWitness Suite jedoch die Anmeldung externer Benutzer weiterhin nicht zulässt:
    • Wurde der richtige Gruppenname für die NSS-Gruppe in der externen Gruppenzuordnung von NW angegeben?  Siehe „Aktivieren von PAM“ und „Erstellen von Gruppenzuordnungen“ unten.
    • Es ist möglich, dass die NSS-Konfiguration geändert wurde und NetWitness Suite die Änderung nicht übernommen hat.  Nach einem Neustart des NetWitness Suite-Hosts werden die Änderungen an der NSS-Konfiguration in NetWitness Suite wirksam.  Ein Neustart von jetty ist nicht ausreichend.

Fahren Sie mit dem nächsten Abschnitt fort: „Aktivieren von PAM in NetWitness-Server“.

Aktivieren Sie PAM in NetWitness-Server.

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Sicherheit.
    Die Ansicht „Administration > Sicherheit“ wird mit geöffneter Registerkarte „Benutzer“ angezeigt.
  2. Klicken Sie auf die Registerkarte Einstellungen.
  3. Wählen Sie unter PAM-Authentifizierung die Option PAM-Authentifizierung aktivieren aus und klicken Sie auf Anwenden.
    Dies ist ein Beispiel für den Abschnitt „PAM-Authentifizierung“.

Testen der PAM-Authentifizierung

So testen Sie die externe Authentifizierung für PAM:

  1. Navigieren Sie zu ADMIN > Sicherheit.
    Die Ansicht „Sicherheit“ wird mit geöffneter Registerkarte Benutzer angezeigt.
  2. Klicken Sie auf die Registerkarte Einstellungen.
  3. Wählen Sie unter PAM-Authentifizierung die Option PAM-Authentifizierung aktivieren aus.
    Bild der Bereiche der PAM-Authentifizierungs- und Active Directory-Konfigurationen auf der Registerkarte „Einstellungen“
  4. Klicken Sie unter PAM-Authentifizierung auf Testen.
    Das Dialogfeld PAM-Authentifizierungstest wird angezeigt.
    Bild des Dialogfelds „PAM-Authentifizierungstest“, das die Eingabe eines Benutzernamens und eines Passworts erfordert
  5. Geben Sie einen Benutzernamen und ein Passwort ein, die Sie zur Authentifizierung mit der aktuellen PAM-Konfiguration testen möchten.
  6. Klicken Sie auf Testen.
    Die externe Authentifizierungsmethode wird getestet, um die Konnektivität sicherzustellen
  7. Wenn der Test fehlgeschlagen ist, überprüfen und bearbeiten Sie die Konfiguration.

PAM wurde aktiviert und die Active Directory-Konfigurationen bleiben ebenfalls aktiviert. PAM-Konfigurationen werden automatisch auf der Registerkarte „Externe Gruppenzuordnung“ aufgeführt, sodass Sie jeder Gruppe Sicherheitsrollen zuordnen können. Wie Sie Sicherheitsrollen für den PAM-Zugriff konfigurieren, erfahren Sie unter Schritt 5. (Optional) Zuordnen von Benutzerrollen zu externen Gruppen.

You are here
Table of Contents > Einrichten von Systemsicherheit > Schritt 4. (Optional) Konfigurieren der externen Authentifizierung > Konfigurieren der PAM-Anmeldefunktion

Attachments

    Outcomes