Kerberos a LDAP

Adresářová služba LDAP a autentikace pomocí Kerberos nejsou ve světě IT žádnými novinkami. Široká škála jejich implementací pokrývá jak platformu Windows (ActiveDirectory), tak svět unixových a linuxových distribucí (389 Directory Server, OpenLDAP, Sun ONE Directory Server a další).

S narůstající složitostí IT systémů a jejich správy se administrátoři i vývojáři často vzdalují základní konfiguraci nebo implementaci jednotlivých služeb a používají nadstavbu konfiguračních nástrojů nebo vyšší implementační postupy, aniž by měli detailní znalosti o funkcích, možnostech a omezeních základních technologických prvků nebo protokolů.

Kurz Kerberos a LDAP jde v tomto ohledu ke kořenům. Je koncipován tak, že jednak poskytne systematický úvod do fungování obou služeb jednotlivě i ve vzájemném propojení a dále poukáže na některé speciální vlastnosti a aspekty jejich nasazení. Teoretický výklad se v kurzu střídá s praktickými laby tak, aby účastníci po absolvování kurzu měli kromě teoretického porozumění schopnosti a dovednosti bezprostředně použitelné při nasazování a správě obou technologií.

Možnosti financování 

Cena za účastníka 5.642 Kč vč. DPH s podporou v programu JSEM V KURZU v rámci Národního plánu obnovy (registrace zde).
Cena za účastníka 31.339 Kč vč. DPH bez podpory (tj. 25.900 Kč bez DPH).

Cílová skupina

• systémoví administrátoři
• projektanti IT systémů
• vývojáři aplikací
  
  

Cíle kurzu

• porozumět principům adresářových služeb a protokolu LDAP
• osvojit si různé typy modelů při návrhu adresářové služby
• umět provést standardní instalaci a základní konfiguraci serveru OpenLDAP
• porozumět problematice zabezpečení dat v LDAP adresáři a řízení přístupu k datům
• umět základní manipulace s daty v LDAP – vkládání a mazání, změny obsahu a vyhledávání
• získat znalosti o monitorování, zálohování a vysoké dostupnosti LDAP
• umět nastavit LDAP klienta a použít LDAP jako autentikační a autorizační službu
• porozumět účelu a principům Kerberos
• umět provést standardní instalaci a konfigurace Kerberos serveru, konfiguraci klientů a kerberizovaných služeb na aplikačních serverech
• umět použít Kerberos jako autentikační autoritu pro přístup k LDAP datům
• vědět, jak jednoduše nastavit na systému s RHEL centralizovanou autentikaci a správu účtu s využitím Kerberos a LDAP
• porozumět použití Kerberos pro zabezpečení NFSv4
  
  

Osnova

• Úvod do adresářových služeb a typy modelů
  • Co je adresářová služba
  • Příklady použití adresářové služby
  • Historie služby X.500 a její slabiny
  • LDAP jako nástupce X.509
  • Typy LDAP modelů: informační, jmenný, funkcionální a bezpečnostní
• Informační model
  • Adresářové schema: atributy, třídy, OID
  • Standardy definování schemat
  • Definice atributů
  • Vyhledávání a porovnávací operátory pro atributy
  • Objektové třídy: strukturální a pomocné
  • Odvozování a dědičnost ve třídách
  • Speciální pomocná třída extensibleObject
  • LDIF
  • Aspekty při rozvrhování adresářové služby
  • Bezpečnost dat v adresáří a řízení přístupu k  datům
• Jmenný model a organizace dat
  • Distinguished Name a Directory Information Tree
  • Role sufixu a jeho volba
  • Dvě základní koncepce jmenného prostoru: hloubka a šíře
  • Definice jmenného prostoru v LDIF
  • Projektování adresáře
• Práce s existujícím adresářem
  • Funkcionální model
  • Dotazování (search, compare)
  • Manipulace s daty (add, delete, modify, modify RDN)
  • Autentikace (bind, unbind, abandon)
  • Řádkové nástroje balíku openldap-clients
  • Konfigurace LDAP klienta
  • Vyhledávání v adresáři: rozsahy, operátory a filtry
  • Speciální sufixy cn=config, cn=monitor a cn=schema
  • Praktické použití ldapadd, ldapdelete, ldappasswd, ldapmodify
  • Použití formátu LDIF pro manipulaci s daty
• Autentikace a bezpečnost
  • Autentikace-autorizace-audit
  • Autentizační metody: simple-bind a SASL-bind
  • Bezpečná komunikace: TLS a SSL
  • Tvorba a instalace certifikátu pomocí OpenSSL, konfigurace klienta
  • Politika řízení klientského přístupu k adresářové službě: bind-policy
  • Bezpečnost dat: šifrování a Access Control Lists
• Provoz
  • Instalace jednoduché LDAP služby s použitím OpenLDAP
  • Vysoká dostupnost a replikace
  • Distribuce dat: refereall
  • Zálohování a disaster recovery
  • Zvýšení efektivity přístupu: indexování
  • Monitorování a logování
• LDAP jako centrální autentikační autorita
  • Projektové úvahy: výběr tříd a mapování atributů
  • LDAP a PAM
  • Jednoduchá cesta: LDAP, authconfig a sssd
  • LDAP a Samba: krátké nahlédnutí
• Kerberos, počítáme do tří
  • Historický úvod: co je Kerberos a co Cerberus?
  • Základní pojmy a zkratky: KDC, AS, TGS, TGT, principal, realm, a další.
  • Od klienta ke KDC a aplikačnímu serveru: jak to všechno funguje
  • Aktuální implementace: krb5, balíky, služby a konfigurační soubory
  • Kerberos, DNS a NTP
• Instalace a bezpečnost
  • Jednoduchá instalace Master KDC, kadmin,další nástroje a utility
  • Prvotní zabezpečení: conf a kadm5.acl
  • Instalace aplikačního serveru, principály služeb, keytabs a nástroje ktutil a kvno
  • Příprava klientského systému: instalace balíků a konfigurace
  • Testovací trivium: kinit, klist a kdestroy
  • Zabezpečení komunikace: preautentikace klienta a validace tiketu
  • Vysoká dostupnost: replikace, slave KDC
  • Zálohování a obnova KDC databáze
• Kerberos a přístup k LDAP
  • GSSAPI mechanismus v SASL
  • LDAP jako „kerberizovaná“ služba
  • Mapování GSSAPI autentikovaných uživatelů
• Centralizovaná správa účtů a něco navíc
  • Kerberos a PAM
  • Jednoduchá cesta: Kerberos, LDAP, authconfig a sssd
  • Vztahy přímé a nepřímé důvěry mezi KDC
  • Kerberos jako zdroj šifrovacích klíčů: NFSv4
  • Ještě je tu IPA

Předpoklady účastníka

• praktické ovládání standardních administračních postupů na systémech s RHEL/CentOS verze 7.x: instalace balíků, správa služeb, konfigurace
• rutinní práce s příkazovým řádkem, editory vim nebo nano (Upozornění: naprostá většina postupů a příkladů se odehrává v prostředí příkazového řádku)
• základní znalost síťových protokolů IP/TCP