FreeIPA: как распутать клубок безопасности?
LVEE 2013
Проект FreeIPA позволяет развернуть и централизовано управлять защищенной инфраструктурой для предприятия на основе GNU/Linux. FreeIPA интегрирует Kerberos, LDAP, DNS и собственный центр сертификации, что дает дает возможность простым и наглядным способом через веб- и интерфейс командной строки управлять доступными ресурсами.
В отличие от традиционных подходов, направленных на упрощение администрирования одного сервера, FreeIPA решает комплексную задачу. Репликация данных между серверами делает систему более устойчивой к повышенным нагрузкам и сложным конфигурациям. Интеграция на клиентской стороне позволяет обеспечить полный спектр возможностей — от оффлайновой авторизации до централизованного контроля ресурсов посредством гибких правил.
В Fedora 19 проект FreeIPA расширил свои возможности, добавив двух-факторную авторизацию пользователей и плотную интеграцию с существующими доменами Active Directory.
Двухфакторная авторизация на основе протокола Kerberos стала доступной благодаря усовершенствованиям, вошедшим в MIT Kerberos 1.12 после двух лет работы — вначале над протоколом, описанным в RFC 6560, а затем и непосредственно над инфраструктурой Kerberos FAST. FreeIPA представляет два вида двухфакторной авторизации:
- внутренний OTP, реализованный средствами FreeIPA
- прокси к внешнему серверу RADIUS
В обоих случаях введенные пользователем PIN и переменный код передаются по сети в зашифрованном и подписанном канале соединения Kerberos. FreeIPA является первой в мире системой, представляющей такую возможность. Взаимодействие с внешним сервером RADIUS позволяет прозрачно интегрироваться с любыми источниками авторизации — для пользователя все выглядит как стандартная двухфакторная схема.
Для внутреннего OTP поддерживаются токены TOTP, совместимые, например, с Google Authenticator.
Интеграция с доменами Active Directory позволяет прозрачным образом расширять используемые в организации ресурсы системами на основе GNU/Linux. Для Active Directory в этом случае FreeIPA выглядит как отдельный корневой домен, с которым могут быть установлены доверительные отношения. Контроллеры доменов Active Directory могут выдавать билеты Kerberos своим пользователям для доступа к ресурсам в домене FreeIPA, а на стороне FreeIPA корректно обрабатывается информация о членстве в группах пользователей из Active Directory.
Для реализации этого проекта потребовалась активная интеграция между FreeIPA и Samba. Ведется также работа над расширением Samba AD DC с тем, чтобы получить полностью открытую инфраструктуру организации.
Abstract licensed under Creative Commons Attribution-ShareAlike 3.0 license
Back