Æ-DIR - Authorized Entities Directory

Transkript

1 Æ-DIR - Authorized Entities Directory - Identity & Access-Management mit OpenLDAP - KA-IT-Si STROEDER.COM - 1 -

2 Michael Ströder Freiberufler Schwerpunkte Identity & Access Management, Directory Services (LDAP) Single Sign-On, Multi-Factor Authentication PKI (X.509, SSH), Angewandte Verschlüsselung Open Source / Freie Software: Æ-DIR, OATH-LDAP, web2ldap STROEDER.COM - 2 -

3 Allgemeine Sicherheitsanforderungen Generelle Prinzipien Need-to-know Least Privilege Separation of Duties Berechtigungen notwendig Delegierte Administration überschaubarer Bereiche Nachvollziehbarkeit von Änderungen Prüfung der Einhaltung von Richtlinien (Compliance) STROEDER.COM - 3 -

4 Secure DevOps Aufgabenteilung nach Teams Unterschiedliche Sicherheitsrichtlinien Z.B. Netzwerktrennung (infra, frontend, middleware, backend) DevOps staging environments dev: Entwickler haben vollen Zugriff test: Manche Entwickler haben Zugriff prod: Nur Betriebsteam, ggf. temporärer Zugriff für Entwickler STROEDER.COM - 4 -

5 Agile DevOps Bearbeitung von Anträgen ist nicht agil Jemand der entscheiden kann, sollte es gleich selbst tun Beantragungsprozesse vermeiden Feingranulierte Autorisierung notwendig STROEDER.COM - 5 -

6 Paradigmen Explizit ist besser als implizit Sichere Autorisierung erfordert sichere Authentifizierung Vermeiden von Stellvertreterrollen (HelpDesk, Systeme) Berechtigungen ohne streng hierarchische Strukturen Eine Person ist kein Benutzer Mehrere Benutzer pro Person für verschiedene Rollen Persistente IDs werden nie wieder benutzt STROEDER.COM - 6 -

7 Rollenkonzept Æ-DIR Æ admins delegieren Zonen, sonst nichts Æ auditors können (fast) alles lesen Zonen-Admins pflegen die Daten einer Zone Zonen-Auditoren können eine Zone einsehen Setup-Admins verwalten Hosts/Dienste innerhalb einer Service-Gruppe Benutzer können eigene Einträge lesen und eigenes Passwort ändern STROEDER.COM - 7 -

8 2-stufige Architektur admin workstation LDAPS Æ-DIR provider slapd custom tool web browser HTTPS mdb LDAPI LDAPI SSH client pgadmin web apps maintenance tools SSH Unixoid server aehostd DB server postgresql web server Apache httpd Æ-DIR consumer slapd mdb LDAPS (syncrepl) LDAPS STROEDER.COM - 8 -

9 Directory Information Tree (DIT) ou=ae-dir aeroot cn=pub aezone cn=ae aezone cn=people aezone cn=ae-users aegroup cn=sudo-defaults aesudorule cn=example aezone uniqueidentifier=p23 aeperson departmentnumber=d42 aedept uid=foo1 aeuser cn=example-grp-1 aegroup cn=example-srvgrp aesrvgroup cn=example-sudo aesudorule cn=example-zone-admins aegroup cn=example-zone-auditors aegroup host=example-srv aehost uid=system_example1 aeservice cn=eth0 aenwdevice cn=bond0 aenwdevice STROEDER.COM - 9 -

10 E/R-Diagramm aezone aeperson aezoneadmins aezoneauditors aepasswordadmins aeuser aeperson member aegroup aesetupgroups aelogstoregroups aelogingroups aevisiblegroups aedisplaynamegroups aesrvgroup aevisiblesudoers aesudorule aeproxyfor sudouser aeservice (child of) or aesrvgroup aeservice aehost (child of) aenwdevice STROEDER.COM

11 Eindeutige IDs Sichere Autorisierung erfordert eindeutige Bezeichner Eindeutige IDs für verschiedene Objekte: uid, uidnumber, gidnumber, cn, aefqdn, macaddress... Durch den Eintrag einer ID in einer Zone werden Zonen- Admins zu Besitzern der ID Nützlich für die delegierte Administration von DNS/DHCP, NAC, PKI, etc. STROEDER.COM

12 Benutzerkennungen Benutzerkennungen sind Primärschlüssel auf Datenbestände angeschlossener Systeme Benutzerkennungen werden protokolliert Nicht basierend auf Personennamen! Werden nicht wieder verwendet! Benutzerkonten können nur deaktiviert werden Status archiviert schränkt Sichtbarkeit ein (DSGVO) STROEDER.COM

13 LDAP-Integration Schema basiert auf Standards (inetorgperson, RFC 2307,etc.) Æ-DIR-Schema wird nicht client-seitig benutzt nahezu jedes LDAP-fähige System direkt integrierbar Allgemeine Meta-Daten (Status, Nutzungsdauer, Verwendungszweck, Ticket-Nr.) STROEDER.COM

14 Protokollierung Schreiboperationen werden in separate Datenbank protokolliert vollständige Repräsentation der LDAP-Schreiboperation Ein Traum für Auditoren Technisch: OpenLDAP-Overlay accesslog OpenLDAP protokolliert in syslog zentraler Log-Dienst Automatische Log-Auswertung empfohlen (z.b. err=49) STROEDER.COM

15 Praxiseinsatz Ca. 150 Mitarbeiter, verteilte Standorte, 300+ Server Æ-DIR als zentrales IAM-System Personaldaten aus NetSuite MacOS-Integration Basis-Accounts werden in AD/Exchange synchronisiert DevOps-Accounts werden ins Azure AD sychronisiert Login Azure-Portal via SAMLv2 IdP 2-Faktor authc mit yubikey STROEDER.COM

16 SOHO-Einsatz Eat you own dog food! 7 W, libvirt/kvm postfix/dovecot Apache FreeRADIUS (WIFI) Image: thomas-krenn.com STROEDER.COM

17 aehostd Spezielle Client-Komponente für Linux-Logins Für Integration vieler Linux-Systeme (1000+) Kennt Schema und kann effizienter suchen Spezieller Mechanismus für automatisches Enrollment des Host-Passworts Besseres Verhalten der LDAP-Verbindungen Nützliche Spezial-Features: virtuelle Rollengruppen, Client-Tracking-Logs, etc. STROEDER.COM

18 SSH-Proxy mit Autorisierung admin workstation ssh ProxyCommand looked up for <target> in local config Æ-DIR consumer slapd mdb SSH SSH proxy sshd pam_sss nss_sss sssd target system wrapper script (ForceCommand) full shell for GW admins sudo-ldap LDAPS ssh TCP (SSH tunnel) nc <target>:22 Authz Check SSH key query by ae-uid ae_checkd STROEDER.COM

19 Fazit Mehr Sicherheit ist möglich ist aber anstrengend Gute Modellierung der Berechtigungen meist erst im 2. Wurf Rückhalt des Managements hilft (Budget!) Schulung notwendig Change-Management! STROEDER.COM

20 Links Dokumentation: Ausprobieren: Installieren: STROEDER.COM

21 :-/?! STROEDER.COM