Danilo Bordini
id
A ferramenta de linha de comando id é uma ferramenta nativa do UNIX usada para a obtenção dos IDs de usuário e grupos do usuário atual ou de um especificado. No contexto deste guia, é mais útil para validar que o uid e gid de um usuário estejam sendo resolvidos para o nome de usuário e nome de grupo corretos.
groups
A ferramenta de linha de comando groups é uma ferramenta UNIX usada para a obtenção de IDs de usuário e grupo do usuário atual ou de um grupo especificado. No contexto deste guia, é mais útil para validar que todos os grupos de usuários de um Active Directory estejam sendo retornados e resolvidos corretamente para os nomes de grupo depois do logon.
CSS ADKadmin
A ferramenta CSS ADKadmin (css_adkadmin) foi criada para permitir que um administrador de sistema gerencie contas de usuários e de computadores em um banco de dados Active Directory a partir de um host UNIX. No contexto deste guia, é usado criar entidades de serviço e gravá-las em tabelas-chave do diretório.
A ferramenta também é útil para visualizar atributos de contas de usuários e computadores. Ela pode ser usada como linha de comando UNIX ou através do shell de comando da ferramenta. Veja os exemplos a seguir.
O comando a seguir, executado em uma linha de comando UNIX, cria uma entidade de serviço, host/unix01.example.com, com uma chave DES no container ou=computers,ou=unix,dc=example,dc=com em Active Directory e a grava na tabela-chave de serviços padrão (/etc/krb5.keytab ou /etc/krb5/krb5.keytab, dependendo da platforma) no host UNIX. O banco de dados Active Directory é avaliado como usuário adminuser.
css_adkadmin -p adminuser -q "ank +use_des \
-group ou=computers,ou=unix,dc=example,dc=com -k host/unix01.example.com"
A ferramenta CSS ADKadmin é disponibilizada gratuitamente para download no site Certified Security Solutions em http://www.css-security.com/downloads.html.
Essa semana nos Estados Unidos acontece um evento da Microsoft destinado ao tema "Virtualização". Chamado de Get Virtual Now , ele engloba as soluções de virtualização da Microsoft em várias camdas: desktops, servidores, aplicações e claro, como tornar esse ambiente seguro e gerenciável. Muito deste conteúdo será apresentado também no Tech-Ed Brasil 2008.
Algo de destaque a mencionar foram alguns anúncios feitos:
Maiores informações: Virtualization Team Blog.
Já que o tema é virtualização, um profisisonal do Brasil (Erick Sasse) me enviou um email contando como ele está usando esse recurso para otimizar seu dia a dia. Achei o caso bem interessante, e com a devida autorização dele, estou indicando em meu blog: Migração VMWare Server para Hyper-V
A Ethereal é uma ferramenta de análise de protocolos de código aberto disponível em versões para Windows e UNIX em http://www.ethereal.com.
Ao contrário do Network Monitor, o Ethereal pode ser usado para ler arquivos de rastreamento gerados por muitos outros aplicativos, incluindo a ferramenta de sniffing Solaris. Para soluções Solaris, pode ser útil usar o comando de sniffing Solaris no cliente UNIX e então ler o arquivo de sniffing com o Ethereal.
Para Estados Finais 1 e 2, cada tentativa de logon com pam_krb5 gera até três solicitações com respostas associadas:
1. Uma solicitação inicial para um TGT. Essa solicitação não é acompanhada por dados de pré-autenticação e pode gerar uma resposta do servidor de que são exigidos dados pré-autenticados. Para a maioria das configurações e logins, dados pré-autenticados são requeridos. Se esse for o caso, a primeira solicitação receberá uma resposta de erro de KRB5KDC_ERR_PREAUTH_REQUIRED. Se o usuário foi configurado com o marcador "Não requer pré-autenticação Kerberos" (requerido para logon Estado Final 2 para nativo Solaris via dtlogin devido a algum bug no sistema operacional), o ticket será concedido neste estágio e a solicitação 2 será pulada.
2. Uma segunda solicitação para um TGT acompanhada de dados de pré-autenticação. Se o nome e senha do usuário fornecidos estiverem corretos, o TGT será concedido.
3. Uma solicitação de ticket de serviço para o servidor alvo — entidade host/hostname@REALM, onde hostname é o nome de domínio totalmente qualificado (FQDN) do computador cliente UNIX.
Algumas implementações não pedem ou exigem um ticket de serviço. Se a implementação exige o ticket e o ponto de falha de logon é o pedido de ticket de serviço, o Ethereal deve mostrar uma solicitação com um erro na resposta.
Em algumas configurações, dois grupos destas mensagens podem aparecer no rastreamento — uma mensagem para krbtgt/REALM para autenticação básica e outra mensagem para suporte a mudança de senha kadmin/changepw.
Se nenhum pacote Kerberos for visto no rastreamento, o cliente UNIX não está tentando enviar uma solicitação Kerberos ou o servidor Active Directory não recebeu a solicitação (considerando-se que a ferramenta de rastreamento de pacote esteja rodando no servidor Active Directory). Para soluções Solaris, pode ser bom usar o comando de sniffing Solaris no cliente UNIX para determinar se os pacotes estão sendo solicitados.
Ferramentas de análise de protocolos podem ajudar a solucionar problemas envolvendo Kerberos e LDAP. Elas permitem que você capture ("sniff") todos os pacotes enviados entre seu computador cliente com plataforma UNIX (configurado para autenticação e/ou para autorização no Active Directory) e o servidor Active Directory. Você pode então revisar os pacotes para ajudar a determinar por que a autenticação (usando pam_krb5 ou pam_ldap) ou a autorização (usando nss_ldap) está falhando. Essas ferramentas podem ser úteis para solução de problemas em cada estado final descrito neste guia.
Duas ferramentas principais de monitoramento e análises estão disponíveis para a plataforma Windows (no próximo post falaremos da outra ferramenta):
· Network Monitor. O Network Monitor está incluído no produto Microsoft Windows Server 2003. Não é instalado como parte do sistema operacional base e deve ser instalado usando-se Add/Remove Programs > Add/Remove Windows Components. Ele é instalado como parte da opção Management and Monitoring Tools. Informações sobre o uso do Network Monitor estão disponíveis em http://technet2.microsoft.com/WindowsServer/en/Library/ad2b59d1-0fb8-45e3-9055-a5aeba8817a91033.mspx.
Informações sobre o uso do Network Monitor para solução de problemas envolvendo Kerberos estão disponíveis em http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerberr.mspx.
Visualizador de Eventos (sim, de novo ele ;-))
O Visualizador de Eventos do Windows, como afirmado anteriormente, é usado para visualização do log de mensagens de informação, aviso e erro para o sistema operacional e outros aplicativos gerados no computador de plataforma Windows. A seção seguinte detalha a configuração do Visualizador de Eventos do Windows para exibir informações adicionais específicas para LDAP.
Para habilitar o registro de log estendido LDAP:
· Modifique as entradas de registro DWORD no seguinte local:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Tabela E.1. Subchaves e Níveis de Registro de log para Registro de log Estendido LDAP
Repita esses passos para cada servidor Active Directory no qual você quer configurar registro em log estendido.
ldp
No contexto de teste e solução de problemas, esta ferramenta é mais útil para pesquisar atributos LDAP para usuários e computadores através de uma interface gráfica e para buscar objetos. Você precisa ser um usuário avançado em LDAP para utilizar esta ferramenta. Suas únicas vantagens para o usuário comum sobre a ferramenta adsiedit são as seguintes:
· A funcionalidade de procurar objetos de maneira similar ao ldapsearch, especificando, por exemplo, que você quer ver os atributos para todos os objetos cujo sAMAccountName comece com "test."
· A funcionalidade de ver todos os atributos para um dado objeto imediatamente ao invés de ter de pesquisar através de atributos um por um como é necessário, em certo grau, com o adsiedit.