Dirk Frehse - IT Professional Blog : Identity & Acess Management

Microsoft e Trusted Computing Group promovem interoperabilidade de controle de acesso de rede (NAC)

dirkfr — Tue, 22 May 2007 19:28:00 GMT

O Trusted Computing Group (TCG) anunciou durante a feria de Interop em Las Vegas que estará anunciando uma nova especificação do seu padrão de software de autenticação para que soluções concebidas usando essa especificação possam ser integradas diretamente com a plataforma de proteção de acesso de rede (NAP) da Microsoft. Esse movimento é visto por líderes do segmento de controle de acesso de rede (NAC) como um importante passo na direção de ter produtos de diferentes fornecedores trabalhando juntos.

Os produtos de NAC, incluindo o Network Access Protection (NAP) da Microsoft, são usados para identificar e autenticar dispositivos que tentam conectar-se à redes e garantir que os mesmos tenham permissão de acesso somente depois de passar por uma série de verificações de saúde de segurança.

Para maiores informações veja o artigo: http://www.infoworld.com/article/07/05/21/Microsoft-TCG-closer-on-NAC_1.html

Oprotunidade de Treinamento em Interoperabilidade Online

dirkfr — Mon, 14 May 2007 17:51:00 GMT

A TechX World Online está oferecendo gratuitamente uma oportunidade de treinamento online sobre as melhores formas de interoperar ambientes Windows e Linux. Para maiores informações visite o site: http://events.unisfair.com/index.jsp?eid=162&seid=230.

Bom treinamento.

Frutos do Acordo Tecnologico entre Microsoft e Novell

dirkfr — Mon, 26 Mar 2007 17:22:00 GMT

Após o anúncio do acordo, os frutos desta parceria começam a ser mostrados. Recentemente, durante a conferencia BrainShare da Novell, foram demonstrados:

Máquinas virtuais de Windows executando em sistemas operacionais SUSE e Microsoft Windows Server codinome Longhorn executando máquinas virtuais de SUSE Linux.
Interoperabilidade do Active Directory e transferência de arquivos entre SUSE e Windows
Conversor de OpenXML que permite salvar documentos do OpenOffice no formato OpenXML

Para maiores informações acesso site http://www.linuxworld.com/news/2007/031907-brainshare-novell-microsoft.html?page=1

Soluções de Terceiros para Integração Unix/Linux com Active Directory

dirkfr — Wed, 19 Apr 2006 02:31:00 GMT

No último artigo foi mostrado como é possível fornecer o logon único usando o serviço de diretórios Active Directory em ambiente baseados em servidores e estações UNIX/Linux e Windows.

Embora relativamente simples, o processo descrito é 100% manual. Isto exige alguns cuidados, especialmente na hora da seleção dos componentes Kerberos e LDAP para o ambiente UNIX/Linux, pois suas respectivas implementações variam e podem resultar em falta de desempenho no processo de logon ou simplesmente não oferecer o logon quando a máquina não estiver conectada à rede (Ex.: Notebook).

Numa recente conversa com profissionais de TI sobre este assunto, fui questionado sobre alternativas ao processo manual e que diminuíssem o tempo de implantação de tal integração.

Atualmente existem duas empresas no mercado que fornecem este tipo de solução. As soluções são:

Vintela Autentication Services (VAS) da Quest Software. Para maiores informações visite o endereço http://www.vintela.com
DirectControl da Centrify. Para maiores informações visite o endereço http://www.centrify.com

Integrando Autenticação e Autorização entre UNIX/Linux e Windows Server

dirkfr — Sat, 08 Apr 2006 01:56:00 GMT

É comum empresas utilizarem várias plataformas operacionais para suportar seus sistemas de informação. Esse fato decorre da natural evolução dos sistemas informação que, para atender as crescentes necessidade de negócio ou incorporar novas tecnologias, acabam gerando essa heterogeneidade.

Essa heterogeneidade possui um impacto direto sobre a segurança dos sistemas, pois os processos de autenticação² e autorização³ variam entre as diversas plataformas.

Um dos vários desafios contemporâneos dos profissionais de TI é de buscar uma centralização do gerenciamento de identidades e uniformizar os protocolos de autenticação e autorização, promovendo assim o logon único dos agentes¹. As motivações para isso são:

Uma única credencial para autenticação e autorização de usuários do sistema de informação.
Simplicidade no monitoramento e auditoria do acesso a dados sensíveis.
Conformidade com legislações que visam privacidade e confidencialidade das informações.
Uma complexa infra-estrutura para gerenciamento de identidade é difícil de expandir para novos processos de negócio e resulta em custos operacionais elevados.

Antes de descrevermos como integrar a autenticação e autorização entre UNIX/Linux e Windows, vamos apresentar alguns conceitos importantes:

Agente¹ é um participante individualmente identificado numa interação. Nos sistemas de informação os agentes mais comuns são: usuário, máquina ou serviço.
Autenticação² é o processo de provar que um agente é realmente a entidade que alega ser. Os mecanismos típicos são:
- Usuário e senha
- Dispositivos físicos (Smartcards, Tokens)
- Biométricos
- Fator n - combinação de 2 ou mais mecanismos descritos acima
Autorização³ é o processo pelo qual se verifica quais as possíveis ações que podem ser realizadas por um agente num determinado contexto.
Repositório de Autorização é o componente necessário para armazenar os dados requeridos para autorização de agentes.

As autenticações nativas disponíveis no Windows Server 2000/2003 são:

Kerberos v5 (veja o artigo Technet http://technet2.microsoft.com/WindowsServer/en/Library/4a1daa3e-b45c-44ea-a0b6-fe8910f92f281033.mspx e o Webcast http://download.microsoft.com/download/6/1/f/61f2010f-b259-4930-8aff-2e3b6cc3513b/MSDN/WebcastArq-Kerberos-20060322.zip).
Infra-estrutura de chaves Publica-Privada (PKI)
Smartcards
NTLMv2 – Somente para compatibilidade com sistemas legados com Windows 9.x e Windows NT

Já o repositório de autorização e as informações de autorização no Windows Server 2000/2003 são:

Repositório de autorização: Active Directory, que oferece suporte a protocolo Lightweight Directory Access Protocol v3 e suas APIs, além das APIs ADSI.

Informações de autorização:

Baseados em Security Identifiers (SIDs), que são números grandes (~192 bits) e considerados únicos globalmente.
Os SIDs do usuário (ou máquina), dos grupos de segurança ao qual pertence representam os dados necessários para calcular as ações permitidas pelo Security Reference Module (SRM). O SRM está disponível em cada copia do Windows.
Os dados de autorização são transmitidos através do Windows Privilege Attribute Certificate (PAC) que são inseridos em tickets Kerberos (TGT) pelo Kerberos Key Distribution Center (KDC). Cada controlador do domínio de serviços de diretórios baseado em Active Directory é um KDC.

A exemplo do que aconteceu com o protocolo de rede TCP/IP, os processos de autenticação e autorização estão convergindo para o uso de protocolos padrões que favorecem uma melhor interoperabilidade entre sistemas.

Neste sentido, os protocolos para autenticação e autorização recomendados para integração UNIX/Linux e Windows são respectivamente Kerberos e Lightweight Directory Access Protocol (LDAP).

Nota: Embora o LDAP ofereça um processo de autenticação, o mesmo manterá um agente autenticado somente se a conexão ao diretório for mantida. A desvantagem deste modelo em ambientes distribuídos é o fato de que a “prova” de autenticação é a conexão e não um ticket como no caso do Kerberos.

Para fornecer o logon único usando o serviço de diretórios Active Directory em ambiente baseados em UNIX/Linux e Windows, recomendamos as seguintes práticas:

Interoperabilidade do Kerberos:

No Windows -

Crie contas de usuários UNIX/Linux no Active Directory
Crie contas de máquinas UNIX/Linux no Active Directory
Crie arquivo Keytab para máquinas UNIX/Linux

No UNIX/Linux -

Transfira e instale o arquivo keytable nas máquinas UNIX/Linux
Instale componente Kerberos
Configure o arquivo pam.conf
Configure o arquivo krb5.conf

Interoperabilidade do LDAP:

No Windows -

Faça a expansão do schema do Active Directory para incroporar as informações de autorização do UNIX/Linux (RFC 2307)
Faça o provimento (UID, GID e etc) de usuários e grupos UNIX/Linux no Active Directory

No UNIX/Linux -

Instale o componente LDAP
Configure um cliente LDAP nas máquinas com UNIX/Linux para conectar-se ao Active Directory
Configure nss_ldap de forma que ele use os atributos apropriados no Active Directory

Neste modelo de integração descrito acima, o resultado obtido é:

Único repositório (Active Directory) para armazenamento das informações de autorização tanto do Windows como do UNIX/Linux.
Gerenciamento centralizado de identidades.
Políticas unificadas e rígidas de senhas (ex.: histórico, freqüência, tamanho máximo/mínimo, n° de tentativas e complexidade de senhas).
O uso do Kerberos permite uma autenticação mútua (ex.: do usuário e com quem ele está se conectando) aumentando assim a segurança.