ldapsearch et kerberos

Dans cet article je vais reprendre les étapes que j'ai mises en place pour pouvoir générer des requêtes ldapsearch sur une Active Directory sans envoyer de mot de passe dans la requête.

Infrastructure

Je pars du principe que le serveur Active Directory est en place et qu'il autorise les authentifications Kerberos. La procédure à été mise en place avec un serveur Active directory Windows 2008 R2.

Le poste client est un serveur GNU/Linux Debian 8 64 bits.

Un prérequis important est aussi que les machines soient synchronisées au niveau du temps, n'oubliez pas la configuration NTP.

ldapsearch

La commande ldapsearch est une commande assez classique pour faire des requêtes sur une arborescence LDAP.

Installer les paquets nécessaires :

# apt-get install ldap-utils

Modèle de la requête ldap :

# ldapsearch -x -D "cn=Administrator,cn=Users,dc=guidtz-win,dc=local" -W -h srv-ad1.guidtz-win.local -b "CN=Users,dc=guidtz-win,dc=local"

On obtiens alors le contenu complet de l'AD.

On peut restreindre la recherche des infos aux utilisateurs d'un groupe en particulier

# ldapsearch -x -D "cn=Administrator,cn=Users,dc=guidtz-win,dc=local" -W -h srv-ad1.guidtz-win.local -b "CN=Users,dc=guidtz-win,dc=local" "(&(objectClass=person)(memberOf=CN=Owncloud,CN=Users,DC=guidtz-win,DC=local))"

Et si je ne veux avoir que certains attributs :

# ldapsearch -x -D "cn=Administrator,cn=Users,dc=guidtz-win,dc=local" -W -h srv-ad1.guidtz-win.local -b "CN=Users,dc=guidtz-win,dc=local" "(&(objectClass=person)(memberOf=CN=Owncloud,CN=Users,DC=guidtz-win,DC=local))" cn sn streetAddress postalCode l mobile -LLL

Gros problème avec tout cela, si on veut intégrer cela dans un script, il va falloir remplacer W par w et mettre le mot de passe en clair dans le script. C'est pas bien ...

Pour compléter sur ldapsearch : http://linux.die.net/man/1/ldapsearch

Mise en place de l'authentification Kerberos

Installation des paquets nécessaires :

# apt-get install krb5-user

On va crée une table contenant le hash du mot de passe pour éviter de faire transiter le mot de passe sur le réseau.

On crée la table de hashage :

# ktutil
ktutil:  addent -password -p Administrator@GUIDTZ-WIN.LOCAL -k 1 -e RC4-HMAC
Password for Administrator@GUIDTZ-WIN.LOCAL:
ktutil:  wkt Administrator.keytab
ktutil:  q

Ce qui nous crée un fichier nommé Administrator.keytab

Configuration de kerberos dans le fichier /etc/krb5.conf

[libdefaults]
default_realm = GUIDTZ-WIN.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
GUIDTZ-WIN.LOCAL = {
kdc = srv-ad1.guidtz-win.local
admin_server = srv-ad1.guidtz-win.local
}
[domain_realm]
.domain.com = GUIDTZ-WIN.LOCAL
domain.com = GUIDTZ-WIN.LOCAL

Pour vérifier que l'authentification par ticket fonctionne :

# kinit Administrator@GUIDTZ-WIN.LOCAL
Password for Administrator@GUIDTZ-WIN.LOCAL:

Lister les tickets obtenus :

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@GUIDTZ-WIN.LOCAL

Valid starting       Expires              Service principal
19/04/2016 11:14:56  19/04/2016 21:14:56  krbtgt/GUIDTZ-WIN.LOCAL@GUIDTZ-WIN.LOCAL
renew until 26/04/2016 11:14:51

Supprimer les tickets :

# kdestroy

Idem avec la keytab :

# kinit Administrator@GUIDTZ-WIN.LOCAL -k -t Administrator.keytab

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@GUIDTZ-WIN.LOCAL

Valid starting       Expires              Service principal
19/04/2016 11:16:09  19/04/2016 21:16:09  krbtgt/GUIDTZ-WIN.LOCAL@GUIDTZ-WIN.LOCAL
renew until 26/04/2016 11:16:09

Impeccable notre table de hashage fonctionne.