Using LDAP for centralized authentication

(1)

Avdelning, Institution Division, Department

Institutionen för Systemteknik

581 83 LINKÖPING

Datum Date 2002-09-06 Språk Language Rapporttyp Report category ISBN X Svenska/Swedish Engelska/English Licentiatavhandling

X Examensarbete ISRN LITH-ISY-EX-ET-0244-2002 C-uppsats

D-uppsats Serietitel och serienummer_{Title of series, numbering} ISSN Övrig rapport

____

URL för elektronisk version

http://www.ep.liu.se/exjobb/isy/2002/244/ Titel

Title

Centraliserad autentisering med hjälp av LDAP Using LDAP for centralized authentication Författare

Author

Peter Gunnarsson, Krister Källvik

Sammanfattning Abstract

Effektiv hantering av den växande mängden data i dagens IT-samhälle är ett ständigt återkommande problem. Lösningar som innebär att information med krav till snabb åtkomst dubbellagras på flera olika ställen, är bara en av anledningarna till nytänkandet ”katalogtjänster”. Eftersom det länge inte funnits några fasta standarder för ett sådant protokoll har olika företag utvecklat sina egna lösningar. Detta innebär naturligt att det blir problem när man vill få olika katalogtjänster utvecklade för olika syften att samarbeta. Protokollet som är tänkt att lösa detta är LDAP (Lightweight directory Access Protocol).

Detta arbete behandlar hur man bygger ett centraliserat autentiseringssystem med hjälp av LDAP. Fördelarna med LDAP framför traditionella metoder som NIS/NIS+ diskuteras, samt hur man kan knyta ihop ett nätverk med både Windows- och Linuxdatorer, där informationen om användare och rättigheter finns lagrade centralt i en LDAP-baserad katalogtjänst.

Generella säkerhetsbegrepp kring autentisering tas upp, samt vad det egentligen är man behöver skydda vid autentisering och kommunikation via ett nätverk.

Nyckelord Keyword

(2)

Centraliserad autentisering med hj¨

alp

av LDAP

Examensarbete utfört i informationsteori vid Tekniska Högskolan i Linköping

av

Peter Gunnarsson, Krister K¨allvik Reg nr: LiTH-ISY-EX-ET-0244-2002

(3)

(4)

Centraliserad autentisering med hj¨

alp

av LDAP

Examensarbete utfört i informationsteori vid Tekniska Högskolan i Linköping

av

Peter Gunnarsson, Krister K¨allvik Reg nr: LiTH-ISY-EX-ET-0244-2002

Handledare: Niclas Andersson Examinator: Viiveke F˚ak Link¨oping, 3 november 2002.

(5)

(6)

Abstract

Abstract Effektiv hantering av den växande mängden data i dagens IT-samhälle ¨

ar ett ständigt ˚aterkommande problem. Lösningar som innebär att information med krav till snabb ˚atkomst dubbellagras p˚a flera olika ställen, är bara en av anledningarna till nytänkandet “katalogtjänster”. Eftersom det länge inte funnits n˚agra fasta standarder för ett s˚adant protokoll har olika företag utvecklat sina egna lösningar. Detta innebär naturligt att det blir problem när man vill f˚a olika katalogtjänster utvecklade för olika syften att samarbeta. Protokollet som är tänkt att lösa detta är LDAP (Lightweight directory Access Protocol).

Detta arbete behandlar hur man bygger ett centraliserat autentiseringssystem med hjälp av LDAP. Fördelarna med LDAP framför traditionella metoder som NIS/NIS+ diskuteras, samt hur man kan knyta ihop ett nätverk med b˚ade Windows-och Linuxdatorer, där informationen om användare Windows-och rättigheter finns lagrade centralt i en LDAP-baserad katalogtjänst.

Generella s¨akerhetsbegrepp kring autentisering tas upp, samt vad det egentligen ¨

ar man behöver skydda vid autentisering och kommunikation via ett nätverk. Keywords: Autentisering, LDAP, PAM, nsswitch, säkerhet, Samba

(7)

F¨orord

Vi, Peter Gunnarsson och Krister Källvik, har under v˚aren 2002 utfört v˚art examensarbete, om 10 poäng, p˚a NSC, Nationellt SuperdatorCentrum i Linköping. Under sommaren fick vi sedan tillfälle att p˚a heltid implementera ett centraliserat autentiseringssystem för NSC. Detta system är fr˚an och med augusti i drift. Den ursprungliga rapporten skrevs under v˚arterminen men har efterhand utökats med en mer detaljerad implementationsdel.

Denna rapport riktar sig främst till systemadministratörer som är nyfikna p˚a hur en autentiseringslösning med LDAP kan se ut och hur man gör en s˚adan säker. ¨

Aven personer som vill ha en översikt över katalogtjänster, kryptering och certifikat kan ha glädje av rapporten; främst d˚a av kapitel tv˚a.

(8)

Inneh˚

all

1 Inledning 1 1.1 Bakgrund . . . 1 1.1.1 NSCs system . . . 1 1.1.2 Säkerheten . . . 1 1.2 Syfte . . . 2 1.3 Problemformulering . . . 2 1.3.1 Avgränsningar . . . 2 1.4 Oversikt . . . .¨ 3 2 Teoretisk bakgrund 4 2.1 Katalogtjänster . . . 4 2.1.1 Definition . . . 4

2.1.2 Varf¨or man vill anv¨anda en katalog . . . 4

2.1.3 Historia bakom dagens katalogtj¨anster . . . 5

2.1.4 Fyra viktiga komponenter i en katalog . . . 6

2.1.5 Vad som skiljer en katalog fr˚an en vanlig relationsdatabas . . 7

2.1.6 Olika katalogtj¨anster och hur de f¨orh˚aller sig till LDAP . . . 8

2.2 S¨akerhet . . . 9

2.2.1 Vad som m˚aste skyddas . . . 9

2.2.2 Kryptering . . . 10 2.2.3 Nyckelcertifikat . . . 11 2.2.4 SSL/TLS . . . 11 2.2.5 Kerberos . . . 12 2.2.6 SSH . . . 13 2.2.7 SecurID . . . 14

2.3 S¨akerhet vid Inloggning . . . 14

2.3.1 Autentisering i Linux . . . 15

2.3.2 Autentisering i Windows . . . 17

3 Implementation 19 3.1 L¨amplig niv˚a f¨or NSC . . . 19

3.1.1 Befintliga system . . . 19

3.1.2 Vad man vill f¨orb¨attra . . . 20

(9)

3.1.3 S¨akerhetsniv˚an p˚a NSC . . . 20

3.1.4 Hur man ska ˚astadkomma denna f¨orb¨attring . . . 22

3.2 F¨oreslagen l¨osning . . . 22

3.2.1 S¨akerhet . . . 23

3.3 Klientsidan . . . 25

3.3.1 Linuxklienter . . . 25

3.3.2 Inloggningsf¨orloppet p˚a en windowsklient . . . 26

3.3.3 Superdatorer som klienter . . . 26

3.4 Serversidan . . . 27

3.4.1 OpenLDAP . . . 27

3.4.2 Samba-servern . . . 27

3.4.3 Utv¨ardering av programvara . . . 27

4 Diskussion 30 4.1 F¨ordelar med v˚ar l¨osning . . . 30

4.2 Skydd av n¨atverket . . . 30

4.3 Hur administrat¨orskonton sk¨ots . . . 31

4.4 Drifts¨akerhet . . . 31

4.5 Framtida expansion . . . 31

4.6 Slutsatser . . . 31

A Verifiering av den krypterade f¨orbindelsen 37 A.1 Utan kryptering . . . 37

A.2 Krypterat med TLS . . . 39

B Konfiguration av OpenLDAP 40 B.1 S¨aker f¨orbindelse med TLS och certifikat . . . 40

B.2 R¨attigheter . . . 40

C Kompilering av Samba 42 C.1 TLS-bug i Samba 2.2.5 . . . 43

D Konfigurering av PAM p˚a en Linuxklient 45

(10)

(11)

Kapitel 1

Inledning

1.1 Bakgrund

NSC (Nationellt SuperdatorCentrum) vid Linköpings universitet grundades 1989. NSC’s primära uppgift är att tillhandah˚alla förstklassig superdatorkraft till Sveri-ges universitet och forskare. Sedan 1999 har NSC g˚att ett steg längre och komplet-terat de traditionella superdatorerna med s˚a kallade Beowulfsystem eller kluster1

. I dagsläget har NSC en av Europas största superdatorparker. För att ytterligare f˚a användning av den värdefulla superdatorkraft som centret har tillg˚ang till, har man även ett nära samarbete med b˚ade SAAB och SMHI2

.

1.1.1 NSCs system

Beräkningsresurserna p˚a NSC best˚ar idag av tre superdatorer och ett antal kluster. Centret samarbetar med centra p˚a flera andra orter och ofta m˚aste kommunikatio-nen g˚a över andra nät än LiuNet3

.

I framtiden vill man knyta ihop n˚agra av dessa orter för att p˚a ett effektivt sätt utnyttja resurserna bättre. D˚a skall en användare transparent kunna använda resurser, fr˚an olika orter, utan att behöva bry sig om var de är lokaliserade.

1.1.2 S¨

akerheten

Det är en blandad skara som använder NSC’s maskinpark, allt fr˚an studenter till forskare och företag. M˚anga av dessa, bland annat SAAB, har krav p˚a att deras data och resultat ska hemligh˚allas. Därför är det viktigt att NSC tillhandah˚aller system som klarar dessa, ofta stränga, säkerhetskrav.

1

Ett kluster är en mängd vanliga PC sammankopplade för att utföra tunga beräkningar.

2

Sveriges meteorologiska och hydrologiska institut

3

Link¨opings universitetsn¨atverk.

(12)

2 Inledning

Det är viktigt att inte driva fram säkerhetslösningar som bara ser till kraven och inte till användarna av systemen. En användare som besväras allt för mycket kommer inte att använda systemen i s˚a stor utsträckning.

1.2 Syfte

Syftet med denna rapport är att undersöka hur man p˚a bästa sätt implementerar en centraliserad användarautentisering för NSC i Linköping. Eftersom kravet p˚a säkerhet är extra stort kommer vikten läggas p˚a hur man ska tänka vid byggan-det av ett användbart, men änd˚a robust system, som klarar expansion. Med hjälp av litteratur, tester, samt praktisk uppbyggnad av ett tänkbart system, kommer begreppen kring katalogtjänster och autentiseringsmetoder att redas ut. Resone-manget kommer att h˚allas p˚a relativt generell niv˚a. Detta för att det tänkta auten-tiseringssystemet har stora krav p˚a kompatibilitet gentemot andra system, samt att det m˚aste t˚ala expansion i framtiden.

1.3 Problemformulering

Huvudfr˚agan är s˚aledes: Hur ska man bära sig ˚at för att skapa ett robust och säkert, men även användbart system för autentisering av användare p˚a NSC’s nätverk?

Underfr˚agor kring denna rubrik är även av typen: • Är en katalogtjänst lösningen p˚a problemet?

• Passar ”Lightweight Directory Access Protocol” (LDAP) bra till att anv¨andas i samband med autentisering?

• Vilka är fördelarna och nackdelar med LDAP jämte traditionella metoder? • Vad behöver skyddas?

• Hur kan en lämplig lösning se ut för NSC?

1.3.1 Avgr¨

ansningar

Vi kommer i denna rapport att koncentrera oss p˚a hur LDAP fungerar i en lösning. Andra tänkbara lösningar kommer att betraktas ur aspekten hur de förh˚aller sig till en LDAP-lösning. I första hand kommer fri programvara p˚a Linuxsystem att användas.

Säkerheten kommer bara att utredas i samband med autentiseringsprocessen. När en användare väl blivit autentiserad utg˚ar vi fr˚an att de befintliga mekanismerna skyddar mot att användare utför handlingar de inte är berättigade till.

(13)

1.4 ¨Oversikt 3

1.4 Oversikt

¨

I kapitel tv˚a beskriver vi centrala begrepp och teori som är av vikt för utrednings-arbetet. Här beskriver vi bl.a. LDAP, kryptering, SSH och inloggningsförlopp.

Kapitel tre berör den lösning som vi, efter v˚ar utredning, anser passa NSCs behov. Här beskrivs hur lösningen fungerar i stort. Vi kommer inte att g˚a in p˚a de-taljer gällande konfiguration av system eftersom det finns risk för att dessa kommer att ändra sig i senare versioner av programvarorna.

I det avslutande kapitlet diskuterar vi kring v˚ar lösning; om den passar NSC, vilka fördelar som vi ser med denna lösning och s˚a vidare.

Vi har valt att lägga till fyra appendix där vi p˚a djupet beskriver förlopp under implementationsprocessen som inte varit självklara. Bland annat beskriver vi hur vi korrigerat fel i Samba 2.2.5.

(14)

Kapitel 2

Teoretisk bakgrund

2.1 Katalogtj¨

anster

2.1.1 Definition

En katalog är en förteckning över n˚agonting, t.ex. datorer, certifikat eller personer etc. N˚agon sorts information som m˚anga andra behöver söka, verifiera eller sl˚a upp. Ordet ”katalog” kommer ursprungligen fr˚an grekiskans ”kata” + ”legein” som betyder ”att samla”. När ordet katalogtjänst (eng Directory Service) används i IT-sammanhang handlar det allts˚a om en elektronisk tjänst för att samla och katalogisera data.

En klassisk definition av vad en katalogtj¨anst egentligen ¨ar hittas i specifikatio-nen till X.500-standarden[17]:

”The Directory is a collection of open systems which cooperate to hold a logical database of information about a set of objects in the real world.”

2.1.2 Varf¨

or man vill anv¨

anda en katalog

Effektiv hantering av information för snabb ˚atkomst är ett stort problem i dagens IT-samhälle. Informationsmängden och dataflödet växer samtidigt som kravet p˚a snabb ˚atkomst ökar. Man vill ha informationen samlad och strukturerad, men änd˚a kunna komma ˚at den fr˚an vitt skilda platser. Det är inte sv˚art att först˚a varför man vill använda katalogtjänster.

En tillämpning där man klart och tydligt ser fördelarna med en katalog är användarkonton och information om användare. En användare inom en organisa-tion bör rimligen ha ett användarkonto, som identifierar användaren globalt p˚a nätverket. Vare sig han sitter vid sin vanliga persondator, eller använder en publik terminal kopplad till nätverket.

(15)

2.1 Katalogtj¨anster 5

2.1.3 Historia bakom dagens katalogtj¨

anster

De första riktiga bidraget till dagens distribuerade datorsystem gjordes p˚a tidigt 1980-tal vid Xerox Palo Alto Research Center, och ledde efter hand till ”The Grape-vine network”[19]. Detta var den första distribuerade katalogen för användarinfor-mation. Nätverket omfattade ungefär 1500 datorer p˚a 50 lokala nätverk. Finessen med detta var att användare kunde logga in med samma användarnamn b˚ade p˚a sin vanliga arbetsplats, och p˚a vilket annat Xerox-kontor som helst i världen. Det utvecklades även katalogtjänster för andra syften.

DNS För att göra Internet mer användarvänligt, skapades Domain Name Ser-vice (DNS). DNS identifierar ett system med hjälp av ett namn som är kopplat till ett IP-nummer. Tack vare DNS-systemet behöver man allts˚a inte komma ih˚ag ett IP-nummer utan det räcker med att komma ih˚ag namnet p˚a systemet. Ett exempel ¨

ar att man istället för 204.152.186.57, vilket r˚akar vara datorn som tillhandah˚aller hemsidan för OpenLDAP, kan skriva openldap.org. DNS-systemet tar sedan fram IP-numret för detta datornamn. Detta är ett exempel p˚a en katalogtjänst med be-gränsad användbarhet, utvecklat för ett speciellt syfte. Man ins˚ag snabbt fördelarna med ett s˚adant katalogsystem, och började utveckla katalogtjänster för andra syften ¨

an just att ¨overs¨atta namn till IP-nummer.

I takt med att fler och fler började bygga katalogtjänster började man även utarbeta standarder för dessa.

X.500 CCITT (Consultative Committee on International Telephony and Tele-graphy) och ISO (International Standards Organization) definierade ˚ar 1988 X.500, som sedan kom att bli ISO standard 9594, Data Communications Network Directo-ry, Recommendations X.500-X.521 1990 [18]. M˚alet var att utveckla en generali-serad standard för katalogtjänster som skulle täcka de krav man kunde tänkas ha p˚a katalogtjänster i olika sammanhang. Den kallas fortfarande ofta bara X.500-standarden. Problemet med X.500 standarden var att den p˚a m˚anga punkter var all-deles för komplex, samt krävde en fullständig implementation av ISO-protokollen. Detta innebar därmed att alla klienter som använde X.500-servern ocks˚a m˚aste ha ISO-nätverksprotokollen implementerade. Support för dessa protokoll krävde ofta mer datorresurser än som var tillgängligt i m˚anga sm˚a nätverk. Det var därför man utvecklade ett mindre resurskrävande ”lättvikts”-protokollinterface till X.500-servrarna, kallat ”Lightweight Directory Access Protocol”.

LDAP LDAP är kort för ”Lightweight Directory Access Protocol”. Det utveckla-des för att förenkla kommunikationen mellan en X.500 server, och en klient som inte hade hela ISO-stacken av protokoll. Bryggan emellan var allts˚a en LDAP-server, som klienten kommunicerade med. LDAP servern förmedlade sedan fr˚agan vidare till X.500 servern, och returnerade sedan svaret den fick tillbaka till klienten igen. 2.1.3. LDAP utvecklades ursprungligen p˚a University of Michigan och har kommit att bli de-facto standard för katalogtjänst p˚a Internet och används av ett stort antal applikationer för olika system. Netscape, Novell, Microsoft, Sun och m˚anga

(16)

6 Teoretisk bakgrund

andra tunga namn inom branschen har mer och mer börjat använda sig av LDAP som ett verktyg till bättre katalogtjänster.

LDAP X.500

Klient Katalog

Figur 2.1.LDAP-gateway till en X.500-server.

När X.500-servrarna började användas i större utsträckning och man började se de verkliga fördelarna, började man ocks˚a fundera p˚a om det verkligen var nödvändigt att ha en LDAP-server som fungerade som gateway. Om man istället hade själva katalogen p˚a LDAP-servern, skulle denna i och för sig bli mer kom-plicerad, men skulle i sin tur göra att man inte behövde använda ISO-protokoll n˚agonstans i arkitekturen.

LDAP Klient

Katalog

Figur 2.2.Sj¨alvst¨andig,”Stand-alone”, LDAP-server.

2.1.4 Fyra viktiga komponenter i en katalog

Protokoll

Protokollet specificerar hur klient och server samarbetar Med enkla termer kan man säga att protokollet är ”spr˚aket” som server och klient använder för att kom-municera. Ett vanligt protokoll för katalogtjänster p˚a Internet är LDAPv3. Det är viktigt att poängtera att protokollet inte specificerar hur en server internt ska lag-ra data. Däremot specificelag-ras hur klienten ställer fr˚agor och hur servern levererar svaren.[10]

Server

Katalogservern är till för att behandla förfr˚agningar fr˚an klienter, och göra sitt bästa för att leverera ett svar. Här passar det bra att reda ut ett begrepp. Själva

(17)

2.1 Katalogtj¨anster 7

LDAP ¨ar ett protokoll, vilket flera LDAP-baserade servrar, som t.ex. OpenLDAP-servern (slapd) hanterar.

Mallar

Mallar beskriver hur olika typer av data kategoriseras och etiketteras. Det finns m˚anga olika standardorganisationer som utarbetar standarder för dessa mallar, men även applikationsutvecklare och nätadministratörer bidrar. Genom att stan-dardisera mallar ˚astadkommer man en högre niv˚a av interoperabilitet mellan olika system. Genom att ha standardiserade mallar för lagring av information vet allts˚a oberoende utvecklare av klienter vilka fält som är sökbara, vilket gör att LDAP-servern fungerar som det är tänkt (ur klientens synvinkel).

Klient

En klient är ett program som använder sig av information lagrad i katalogtjänsten. Eftersom användningsomr˚adet av katalogtjänster är s˚a utbrett är det sv˚art att defi-niera exakt vad klienten gör. Generellt kan man säga att klienten gör förfr˚agningar till servern, och behandlar de svar som returneras. T.ex. uppslagning i ett telefon-register eller mer abstrakta saker som information om rättigheter i ett distribuerat filsystem.

2.1.5 Vad som skiljer en katalog fr˚

an en vanlig

relationsda-tabas

Kataloger är organiserade hierarkiskt, p˚a ett objektorienterat sätt. Detta innebär att objekt i databasen motsvarar objekt i den värld den försöker efterlikna.

Ramen för vad som kan eller m˚aste lagras standardiseras med hjälp av mal-lar, vilka kallas ”scheman”. Dessa underlättar avsevärt kompatibilitet med andra servrar eller klienter.

Katalogtjänster använder sig av ett hierarkiskt arv även av säkerhetsniv˚aer. Detta innebär att om man sätter en viss säkerhetsniv˚a p˚a ett nod i databasträdet, s˚a kan denna säkerhetsniv˚a ärvas av barn till noden.

De flesta katalogtjänster har inget stöd för atomära transaktioner1

. Katalogda-tabasen är därför ibland temporärt inkonsistent. Om en ändring görs, är det med andra ord inte garanterat att ändringen syns överallt direkt. Eftersom en katalog-tjänst främst är avsedd för information som ändras relativt sällan är detta inget större problem. Att sköta uppdateringar p˚a detta sätt underlättar avsevärt hante-ringen av en distribuerad katalog, men innebär givetvis att en s˚adan katalog inte ¨

ar l¨amplig f¨or hantering av saldon p˚a bankkonton etc.

En katalog beskrivs ofta som en vanlig databas, men i själva verket är det en speciell databas, optimerad för läsning. Förh˚allandet bör vara över 1000 läsningar per skrivning[14].

1

(18)

2.1.6 Olika katalogtj¨

anster och hur de f¨

orh˚

aller sig till LDAP

Vid sidan av DNS, som används för namnuppslagning p˚a Internet sedan länge, finns andra mer flexibla katalogtjänster som Novell Network Directory Service (NDS), Sun Microsystems Network Information Services (NIS/NIS+), Windows NT Do-mains samt Active Directory Services (ADS). En nackdel med dessa ovan nämnda katalogtjänster är att de utvecklats av företag, för specifika administrativa syften. Företagen har d˚a utarbetat egna ”standarder” för sina produkter, vilket gör att de sällan eller aldrig är kompatibla med andra system. Detta innebär givetvis pro-blem när man vill knyta ihop olika system, där vissa system kör t.ex. NIS i en UNIX-miljö, medan andra system kör Active Directory i en Windows-miljö. NIS/NIS+

Network Information Services (NIS) har utvecklats av Sun Microsystems. Det är ett verktyg för att centralisera information inom nätverket. NIS inneh˚aller en del brister i säkerhet. Det har t.ex. inte stöd för kryptering av trafik etc. NIS har änd˚a blivit accepterat inom UNIX-världen som ett verktyg i nätverksadministrationen. Efterföljaren till NIS kallas NIS+.

LDAP bidrar med l¨osningar p˚a m˚anga problem som ¨aldre system s˚asom NIS/NIS+ har.

N˚agra av f¨ordelar med LDAP framf¨or NIS[32]:

• Bättre säkerhetsmodell som inkluderar väl definierade kommunikationspor-tar.

• stöd för kryptering av data. • stöd för kontrollista2

(för att l˚ata icke-rootanvändare modifiera data)[21]. • Kraftfull sökmekanism som till˚ater sökningar p˚a vilket fält som helst. • Tillhandah˚aller katalogtjänster för ett brett applikationsskikt, vid sidan av

namnuppslagning av t.ex. n¨atverksadress eller f¨orvaring av publika nycklar. Novell NDS

NDS (Network Domain Services)[30] är Novells svar p˚a katalogtjänster. Det är ett objektorienterat databasprotokoll, designat för att knyta ihop resurser i nätverk. Designen baseras p˚a koncept ur X.500 standarden. Sedan 1997 finns ocks˚a ett tillägg kallat ”LDAP services for NDS”. Det är ett verktyg för att översätta LDAP-operationer till verkliga NDS-anrop. Denna lösning för att göra NDS mer kompati-belt med andra system, resulterade dock i prestandaminskningar och extra jobb, för att mappa LDAP-objektklasser och attribut typer till deras motsvarighet i NDS. för att utöka användandet av NDS, har man portat det till andra plattformar än Novells egna Netware. NDS kallas även Novell eDirectory[19].

2

ACL, Access Controll List, används för att kontrollera rättigheter för användare p˚a en förfinad niv˚a.

(19)

2.2 S¨akerhet 9

Active Directory

Active Directory (AD) är en katalogserver inbyggd i Windows 2000/XP SERVER. Den är en LDAP-server, med vissa utökningar. AD implementerar inte X.500 stan-darden annat än vad som krävs för LDAP V.3-support. Fullt stöd för LDAP har implementerats men AD har änd˚a n˚agra begränsningar som hindrar full funktiona-litet med en vanlig LDAP-klient. AD är en hybrid av NT4-domän-modellen, DNS och LDAP. Designen är byggt för att fortfarande vara bak˚atkompatibel med NT4-domäner. Man har skapat begrepp som ”forest”(skog) och i denna skog kan man ha olika delträd som har ansvar för olika delar av nätet. För en vanlig LDAP-klient som inte vet om dessa utökningar betyder det t.ex. att denna klient bara kommer kunna utföra sökningar p˚a ett delträd[29].

2.2 S¨

akerhet

Med säkerhet i v˚art arbete menar vi hur kommunikationen mellan tv˚a punkter i ett nätverk skyddas samt hur de b˚ada parternas identitet säkerställs.

När kommunikation sker över ett nätverk finns det flera risker som man m˚aste var medveten om. Information som förmedlas över ett nätverk kan p˚a ett relativt enkelt sätt läsas av en godtycklig dator ansluten till nätet. Därför bör man undvika att skicka känslig data i klartext och istället använda n˚agon form av krypterad förbindelse.

P˚a grund av nätverksarkitekturens flexibilitet är det möjligt för en dator att byta b˚ade IP-adress och h˚ardvaruadress[2]. Potentiella angripare kan förfalska sin dators identitet och p˚a s˚a sätt bryta ett systems säkerhet. Allt vanligare blir s˚a kallade man-in-the-middle-angrepp[1], där en angripare är placerad mellan server och klient. Angriparen f˚angar upp nätverkspaket mellan parterna, ändrar infor-mationen i dem och skickar tillbaka dem ut p˚a nätverket med den ursprungliga avsändaren som avsändare för paketet. Eftersom de flesta tjänster är anslutningso-rienterade litar de p˚a paket som tas emot via en upprättad anslutning och kommer inte att misstänka att integriteten i kommunikationen har skadats. För att mini-mera hotet fr˚an s˚adana angrepp bör n˚agon form av integritetskontroll införas i protokollet, tillsammans med kryptering.

Fr˚agorna om kryptering och integritetsskydd bör inte drivas hur l˚angt som helst. En tjänst f˚ar inte bli s˚a omständlig att användaren inte orkar använda den. Användbarheten är en viktig del i den slutliga lösningen.

2.2.1 Vad som m˚

aste skyddas

F¨or att f˚a en hanterbar struktur kan man dela in IT-s¨akerhet enligt CIA-modellen: confidentiality, integrity och availability.

• Confidentiality innebär krav p˚a bibeh˚allen sekretess. Viktigt i organisationer där känslig eller hemligstämplad information hanteras, exempelvis i försvaret eller sjukv˚arden.

(20)

• Integrity innebär att information ska g˚a att lita p˚a, dvs data ska vara tillförlit-liga. Man m˚aste helt enkelt kunna lita p˚a att informationen som finns tillgäng-lig ej är obehörigt p˚averkad.

• Availability innebär att information och tjänster ska vara tillgänglig för de som har behörighet till dem. En publik webbserver är ett exempel p˚a ett system med stor vikt p˚a tillgänglighet.

2.2.2 Kryptering

Modern kryptering sker ofta med välkända algoritmer där hemligheten ligger i en eller flera nycklar[7]. Data krypteras med hjälp av en nyckel och blir ˚ater läsbar igen med hjälp av antingen samma nyckel eller en annan.

Kryptering erbjuder ett skydd mot att den skickade informationen kan läsas av obehöriga. Eftersom den bara kan läsas av de som har rätt nyckel behövs ingen ytterligare behörighetskontroll. Vidare kan man skapa protokoll som bygger p˚a kryptering i kombination med kontrollsummor, för att garantera hög integritet.

Symmetrisk kryptering

En metod d˚a krypterings- och dekrypteringsnycklarna är identiska, eller p˚a ett en-kelt sätt kan härledas fr˚an varandra kallas symmetrisk. Eftersom data enbart kan växlas mellan tv˚a deltagare som har samma nyckel kan man säga att de är auten-tiserade för varandra. Denna form av kryptering är mindre beräkningskrävande än den asymmetriska och lämpar sig d˚a hastigheten i kommunikationen är viktig.

Asymmetrisk kryptering

Genom att använda en egenskap hos primtal har metoder med asymmetriska nyck-lar utvecklats. En deltagare har i det här fallet ett nyckelpar; en privat och en publik. Processen fungerar s˚a att data som krypterats med en nyckel enbart kan göras läsbar med hjälp av den andra ur paret.

Som benämningarna antyder l˚ater man den privata nyckeln förbli hemlig me-dan den publika skickas till alla som man vill kommunicera med. För att skicka krypterad data till n˚agon använder man dennes publika nyckel vid krypteringen, för att dekryptera den m˚aste man ha respektive privat nyckel.

Ett annat användningsomr˚ade för nyckelpar är digitala signaturer. För att ga-rantera att ett dokument skapats av en viss person krypterar denne det med sin privata nyckel. Läsaren av dokumentet dekrypterar det med författarens publika nyckel och kan p˚a s˚a vis lita p˚a att det är denne som skrivit det.

Genom att successivt testa olika nycklar kan man med hjälp av den publika nyckeln f˚a fram den privata. Detta är en beräkningskrävande process som till stor del beror av storleken eller längden p˚a nyckeln. Använder man en tillräckligt stor nyckel är det högst osannolikt att n˚agon, med dagens datorkapacitet, lyckas med detta inom den närmaste framtiden.

(21)

2.2 S¨akerhet 11

2.2.3 Nyckelcertifikat

Ibland är det viktigt att kunna säkerställa identiteten p˚a de kommunicerande par-terna. Ett sätt att göra detta är med hjälp av certifikat. Ett certifikat är en struktur som inneh˚aller information om den part som det identifierar. S˚adan information kan bland annat vara namn, datoradress och publik nyckel[13]. För att garantera att certifikatet är riktig m˚aste det utfärdas och signeras av en certificate authority (CA). Denna lägger till information om sig själv samt en giltighetstid för certifika-tet. Slutligen krypteras hela strukturen med CAs privata nyckel.

Den som vill verifiera ett certifikats äkthet behöver utfärdarens publika nyckel. Lokalt sparas publika nycklar till de CA som systemet litar p˚a. Finns en passande nyckel i databasen kan man g˚a vidare till nästa steg, annars fr˚agar den en CA som systemet litar p˚a om äktheten.

Om certifikatets giltighet slutligen fastställs m˚aste man ta flera steg innan iden-titeten kan säkerställas. Datoradressen i certifikatet och avsändaradressen till det fysiska nätverkspaketet m˚aste stämma för att visa att certifikatet inte kommit p˚a villovägar. Datoradresser g˚ar att ändra p˚a men denna kontroll ger änd˚a ett visst skydd. D˚a ett utfärdat certifikat inte g˚ar att invalidera använder man en giltig-hetstid för att begränsa nyttan av ett stulet certifikat. Ett stulet certifikat fungerar bara fram till den tidpunkten. Slutligen kan man testa om motparten kan läsa meddelanden kodade med dennes publika nyckel. Denna lösning används av SSL-protokollet.

2.2.4 SSL/TLS

Secure Sockets Layer (SSL) utvecklades fr˚an b¨orjan av Netscape och anv¨ands flitigt inom m˚anga omr˚aden, t.ex. e-handel och webbportaler En vidareutveckling av SSL 3.0 kallas Transport Layer Security (TLS) och skiljer sig bara i sm˚a drag.

En viktig anledning till att SSL och TLS har blivit s˚a populära är att det är enkelt att bygga om applikationer s˚a att de utnyttjar denna kryptering. Krypte-ringen ligger som ett lager mellan applikationslagret och nätverkslagret och är efter initialisering helt transparent för applikationen.

Applikationslager

TLS/SSL TCP/IP

Figur 2.3.TLS/SSL ligger som ett transparent lager i IP-stacken.

Med hjälp av asymmetrisk kryptering och certifikat upprättas en anslutning mellan de kommunicerande parterna[8]. Det finns flera sätt att konfigurera upp-kopplingsfasen. Det säkraste sättet kräver att b˚ade servern och klienten autentiserar sig för varandra med hjälp av certifikat.

(22)

Eftersom asymmetrisk kryptering inte lämpar sig för snabb dataöverföring, och SSL/TLS strävar efter att vara s˚a transparent som möjligt, bestämmer sig parterna under uppkopplingsfasen för en symmetrisk nyckel. Nyckeln som slumpas fram ¨

overförs krypterad med en asymmetrisk nyckel och används sedan för den fortsatta kommunikationen.

Protokollet gör det möjligt att använda flera olika algoritmer. Vilken av dem som används förhandlar servern och klienten om under uppkopplingsfasen. Det ¨

ar viktigt att konfigurera systemen att inte godta svaga algoritmer. Detta för att undvika eventuella brister. Ett bra konfigurerat system ger ett bra skydd för in-formation, integritetskoll och autentisering s˚a länge parternas privata nycklar inte kommit p˚a drift.

2.2.5 Kerberos

Autentisering av användare och datorer är ett omr˚ade där m˚anga olika lösningar existerar. En av de mest välkända och spridda är Kerberos som utvecklades p˚a Michigan Institute of Technology[28]. De flesta operativsystem erbjuder stöd för Kerberosautentisering.

Protokollet sk¨oter autentisering av b˚ade klient och server genom att blanda in en tredje part, en s˚a kallad authentication service (AS).

Förenklat kan man beskriva förloppet s˚a här[20]:

AS

klient

server

1

2

3

4

Figur 2.4.Klienten vill ansluta sig till servern. Genom att att använda sig av en authen-tication server kan b˚ade klienten och servern lita p˚a att respektive är vad de utger sig för.

När en klient vill ansluta och utnyttja tjänster p˚a en server m˚aste de b˚ada g˚a igenom flera steg, som garanterar säkerheten. Klienten skapar ett paket, krypte-rat med sin privata nyckel, inneh˚allande namnet p˚a servern, aktuell tid samt ett godtyckligt tal och skickar det till AS. AS tar emot paketet och letar upp klient och server i sin databas. Där finns bland annat symmetriska nycklar för kommu-nikation, mellan AS och klient respektive server, lagrade. Om klienten och servern finns i databasen skapar AS en unik symmetrisk nyckel som ska användas under kommunikationen mellan klienten och servern, en sessionsnyckel.

Därefter skickas tv˚a paket till klienten. Det ena inneh˚aller bland annat ses-sionnyckeln, giltighetstid och det godtyckliga talet. Allt krypterat med den förbe-stämda nyckeln för kommunikation mellan klient och AS. Att det slumpade talet

(23)

2.2 S¨akerhet 13

kommer tillbaka till klienten, som det skickades, bevisar att AS är vad den utger sig för. Det andra paketet inneh˚aller i stort sett samma information men är krypterat med den symmetriska nyckel som förbinder server och AS, för att klienten inte skall f˚a chansen att modifiera det. Det senare paketet vidarebefordras direkt till servern ˚atföljt av ett nytt paket skapat av klienten. Detta nya paket, som inneh˚aller en

checksumma förutom diverse övrig information, krypteras med sessionsnyckeln. Servern tar emot de tv˚a nya paketen och dekrypterar det ena med sin symmet-riska nyckel och f˚ar p˚a s˚a sätt tag p˚a sessionsnyckeln och bästföretiden. Därefter ¨

oppnas det andra paket med hjälp av sessionsnyckeln. Efter att checksumman kon-trollerats kan servern lita p˚a att paketet verkligen är krypterat med sessionsnyc-keln. För att förvissa sig om att paketet inte är en ˚ateruppspelning kontrolleras giltighetstiden mot serverns lokala tid med ett acceptabelt tidsfönster p˚a cirka fem minuter.

Om klienten kr¨aver att servern skall autentisera sig m˚aste servern skicka tillbaka ytterligare ett paket, till klienten, f¨or att bevisa att den har lyckats dekryptera paketet inneh˚allande sessionsnyckeln.

Det finns en stor fördel med en lösning där servern aldrig f˚ar reda p˚a klientens publika nyckel och tvärtom. Om n˚agon part blir bestulen p˚a sina nycklar, blir följderna inte lika allvarliga. Dessutom behöver bara en part, AS, lagra nycklarna. Detta gör att man f˚ar bättre översikt i ett stort system.

Kerberos erbjuder även stöd för autentisering över nätverksgränser. P˚a varje nätverk m˚aste det i s˚a fall finnas minst en AS. De konfigureras s˚a att alla inblandade AS, i de inblandade nätverken, litar p˚a varandra. Denna process sker med hjälp av hemliga symmetriska nycklar bestämda sen tidigare. När en användare, som har sin information lagrad p˚a en AS p˚a ett annat nätverk, loggar in s˚a fr˚agar den kontaktade AS användarens “hem-AS” efter nödvändig information. P˚a detta sätt kan man exempelvis bygga upp stora företagsnät lokaliserade p˚a flera platser runt om i världen.

Ett praktiskt exempel p˚a autentisering via Kerberos är Windows 2000 Server[24]. När en användare vill logga in genereras dennes symmetriska nyckel med hjälp av inloggningslösenordet. P˚a AS finns respektive nyckel sparad i en databas tillsam-mans med användarens loginnamn.

2.2.6 SSH

Det är vanligt att man använder en textbaserad anslutning, för att administrera eller använda en Linux, eller Unixbaserad dator3

. Det finns flera varianter av text-baserade anslutningar, och de flesta ¨ar okrypterade. Genom dessa verktyg f˚ar man tillg˚ang till en prompt, som om man fysiskt sitter vid datorn.

Secure Shell (SSH) har blivit allt vanligare p˚a senare ˚ar. Det använder sig av SSL/TLS. Med hjälp av certifikat identifieras servern. Sedan används serverns pub-lika nyckelpar för att föra över en unik symmetrisk sessionsnyckel[42]. När detta är klart sker krypteringen helt transparent med sessionsnyckeln. Inbyggt i protokollet finns även integritetskontroll med checksummor.

3

(24)

SSH erbjuder utöver den krypterade textöverförningen, även kryptering och vidarebefodring av meddelanden till X-servern4

. Detta leder till att anv¨andaren kan starta grafiska applikationer p˚a datorn med ssh-server, och dessa applikationer presenteras sedan p˚a klientdatorns sk¨arm5

.

2.2.7 SecurID

Ett sätt att eliminera risken för att n˚agons lösenord stjäls, är att använda sig av tokenbaserade[15] system. Det bygger p˚a att användaren använder sig av n˚agon form av hemlighet som är innesluten i n˚agot som denne fysiskt besitter. Detta försv˚arar för den som vill stjäla lösenord d˚a denne fysiskt m˚aste stjäla hemligheten. Dessutom kan användaren inte ”l˚ana ut” sitt lösenord till bekanta d˚a denne själv inte kan använda sig av det under tiden.

SecurID[16] best˚ar av en liten mikroprocessor samt en display, allt utformat som ett litet kreditkort. Lösenordet, som visas p˚a displayen, är giltigt i ett antal sekunder. Därefter tar SecurID fram ett nytt med hjälp av en algoritm. Algoritmen använder sig av den aktuella tiden samt en hemlighet lagrad i kortet.

Vid autentisering med hjälp av SecurID-kort, finns hemligheten i kortet även lagrad p˚a servern. Eng˚angslösenordet skrivs in av användaren tillsammans med en personlig kod. Detta skyddar mot att SecurID-kortet kan användas, om det blivit stulet.

Detta tillvägag˚angssättet kan upplevas kr˚angligt och besvärande för användarna och bör enbart användas när kraven p˚a säkerhet är höga.

2.3 S¨

akerhet vid Inloggning

De kanske mest säkerhetskritiska punkterna i just inloggningsförfarandet i nätverks-miljö är:

Användarnamn och lösenord Det är mycket viktigt att kontrollera att en användare av ett system verkligen är behörig att använda det. Det finns olika grad av autentisering. Vanligtvis nöjer man sig med att l˚ata användaren ange användarnamn och lösenord som behörighetsbevis. När kraven p˚a autentisering blir större kan man tänka sig lösningar som t.ex. smartcards, där användaren m˚aste bära med sig en fysisk ”nyckel” för att f˚a tillg˚ang till systemet. P˚a senare tid har ¨

aven biometrisk inloggning börjat användas. Detta innebär att systemet verifierar användaren med hjälp av anatomiska drag. Bland annat fingeravtryck, näthinnan och rösten kan användas till detta.

4

X-servern är det grafiska användargränssnittet som de flesta Unix- och Linuxsystem använder sig av.

5

Det finns en miljövariabel, DISPLAY, som är satt till den datoradress dit X skall skicka sin fönsterinformation. När en användare sitter och arbetar lokalt är denna satt till :0.0. Denna information skickas normalt okrypterad till X-servern där användaren fysiskt sitter och arbetar. SSH kapslar in detta i sin dataström s˚a att även den blir krypterad.

(25)

2.3 S¨akerhet vid Inloggning 15

Verifiering av systemen Nästan alltid vill man ha kontroll över att ett system, som vill verifiera en användare, verkligen är ett system man kan lita p˚a. Med diverse brandväggsregler och liknande kan man statiskt hindra datorer fr˚an att ansluta till inloggningsservern. Men i vissa fall räcker inte detta till. Ett bra exempel p˚a detta ¨

ar om en misstänkt angripare fysiskt ansluter sin dator till det lokala nätverket. För att kunna bemöta denna typ av problem kan man använda sig av kerberosbaserade inloggningssystem, alternativt certifikat. Dessa metoder ger ett mycket starkt bevis av att en dator verkligen är det den utger sig för att vara.

Säker nätverkskommunikation Ett bra sätt för att skydda sig fr˚an s˚a kallade man-in-the-middle-attacker och liknande är att kryptera all trafik som g˚ar mellan datorer p˚a nätverket. En vanligt använd metod för att kryptera trafiken mellan datorer är SSL/TLS. Kryptering används ofta när kravet p˚a sekretess är extra högt, men kan även hjälpa till att höja integriteten.

2.3.1 Autentisering i Linux

I Linux sköts autentisering av användare med hjälp av Pluggable Authentication Module (PAM) samt Name Service Switch (NSS).

Pluggable Autentication Module

Pluggable Authentication Module (PAM) finns till de flesta UNIX-liknande sys-tem[41]. Det är ett ramverk för autentisering och rättighetskontroll som applika-tioner kan välja att använda sig av. Fördelen med detta är att applikaapplika-tioner inte behöver skrivas om, ifall autentiseringsmetoden behöver ändras eller bytas ut. Det-ta innebär i sin tur frihet för administratören att själv bestämma rättighets- och autentiseringspolicy för en tjänst.

När en tjänst skall användas finns det ofta ett behov att ta reda p˚a om den aktuelle användaren är berättigad till att använda den. Ursprungligen använde sig tjänsterna av en egen databas eller filen /etc/passwd, där användares lösenord6

samt användarnamn finns lagrade. I och med att allt fler datorsystem vill dra nytta av centraliserade resurser finns behovet av att användare ska f˚a sitt lösenord distribuerat över dessa. För att ˚astadkomma detta finns det flera olika lösningar, bl.a. NIS+ och LDAP.

Eftersom det finns flera metoder för att ta reda p˚a lösenord och användarnamn behövs en version av en tjänst för varje autentiseringsmetod. Ett system som förlitar sig p˚a NIS+ kommer inte kunna köra samma version av FTP-server som ett system som förlitar sig p˚a LDAP. För att använda ett visst system för auten-tisering m˚aste alla tjänster som skall använda autentiseringssystemet kompileras om. Det kan leda till en hel del problem för b˚ade systemadministratörer och pro-gramutvecklare. Flera versioner av tjänsterna ökar ofta risken för programfel, vilka i sin tur kan leda till ökade brister i säkerheten.

6

I nyare UNIX- och Linux-system lagras lösenorden separat i en för vanliga användare lässkyddad fil kallad /etc/shadow

(26)

16 Teoretisk bakgrund Användare Klient Server libpamc libpam agenter moduler Klientens pam Serverns pam

Figur 2.5.Strukturen f¨or PAM p˚a Serversida respektive Klientsida.

Istället för att en tjänst använder egna funktioner för att kontrollera en använd-ares behörighet använder den istället ett gränssnitt som tillhandah˚alls av PAM. Förfr˚agningar om behörighet skickas till PAM som i sin tur skickar vidare förfr˚ agning-arna till respektive specifik autentiseringsmodul där kontrollen sker. I fallet med LDAP som autentiseringsmetod konfigureras PAM att använda modulen

pam ldap.so som är specialiserad p˚a just autentisering med hjälp av LDAP-databaser. En annan fördel med PAM är att den g˚ar att konfigureras till att använda flera olika moduler för att autentisera en användare. Detta gör att man till exempel skulle kunna använda b˚ade lösenord och fingeravtryck för autentisering utan att skriva om applikationerna som berörs av det. Ett annat exempel är att man kan till˚ata användare som finns b˚ade lokalt och i en centraliserad inloggningsserver att använda tjänster.

Name Service Switch

Lokalt identifieras användare av systemet av ett idnummer. För att göra omvand-lingen fr˚an id-nummer till mer användarvänlig information har ett system, med liknande uppbyggnad som PAM, utvecklats[40]. Name Service Switch (NSS) heter denna lösning. Om en dator använder sig av centralt distribuerad information av t.ex. NIS+ eller LDAP lagras information om var informationen g˚ar att hitta i /etc/nsswitch.conf. Filen inneh˚aller bla. raderna passwd, shadow och group. passwd: files ldap nis

shadow: files ldap nis group: files ldap nis

(27)

2.3 S¨akerhet vid Inloggning 17

För passwd, shadow och group i ovanst˚aende exempel, söks information först lokalt i en fil, sen via LDAP, sen via NIS. Finns inte den data som söks g˚ar systemet vidare till nästa källa och letar.

NSS hjälper till att förse program med information om användare, grupper och datorer etc, en mekanism som har vissa likheter med PAM. I grunden ligger ett antal programmoduler som var och en är specialiserad p˚a att hämta information p˚a sitt sätt. Bland annat finns det moduler för lokala filer, LDAP och NIS+. I filen /etc/nsswitch.conf kan systemadministratören konfigurera vilken modul som skall användas för respektive information. När sedan ett program vill ta reda p˚a information om t.ex. en användare anropar det NSS-API som med hjälp av rätt modul tar reda p˚a den.

2.3.2 Autentisering i Windows

I Windows sköts all autentisering av en mängd moduler som ansvarar för olika delmoment. Det här avsnittet kommer att handla om Windows NT, 2000 och XP ef-tersom de övriga distributionerna inte implementerat n˚agra avancerade säkerhetsme-kanismer. LSA Authentication package . . Winlogon.exe GINA SSP SSPI Klient-applikation Interaktiv autentisering Ickeinteraktiv autentisering

Figur 2.6.F¨orenklat schema ¨over inloggning i Windows NT/2000/XP

Centralt för hela processen ligger modulen Local Security Authority (LSA)[26][27]. Den h˚aller reda p˚a vilka användare som är inloggade och kontrollerar även med hjälp av en eller flera “authentication packages” vilka användare som autentiseras. Dessa sköter kommunikationen mot olika databaser för användarinformation. Det ¨

ar möjligt att skriva ett eget paket, som använder sig av LDAP för detta. För autentisering, i nätverk, används ofta ett paket som utnyttjar

(28)

SMB-protokollet7

[25].

Utvecklarna har valt att dela upp autentiseringar i tv˚a typer; interaktiva och ic-ke interaktiva. Egentligen ¨ar det fr˚aga om autentisering respektive beh¨orighetskont-roll.

Interaktiv autentisering är den process d˚a en användare loggar in till systemet genom att p˚a n˚agot sätt bevisa sin identitet. När en användare ska skriva in sitt lösenord sker detta i en dialogruta som handhas av winlogon.exe. När en användare väl loggar in laddas dennes profil in i registret.

Winlogon.exe arbetar med hjälp av programbiblioteket GINA. Detta ansvarar bland annat för att maskinen g˚ar att l˚asa med hjälp av skärmsläckaren. GINA sköter även kommunikationen mot det underliggande autentiseringssystemet.

Ickeinteraktiv autentisering8

kräver att en användare redan är inloggad genom föreg˚aende metod. Eftersom användaren redan är autentiserad mot systemet kräver Windows inte att lösenord skrivs in p˚a nytt. Detta används d˚a en användares rättigheter behöver kontrolleras för att denne skall kunna komma ˚at ytterligare tjänster när väl den huvudsakliga inloggningen är avklarad.

7

SMB förväxlas ibland med Samba, som är ett Unixbaserat program som använder sig av protokollet.

8

(29)

Kapitel 3

Implementation

3.1 L¨

amplig niv˚

a f¨

or NSC

3.1.1 Befintliga system

P˚a NSC finns flera superdatorer, arbetsstationer och servrar. Superdatorerna ¨ar av flera olika typer, fr˚an klassiska parallellsystem till skr¨addarsydda linuxkluster.

Den kraftfullaste datorn, en Cray T3E, är belägen inne p˚a SAAB’s omr˚ade i Linköping. Där finns även en SGI Origin 3800 och en SGI Origin 2000. B˚ade T3E och SGI3800 delas mellan SAAB, SMHI och akademiska användare. Eftersom SAAB levererar försvarsutrustning finns höga krav p˚a säkerhet. Gemensamt för de b˚ada systemen är att de använder sig av tokenbaserad inloggning med hjälp av SecurID-kort. Dessutom skiljs användare ˚at p˚a en l˚ag niv˚a i operativsystemet, s˚a att de inte kan p˚averka varandra.

Som ett led i Link¨opings universitets satsning p˚a 3D-visualisering tillhandah˚aller NSC Lustig1

, en SGI Onyx2.

P˚a senare ˚ar har man p˚a NSC börjat bygga PC-kluster. Det är en samling spe-cialdesignade persondatorer kopplade i ett lokalt nätverk. Med hjälp av mjukvara f˚ar man datorerna att samarbeta för att lösa större beräkningsuppgifter.

Det största klustret i dagsläget är Ingvar2

, som finns i NSC’s lokaler. NSC har nära arbete med ett flertal andra centra runt om i landet och har hjälpt till med uppbyggandet av kluster där. Grendel, som är ett av dessa kluster, är beläget i Uppsala och används av bland annat forskare och studenter i Linköping och Uppsala. Detta kluster utgör även en beräkningsresurs för NorduGrid3

som ¨ar ett samarbete mellan superdatorcentra i de nordiska l¨anderna.

Ett annat kluster som drivs i NSCs regi heter WhenIm64 och ¨ar placerat p˚a Lunds Datorcentral.

1

Lustig st˚ar för Linköpings universitets satsning p˚a tillämpningar inom datorgrafik.

2

Namnet kommer av att hela klustret ¨ar monterat i IKEA-bokhyllor.

3

www.nordugrid.org

(30)

20 Implementation Grendel LiuNet Internet Andra centra Brandvägg kluster LUSTIG Brandvägg SAABnet T3E SGI3K servrar skrivare arbetsstationer

Figur 3.1.De befintliga resurserna är utspridda geografiskt och kommunikationen g˚ar inte alltid över nätverk som vi kan lita p˚a.

Utöver detta finns ett tjugotal arbetsstationer p˚a NSC som kör antingen Win-dows eller Linux som operativsystem. Dessutom finns ett antal servrar bland annat för att sköta www, ftp, DNS, epost etc. Även en Samba-server finns för att sköta centraliserad autentisering för de arbetsstationer som använder sig av Windows.

3.1.2 Vad man vill f¨

orb¨

attra

Som situationen ser ut nu lagras användarinformation lokalt p˚a varje superdator, server och Linux-arbetsmaskin. De Windowsbaserade arbetsstationerna använder sig av Samba för att centralisera autentiseringen.

Om all information om användare istället lagras centralt kommer detta un-derlätta för användarna av nätverket. Det kommer bland annat att minska förvirr-ingen som flera lösenord/användarnamn för samma användare kan leda till. Även administration av systemen kommer underlättas d˚a man f˚ar bättre översikt över vilka användare som finns samt vilka datorer de har rätt att använda.

3.1.3 S¨

akerhetsniv˚

an p˚

a NSC

Som alltid i säkerhetsfr˚agor m˚aste man hitta en balans mellan vad som verkligen är krav p˚a systemen, och vad som är önskvärt att uppn˚a. Balansen mellan säkerhet och

(31)

3.1 L¨amplig niv˚a f¨or NSC 21

Användbarhet

Säkerhet

Tillgänglighet

!

Figur 3.2.3 Viktiga h¨ornstenar.

användarvänlighet m˚aste noga övervägas och betänkas. Total säkerhet utesluter i m˚anga fall användarvänlighet, och total användarvänlighet utesluter i m˚anga fall högre niv˚a av säkerhet.

Användarnamn och lösenord P˚a NSC är kravet p˚a säkerhet tillräckligt stort för att man ska vilja ha kontroll s˚a att användarens identitet (användarnamnet) g˚ar att sp˚ara direkt tillbaka till en användare, och endast en användare.

Det enda lösenordet som delas är root-lösenord p˚a de olika systemen. Detta delas av administratörerna för systemen p˚a NSC. För det vanliga inloggninsförfarandet bedöms det att användarnamn och lösenord ger tillräcklig säkerhet.

De system som har extra hög krav p˚a säkerhet (främst de en g˚ang B1-evaluerade systemen) använder SecurID-kort. Säkerhetskraven p˚a dessa system gör det väldigt omständigt att implementera centraliserad autentisering av användare. B1-klassn-ing[31] p˚a ett datorsystem innebär väldigt hög niv˚a av säkerhet. Endast B2, B3 och A är högre klassningar, men det finns nästan inga s˚adana system tillgängliga för allmänheten.

För de ”vanliga” systemen som kontorsdatorer och PC-kluster är användarnamn och lösenord fullt tillräckligt autentiseringsförfarande. Eftersom lösenord är s˚apass personligt är kryptering vid lagring av lösenord ett absolut krav.

Verifiering av systemen För att uppn˚a ytterligare säkerhet av systemen och göra det sv˚art för utomst˚aende att komma ˚at nätverket p˚a NSC krävs även n˚agon form av starkare bevis p˚a att ett system verkligen tillhör NSC. Därför är n˚agon form av mjukvarucertifikat för systemen ett krav.

Säker nätverkskommunikation En del av kommunikationen som sker p˚a nätverket är känslig. Det rör sig om allt fr˚an användarinformation och lösenord till information som rör kunderna. V˚ar lösning arbetar framförallt med lösenord och denna typ av trafik m˚aste krypteras.

(32)

22 Implementation

3.1.4 Hur man ska ˚

astadkomma denna f¨

orb¨

attring

Genom att bygga en server som tar hand om autentisering och information om de olika systemen kan man samla all information centralt. Denna eller dessa servrar m˚aste dock byggas p˚a ett s˚adant sätt att den b˚ade är kompatibel med windowsk-lienter och unix/linux-kwindowsk-lienter. Den m˚aste vara fullt funktionsdugligt, och noga testas innan den kan tas i drift. Detta kräver att en tänkt lösning m˚aste kun-na ställas upp vid sidan av de nuvarande systemen, för testning och utvärdering. Verktygen m˚aste vara flexibla och lätta att utveckla vidare för framtida syften, som t.ex. autentisering av datorer p˚a skilda orter.

3.2 F¨

oreslagen l¨

osning

Windows arbetsstation _Server Linux arbetsstation Användar-katalog Beowulf-system Superdator

Figur 3.3.Föreslagen lösning. Att samla information om användare p˚a ett ställe skulle underlätta administrationen av systemen.

En lösning m˚aste vara effektiv, lätt att administrera och framför allt säker. Vi bedömmer att LDAP kan vara en lämplig komponent i en s˚adan lösning.

Som hjärta i v˚ar lösning finns en LDAP-server som hanterar användar- och gruppinformation. OpenLDAP är en öppen serverlösning som kan köras under Li-nux. OpenLDAP kan lagra användarinformation p˚a ett stabilt och effektivt sätt som passar situationen.

(33)

3.2 F¨oreslagen l¨osning 23

direkt till servern med fr˚agor om autentisering och f¨or att komma ˚at diverse infor-mation.

Det finns för närvarande ingen version av Windows som stöder direkt koppling mot en OpenLDAP-server. Om en LDAP-server skall användas kräver Windows att den följer Microsofts egna “standard” för LDAP. S˚aledes kan enbart Active Directo-ry användas. Som systemet var upplagt, använde sig NSCs Windows-datorer av en Samba-server för autentisering. Denna server f˚ar ersätta sin egen databas med an-rop till LDAP-servern.

Systemet är lätt att installera och när det väl är uppe räknar vi inte med mycket underh˚all. Administration av användare kan enkelt ske med hjälp av Perl-skript eller grafiska verktyg.

3.2.1 S¨

akerhet

För att upprätta en krypterad förbindelse används TLS. När förbindelsen upprättats med hjälp av TLS sker krypteringen transparent för applikationerna. De anslut-ningar det är fr˚aga om är de mellan klienterna och servern. Med klienter i detta fall menar vi de arbetsstationer dit användare vill logga in. Dessa arbetsstationer ansluter sig till LDAP-servern för att verifiera autentiseringsinformation. Eftersom Samba-servern körs p˚a samma dator som OpenLDAP finns det inget skäl att kryp-tera förbindelsen mellan dem.

TLS

Nyckelcertifikat

Figur 3.4.Först överförs serverns certifikat till klienten för att säkerställa serverns iden-titet. Sedan sker all datakommunikation krypterad med TLS.

Det är viktigt att kunna kontrollera vilka som har rätt att läsa känslig infor-mation fr˚an v˚ar LDAP-server. Det finns flera olika metoder för att ˚astadkomma detta.

LDAP-servern kommer att konfigureras s˚a att kataloganv¨andare4

m˚aste ange lösenord när de ansluter till den. Beroende p˚a lösenordet döljs vissa fält i katalogen. Detta gör att vi kan till˚ata anonyma sökningar i katalogen för att t.ex. använda

4

Kataloganvändare bör inte förväxlas med användare av datorsystem. En post om en användare i katalogen ägs av en kataloganvändare. I v˚art fall hämtas informationen om den-na kataloganvändare ur posten och f˚ar därför samma namn och lösenord som datoranvändaren. Skillnaden är vad användarkontot används till.

(34)

24 Implementation

katalogen som telefonkatalog. Samtidigt kan samma katalog, med rätt lösenord, användas i autentiseringsprocessen.

När man gör ett anrop till servern och ställer en fr˚aga använder man nämligen ett binddn5

, som identifierar vem man önskar ansluta sig som. En anonym användare ansluter inte med n˚agot namn och hanteras därför anonymt, medan användare och administratörer vanligen ansluter sig med sitt eget namn, och tillhörande lösenord, för att verifiera att den som ansluter sig verkligen är den den utger sig för att vara. Fält som man vill skydda kan vara t.ex. lösenord, eller hemliga uppgifter, medan andra uppgifter som epostadress och namn m.m. vanligen är tillgängliga för alla att läsa och söka upp.

PAM

NSS

App.skikt

Windows

Linux

arbetsstation

Server

arbetsstation

Samba

LDAP

App.skikt

GINA

LSA

Figur 3.5.Centrala moduler, i arbetsstationer och server, som anv¨ands under autentise-ringsprocesserna.

¨

Aven om dessa lösenord kommer att skickas över en krypterad förbindelse kan man fortfarande utöka säkerheten ytterligare. Om man begränsar skaran datorer som f˚ar ansluta med hjälp av denna typ av lösenord eliminerar man risken för att en utomst˚aende dator lyckas knäcka lösenordet genom gissningar. Vidare kan slarv och andra omständigheter leda till att obehöriga kommer över lösenord.

Kerberos och nyckelcertifikat är tv˚a metoder som vi kan använda för att ytter-ligare öka säkerheten och ha kontroll p˚a vilka datorer som ansluter till v˚ar LDAP-server. Vi tror att inte att Kerberos har n˚agon plats i en lösning för NSC. Kerberos kräver en server för detta och en hel del konfigurationsarbete. Vidare ger en lösning med Kerberos i v˚art fall egentligen inte högre niv˚a av säkerhet än ett rätt konfigu-rerat system med nyckelcertifikat.

Vi ser nyckelcertifikat som ett komplement till LDAP’s lösenord i v˚ar lösning. Genom att använda certifikat för servern kan vi fastställa dennes identitet. Det viktigaste är att klienten kan lita p˚a att servern verkligen är vem den utger sig för att vara, s˚a inga lösenord skickas över till en falsk server. Detta skulle kunna hända

5

N¨ar n˚agon ansluter till en LDAP-server kallas det att denne binder sig till den. Ett binddn ¨

(35)

3.3 Klientsidan 25

om n˚agon ansluter en falsk LDAP-server till nätet och, “stjäl” den riktiga serverns IP-adress. Om detta händer kommer en intet ont anande klient (som inte kräver att f˚a verifiera serverns certifikat) att skicka över det hemliga lösenordet till den falska servern.

3.3 Klientsidan

3.3.1 Linuxklienter

För att använda OpenLDAP p˚a en linuxklient krävs ett paket som heter

“OpenLDAP Client utilities”. Paketet inneh˚aller klientprogram som ger tillg˚ang till OpenLDAP-kataloger. För att använda LDAP för autentisering krävs även paketen pam ldap samt nss ldap[23].

Inloggningsf¨orlopp

När en användare vill logga in p˚a en arbetsstation används datorns PAM och nsswitch. De är b˚ada konfigurerade att ansluta till LDAP-servern för att hämta och lagra information.

LDAP

Figur 3.6. När en användare vill använda en Linuxdator ansluter sig denna dators autentiseringssystem direkt till LDAP-servern. Denna anslutning upprättas med det användarnamn respektive lösenord som användaren skrivit in. Användarens autentise-ringsinformation i LDAP och i Linux är i detta fall identiska.

Undantaget fr˚an denna regel är lokala användarkonton, framför allt root, som har prioritet över konton som ligger i LDAP. Detta för att man ska undvika ett globalt administratörskonto med flera användare. I verkligheten administreras sy-stemen av flera personer som har skilda ansvarsomr˚aden. Det är en onödig risk att l˚ata flera ha administratörsrättigheter p˚a alla system. Vidare skulle det kunna uppst˚a problem när flera organisationer ansluts till LDAP-servern, -ska en global administratör f˚a existera?

(36)

26 Implementation

LDAP

A

B

Figur 3.7.Dator B är en Linuxdator som använder sig av LDAP för autentisering som i föreg˚aende bild. När en användare p˚a dator A vill ansluta sig till dator B, för att använda sig av n˚agon tjänst (t.ex. ssh eller imap), kommer dator B att sköta autentiseringen som i föreg˚aende fall.

3.3.2 Inloggningsf¨

orloppet p˚

a en windowsklient

Tidigare har arbetsstationerna som kör Windows anslutit sig till en Samba-server som fungerat som inloggningsserver för domänen. Sett ur dessa arbetsstationers perspektiv har inget förändrats.

Samba

LDAP

Figur 3.8. När en användare vill använda en Windowsdator ansluter sig datorn till Samba-servern som har hand om windowsdomänen. Samba-servern i sin tur ansluter sig till LDAP-servern för att hämta/lagra användarinformation. Den senare förbindelsen upprättas med hjälp av administratorkontot i LDAP som finns lagrat i Sambas konfigu-rationsfiler.

3.3.3 Superdatorer som klienter

Superdatorerna använder sig av Trusted IRIX, som är ett Unix-baserat operativ-system. Dessa delar upp användare och processer i fack och i säkerhetsniv˚aer. Att ¨

andra i autentiseringsprocessen är därför inte helt trivialt. N˚agra färdiga lösningar för detta existerar troligen inte. Detta innebär att autentiseringen p˚a Superdato-rerna tillsvidare förblir som den är idag.

(37)

3.4 Serversidan 27

3.4 Serversidan

Vi l˚ater en dator fungera som server för v˚ar lösning. P˚a denna installerar vi OpenLDAP och Samba. Dessa används av arbetstationerna till deras autentise-ringsprocesser.

3.4.1 OpenLDAP

Vi använder oss av en vanlig installation av OpenLDAP för att sköta v˚ar kata-log. I denna sparar vi kontoinformation för användare i systemet. Linuxdatorerna ansluter direkt till denna för att f˚a tag i information som används vid autentisering. Eftersom Windows och Linux byggt upp sitt sätt att hantera användare p˚a vitt skilda sätt m˚aste en hel del data om användarna dubbellagras. Ett exempel p˚a detta är lösenorden; Linux använder sig av ett lösenord som kan vara krypterat p˚a olika sätt medan Windows använder sig av tv˚a stycken krypterade med Microsofts egna algoritmer. N˚agot smidigt sätt att undvika denna dubbellagring finns inte i nuläget.

¨

Aven om lösenorden aldrig skickas i klartext över nätverket är det inte önskvärt att n˚agon kommer över dessa. Speciell mjukvara kan omvandla krypterade lösenord till klartext genom en tidskrävande process. Annan information som lagras i LDAP kan även den komma att skickas över nätverket. Därför använder sig denna server av en krypterad förbindelse med hjälp av TLS.

Vi vill inte l˚ata denna säkerhets˚atgärd p˚averka tillgängligheten negativt. Att kunna konfigurera sitt emailprogram att använda LDAP som en adressbok är ¨

onskvärt och dessa operationer är ofta anonyma och stöder inte TLS. Därför är LDAP-servern även konfigurerad att ta emot anonyma anslutningar utan TLS. Vid denna typ av anslutning har vi l˚ast känsliga fält mot läsning.

3.4.2 Samba-servern

Som en inloggningsserver[22] för windowsdomänen har vi satt upp en Samba-server. Den ansvarar för användarautentisering, nätverksskrivare och fildelning.

Vi har hämtat hem källkoden till Samba och kompilerat den med LDAP-stöd, n˚agot som inte finns med i standardutförandet. Samba-servern lagrar all informa-tion om datorer, användare och grupper i LDAP-servern, dit den ansluter med en TLS-krypterad förbindelse.

Eftersom de b˚ada servrarna ligger p˚a samma dator finns inget egentligt krav p˚a en krypterad förbindelse men eftersom LDAP-servern i framtiden kan komma att flyttas till en annan dator har vi förberett för detta.

3.4.3 Utv¨

ardering av programvara

Det finns ett antal organisationer som regelbundet rapporterar brister i program-vara vilka kan äventyra säkerheten. Tv˚a av dem är CERT och SecurityFocus. Vi har sökt i deras arkiv för att se om programvarorna i v˚ar lösning är säkra.

(38)

28 Implementation

Det finns för närvarande inga kända brister i de versioner6

av OpenLDAP och Samba som vi valt att använda. Detta är ingen garanti för att dessa versioner är helt fria fr˚an brister, utan enbart att de inte blivit upptäckta ännu. Det är viktigt att man regelbundet utnyttjar tjänster som informerar om säkerhetsbrister s˚a att man i tid blir varse de problem som kan uppst˚a. Oftast kommer en ny version av programvaran ut samma dygn.

Genom att blicka tillbaka p˚a tidigare brister kan man m¨ojligtvis f¨orutsp˚a vilken typ av problem som kan komma att uppst˚a i framtiden och dessutom se vilken kvalitet programvaran h˚aller.

Vidare är det vanligt bland hackers att försöka hitta brister liknande de som tidigare funnits. Därför kan man säga att de brister som mest sannolikt kommer att dyka upp liknar de som varit. Om en brist upptäcks i ett program kommer hackers att försöka utnyttja det i liknande program. När en ny feltyp upptäcks i ett liknande program skall man vara extra vaksam, eftersom ens egna program inte ¨

annu hunnit testas.

S¨akerhetsbrister i OpenLDAP

Historiskt sett har det inte f¨orekommit s˚a m˚anga brister, och de som varit har inte varit s˚a allvarliga.

• D˚a ett par andra tillverkares LDAP-servrar har haft problem med att h˚alla sekretessen, har inga s˚adana rapporterats rörande OpenLDAP. För att nämna ett exempel har Oracles lösning[5] haft en rad problem med detta, där använd-are kunnat läsa skyddad information som de inte skall ha tillg˚ang till. • Under första kvartalet 2002 har tv˚a brister rörande katalogens tillförlitlighet

rapporteras. B˚ade anonyma[38] och autentiserade[39] användare kunde rade-ra data ur katalogen, under vissa förutsättningar.

• Ett utf¨orligt test[3] av de vanligaste LDAP-servrarna7

utfördes under 2001. Det visade sig att flera av dem, däribland OpenLDAP[6][35], innehöll svaghe-ter som kunde utnyttjas vid denial-of-service-attacker. En ström av felaktiga förfr˚agningar till OpenLDAP-servern kunde f˚a den att drastiskt förlora pre-standa.

S¨akerhetsbrister i Samba

Samba och andra tjänster som utnyttjar SMB-protokollet har inneh˚allit en del allvarliga säkerhetsh˚al de senaste ˚aren[34][33]. Sen dessa upptäckts och ˚atgärdats under det senaste ˚aret har inga säkerhetsbrister rapporteras.

De senaste händelserna av vikt inträffade under 2001. Sambaservern körs av en användare som har relativt omfattande skrivrättigheter. Genom att skicka felakti-ga anrop till servern lyckades användare f˚a den att skriva till filer p˚a servern. Det

6

OpenLDAP version 2.0.23, Samba version 2.2.5

7

(39)

3.4 Serversidan 29

allvarligaste var att man i vissa fall kunde skriva direkt till lösenordsfilerna p˚a ser-vern. En rad rapporter[36][37][4] visade att man kunde p˚averka serverns p˚alitlighet och i värsta fall ge sig själv förhöjda rättigheter.

(40)

Kapitel 4

Diskussion

4.1 F¨

ordelar med v˚

ar l¨

osning

All data för användarhantering kommer att lagras p˚a ett ställe1

och ändringar som görs i databasen p˚averkar alla system omedelbart. Det tidigare var att användar-information fanns lagrad i flera system och t.ex. ett lösenordsbyte skulle behöva göras flera g˚anger; en g˚ang p˚a varje system. Administratören f˚ar enkelt en bra ¨

oversikt över vilka som har tillg˚ang till de olika delsystemen genom att använda verktyg som använder sig av LDAP-databasen.

4.2 Skydd av n¨

atverket

När känslig data, s˚a som lösenord, skickas över ett nätverk m˚aste den skyddas. Vi har implementerat tv˚a mekanismer för att ˚astadkomma detta.

Först och främst är alla förbindelser där lösenord förekommer krypterade med TLS . Detta gäller inte windowsklienterna som använder sig av de protokoll som ¨

ar standard för Windows 2000. Vi har gjort bedömningen att detta, i nuläget, inte ¨

ar n˚agot problem f¨or de f˚atal windowsdatorer det r¨or sig om.

För att ytterligare öka säkerheten använder vi oss av servercertifikat. Detta för att ingen skall kunna utge sig för att vara servern och p˚a s˚a sätt komma över känslig information. OpenLDAP-servern använder sig av vanliga certifikat genererade med OpenSSL.

I Samba fungerar det annorlunda. När en klient ansluter sig till windows-domänen för första g˚angen genereras tv˚a ”datorlösenord” som används varje g˚ang en dator startas och vill ansluta sig till domänen p˚a nytt. Dessa lösenords funktion kan liknas med nyckelcertifikat.

Vi har kommit fram till att Kerberos erbjuder säkra möjligheter för att verifiera systems identiteter. Om vi skulle använda oss av detta skulle v˚ar lösning inte vara

1_¨

Aven i ett utökat system, d˚a datan replikeras över flera LDAP-servrar och existerar fysiskt p˚a flera ställen, kan datamängden ses som en.