Server Web pubblico e autenticazione Kerberos basata su AD

2

Vorrei utilizzare il protocollo SPNEGO / Kerberos su un server Web pubblico per specifici indirizzi IP remoti provenienti dalla intranet aziendale. Altri metodi di autenticazione sono utilizzati per altri indirizzi (login / password basato su modulo). Tutto quello che voglio è ottenere il nome utente del dominio dell'utente entrante se proviene dalla rete aziendale. Sto usando il file keytab sul server web creato con ktpass. Webserver è in DMZ e isolato dalla intranet. L'implementazione Kerberos in questione è Active Directory.

  • Kerberos è adatto all'autenticazione del server Web pubblico in questo tipo di installazione?
  • Ci sono alcune considerazioni di sicurezza specifiche relative a una configurazione come questa?
  • Quali sono i passaggi necessari se il file keytab viene compromesso?
posta StrangeLoop 06.12.2012 - 01:13
fonte

1 risposta

1

Non vedo alcuna debolezza immediata. Kerberos sta cercando l'utente per fornire un token di accesso generato dal server Kerberos che dovrebbe essere disponibile solo sulla tua rete privata. Il server Web non dovrebbe sapere come generare un token di accesso che consenta l'accesso alla rete privata in modo che tutto ciò che potrebbe essere fatto compromettendo la chiave di servizio condivisa del server web sia per consentire l'accesso al server web (che presumibilmente è l'attaccante ha già accesso se hanno compromesso la tua chiave segreta di servizio.)

In effetti, non credo che il server Web debba nemmeno avere accesso al server Kerberos, poiché deve solo essere in grado di verificare un TGT che richiede solo la conoscenza della chiave segreta del servizio. Il client che ha effettuato l'accesso alla rete privata dovrebbe essere l'unico con una connessione a entrambi i mondi.

    
risposta data 06.12.2012 - 15:14
fonte