OpenBSD DMZ-Server in Windows NT Domäne

yanosz

Member
ja hallo erstmal,..

ok, das klingt pervers - ist es auch.
Leider ich noch nicht so gut mit OpenBSD aus, ich komme eher aus der Linux-Ecke...
Also:
In unserem Netzwerk steht ein Samba-Server, der eine NT-Domäne betreibt, aufder die Benutzer ihre Heimatverzeichnis haben. Leider habe ich keinen Einfluss auf die angebotenen Services-

Nun soll ein OpenBSD-Server als DMZ genutzt werden und den Benutzern ihre Dateien zur Verfügung stellen. Der Zugriff soll über SFTP/SSH erfolgen. SSH Logins zum Arbeiten sollen auch möglich sein.
D.h.
- Der OpenBSD Server sollten irgendwie ein rudimentäres User-ID mapping hinebekommen. Die in der Domäne geführten Accounts sollten auch gültig sein. (Ok, das klingt nach LDAP, geht aber leider nicht so) - wie macht man's hier mit OpenBSD?
- Der OpenBSD Server sollte die bei der Benutzeranmeldung übermittelten Daten das Homeverzeichnis des Benutzers mounten können. (Auf Linux wäre hier pam-smb der richtige Ansatz)
- Der OpenBSD Server sollte auch im Fall einer Kompromittierung nur wenig Schaden anrichten können. Z.B. wäre ein mounten des ganzen /home-Trees nicht in diesem Sinn.
- Der OpenBSD Server sollte die arbeitenden Benutzer möglichst gut von einander trennen. (Unter Linux würde ich über ein chroot auf einen benutzereigenen unionfs mountpoint (ro System, rw Home) setzen).

Wie auch immer.
Wie sag ich's meinen OpenBSD? Nach welchen Schlüsselwörtern muss ich suchen?

Danke,
Keep smiling
yanosz
 
Hallo,

poste doch mal ein kleines Übersichtsbild, wie das ganze (logisch) aussehen soll - vielleicht mit einem kleinem Schema der Zugriffe. Das hilft meistens schon weiter. Ausserdem vermute ich, dass der OpenBSD-Server in der DMZ stehen soll ?

Gruß

Frank
 
ja hallo erstmal,..
Frank D. schrieb:
Hallo,

poste doch mal ein kleines Übersichtsbild, wie das ganze (logisch) aussehen soll - vielleicht mit einem kleinem Schema der Zugriffe. Das hilft meistens schon weiter. Ausserdem vermute ich, dass der OpenBSD-Server in der DMZ stehen soll ?
Frank

Ok, evtl. hilft dieses.
dmz.png


Keep smiling
yanosz
 
Du brauchst Sharity-Light
und ein Script, das Du in die .loginrc, .shrc (was immer) der User eintraegst.
Dieses Script mountet mit dem $USERNAME des Users, der sich gerade an der
OBSD-Maschine angemeldet hat, das $HOME des Users von der Samba-Maschine
auf die OBSD-Maschine.
Usernamen muessen auf beiden Maschinen gleich sein, versteht sich.

Eine automatische Uebermittlung der Daten ($HOMEDIR) des Users von Samba an
OBSD wirst Du in dieser Konstellation und mit diesen Mitteln vermutlich nicht
realisieren koennen.

Sharity-Light ist der Ersatz fuer das fehlende smbmount unter OpenBSD.
 
Zuletzt bearbeitet:
walt schrieb:
Du brauchst Sharity-Light
und ein Script, das Du in die .loginrc, .shrc (was immer) der User eintraegst.
Dieses Script mountet mit dem $USERNAME des Users, der sich gerade an der
OBSD-Maschine angemeldet hat, das $HOME des Users von der Samba-Maschine
auf die OBSD-Maschine.
Usernamen muessen auf beiden Maschinen gleich sein, versteht sich.

Da bleiben aber noch drei Sachen offen:
  1. Wie komme ich an das eingegebene Kennwort, um das Share zu mounten
  2. Wie halte ich die Account-Listen synchron, d.h. wie mappe ich die Domänenaccounts? (Am besten ihn Echtzeit ohne cron, etc.)
  3. Welche Sicherheitsmaßnahmen sollte ich zur Trennung gleichzeitig arbeitender Benutzer machen?

walt schrieb:
Eine automatische Uebermittlung der Daten ($HOMEDIR) des Users von Samba an
OBSD wirst Du in dieser Konstellation und mit diesen Mitteln vermutlich nicht
realisieren koennen.
Das Homedir ist immer //SMB-Server/User. Oder was meinst du jetzt?

walt schrieb:
Sharity-Light ist der Ersatz fuer das fehlende smbmount unter OpenBSD.
Klingt gut.

Btw. Wenn die Limitierung auf SMB nicht wäre, welche Services müsste (deiner Meinung nach) der Server anbieten um diese Konstellation so sicher wie möglich zu fahren?

Keep smiling
yanosz
 
1. Das gibt der User selber ein (Admins kennen nicht die PW's der User !)
2. Das machst Du ! (Von Hand oder per Script)
3. Welche Sicherheitsmassnahmen ? Das Rechtesystem von OpenBSD reicht voellig aus.

Sharity-Light 1.3 wird nicht weiterentwickelt.
Sharity 3.0 ist die Kommerzvariante und kostet fuer 1 Benutzer 199,-- Kopeken.
 
walt schrieb:
1. Das gibt der User selber ein (Admins kennen nicht die PW's der User !)
Das meine ich so nicht - sorry, falls ich mich falsch ausgedrückt habe.
In meiner Situation medet sich der Benutzer z.B. per SFTP am DMZ-Server an. Nun müsste irgendwie ein Script gestartet werden, dass mit dem beim SFTP-Login übermittelt Kennwort nutzt um das share zu mounten. Mir ist nicht klar, wie das gehen soll.

walt schrieb:
2. Das machst Du ! (Von Hand oder per Script)
Hmm... optimal wäre das nicht.

walt schrieb:
3. Welche Sicherheitsmassnahmen ? Das Rechtesystem von OpenBSD reicht voellig aus.
Man tendiert dazu, Dienste zu chroot'en um eine höhere Sicherheit zu erzielen. ;)
walt schrieb:
Sharity-Light 1.3 wird nicht weiterentwickelt.
Schade.

Keep smiling
yanosz
 
SMB ist zwar lustig, aber in einem Unix Netzwerk :confused:

Das zauberwort heisst NFS (NetworkFileSystem).
Mit NFS sollten die PW probleme wegfallen.

TIPP
NFS ist maechtig! Pass auf was du machst, sonst bist du ein
sicherheitsloch... (Schweizerkaese)

gg
 
ja hallo erstmal,..

Green_Ghost schrieb:
SMB ist zwar lustig, aber in einem Unix Netzwerk :confused:

Das zauberwort heisst NFS (NetworkFileSystem).
Mit NFS sollten die PW probleme wegfallen.

TIPP
NFS ist maechtig! Pass auf was du machst, sonst bist du ein
sicherheitsloch... (Schweizerkaese)

gg

Kann OpenBSD überhaupt NFSv4? NFS ohne Kerberos hat immer den Nachteil, dass es nur hostbasierte Freigaben ermöglicht.
In diesem Fall riskiere ich die Daten aller User, wenn die DMZ mal ge'root'et wird.
Kein sehr besonders gute Aussicht...
Gelänge es aber, die beim SFTP/SSH-Login übermittelten Daten für das mounten zu nutzen (was z.B. bei pam-mount (unter Linux) oder kerberos) würde ich nur die Dateien der User gefährden, die sich seit dem Einbruch angemeldet haben. Letzteres gefiele mir wesentlich besser. ;)
Die Frage bleibt nur: Welche Bordmittel bringt OpenBSD mit, um dies möglichst sicher zu tun?
Lieber NFSv4 / Kerberos, oder doch AFS/Kerberos, oder doch was anderes?
Welche Option hätte ich dies mit SMB zu tun?
Gelingt mir das ganze SMB-Basiert, so wäre das optimal. Lande ich hinterher bei NIS/NFS v. <=3 als einzige OpenBSD-Alternative, so nehme ich lieber Linux und haue alle 2 Wochen ein Kernelupdate rein... :(

Keep smiling
yanosz
 
Es müsste doch mit NIS/SMB gehn.
Einfach noch auf dem Sambaserver einen NIS Master installieren
auf Openbsd den Clienten und auf dem Master dann das Samba
Passwort und das Unix Passwort synchronisieren.
 
ja hallo erstmal,...

Manga schrieb:
Es müsste doch mit NIS/SMB gehn.
Einfach noch auf dem Sambaserver einen NIS Master installieren
auf Openbsd den Clienten und auf dem Master dann das Samba
Passwort und das Unix Passwort synchronisieren.

Hmm... im Prinzip ist die Idee nicht schlecht - bleibt nur noch offen, wie ich das Samba-Share bei einem SFTP-Login mit den aktuellen Anmeldedaten automatisch mounte...

Keep smiling
yanosz
 
Es müsste doch mit NIS/SMB gehn.
Einfach noch auf dem Sambaserver einen NIS Master installieren
auf Openbsd den Clienten und auf dem Master dann das Samba
Passwort und das Unix Passwort synchronisieren.

Code:
smbclient  is  a  client  that  can  'talk' to an SMB/CIFS
       server. It offers an interface similar to that of the  ftp
       program (see ftp(1)).  Operations include things like get-
       ting files from the server to the local  machine,  putting
       files  from  the  local  machine to the server, retrieving
       directory information from the server and so on.

Also, nein.
der client ist wie ein ftp client, also nix mit mount.

Es gaebe noch eine moeglichkeit.
Die sourcen von Sharity-Light sind unter GPL.
Schreib es einfach um, und mach was fuer die allgemeinheit.

gg

//edit//
oh, verlesen.
Sorry, ich hab NIS mit dem smbclient verwaechselt.

NIS, koennte vl. gehen.

//edit2//
vl sowas in der art?
http://www.online-tutorials.net/internet-netzwerk/nfs-+-nis/tutorials-t-29-217.html
 
Zuletzt bearbeitet:
Working with NIS
Code:
 For example, if user joe asks for a share called [joe], and the nis homedir option is set to yes,
 Samba will look in the file specified by homedir map for a home directory for joe. If it finds one, 
 Samba will return the associated system name to the client. 
 The client will then try to connect to that machine and get the share from there.
 Enabling NIS lookups looks like the following:

[globals]
    nis homedir = yes
    homedir map = amd.map

Damit könnte es gehn.


http://us5.samba.org/samba/docs/using_samba/ch08.html
 
Zurück
Oben