Ideen zur LDAP user authentication (Allgemeines zu Perl)

[thread]16819[/thread]

Ideen zur LDAP user authentication

Tags: perl5 ldap user authetication Ähnliche Threads

Leser: 26

Articles: hide open all | hide show old branches

+14 replies
arieger

2011-10-17 12:48

User since
2011-10-17
5 Artikel
BenutzerIn

Hallo Forum,

ich weiss, dass dieses Thema schon ziemlich oft angesprochen worden ist und ich habe mir auch alles fein durchggelesen, aber irgendwie war nix passendes dabei.

ich erkläre mal kurz was ich vorhabe.
ich habe eine config-script geschrieben, die alle netzwerkkomponenten unserer firma konfigurieren kann (z.b neue firewall-rules, neue bgp-peerings, etc). das script soll dazu dienen, ein standardisiertes Konfig-Deployment zu realisieren. das funktioniert auch alles soweit super.
jetzt muss aber sichergestellt werden, dass nicht jeder dieses script ausführen darf (sprich: sollte das script jemanden aus dem Marketing in die hände fallen, könnte er theoretisch alles zerstören).
Ziel von mir ist es, dass nur bestimmte User einer AD-Gruppe dieses Script ausführen darf.
Daher hätte ich gerne mit in diesem Script ein User-Login, der checkt, ob der User in der berechtigten AD Gruppe ist.

hat jemand von euch sowas schonmal programmiert und kann mir evtl. ein beispiel script zur verfügung stellen? ich bin noch nicht so fit in perl und alles was ich ausprobiert habe, um eine user-authentication hinzubekommen ist erfolglos gewesen.

ich hoffe es war ein wenig verständlich, was ich vohabe.
Last edited: 2011-10-17 12:50:33 +0200 (CEST)
- +10 replies
- GwenDragon
  
  2011-10-17 13:11
  
  User since
  2005-01-17
  14875 Artikel
  Admin1
  
  Wie? Marketing kann sich einfach überall im System einloggen?
  Existiert denn keine Gruppe Administratoren für den Zugriff auf das Skript?
  
  Ich würde ganz einfach die Zugriffsrechte so setzen, dass nur Administratoren das Skript starten dürfen.
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +9 replies
  - arieger
    
    2011-10-17 13:18
    
    User since
    2011-10-17
    5 Artikel
    BenutzerIn
    
    das script liegt local auf den admin-rechnern (mac osx)und wird dort auch ausgeführt. wenn jetzt jemand das script weitergeben würde, könnte ein fremder das script ausführen, daher auch der user-login im script selbst nochmal
    Last edited: 2011-10-17 13:20:24 +0200 (CEST)
    - murphy
      
      2011-10-17 13:30
      
      User since
      2004-07-19
      1776 Artikel
      HausmeisterIn
      
      So ganz verstehe ich nicht, was Du eigentlich machen willst: Das Skript an sich kann doch keine Sicherheit herbeizaubern, wenn die Schnittstellen, die es anspricht nicht abgesichert sind.
      
      Natürlich kann das Skript abfragen, welcher Benutzer es gerade ausführt, aber niemand hindert den Benutzer daran, diese Abfrage schlicht mit Hilfe eines Texteditors aus dem Skript zu entfernen!
      
      Die Frage, ob und wie man die Schnittstellen, die das Skript für seine Konfigurationsaufgaben nutzt absichern kann, lässt sich aber nur beantworten, wenn Du verrätst, welche Schnittstellen das denn sind.
      When C++ is your hammer, every problem looks like your thumb.
    - +6 replies
    - GwenDragon
      
      2011-10-17 13:39
      
      User since
      2005-01-17
      14875 Artikel
      Admin1
      
      2011-10-17T11:18:58 arieger
      wenn jetzt jemand das script weitergeben würde, könnte ein fremder das script ausführen
      Wenn jemand dort als Admin eingeloggt ist, kann er doch sowieso alles machen.
      
      Und wie kommt jetzt jemand auf den MaxOSX-Rechner drauf, um das Skript zu starten?
      Wie wird dort eingeloggt?
      Last edited: 2011-10-17 13:42:32 +0200 (CEST)
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +5 replies
      - arieger
        
        2011-10-19 10:16
        
        User since
        2011-10-17
        5 Artikel
        BenutzerIn
        
        die mac's sind nicht in der domäne, also bringt dort kein domänen-admin was.die user loggen sich mit loaklen admin-rechten ein.
        es geht mir eher darum, dass der user (2ter netzwerk-admin, etc) sich nochmals mit seinem domänen-account an dem script authentifizieren muss, damit ich sicher stellen kann, dass auch wirklich nur zugelassene user die netzwerkkomponenten konfigurieren können.
        
        momentan sind die user hard-coded im script mit eingebunden (user müssen angebeben sein, wegen audits). da mir das aber zu unfelxibel ist, möchte ich gerne einen user-login am ldap im script haben.
        
        ok, ich gebe dem kollegen recht, dass man ja die authentifizierung aus dem script rausnehmen kann. darum kümmere ich mich dann später (das scrupt wird später nur als ausführbare datei .exe, etc) zur verfügung gestellt, so kann man das script nicht mehr manipulieren.
        
        +3 replies
        
        arieger
        
        2011-10-20 12:09
        
        User since
        2011-10-17
        5 Artikel
        BenutzerIn
        
        hat keiner einen vorschlag für mich, wie man sowas realisieren kann?
        
        +2 replies
        
        mark05
        
        2011-10-20 17:26
        
        User since
        2010-01-05
        131 Artikel
        BenutzerIn
        
        hi
        
        mein tipp : sudo gibt es auch fuer mac.
        
        dort kannst du user und gruppen definieren die das script ausfuehren duerefen.
        
        z.b.
        
        das script liegt im homeverz. vom admin user afwelchens kein andere user
        zugriff hat.
        
        nun definiert man in der sudors ( sudo config )
        eine CMD gruppe wo man das script hinterlegt
        eine gruppe von users , oder man nimmt eine gruppe vom system siehe /etc/group .
        und erlaub diesen das script auzufuehren .
        
        das klappt recht gut unter saemtlichens unixen da man rechte
        mit sudo sehr granular vergeben kann.
        
        das sudors fiel kann man auch sehr gut deployen und arbeitet auch mit
        ldap zusammen ( man kann dann user , gruppen und rechte verwenden )
        
        holger
        
        GwenDragon
        
        2011-10-21 09:36
        
        User since
        2005-01-17
        14875 Artikel
        Admin1
        
        Wenn schon sudoers, dann nur eine bestimmte Gruppe erstellen und die nur für das Skript zulassen!
        
        Ansonsten hat den Nachteil, dass die sudoers immer nachgepflegt werden müssen, während das AD garantiert öfters geändert wird, wenn in der Firma jemand wechselt oder geht!
        Wehe, da werden dann die sudoers vergessen.
        
        Ich empfehle gleich, die Authentifizierung für den Linuxrechner zentralsisiert vom externen LDAP-Server (AD) zu ziehen, meinetwegen kerberos zu verwenden, anstatt nochmals Logindaten pflegen zu müssen!
        Last edited: 2011-10-21 09:38:37 +0200 (CEST)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        GwenDragon
        
        2011-10-20 13:04
        
        User since
        2005-01-17
        14875 Artikel
        Admin1
        
        Mit Net::LDAP kannst du ja den LDAP-Server abfragen und nach bestimmten Nutzern suchen.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - AndiE
      
      2011-10-20 22:56
      
      User since
      2010-10-24
      65 Artikel
      BenutzerIn
      
      Quote
      das script liegt local auf den admin-rechnern (mac osx)und wird dort auch ausgeführt. wenn jetzt jemand das script weitergeben würde, könnte ein fremder das script ausführen, daher auch der user-login im script selbst nochmal
      
      Wie soll das gehen? Wenn für das Script die Linux-Rechte
      
      Code: (dl )
      
      "root admins rwx r-x ---"
      
      eingestellt sind, dann kann ein Fremder das Script nur ausführen, wenn ihm der Zugriff für die "admins"-Gruppe bekannt ist. Wenn ein Mitglied dieser Gruppe seinen Zugang an einen anderen weitergibt, wie in deinem Szenario, dann ist das "Social engeneering", soweit ich weiß. Um das zu unterbinden, hilft meines Wissens nur Mitloggen aller Scriptaufrufe,
- rosti
  
  2011-10-20 21:18
  
  User since
  2011-03-19
  3726 Artikel
  BenutzerIn
  
  Wo soll denn der Login erfolgen, wo läuft denn das Script? Auf der Shell oder auf einem Webserver (per Browser erreichbar)?
  
  Falls Letzteres: Der Bau einer Session-kontrollierten WebSeite ist unabhängig vom Verfahren der Authentification, das _kann_ LDAP sein oder auch RADIUS o.ä. proprietäres Zeugs. Für Netzwerk-Komponenten wie Router und Switches gibt es TACACS+.
  
  Falls auf der Shell: Lege Benutzerkonten an und lege die Shell fest: Die Shell ist dann Dein Script und die Anmeldung überlasse dem OS und wenn das OS mit einer zentralen Benutzerverwaltung über LDAP kann, sind alle glücklich ;)
  http://rolfrost.de/wallpaper.html
  
  WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
- +2 replies
- arieger
  
  2011-10-27 15:06
  User since
  2011-10-17
  5 Artikel
  BenutzerIn
  hallo,
  
  vielleicht kann mir ja doch noch jemand helfen.
  
  ich habe folgendes script gefunden und bräuchte dort doch nochmal hilfe.
  
  folgenden Code habe ich
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86
  
  #! /usr/bin/perl use strict; use warnings; use Net::LDAPS; use Net::LDAP; my $host = "w.x.y.z:389"; my $ldaps = 0; my $adminDn = "CN=LDAPAUTHUSER, CN=Users, OU=company,DC=company,CN=de"; my $adminPwd = "adminpassword!"; my $searchBase = "CN=department,OU=company,DC=company,CN=de"; my $userdn = testGuid ("$myGUID", "$password"); if ($userdn) { print "$userdn checks out!\n"; } sub getUserDn { my $ldap; my $guid = shift; my $dn; my $entry; if ($ldaps) { $ldap = Net::LDAPS->new($host, verify=>'none') or die "$@"; } else { $ldap = Net::LDAP->new($host, verify=>'none') or die "$@"; } my $mesg = $ldap->bind ($adminDn, password=>"$adminPwd"); $mesg->code && return undef; $mesg = $ldap->search(base => $searchBase, filter => "uid=$guid" ); $mesg->code && return undef; $entry = $mesg->shift_entry; if ($entry) { $dn = $entry->dn; $entry->dump; } $ldap->unbind; return $dn; } sub testGuid { my $ldap; my $guid = shift; my $userPwd = shift; my $userDn = getUserDn ($guid); return undef unless $userDn; if ($ldaps) { $ldap = Net::LDAPS->new($host, verify=>'none') or die "$@"; } else { $ldap = Net::LDAP->new($host, verify=>'none') or die "$@"; } my $mesg = $ldap->bind ($userDn, password=>"$userPwd"); if ($mesg->code) { # Bad Bind print $mesg->error . "\n"; return undef; } $ldap->unbind; return $userDn; }
  
  Leider bekomme ich keine Antwort von dem Script. es scheint durchzulaufen, aber die Ausgabe bleibt leer.
  
  my $userdn = testGuid ("$myGUID", "$password");
  wird über eine andere subroutine gefüllt. das klappt auch soweit
  
  habt ihr eine Idee
  
  mittlerweile konnte ich selber lösen.
  Last edited: 2011-11-15 14:20:33 +0100 (CET)
  - GwenDragon
    
    2011-11-15 14:28
    
    User since
    2005-01-17
    14875 Artikel
    Admin1
    
    Schreibe doch bitte mal wie du es gelöste hast. Vielleicht wollen ja noch Leute was lernen.
    die Drachin Gwen
    
    Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten

View all threads created 2011-10-17 12:48.