Configuraciones para el soporte de blindaje Kerberos¶

Warning

Para que el escudo Kerberos se utilice, las cuentas de administrador deben colocarse en el Protected Users grupo.
Esto obliga a utilizar el protocolo de autenticación Kerberos en lugar de NTLM. Edge Gateway debe ser configurado primero para soportar la autenticación de Kerberos.

Configuración de la Edge Gateway para apoyar la autenticación de Kerberos con cuentas colocadas en Protected Users

El escudo de Kerberos proporciona cifrado adicional para los intercambios iniciales entre el cliente y el KDC (Kerberos Domain Controller) utilizando información vinculada a una cuenta de computadora.

cyberelements.io o cyberelements Cleanroom se ejecutan preferentemente en máquinas Debian que no están conectadas a un dominio AD, lo que significa que no tienen ninguna información de cuenta de computadora en el AD.
La configuración para soportar el blindaje de Kerberos consta de dos pasos:

Creación de una cuenta de ordenador de servicio en el AD
Configurando el escudo de Kerberos en el Edge Gateway basado en la cuenta creada anteriormente

Crear una cuenta de equipo de servicio¶

Info

Esta página usará una cuenta de servicio llamada svc_cyberelements Adapte los siguientes comandos de acuerdo con el nombre de su cuenta de servicio.

Warning

Si desea utilizar estaciones de trabajo PAW, coloque esta cuenta de servicio en el mismo silo que las estaciones de trabajo PAW de destino.

Desde el controlador de dominio, comience por crear una cuenta de computadora con una contraseña utilizada para generar boletos de Kerberos.

Para crear esta cuenta, puede utilizar el siguiente comando de Powershell de un controlador de dominio (adapte el nombre de la cuenta de servicio, en el ejemplo svc_cyberelements, y la UO deseada, en el ejemplo OU=Service_accounts,DC=domain,DC=local, para crear la cuenta de servicio):

New-ADComputer -Name svc_cyberelements -SAMAccountName 'svc_cyberelements$' -AccountPassword $Null -Path 'OU=Service_accounts,DC=domain,DC=local'-KerberosEncryptionType AES256 -PasswordNeverExpires $True -Enabled $True

Utilice el siguiente comando para verificar que la cuenta de ordenador se ha creado (reemplazar svc_cyberelements con el nombre de la cuenta creada anteriormente):

Get-ADComputer -Identity svc_cyberelements -Properties Enabled

Luego use la herramienta ktpass de Windows para exportar un archivo de teclas que contendrá claves de cifrado que permitirán a la pasarela recuperar el TGT.

Example

Ejemplo para crear un archivo svc_cyberelements.keytab con la cuenta de ordenador:

ktpass /princ 'svc_cyberelements$@DOMAIN.LOCAL' /mapuser 'svc_cyberelements$@DOMAIN.LOCAL' +rndPass /out svc_cyberelements.keytab /crypto AES256-SHA1 /ptype KRB5_NT_SRV_HST /mapop set

Recuerde incluir los símbolos $ al final de los nombres de las cuentas y escribir el nombre de dominio en mayúscula (obligatorio).

Aceptar cualquier solicitud de confirmación que pueda aparecer mediante la introducción de y.

Luego, reubique el valor del atributo UserPrincipalName con el siguiente comando de PowerShell:

Set-ADComputer 'svc_cyberelements$' -UserPrincipalName 'svc_cyberelements$@DOMAIN.LOCAL'

Configurando el escudo de Kerberos en el Edge Gateway¶

Recupere el archivo keytab generado previamente y cópielo al servidor Edge Gateway.
En un contexto en el que se hayan generado varios archivos keytab y deban utilizarse en el mismo Edge Gateway, por favor combine los archivos keytab en un único archivo .

Advertencia

El keytab Si un atacante se apodera de él, puede hacerse pasar por la cuenta de la computadora asociada, reduciendo así la seguridad de la infraestructura.
Por lo tanto, este archivo no debe almacenarse en ningún otro lugar que en Edge Gateway.

Coloque el archivo en el directorio /etc/ipdiva/cleanroom/.

Cambiar los propietarios de los archivos keytab a ipdivacareuser para el usuario y carerecord para el grupo, luego modificar los permisos de archivo (modificar el archivo keytab de acuerdo con el nombre de su propio archivo):

chown ipdivacareuser:carerecord /etc/ipdiva/cleanroom/svc_cyberelements.keytab
chmod 640 /etc/ipdiva/cleanroom/svc_cyberelements.keytab

Modificar el archivo de configuración Edge Gateway /etc/ipdiva/cleanroom/xrdprecord.ini para especificar, mediante el parámetro keytab=, la ruta hacia el archivo keytab preparado previamente.

Example

2	`keytab=/etc/ipdiva/cleanroom/svc_cyberelements.keytab`

En esta etapa, la conexión a aplicaciones RDP privilegiadas en modo sin agente (HTML5 o de otro tipo) debería funcionar con cuentas de usuario pertenecientes a Protected Users y, por lo tanto, requerir una fuerte autenticación Kerberos. La configuración de la aplicación RDP debe cumplir ciertos requisitos previos.

Prueba de la configuración de Kerberos¶

!!! bug " Debugging" El sistema de depuración de la información es el sistema de depuración de la información. Los siguientes kinit los comandos pueden proporcionar más registros después de ejecutar el siguiente comando (válido hasta que se desconecte la sesión SSH o de consola):

```bash
export KRB5_TRACE=/dev/stdout
```

Comencemos por recuperar un ticket de Kerberos con un comando similar al siguiente:

kinit -k -t /etc/ipdiva/cleanroom/svc_cyberelements.keytab 'svc_cyberelements$@DOMAIN.LOCAL' -c /tmp/test_kerberos

Asegúrese de reemplazar la ubicación del archivo keytab, el nombre de la cuenta de servicio que se creó y su dominio asociado.

Si la recuperación de boletos de Kerberos fue exitosa, el siguiente comando debe indicar la existencia de un boleto para la cuenta de servicio:

1	`klist -c /tmp/test_kerberos`

Si la recuperación es exitosa, entonces es necesario intentar recuperar un ticket para un usuario con un comando similar al siguiente:

kinit -T /tmp/test_kerberos user@DOMAIN.LOCAL

Sustituya user@DOMAIN.LOCAL con un usuario que probablemente se conecte a través de RDP y Kerberos armoring. Tenga en cuenta que se solicitará la contraseña de este usuario.
Si la recuperación del boleto es exitosa, el siguiente comando lo mostrará:

1	`klist -c`

Si se muestra un error KDC policy rejects request while getting initial credentials, significa que el KDC ha rechazado la solicitud de boleto.

kinit no pudo utilizar el ticket /tmp/test_kerberos (si kinit no puede utilizarlo, continúa sin un mensaje de error con una solicitud básica de ticket)
La cuenta de servicio no está presente en el silo del usuario probado. cuenta de ordenador de servicio que se colocará en el silo apropiado.

Se puede encontrar información adicional en los registros de eventos Sécurité del controlador de dominio (KDC) utilizado.

Después de la prueba, se recomienda eliminar los tickets generados:

kdestroy
kdestroy -c /tmp/test_kerberos

Combinar varios archivos de teclas en un solo archivo¶

Si la arquitectura cyberelements.io o cyberelements Cleanroom se basa en una sola Edge Gateway que permitirá el acceso a múltiples terceros, es necesario fusionar todos los archivos keytab generados para las diferentes cuentas de servicio en un único archivo keytab.

Nota

En esta sección, asumiremos los siguientes archivos de tabla de teclas: /root/t0.keytab, /root/t1.keytab y /root/t2.keytab. Estos archivos deben haber sido enviados a la Edge Gateway.

Para fusionar los archivos keytab, inicie sesión en Edge Gateway como root, y luego use los siguientes comandos:

ktutil
rkt /root/t0.keytab
rkt /root/t1.keytab
rkt /root/t2.keytab
wkt /root/unified.keytab

Los comandos rkt le permiten cargar tantos archivos keytab como sea necesario, y el comando wkt genera un nuevo archivo keytab.
Por favor, modifique las rutas de los archivos de acuerdo con los que tenga.

Presione la tecla q para salir de la utilidad ktutil.

Recupere el archivo unified.keytab y siga la sección Configuring Kerberos shielding on the Edge Gateway.