O documento apresenta um resumo sobre um ambiente de autenticação centralizada Single Sign-On (SSO) utilizando Kerberos e OpenLDAP. Ele descreve os principais componentes do Kerberos como KDC, TGT e TGS e explica como ele funciona. Também aborda a integração do Kerberos com o OpenLDAP para armazenamento de senhas e como o SASL pode ser usado para ampliar a autenticação Kerberos para mais aplicações. Por fim, lista os pré-requisitos e passos para implementar esse ambiente SSO.

1. Marcelo Machado Fleury marcelomf[noSpam]gmail[p]com marcelo[p]fleury[noSpam]4linux[p]com[p]br Http://marcelomf.blogspot.com Http://www.slideshare.com/marcelomf Http://twitter.com/marcelomf … #GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP “ Havendo olhos suficientes, todos os erros são óbvios” By Eric S. Raymond Kerberos e OpenLDAP, um ambiente SSO OpenSource

3. Kerberos

4. Pré-requisitos: DNS/BIND, NTP, /etc/...

5. Kerberos e o OpenLDAP

6. Porque utilizar o SASL ?

7. Checklist de implementação

8. Kerberização de serviços

9. Demonstração

12. Usabilidade

14. Disponibilidade

15. Manutenção

18. Curiosidades

20. ...

24. TGT - Ticket Granting Ticket

25. Cliente

27. Cross-Realm Operation

28. PrincipalNames: primary/instance@REALM

29. ACLs

30. Backends diversos

31. Replicação, master/slave

32. Vários serviços podem ser kerberizados

33. APIs para diferentes linguagens

34. ... Autenticação Kerberos ...

37. Autenticação Kerberos

38. Autenticação Kerberos

39. Autenticação Kerberos

40. Autenticação Kerberos

42. Klist

43. Kdestroy

45. TCP: 754 (Propagação)

47. TCP/ UDP: 750 (V. 4)

48. TCP/UDP: 751 (V.4)

50. Getprivs

53. Stash

54. krbPrincipalKey

56. /etc/krb5.keytab

57. /etc/krb5kdc/kadm5.acl

58. /etc/krb5kdc/kadm5.keytab

59. /etc/krb5kdc/kdc.conf

60. /etc/krb5kdc/{service.keyfile}

61. /etc/krb5kdc/stash

64. _kerberos-master._udp

65. _kerberos-adm._tcp

66. _kpasswd._udp

67. _kerberos._udp

68. _ldap._tcp.seu.realm

70. Operações

71. Índices

72. Módulos

73. ACLs

74. SSL/TLS

75. Backends diversos

76. Replicação: master/slave, multimaster

78. OpenLDAP autenticando contra Kerberos

79. Kerberos utilizando OpenLDAP como backend

80. OpenLDAP suportando simple binds de usuários kerberizados

82. Ampliação da gama de aplicações que poderão se autenticar

83. userPassword: {SASL}principalName

87. Criação do service.keyfile(kdb5_ldap_util)

88. Criação dos keytabs

90. Aplicações escritas em diversas linguagens como JAVA, PHP e C.

91. WS-Security

92. ***** SEMPRE VERIFIQUE SE A APLICAÇÃO ENVIA A SENHA EM TEXTO PLANO NO PRIMEIRO LOGIN *****

94. Gestão de principalNames

95. SASL

96. OpenLDAP

97. Apache

98. Squid

99. Samba

100. Marcelo Machado Fleury marcelomf[noSpam]gmail[p]com marcelo[p]fleury[noSpam]4linux[p]com[p]br Http://marcelomf.blogspot.com Http://www.slideshare.com/marcelomf Http://twitter.com/marcelomf … #GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP "Conheço muitos que não puderam quando deviam, porque não quiseram quando podiam." By François Rabelais Muito Obrigado!