• Шиндошс говно блядь, почему когда ищешь инструкцию, как научить AD ходить к чужому радиус-серверу, находится 100500 инструкций, как научить 100500 радиус-серверов ходить к AD?

Replies (37)

  • @ArkanoiD, Потому что эта идея — в корне порочная? :)
  • @ArkanoiD, Потому, что AD всё равно никуда не ходит, хоть ты тресни.
    (потому, что в MIT не знали про радиус)
  • @Irsi, хуечная. что не так-то?
  • @ArkanoiD, Задача распадается на две:
    1. Как подключить в AD какой-нибуть OpenLDAP?
    2. Как заставить OpenLDAP брать что-то из RADIUS.
  • @tzirechnoy, да? ну охуеть.
  • @Irsi, ааа, ну вот так. дрочновато, да, мог бы и так ходить, без лишней сущности.
  • @ArkanoiD, с точки зрения мелкософта это некошерно, несекурно — доверять неизвестно кому и вообще, AD самый главный. По определению. Аксиома — мелкомягкая ога, но это — их продкут. Так что хуй оспоришь.
  • @Irsi, ах ты ж ебанись. и как в это говно встраивать 2FA, которая вся обычно через радиус?
  • @ArkanoiD, Сервер RADIUS входит в комплект поставки серверной венды лет 5 как. Ну с 2008 R2 — точно.
  • @Irsi, да ОХУЕННО БЛЯДЬ, просто ДОХУЯ с этого толку, когда у 2FA-решения, а это обычно так, СВОЙ радиус-сервер, к которому и надо ходить.
  • @ArkanoiD, А их RADIUS-сервер может забрать то что ему надо с другого RADIUS или LDAP?
  • @ArkanoiD, Не то, чтобы я много пробовал. Но: аутэнтификацыя у нас идёт через керберос. Скопипащен он из митовских сорцов в 99-м. Никакого радиуса тогда керберосу было не нужно, да и в общем — через ту срань, что была тогда радиусом, аутэнтифицыроваться могучему, пережывшэму пять версий аудитов безопасности керберосу было западло.
    Так что шансов, что напрямую можно взять и аутэнтифицыровать — мало.
  • @ArkanoiD, Впрочем я думаю у них и свой LDAP есть, который может забрать все что ему надо из AD и отдать в свой RADIUS. Или нету? Не работал с ними...
  • @Irsi, "их"? зачем ему что-то забирать? ему отдавать надо.
  • @Irsi, или нету или за отдельные бабки
  • @ArkanoiD, А ну понял... А что они сами говорят про интеграцию с инфраструктурой AD?
  • @Irsi, конкретно те которые меня интересуют — "а вот наши партнеры делают сервачок". с ценой лицензии $50 за юзера, что увеличивает цену внедрения ровно в три раза и фактически выводит оное из рассмотрения.
  • @ArkanoiD, Дааа... по пидорски как-то. Но очень знакомо — вообще по моему опыту пресловутые 95% решений отпадают по схожим причинам — хуй интегрируешь с имеющейся архитектурой.
  • @ArkanoiD, И кстати — говно-то тут не шиндовс, а те мудаки, которые не озаботились интеграцией со сторонними сетевыми каталогами... Тем же AD да. Я уж не говорю про NDS и прочих подобных вариантов, куда менее известных и популярных.
  • @Irsi, говно тут именно шиндошс, потому что радиус — разумный и не обремененный лишними сущностями интерфейс, который AD стоило бы понимать
  • @ArkanoiD, а он его и понимает, точнее — отдавать умеет. А понимать — и не должен.
  • @ArkanoiD, А тебя, как security expert ничего не дёргает в мысли авторизовать юзеров в kerberos через RADIUS?
  • @tzirechnoy, а что меня должно дергать? то, что стандартные керберосные механизмы безопасного соглашения по паролю рассчитаны на то, что сервер знает хэш? ну так там есть расширение специальное для всяких otp и challenge-response?
  • @ArkanoiD, То, что средний радиус-сервер — это какое-то решэто исключительно для внутреннего пользования. В отличие от проверенного цэрбера.
    Понятно, что там одно первое А, его ужэ не так просто сделать совсем плохо... Но как-то всё-таки.
  • @tzirechnoy, лол, скажи это всем вендорам 2FA, а то мужики-то не знают, а также их клиентам в американской оборонке и банках
  • @ArkanoiD, Ну, можэт я и отстал от жызни.
  • @ArkanoiD, Впрочем, знаешь... Вот оборонку ты зря привёл в пример.
  • @tzirechnoy, ну на радиусе сидят вот вообще все, это мегапопулярное решение как раз там где нужна безопасность более серьезная, чем сраные пароли
  • @ArkanoiD, Там, где нужна более серьёзная безопасность — сидят вахтёры.
  • @ArkanoiD, Я конечно не специалист по безопасности, но... все решения двухфакторной авторизации, которые я видел, базировались именно на AD. Начиная от токена с одноразовыми паролями и кончая всякими смарткартами с сертификатами.
  • @Irsi, не, типовое решение именно радиус, а к AD это как повезет
  • @ArkanoiD, ну радиус там исключительно с целью "но что делать если это железное говно не понимает адЪ непрямую", то есть для всяких роутеров-коммутаторов и т.д.
  • @Irsi, наоборот, это дефолтная штука, а интеграция с AD — дополнительный продукт.
  • @ArkanoiD, ну начнем с того что радиус сам по себе ничего хранить не умеет — он только отдает. А хранить — в каком-нибуть сетевом каталоге по хорошему. Перечисли готовые решения? Ага, AD да NDS... Втрое — умерло по факту. Есть еще пара кривулен на основе OpenLDAP, но это — животики надорвать...
    Нет конечно можно прямо в какой-нибуть SQL пихать и там хранить, но за это — убивать надо.
  • @ArkanoiD, /35 >А хранить — в каком-нибуть сетевом каталоге по хорошему.
    Глупости это всё. То есть если надо работать при потере связности — то да. А так — оно не особо и нужно.

    (ай, с кем я связался).
  • @ArkanoiD, с этим гавном постоянно находишь не то, что нужно. а если находишь, то там тупо инструкции как кликать кнопочки да нет отмена, которые ты блять интуитивно знаешь, а найти инфу, почему эта хуйня пишет ошибку 0х324279