|
| |
| Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南 | |
第 11 章
配置安全性本章介紹有關配置部署安全性的重要資訊。內容歸納如下:
安全概觀密碼為敏感資訊;因此,Identity Synchronization for Windows 採取了安全預防措施,以確保用來存取同步化目錄的使用者和管理密碼憑證不會被洩漏。
本節涵蓋下列安全方法:
此安全方法目的是為避免發生下列事件:
指定配置密碼
在產品配置目錄中儲存敏感資訊以及在網路中進行傳輸的過程中,為了保護這些資訊的安全,Identity Synchronization for Windows 使用配置密碼。您 (管理員) 在安裝核心元件時必須指定一個配置密碼,並且在開啟主控台或執行 Identity Synchronization for Windows 安裝程式時必須提供此密碼。
附註
系統管理員必須存取配置密碼後才能將其傳送給連接器,因此系統管理員會將此密碼儲存在其初始化檔案中。
檔案系統存取控制可防止未經授權的使用者存取系統管理員的初始化檔案。Identity Synchronization for Windows 安裝程式不會對此密碼強制使用密碼策略。
若要在選擇配置密碼時增加安全性,請參閱強化安全。
使用 SSL
您可配置 Identity Synchronization for Windows,使其在元件使用 LDAP 的所有位置都使用 LDAP over SSL。對 Message Queue 的所有存取都受 SSL 保護。
在從 Directory Server 同步化到 Active Directory 時,必須在 Active Directory 連接器與 Active Directory 之間使用 SSL。
需要可靠的 SSL 憑證
依照預設,配置為使用 SSL 的連接器將接受伺服器 (也就是 Directory Server 或 Active Directory) 傳回的任何 SSL 憑證,其中包括不可靠、已過期及無效的憑證。連接器與伺服器之間的所有網路通訊將會經過加密,但連接器不會偵測出偽裝成真正 Active Directory 或 Directory Server 的伺服器。
若要強制使連接器只接受可靠憑證,請使用主控台來啟用「目錄來源配置精靈」中「指定進階安全選項」畫面上的「需要可信任的 SSL 憑證」選項(請參閱 (更多資訊...) )。啟用此選項之後,必須按照 idsync certinfo 的報告,將相應的 CA 憑證加入連接器的憑證資料庫中。
產生的 3DES 金鑰
由配置密碼產生的 3DES 金鑰可用來保護產品配置目錄中所有敏感資訊的安全。除了日誌訊息外,所有 Message Queue 的訊息均以按主題的 3DES 金鑰進行加密。連接器與子元件間傳送的訊息則以按作業階段的 3DES 金鑰加密。Directory Server 外掛程式以 3DES 金鑰加密所有使用者密碼變更。
SSL 與 3DES 金鑰保護摘要
表格 11-1 摘要說明了 Identity Synchronization for Windows 如何保護透過網路傳送的敏感資訊的安全。
圖 11-1 包含本節所討論的安全功能概觀。
圖 11-1 Identity Synchronization for Windows 安全概觀
Message Queue 存取控制
Identity Synchronization for Windows 使用 Message Queue 的存取控制以避免未授權存取訊息訂閱和發佈,使每個連接器可信任它所接收到的信任訊息。
只有 Message Queue 和連接器已知的專有使用者名稱與密碼,才可用來存取 Message Queue 代理程式。每條透過 Message Queue 傳送的訊息均以按主題的 3DES 金鑰加密,這可保護訊息內容並避免不瞭解主題金鑰的外界人士傳送有意義的訊息。這些方法可避免 (a) 攻擊者傳送偽裝的密碼同步化訊息到連接器,(b) 攻擊者偽裝成連接器並接收真正的密碼更新訊息。
附註
依預設,Message Queue 的用戶端,如連接器和系統管理員,將接受任何 Message Queue 代理程式傳回的 SSL 憑證。有關如何強化 Message Queue 憑證驗證與其他與 Message Queue 相關的安全議題的詳細資訊,請參閱強化安全。
目錄憑證
連接器需要授權的憑證以變更 Active Directory 以及同步化 Directory Server 中的密碼。這些授權的憑證在儲存於產品配置目錄前會先經過加密。
永久性儲存保護摘要
表格 11-2 摘要說明了 Identity Synchronization for Windows 如何保護儲存於磁碟上的敏感資訊的安全。
表格 11-2 永久性儲存保護
永久性儲存
機密資訊
保護
配置目錄伺服器中儲存的產品配置
存取目錄所需的憑證與按 Message Queue 主題的 3DES 金鑰儲存於產品配置目錄中。
所有儲存於產品配置目錄中的敏感資訊均以配置密碼所產生的 3DES 金鑰進行加密。有關進一步保護產品配置目錄的相關建議,請參閱強化安全。
Directory Server
Retro ChangelogDirectory Server 外掛程式擷取密碼變更並先將其加密,然後再將其寫入 Directory Server Retro Changelog 中。
Directory Server 外掛程式以每個部署專有的 3DES 金鑰來加密所有使用者密碼變更。
Message Queue 代理程式永久性儲存
Message Queue 代理程式儲存在所有連接器間傳送的同步化訊息。
除了日誌訊息外,所有持續訊息均以按主題的 3DES 金鑰加密。
Message Queue 代理程式目錄憑證
Message Queue 代理程式依據產品配置目錄驗證使用者。它使用核心安裝時提供的目錄管理使用者名稱與密碼連接到配置目錄。
目錄密碼儲存於 passfile 中,後者由檔案系統存取控制保護。
系統管理員啟動檔案
系統管理員啟動檔案包含存取配置的資訊。其中包括配置密碼與核心安裝時提供的目錄管理使用者名稱與密碼。
此檔案由檔案系統存取控制保護。
連接器和中央記錄程式啟動檔案
每個連接器以及中央記錄程式都有一個包含存取 Message Queue 所需憑證的初始配置檔案。
這些檔案由檔案系統存取控制保護。
目錄伺服器外掛程式啟動配置
外掛程式的配置 (儲存於 cn=config) 包含連接到連接器所需的憑證。
子樹狀目錄 cn=config 以 ACI 進行保護,而鏡像此樹狀結構的 dse.ldif 檔案則以檔案系統存取控制來保護。
NT 密碼篩選器 DLL 以及 NT 變更偵測器啟動配置
NT 子元件配置 (儲存於 Windows 登錄中) 包含連接到連接器所需的憑證。
如果 PDC 登錄存取不安全,可以用存取控制保護這些登錄金鑰。
Windows 連接器的物件快取
Windows 連接器將雜湊的使用者密碼儲存在連接器的物件快取中。
密碼不是以純文字格式儲存,但以 MD5 雜湊進行加密。這些資料庫檔案由檔案系統存取控制保護 (請參閱強化安全)。
強化安全此節說明產品目前版本中存在的潛在安全問題,以及有關如何在產品預設配置外擴展並加強安全性的建議。內容包含下列幾項:
配置密碼
配置密碼用來保護敏感的配置資訊,但安裝程式並不對此密碼強制使用任何密碼策略;請確保此密碼遵循嚴格的指導原則,選擇一個複雜的密碼,該密碼不易被猜出,並遵循增強式密碼的標準策略指導原則。
例如,密碼應至少有八個字元,包含大小寫字母以及非字母數字字元。密碼不應包括您的姓名、縮寫或日期。
建立配置目錄憑證
若要存取產品配置目錄所在的 Directory Server,您的憑證必須位於配置管理員群組中。不過,如果您出於任何原因而需要建立除 admin 之外的憑證,請考慮下列事項:
安裝程式要求您為儲存於主控台管理子樹狀結構中的使用者供應憑證。不過,核心安裝程式不會將除了 admin 以外的使用者展開為 "uid=admin,ou=Administrators, ou=TopologyManagement, o=NetscapeRoot"。因此,您必須在進行核心安裝時指定整個 DN。
若要建立 admin 以外的新使用者:
有關管理 Directory Server 中存取控制的詳細資訊,請參閱《Sun Java System Directory Server 5 2004Q2 Administrator's Guide》第 6 章:〈Managing Access Control〉。
Message Queue 用戶端憑證驗證
依預設,Message Queue 的用戶端,如連接器和系統管理員,將接受任何 Message Queue 代理程式傳回的 SSL 憑證。
javax.net.ssl.trustStore 屬性應該指向信任代理程式憑證的 JSEE 金鑰庫,例如,/etc/imq/keystore 可用於安裝核心的電腦上,因為這是由代理程式使用的金鑰庫。
Message Queue 自簽 SSL 憑證
依照預設,Message Queue 代理程式使用自簽 SSL 憑證。若要安裝不同的憑證,可使用 Java 隨附的 keytool 公用程式以修改代理程式的金鑰庫 (在 Solaris 系統中位於 /var/imq/instances/isw-broker/etc/keystore,在 Windows 2000 系統中位於 <mq_installation_root>/var/instances/isw-broker/etc/keystore)。憑證別名必須為 imq。
存取 Message Queue 代理程式
依照預設,Message Queue 的所有服務都使用動態通訊埠,但它本身的通訊埠對映器除外。為了透過防火牆存取代理程式或限制可以連接到代理程式的主機組,對於所有服務,代理程式應使用固定通訊埠。
這可透過設定 imq.<服務名稱>.<通訊協定類型>.port 代理程式配置屬性來完成。請參閱《Sun Java System Message Queue Administrator's Guide》以獲得詳細資訊。
配置目錄憑證驗證
在透過 SSL 連接到產品配置目錄時,系統管理員接受任何憑證;在透過 SSL 連接到產品配置目錄時,Message Queue 代理程式接受任何憑證。目前無法使系統管理員或 Message Queue 代理程式驗證產品配置目錄 SSL 憑證。
限制存取配置目錄
安裝核心時,將資訊新增到儲存產品配置目錄的 Directory Server 的程序不包含新增任何存取控制資訊。要將存取限制為配置管理員,可使用下列 ACI:
(targetattr = "*") (target = "ldap:///ou=IdentitySynchronization,ou=Services,dc=example,dc=com") (version 3.0;acl "Test";deny (all)(groupdn != "ldap:///cn=Configuration Administrators, ou=Groups, ou=TopologyManagement, o=NetscapeRoot");)
有關管理 Directory Server 中存取控制的詳細資訊,請參閱《Sun Java System Directory Server 5 2004Q2 Administrator's Guide》第 6 章:〈Managing Access Control〉。
保護複製配置的安全使用複製連接到 Directory Server 的部署遵循安全概觀中所列的相同規則。此節提供一個範例複製配置,並說明如何於此配置中啟用 SSL。
附註
有關規劃、部署和保護複製配置的概觀,請參閱附錄 E,「複製環境的安裝註解」。
表格 11-3 列出需要 CA 憑證的配置元件,並指出在相應位置需要哪些憑證。
圖 11-2 顯示以 MMR 配置安裝的 Identity Synchronization for Windows,其中有兩個包含多個 Directory Server 唯讀集線器或用戶的重複 Directory Server 主伺服器。每個 Directory Server 都有一個外掛程式,但只有一個 Directory Server 連接器、一個 Active Directory 系統以及一個 Active Directory 連接器。
圖 11-2 複製配置
使用 idsync certinfo基於目前的 Identity Synchronization for Windows SSL 設定,使用 idsync certinfo 公用程式確定所需要的憑證。執行 idsync certinfo 以擷取有關每個憑證資料庫中所需憑証的資訊。
引數
表格 11-4 說明可用於 idsync certinfo 子指令的引數:
用法
以下範例使用 idsync certinfo 來搜尋獲派於 SSL 通訊下執行的系統元件。此範例的結果可以確定兩個連接器 (CNN101 以及 CNN100),並提供有關從何處匯入相應 CA 憑證的說明。
在 Directory Server 中啟用 SSL遵循這些步驟,使用自簽憑證以在 Directory Server 中啟用 SSL。
- 為 Directory Server 建立一個新的金鑰憑證資料庫,方法為輸入下列內容:
C:\Program Files\Sun\MPS\shared\bin\certutil.exe -d . -P slapd-hostname-
In order to finish creating your database, you
must enter a password which will be used to
encrypt this key and any future keys.
The password must be at least 8 characters long,
and must contain at least one non-alphabetic character.
Enter new password:
Re-enter password:
- 產生自簽憑證,這將是 Directory Server 使用的伺服器憑證。確保根據 Directory Server 執行時所在伺服器的主機名稱選擇主題 DN。
附註
依照預設,自簽憑證有效期為三個月。如果您要增加或減少此期間,請使用 -v <months-valid> 選項。例如,要將期間增加到 24 個月,輸入 -v 21,或要將此期間減少為一個月,則輸入 -v -2。
C:\Program Files\Sun\MPS\shared\bin\certutil.exe -d . -P slapd-hostname- -S -n server-cert -s "cn=hostname.example.com,c=us" -x -t CTu,,
A random seed must be generated that will be used in the
creation of your key.One of the easiest ways to create a
random seed is to use the timing of keystrokes on a keyboard.
To begin, type keys on the keyboard until this progress meter
is full.DO NOT USE THE AUTOREPEAT FUNCTION ON YOUR KEYBOARD!
Continue typing until the progress meter is full:
|************************************************************|
Finished.Press enter to continue:
Enter Password or Pin for "NSS Certificate DB":
Generating key.This may take a few moments...
- 顯示憑證以供檢查之用。
C:\Program Files\Sun\MPS\shared\bin\certutil.exe -L -d . -P slapd-hostname-
Certificate Name Trust Attributes
server-cert CTu,,
p Valid peer
P Trusted peer (implies p)
c Valid CA
T Trusted CA to issue client certs (implies c)
C Trusted CA to certs(only server certs for ssl) (implies c)
u User cert
w Send warning
- 建立一個個人識別碼檔案,這樣在每次重新啟動 Directory Server 時便不需要輸入憑證資料庫密碼。
C:\Program Files\Sun\MPS\alias > echo Internal (Software) Token:<secret12> slapd-hostname-pin.txt
- 以如下方式在 Directory Server 中啟用 SSL:
從 Directory Server 憑證資料庫擷取 CA 憑證
確定您已經在 Directory Server 中啟用 SSL。為了將 Directory Server 憑證匯出到臨時檔案,以便於您將其匯入到 Directory Server 連接器的憑證資料庫中,請發出下列指令:
C:\Program Files\Sun\MPS\shared\bin\certutil.exe -L -d . -P slapd-hostname- -n server-cert -a > C:\s-cert.txt
這些範例於伺服器根下第一層目錄 alias 中執行。否則,Directory Server 將找不到憑證資料庫。
在 Active Directory 連接器中啟用 SSLIdentity Synchronization for Windows 會自動透過 SSL 擷取 Active Directory SSL 憑證,然後使用您為連接器提供的憑證將這些 Active Directory SSL 憑證匯入該連接器的憑證資料庫中。
不過,如果發生錯誤 (例如,憑證無效或找不到 SSL 憑證),您可擷取一個 Active Directory CA 憑證並將其加入連接器的憑證資料庫中。請參閱以下各節的說明:
擷取 Active Directory 憑證
如果發生錯誤,您可按照下列各節所述之方式,使用 certutil (Windows 2000/2003 隨附的一個程式) 或 LDAP 來擷取一個 Active Directory 憑證。
使用 Window 的 certutil
若要使用 certutil 程式擷取 Active Directory 憑證,請:
使用 LDAP
若要使用 LDAP 擷取 Active Directory 憑證,請:
- 開啟文字編輯器並剪下第一個 CA 憑證屬性的第一個值 (必須是 base64 編碼的文字區塊)。將該值 (文字區塊) 貼到文字編輯器中 (僅限於值)。編輯內容,使每一行都不以空格開頭。
- 在第一行前加上 -----BEGIN CERTIFICATE-----,在最後一行後加上 -----END CERTIFICATE-----。請參閱以下範例:
-----BEGIN CERTIFICATE-----
MIIDvjCCA2igAwIBAgIQDgoyk+Tu14NGoQnxhmNHLjANBgkqhkiG9w0BAQUFA DCBjjEeMBwGCSqGSIb3DQEJARYPYmVydG9sZEBzdW4uY29tMQswCQYDVQQGEwJVUzELMAkG A1UECBMCVFgxDzANBgNVBAcTBkF1c3RpbjEZMBcGA1UEChMQU3VuIE1pY3Jvc3lzdGVtczE QMA4GA1UECxMHaVBsYW5ldDEUMBIGA1UEAxMLUmVzdGF1cmFudHMwHhcNMDIwMTExMDA1ND A5WhcNMTIwMTExMDA1OTQ2WjCBjjEeMBwGCSqGSIb3DQEJARYPYmVydG9sZEBzdW4uY29tM QswCQYDVQQGEwJVUELMAkGA1UECBMCVFgxDzANBgNVBAcTBkF1c3RpbjEZMBcGA1UEChMQU 3VuIE1pY3Jvc3lzdGVtczEQMA4GA1UECxMHaVBsYW5ldDEUMBIGA1UEAxMLUmVzdGF1cmFu dHMwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAyekZa8gwwhw3rLK3eV/12St1DVUsg31LOu3 CnB8cMHQZXlgiUgtQ0hm2kpZ4nEhwCAHhFLD3iIhIP4BGWQFjcwIDAQABo4IBnjCCAZowEw YJKwYBBAGCNxQCBAYeBABDAEEwCwYDVR0PBAQDAgFGMA8GA1UdEwEB/wQFMAMBAf8wHQYDV R0OBBYEFJ5Bgt6Oypq7T8Oykw4LH6ws2d/IMIIBMgYDVR0fBIIBKTCCASUwgdOggdCggc2G gcpsZGFwOi8vL0NOPVJlc3RhdXJhbnRzLENOPWRvd2l0Y2hlcixDTj1DRFAsQ049UHVibGl jJTIwS2V5JTIwU2VydmljZXMsQ049U2VydmljZXMsQ049Q29uZmlndXJhdGlvbixEQz1yZX N0YXVyYW50cyxEQz1jZW50cmFsLERDPXN1bixEQz1jb20/Y2VydGlmaWNhdGVSZXZvY2F0a W9uTGlzdD9iYXNlP29iamVjdGNsYXNzPWNSTERpc3RyaWJ1dGlvblBvaW50ME2gS6BJhkdo dHRwOi8vZG93aXRjaGVyLnJlc3RhdXJhbnRzLmNlbnRyYWwuc3VuLmNvbS9DZXJ0RW5yb2x sL1Jlc3RhdXJhbnRzLmNybDAQBgkrBgEEAYI3FQEEAwIBADANBgkqhkiG9w0BAQUFAANBAL 5R9R+ONDdVHWu/5Sd9Tn9dpxN8oegjS88ztv1HD6XSTDzGTuaaVebSZV3I+ghSInsgQbH0g W4fGRwaI BvePI4=
-----END CERTIFICATE-----
- 將該憑證儲存至檔案中 (例如 ad-cert.txt)。
- 接著可以將該檔案 (例如 ad-cert.txt) 匯入到憑證資料庫中。請接著進入下一節將 Active Directory 憑證加入連接器的憑證資料庫中,瞭解操作說明。
將 Active Directory 憑證加入連接器的憑證資料庫中
只有在安裝連接器後針對 Active Directory 連接器啟用了 SSL,或在安裝時提供了無效憑證的情況下,才需要使用此程序。
- 在安裝了 Active Directory 連接器的電腦中,停止 Identity Synchronization for Windows 服務/常駐程式。
- 使用以下方法之一,擷取 Active Directory CA 憑證:
- 假設 Active Directory 連接器具有連接器 ID CNN101 (請參閱 logs/central/error.log 以獲得從連接器 ID 到對它所管理的目錄來源的對映),然後轉至安裝有該連接器之電腦中相應的憑證資料庫目錄,並匯入憑證檔案:
- 重新啟動 Identity Synchronization for Windows 服務/常駐程式。
附註
由於 Directory Server certutil.exe 是在您安裝 Directory Server 5 2004Q2 時自動安裝的,因此如果安裝連接器的電腦上沒有 Directory Server 時,您無法將 CA 憑證加入該連接器中。
至少,您必須在安裝 Active Directory 連接器的伺服器上,安裝來自 Directory Server 5 2004Q2 套裝軟體的 Sun Java System 伺服器基礎程式庫以及 Sun Java System 伺服器基礎系統程式庫。(您不需要安裝 Administration Server 或 Directory Server 元件。)
此外,務必從主控台選擇 JRE 子元件 (以確保您可以解除安裝)。
新增 Active Directory 憑證到 Directory Server執行這些步驟,將 Active Directory CA 憑證新增到 Directory Server 憑證資料庫。
新增 Directory Server 憑證到 Directory Server 連接器如果您在 Directory Server 外掛程式與 Active Directory 之間啟用 SSL 通訊功能,則必須將 Active Directory CA 憑證加入每個 Directory Server 主伺服器的憑證資料庫中。使用以下步驟:
