General

ACLs de OpenLDAP para atributos de Samba

Si utiliza OpenLDAP en alguna distribución basada en Debian quizás se sienta tentado por la facilidad con la que puede configurar un servicio de directorio funcional en el que puede cargar un par de esquemas, muchos usuarios y elementos para configurar un controlador de dominio Samba para administrar una red híbrida de equipos Windows y Linux. Es uno de los caminos para empezar a implementar software libre a nivel corporativo, y es un camino bastante sencillo, expedito y gratificante.Sin embargo, si usted agrega el schema que Samba utiliza para extender los atributos de un usuario para poder tener acceso a recursos compartidos en Samba, tiene que tener en cuenta que debe proteger los atributos sambaLMPassword y sambaNTPassword, que contienen el hash de la contraseña del usuario para recursos SMB, utilizando los métodos Lanman y NT MD4.El problema es que estos métodos, particularmente Lanman, es bastante débil ante ataques de fuerza bruta con diccionarios, como el que se puede realizar con john en poco tiempo, con hardware asequible. En la práctica eso puede significar, en el peor de los casos, un disclosure que involucre 90% del directorio en menos de una hora, incluso a través de redes inalámbricas con otras vulnerabilidades que no vienen al caso.En la pasada semana tres organismos del Estado venezolano recibieron notificaciones sobre este problema, afortunadamente no explotado, y seguramente habrán otros que no hayan contemplado esta eventualidad. Es sencillo, es rápido, y es la oportunidad de revisar las listas de control de acceso de su servidor OpenLDAP. Para algo muy rápido, quizás sirva algo así, aunque es bastante dependiente de otras listas de control de acceso que ya estén configuradas:

access to attrs=sambaLMPassword,sambaNTPassword,sambaPasswordHistory        by self write        by anonymous auth        by * none

Hay otros atributos que podría ser interesante proteger a la vista de un usuario anónimo que haga bindings al servidor LDAP, particularmente sambaPwdLastSet y sambaPwdMustChange, parte del equipo de demasiada información muy fácil de conseguir.

Standard

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s