Servidor web público y autenticación Kerberos basada en AD

2

Me gustaría utilizar el protocolo SPNEGO / Kerberos en un servidor web público de Internet para direcciones IP remotas específicas provenientes de la intranet corporativa. Otros métodos de autenticación se utilizan para otras direcciones (inicio de sesión basado en formulario / contraseña). Lo único que quiero es obtener el nombre de usuario del dominio del usuario entrante si proviene de una red corporativa. Estoy usando el archivo keytab en el servidor web creado con ktpass. El servidor web está en DMZ y aislado de la intranet. La implementación de Kerberos en cuestión es Active Directory.

  • ¿Es Kerberos adecuado para la autenticación de servidores web de Internet públicos en este tipo de configuración?
  • ¿Existen algunas consideraciones de seguridad específicas relacionadas con una configuración como esta?
  • ¿Cuáles son los pasos necesarios si el archivo keytab se ve comprometido?
pregunta StrangeLoop 06.12.2012 - 01:13
fuente

1 respuesta

1

No veo ninguna debilidad inmediata. Kerberos buscará al usuario para suministrar un token de acceso generado por el servidor Kerberos que solo debería estar disponible en su red privada. El servidor web no debe saber cómo generar un token de acceso que permita el acceso a la red privada, por lo que todo lo que se podría hacer al comprometer la clave compartida del servicio del servidor web sería permitir el acceso al servidor web (que presumiblemente es el atacante). ya tiene acceso si han comprometido su clave secreta de servicio.)

De hecho, no creo que el servidor web deba necesitar acceso al servidor Kerberos, ya que solo necesita poder verificar un TGT que solo requiere el conocimiento de la clave secreta del servicio. El cliente que ha iniciado sesión en la red privada debe ser el único con una conexión a ambos mundos.

    
respondido por el AJ Henderson 06.12.2012 - 15:14
fuente

Lea otras preguntas en las etiquetas