Centrificando: Como Centrify ofrece integración al Directorio Activo para UNIX, Linux y Mac OS X

Introducción

Este artículo explica como Centrify Server Suite permite organizaciones con plataformas abiertas (UNIX, Linux y Mac OS) obtener integración nativa al Directorio Activo. Los beneficios son tangibles en las areas de seguridad, conformidad regulatoria y eficiencia operativa. Este articulo explica los beneficios, arquitectura, funcionamiento y videos con demostraciones.

Beneficios

Los beneficios para las organizaciones con Directorio Activo son las siguientes:

Administración Centralizada usando el directorio común
(El Directorio Activo, que es usado en 90%+ de organizaciones a nivel mundial)
Consolidación de credenciales y eliminación de islas de identidad
Reforzamiento de políticas de seguridad y de configuración
Conformidad regulatoria (SOX, PCI, HIPAA, ISO/IEC 27001, NERC, FERC, etc.)
Utilitarios para integración y automatización
Integración nativa al Directorio Activo (sin extensiones al esquema de Directorio Activo y sin agentes en las controladoras del dominio) – independientemente de la complejidad (relaciones de confianza de una vía, etc)
Apoyo a casos de uso modernos (servidores en la nube y en premisas)
Compatibilidad con más de 450 versiones de UNIX/Linux y Mac en diferentes arquitecturas
Reportería: Ofrece la capacidad de generar reportes para seguridad o conformidad.
Eficiencia operativa: promueve que se reuse la infraestructura, las herramientas, los procesos y los conocimientos existentes. Esto elimina la fragmentación de TI y permite que las organizaciones puedan producir resultados con rapidez.

Estos beneficios se pueden conseguir independientemente de que tenga sus sistemas en el datacenter local o en la nube (Amazon, Azure, Rackspace, etc.)

Arquitectura

Centrify ha ofrecido integración para plataformas abiertas (UNIX, Linux, Mac OS X) con el Directorio Activo de Microsoft por más de 11 años.

El cliente DirectControl es un agente que se instala de manera manual o automática en las plataformas abiertas y este hace uso de las siguientes facilidades:

Name Service Switch (NSS): que proporciona servicios de identificación de usuarios y de grupo para aplicaciones y programas.
Pluggable Authentication Modules (PAM): que permite la autenticación modular para aplicaciones y programas.

Nota: El uso de PAM y NSS permite que Centrify no tenga que sincronizar identidades en los sistemas locales. Esto simplifica la implementación y la puesta en producción.

Protocolo Kerberos: La autenticación usando el protocolo Kerberos permite que esta pase sin que las contraseñas sean enviadas vía la red. Centrify ofrece librerías y utilitarios optimizados para trabajar con la implementación de Kerberos de Microsoft en el Directorio Activo.
Alta Disponibilidad y acceso fuera de linea: El cliente de Centrify usa la metodología nativa del Directorio Activo (Sitios y Servicios) para localizar controladoras del dominio en caso de falla, y permite el acceso con credenciales en cache para acceso cuando no exista comunicación con el directorio.
Utilitarios: Las herramientas de Centrify permiten la migración e integración avanzada. Ejemplos: Módulos de PowerShell, Herramientas de Comando, Programas Proxy (LDAP y NIS), Directivas de Grupo (Group Policy), Centrify ZPA (para aprovisionamiento), Kits de Programación (SDK), etc.
Gestión de Identidades UNIX: Permite la alta/baja y cambio de usuarios y grupos primarios o secundarios en UNIX con un alto nivel de simpleza.
Gestión de Usuarios Privilegiados: permite la gestión de mínimo acceso.(*)
Plugins para SSO para Apache, Tomcat, Websphere, Weblogic, J2EE, SAPGui, SAP Netweaver y bases de Datos DB2. (*)

(*) Este tópico se va a cubrir en otro articulo en este blog.

Funcionamiento para el Usuario

A grandes rasgos, un usuario ingresa sus datos o usa Kerberos para acceder una aplicación (por ejemplo, SSH)
El cliente de Centrify usa el módulo PAM para verificar si es responsable por el usuario (si pertenece al Directorio Activo).
En caso positivo, el cliente usa el módulo PAM de autenticación y cuentas, via el protocolo Keberos para conversar con el Directorio Activo y verificar si la cuenta está autorizada para firmarse en el sistema, si no está expirada, bloqueada, etc.
Si el usuario está autorizado, luego usa el módulo PAM de sesión en caso de que se necesite crear el directorio hogar del usuario o si este necesita cambiar su contraseña.
En caso de que no exista comunicación con el Directorio Activo, si el usuario se ha firmado anteriormente (o está pre-validado) este logrará ingresar al sistema con credenciales en cache.

Nota: Estos pasos describen la autenticación, los pasos de autorización son más complejos y se cubriran en otro blog.

Funcionamiento para el Sistema

El equipo de seguridad y de plataforma establecen una Zona de Centrify en el Directorio Activo, esta contiene las reglas de identidad, autorización y demás. No hay servidores adicionales o cuentas de servicio necesitados (a menos que se use aprovisionamiento automático).
Para un sistema usar Centrify este necesita el agente. Centrify ofrece el agente de manera nativa, esto permite herramientas como Chef, Puppet, Satellite, etc la automatización de la instalación. Centrify tambien ofrece el utilitario Deployment Manager como complemento.
Por ejemplo, para sistemas RedHat y derivados, centrify ofrece paquetes RPM. Para Debian, paquetes DEB, para IBM AIX, HP-UX y Oracle Solaris, tambien ofrece paquetes nativos.
El administrador de manera automática o manual corre el utilitario adjoin e ingresa el sistema al Directorio Activo. De manera automática, el agente modifica de manera automática el entorno NSS, PAM y Kerberos (keytab del sistema y archivo krb5.conf). Esto permite que el administrador no tenga que hacer ningún otro de configuración manual.
Los usuarios autorizados al sistema pueden iniciar sesiones inmediatamente.

Demostración #1: Los beneficios (duración 7:53)