Samba4 AD DC + OTP privacyIDEA/FreeIPA

Samba4 AD DC + OTP privacyIDEA/FreeIPA
« kdy: 19. 02. 2017, 19:38:12 »
Ahoj,
rad bych dosahl nasledujiciho:
  • Debian 8 a Samba 4 jako Active Directory Domain Controller.
  • Win 7/10 stanice.
  • Jeden Windows server na vzdaleny pristup pres RDP.
  • Na lokalni siti prihlasovani pres jmeno+heslo, z internetu prihlasovani na RDP/FTP/... pres jmeno+heslo+totp.
FTP pouze jako priklad dalsiho protokolu.

Otazka zni, jak toho docilit.

Windows samy OTP pro RDP nepodporuji, ale i kdyby, chci to mit univerzalni pro moznost pouziti libovolne dalsi sluzby.

Zkousim ve virtualu na otestovani privacyIDEA.
Uzivatel se prihlasuje pomoci sveho jmena, ale misto hesla zadava "heslo1234",kde 1234 je TOTP kod vygenerovany na mobilu. Aplikace (FTP/...) se pak overuji oproti FreeRADIUSu, ktery je napojeny na privacyIDEA. A privacyIDEA si usekne TOTP od hesla.

Jak ale tohoto dosahnout u samby?
Nasel jsem hodne obracenych navodu - overovani FreeRADIUSu pres NTLM oproti sambe. Ja bych to ale potreboval presne obracene - samba s FreeRADIUSem jako user/pass backendem.

Momentalne stahuji CentOS a vyzkousim FreeIPA, ktera me zacina dost zajimat.

Mam par otazek:
  • Je lepsi pouzit privacyIDEA, nebo FreeIPA? Zatim nepouzivam produkcne ani jedno.
  • Je mozne u FreeIPA nastavit prihlasovani pomoci jmeno+hesloTOTP, kde OTP kod bude soucasti hesla?
  • Je mozne provozovat FreeIPA server na Debianu? Na jessie jsem nic pouzitelneho nenasel a na strech cekat nemuzu/nechci.
  • V nejakem navodu na integraci samba+freeipa zminovali nutnost programu "sssd". Je mozne mit FreeIPA na CentOSu a samba ad dc na debianu jessie napojenou na FreeIPA?
  • Jak se nejlepe da propojit samba4 a FreeIPA? Nasel jsem navod s LDAPem, ale byl oznaceny, jako obsolete. Jde pri pouziti freeipa-ldap-samba vyuzit OTP?

Hlavne bych nerad vynalezal kolo, pokud uz je nejake funkcni reseni.
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."