O Microsoft Active Directory (AD) é a solução de diretório de usuários baseada em Windows mais comum e está integrada às infraestruturas de TI de muitas pequenas e médias empresas (PMEs), apesar de ser uma tecnologia legada que luta para oferecer suporte a outras plataformas como o Linux.
O AD aproveita o LDAP nos bastidores, mas usa amplamente o Kerberos como protocolo de autenticação para máquinas Windows. Por causa disso, os dispositivos Linux lutam para se integrar ao AD. Por que isso é importante? O AD desempenha funções importantes para controle de acesso: autenticação, autorização e gerenciamento. Se uma empresa usa sistemas 100% Windows, o AD realiza todas as três tarefas.
No entanto, o AD começa a falhar se uma empresa usar qualquer dispositivo Android, Apple ou Linux; infraestrutura ou aplicativos em nuvem ou infraestrutura não Windows que não são compatíveis sem modernização. Dispositivos e identidades não gerenciados significam que os recursos não estão sendo protegidos.
A boa notícia é que você não precisa substituir completamente o AD para resolver esse problema. É possível modernizar sua infraestrutura existente. Este artigo compartilha várias opções que permitem às PMEs gerenciar seus dispositivos/usuários Linux, incluindo o aprimoramento do AD com JumpCloud.
Se o AD falhar, como as empresas estão gerenciando os diretórios?
Existem várias maneiras pelas quais as organizações podem conectar seus dispositivos Linux ao Active Directory. O mais fácil é usar o LDAP por meio do módulo PAM integrado ao Linux. As organizações também podem usar Kerberos neste modelo.
No entanto, cada uma dessas abordagens cria trabalho extra e pode adicionar problemas de segurança (por meio do aumento da área de superfície de ataque), em vez de corrigir completamente os problemas em que o AD falha.
A TI também terá que implementar uma ferramenta de autenticação dedicada. Isso geralmente requer forte intervenção de TI e servidores físicos e existe independentemente das práticas e infraestrutura de identidade atuais.
Vale ressaltar que o modelo de acesso empresarial da Microsoft substitui e substitui o modelo de camadas do AD. O modelo revisado abrange instalações de AD, é multicloud e inclui usuários de vários provedores de identidade (IdPs), em oposição a uma separação lógica de ativos de AD em um domínio. Esta abordagem não atende aos requisitos dessa nova arquitetura de referência para AD.
Soluções de código aberto
Outro método é aproveitar o Samba e o Winbind. Isso requer a configuração do Samba, o que não é tarefa fácil e pode exigir alterações no perímetro da rede. Essa abordagem depende muito de VPNs, que podem aumentar sua área de superfície de ataque e são um ponto de entrada em sua rede.
Winbind é usado para resolver informações de usuários e grupos do Windows Server. O PAM fornecerá serviços de autenticação.
Também é possível usar o serviço proxy do OpenLDAP para integração com o Active Directory. Esta não é uma configuração trivial e também aumenta a sobrecarga e a infraestrutura do gerenciamento de TI.
Azure Active Directory e Intune
A Microsoft adicionou recentemente suporte para Linux ao seu serviço de gerenciamento de endpoint Intune . O uso do Intune obrigará você a configurar uma infraestrutura de servidor híbrido que sincronize o AD com o Entra ID (anteriormente Azure AD ou AAD). Isso pode ser um trabalho significativo , e o AAD geralmente é fornecido com o Microsoft 365 e pode obrigá-lo a adotar um conjunto verticalmente integrado de ferramentas da Microsoft.
Podem ser necessárias assinaturas adicionais do Intune para gerenciar seus dispositivos. A configuração do Intune pode ser complexa e o suporte da Microsoft para Linux é limitado no momento. Ele impõe restrições sobre qual navegador você pode usar, sendo o Microsoft Edge a única opção disponível para acessar seus recursos.
A melhor abordagem para modernizar o AD para Linux
JumpCloud é uma plataforma de diretório aberto que unifica recursos de identidade, acesso e gerenciamento de dispositivos, independentemente do método de autenticação subjacente ou ecossistema de dispositivos.
A plataforma de diretório aberto do JumpCloud oferece uma abordagem alternativa para conectar dispositivos Android, Linux ou Mac ao Active Directory. Ele também possui gerenciamento unificado de endpoints.
Esta plataforma de diretório em nuvem atua como uma “extensão” do AD, corrigindo solidamente as áreas onde o AD desmorona. Ele autentica, autoriza e gerencia todos os dispositivos Android, Linux, Mac e Windows. Como? A integração do Active Directory (ADI) é a chave para fazer tudo funcionar.
Como funciona a integração e modernização do AD
A integração AD da JumpCloud ajuda as PMEs a restabelecer um forte controle de acesso.
Os dispositivos Linux e Mac se conectam à plataforma de diretório baseada em nuvem da JumpCloud por meio de seus mecanismos de autenticação nativos (e por meio de um agente ou gerenciamento de dispositivo móvel).
Os usuários são adicionados ao provedor de identidade virtual do JumpCloud por meio de nossa integração com o Active Directory ou manualmente.
Se o Active Directory estiver conectado por meio do recurso JumpCloud AD Integration, todas as atualizações no AD serão automaticamente replicadas para o JumpCloud e, consequentemente, para todos os dispositivos Linux no diretório também.
Por exemplo, um novo usuário pode ser adicionado no AD e, como resultado, ter acesso a todos os seus servidores em nuvem Linux hospedados na AWS ® . O inverso também é verdadeiro quando um usuário encerrado no AD é automaticamente excluído dos servidores AWS. Isso é realizado por um processo de sincronização ativo entre AD e JumpCloud .
Os dispositivos Linux podem ser facilmente conectados ao Microsoft AD por meio do serviço de diretório hospedado do JumpCloud. Isso elimina as dores de cabeça associadas ao gerenciamento manual ou soluções alternativas com Chef ou Puppet.
JumpCloud também oferece suporte a várias distros Linux , dando a você a opção de trabalhar como quiser. Isso permite que você utilize a velocidade, a estabilidade e a segurança dos sistemas baseados em Linux, sem perder de vista o que está acontecendo nos outros sistemas operacionais suportados pela sua organização.
Outros benefícios práticos incluem:
- Eliminando a necessidade de múltiplas senhas e gerenciamento isolado
- Reduzindo despesas administrativas ou técnicas
- Reduzindo o atrito de autenticação e melhorando a experiência do usuário final
Conformidade e Segurança
JumpCloud fornece uma coleção de políticas pré-construídas para Linux, como criptografia de disco completo . Essas políticas ajudam as organizações a gerenciar e proteger seus endpoints Linux implantados com mais eficiência, ao mesmo tempo que melhoram sua postura geral de segurança. As políticas adicionais incluem:
- Verifique as opções de partição e montagem: Os diretórios usados para funções de todo o sistema podem ser ainda mais protegidos colocando-os em partições separadas.
- Verifique a criptografia do disco: esta política verificará se há criptografia de disco completo ou diretório inicial em uma máquina Linux e relatará o status.
- Desativar armazenamento USB: esta política impede que dispositivos de armazenamento em massa USB, como unidades flash e discos rígidos USB, sejam usados no sistema.
- Política de bloqueio de tela: a proteção de tela do usuário será bloqueada após o período de segundos especificado. Uma senha será necessária para desbloquear o protetor de tela.
- Propriedade e permissões de arquivos: arquivos de sistema seguros para sistemas Linux.
- Parâmetros de rede: melhore a segurança da rede de um sistema definindo parâmetros de kernel para encaminhamento de IP, roteamento de pacotes, solicitações de protocolo de mensagens de controle da Internet (ICMP), filtragem de caminho e cookies de sincronização de protocolo de controle de transmissão (TCP SYN).
- Desative sistemas de arquivos não utilizados: evite que um usuário não autorizado introduza ou extraia dados de um sistema. Um administrador agora pode determinar se um tipo de sistema de arquivos não é necessário e desativá-lo.
A plataforma de diretório aberto também é uma ótima opção de diretório para organizações que não usam AD, mas que gostariam de gerenciar seus dispositivos Linux de maneira semelhante.
Saiba mais sobre como conectar dispositivos Linux ao Active Directory
Inscreva-se para uma avaliação gratuita da plataforma IAM e UEM integrada da JumpCloud. Se surgir alguma dúvida ou se você quiser saber mais, deixe-nos uma mensagem.
Observação: JumpCloud também fornece um gerenciador de senhas descentralizado e cofre para Linux.
