Tekniske forutsetninger for trust mot UHAD

Dette dokumentet beskriver hvilke tekniske forutsetninger som må være på plass for at institusjoner skal kunne opprette AD-trust mot UHAD og bruke UHAD-tjenester. Målgruppen for dokumentet er IT-ledere, IT-ansvarlige og superbrukere ved institusjonene.

1. Før opprettelse av trust

Pålogging på UHAD-servere med institusjonens egne brukerkontoer forutsetter opprettelse av toveis AD-trust med UHAD. For at et slikt trust skal kunne opprettes må følgende forutsetninger være på plass.

1.1   Active Directory

  • Institusjonen må ha et Active Directory-domene som inneholder brukernes brukerkontoer.
  • Alle institusjonens domenekontrollere må kjøre Windows Server 2008 eller senere. Hvis noen domenekontrollere kjører Windows Server 2003 bør de uansett oppgraderes så snart som mulig, siden WS 2003 er uten support fra Microsoft etter 14. juli 2015.
  • I tillegg må ETT av de følgende punktene være dekket:
    • Domenekontrollerne må ha "ekte" IP-adresser, altså ikke stå på privatnett (NAT).
    • Hvis domenekontrollerne står på privat nett (NAT), må de ha en dedikert ekstern adresse for hver domenekontroller, og all ekstern trafikk til og fra domenekontrollerne må gå gjennom disse adressene.

1.2   Endringer på domenekontrollere

Det må legges inn to verdier i registeret på institusjonens domenekontrollere som tvinger nettverksprotokollene RPC og Netlogon til å kommunisere på henholdsvis port 50001 og 50002. Dette gjøres for å begrense antallet nettverksåpninger, siden disse protokollene vanligvis bruker dynamisk portallokering. Kommandoene som kjøres er:

reg add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /v "TCP/IP Port" /t REG_DWORD /d 50001 /f
reg add HKLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters /v  DCTcpipPort /T REG_DWORD /d 50002 /f

Det må også legges inn en verdi i registeret som setter maks lengde på Kerberos UDP-pakker til 0 bytes:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v "MaxPacketSize" /t REG_DWORD /d 0 /f

Dette er for å være helt sikker på at det ikke går Kerberos-trafikk over UDP, TCP er uansett standard transportprotokoll for Kerberos i Windows.

NB! Det er viktig at Kerberos over UDP ikke blokkeres uten å først sjekke om det finnes noen tredjepartssystemer som er avhengige av Kerberos over UDP. Dette kan for eksempel gjelde eldre Radius-servere for trådløsnett.

Domenekontrollerne må omstartes etter registerendringene. Husk å slå av kun en om gangen og vent minst ti minutter etter at den er oppe igjen før neste tas.

Link: Restrict RPC to a specific port

1.3 Nettverksåpninger

Følgende porter må åpnes inn mot institusjonens DC-nett for trafikk fra UHADs servernett 158.37.3.0/24. Protokoller i parentes:

  • 53 TCP og UDP (DNS)
  • 88 TCP (Kerberos)
  • 135 TCP (RPC)
  • 389 TCP og UDP (LDAP)
  • 445 TCP og UDP (SMB2)
  • 3268 TCP (Global Catalog/LDAP)
  • 50001 TCP (RPC)
  • 50002 TCP (Netlogon)
  • 49152-65535 UDP (LDAP returtrafikk)

I tillegg må det åpnes i institusjonens klientnett for:

  • 49152-65535 UDP (LDAP Returtrafikk)

Det må også være åpent for utgående trafikk fra institusjonens DC-nett til 158.37.3.0/24 på de samme portene.

For institusjoner med nett levert av UNINETT er det vanlig å ha en eksplisitt blokkering av innkommende trafikk på portene 135 og 445 i grenseruteren. Det må i så tilfelle gjøres unntak i denne aksesslisten for trafikk fra UHADs domenekontrollere.

1.4 DNS

For at trust skal fungere må UHAD sine domenekontrollere kunne slå opp adressene til institusjonens Active Directory-domene, domenekontrollere, og alle domenets SRV records i DNS.

Hvis institusjonens Active Directory-domene sine adresser og SRV records ikke DNS-publiseres på internett, må UHADs domenekontrollere kunne slå opp adressene ved å sette opp Conditional Forwarding mot institusjonens interne DNS-servere/domenekontrollere.

Dette krever at port 53 TCP/UDP er åpen mot institusjonens domenekontrollere fra UHADs servernett 158.37.3.0/24.

2. Opprettelse av AD-trust

Det må opprettes et to-veis forest trust med forest wide authentication mellom UHAD sine domenekontrollere og institusjonens domenekontrollere.

3. Krav til klientmaskiner

  • Klientmaskinene må ha mulighet til å kontakte UHADs servernett på port 443 (HTTPS) og 3389 (RDP).
  • Klientmaskinene må kjøre Windows som støtter RDP versjon 7.0 eller senere. Vi anbefaler Windows 7 eller senere, men Windows Vista med Service Pack 2 vil også kunne brukes, muligens med enkelte begrensninger.
  • Pålogging gjennom webportal fungerer best med Internet Explorer.
  • MacOS kan bli støttet på et senere tidspunkt.

4. Single Sign-On (frivillig)

For at brukerne skal kunne logge seg på FS uten å måtte skrive inn brukernavnet og passordet sitt, må det opprettes en GPO for de av institusjonens klientmaskiner som FS skal kjøres fra. Her må denne innstillingen konfigureres:

Computer/Policies/Administrative Templates/System/Credentials Delegation/Allow delegating default credentials

  - Enabled
  - Add servers to the list: termsrv/*.uhad.no
  • SSO vil kun fungere på maskiner som er medlem i institusjonens AD og som har en GPO med denne innstillingen satt. Det vil være mulig å starte FS fra klientmaskiner utenfor institusjonens AD (for eksempel hjemmemaskiner), men da uten SSO.
  • Hvis SSO ikke virker selv om GPO er på plass, sjekk at klientmaskinen har UDP-åpningene for LDAP returtrafikk nevnt under punkt 1.3.

5. Grupper og brukere

  • Alle som skal koble seg til en terminalservertjeneste i UHAD må gjøre det med sin personlige bruker (ingen fellesbrukere). Brukeren må være medlem i en eller flere grupper som gir tilgang til applikasjoner i programkiosken. 
  • Gruppene opprettes i insitusjonens AD, og administreres av IT-avdelingen eller superbruker. 
  • Alle gruppene må være global groups eller universal groups.

5.1 FS

  • Det må opprettes en sikkerhetsgruppe i institusjonens AD for hver FS-applikasjon som skal aksesseres (FS/FS skrivebord/FSSYSTEM i henholdsvis prod og demo). Medlemskap i gruppene gir adgang til de respektive applikasjonene og styres av institusjonen. Gruppene skal hete:
    • fs_prod_fs
    • fs_prod_desktop
    • fs_prod_fssystem
    • fs_demo_fs
    • fs_demo_desktop
    • fs_demo_fssystem

5.1 UBW

  • UBW krever to sikkerhetsgrupper: 
    • <institusjon>-ubw-client
    • <institusjon>-ubw-desktop

5.2 Tableau

  • Tableau krever tre sikkerhetsgrupper: 
    • FS-Tableau-prod
    • FS-Tableau-test
    • FS-Tableau-desktop

6. Lisensserver

NB! Nytt pr. 1.12.2018.

For at lisensiering med per user CAL-lisenser skal fungere, må UHADs lisensserver meldes inn i en gruppe i alle trustede AD som har terminalserverbrukere. 

Konkret må maskinen UHAD\LISENS$ meldes inn i gruppen "Terminal Server License Servers" i institusjonens AD. 

Foreløpig har vi ikke noen god måte å gjøre dette i kommandolinjen på, så det må gjøres i GUI. 

Av Anders Lefébure-Henriksen
Publisert 13. des. 2018 11:16 - Sist endret 5. mars 2020 12:37