Implementación de FreeIPA en Rocky Linux: Configuración de Servidor Principal y Réplica para Alta Disponibilidad

20 febrero, 202520 febrero, 2025 rokitoh Deja un comentario

Introducción

FreeIPA (Identity, Policy, and Audit) es una solución de gestión de identidad y autenticación que proporciona una implementación centralizada de Kerberos, LDAP, DNS y políticas de acceso. Su arquitectura permite desplegar un servidor maestro y configurar réplicas para mejorar la disponibilidad y resiliencia del sistema.

Este documento describe el proceso completo de instalación y configuración de un servidor FreeIPA maestro, así como la implementación de una réplica para asegurar redundancia y balanceo de carga en la infraestructura.

1. Objetivo del documento

Parte 1: Instalación y configuración de FreeIPA en el servidor maestro.
Parte 2: Configuración de una réplica para garantizar la continuidad del servicio y la sincronización de datos entre servidores.

1.1. Arquitectura de FreeIPA

La configuración de FreeIPA sigue un modelo jerárquico donde un servidor maestro administra la base de datos LDAP y proporciona servicios centrales de autenticación. Las réplicas permiten la distribución de cargas y aseguran la disponibilidad del servicio en caso de fallos del nodo principal.

1.2 Componentes clave de FreeIPA:

LDAP (389 Directory Server): Almacena la información de usuarios, grupos y políticas de acceso.
Kerberos: Proporciona autenticación segura basada en tickets.
DNS: Gestiona la resolución de nombres y permite la integración con Kerberos.
Certificados (Dogtag CA): Maneja la autoridad certificadora para la infraestructura de claves públicas (PKI).

HackTheBox – Cicada Writeup

4 diciembre, 202410 diciembre, 2024 rokitoh Deja un comentario

Introducción

Este documento detalla el proceso paso a paso para explotar la máquina Cicada en Hack The Box. Se incluyen todas las herramientas y técnicas empleadas, desde la enumeración inicial hasta la obtención de la flag de administrador.

Herramientas Utilizadas:

nmap: herramienta de código abierto utilizada para el escaneo y mapeo de redes.
enum4linux: Herramienta de auditoría de redes para obtener información sobre sistemas Windows a través del protocolo SMB. Permite la enumeración de usuarios, grupos, políticas y otras configuraciones importantes de un dominio.
CrackMapExec (CME): Herramienta de post-explotación que facilita la administración de redes de Windows. Se utiliza para realizar tareas como la enumeración de usuarios, la ejecución remota de comandos, y la explotación de vulnerabilidades en una red comprometida mediante SMB, RDP, WinRM, entre otros.
Evil-WinRM: Herramienta de post-explotación que permite interactuar con sistemas Windows de forma remota a través de PowerShell utilizando el protocolo WinRM.
Mimikatz: Herramienta de seguridad utilizada para obtener contraseñas y hashes de usuarios de un sistema Windows, así como para manipular credenciales.
pypykatz: Herramienta basada en Python para extraer y analizar contraseñas de archivos SAM y SYSTEM de Windows sin necesidad de estar en un entorno de ejecución de Windows.
samdump2: Herramienta de línea de comandos utilizada para extraer contraseñas o hashes de los archivos SAM y SYSTEM de Windows.

Cómo Añadir el Atributo sAMAccountName en Azure Active Directory

8 agosto, 202410 diciembre, 2024 rokitoh Deja un comentario

En entornos híbridos de Active Directory y Azure Active Directory (Entra ID), es crucial sincronizar y mapear atributos de usuario de manera efectiva para asegurar una integración fluida entre sistemas locales y en la nube. Uno de los atributos importantes en muchos entornos es el sAMAccountName, que se utiliza para identificar de manera única a un usuario en Active Directory. En este artículo, te mostramos cómo añadir el atributo sAMAccountName a tu aplicación en Entra ID utilizando PowerShell.

Cómo enviar registros de Entra ID a Log Analytics

4 junio, 202410 diciembre, 2024 rokitoh Deja un comentario

Microsoft Entra ID es un servicio integral de administración de identidades y accesos basado en la nube. Una de las funcionalidades críticas de Entra ID es la capacidad de monitorear y analizar eventos a través de registros. Enviar estos registros a Log Analytics te permite obtener una visión más profunda de la actividad y seguridad en tu entorno Entra ID. A continuación, te explicaré detalladamente cómo enviar registros de Entra ID a Log Analytics.

Configurar autenticación de Active Directory en PostgreSQL

6 julio, 202110 diciembre, 2024 rokitoh Deja un comentario

Para configurar correctamente la autenticación con Active Directory, necesitamos crear un usuario en Active Directory que tenga una relación de uno a uno con un rol de PostgreSQL. En otras palabras, necesitamos crear un usuario en cada sistema con el mismo nombre de inicio de sesión.

En primer lugar creamos el rol en Postgres

Unir servidor Linux a un dominio administrado de Azure Active Directory Domain Services

24 junio, 202110 diciembre, 2024 rokitoh Deja un comentario

¿Que es Azure Active Directory Domain Services?

Azure Active Directory Domain Services (Azure AD DS) proporciona servicios de dominio administrados como unión a un dominio, directiva de grupo, protocolo ligero de acceso a directorios (LDAP) y autenticación Kerberos o NTLM. Puede usar estos servicios de dominio sin necesidad de implementar o administrar los controladores de dominio de la nube, ni de aplicarles revisiones.

Integrar Racktables con Active Directory

10 julio, 201710 diciembre, 2024 rokitoh 1 comentario

Anteriormente ya vimos como instalar Racktables en GNU/Linux, en esta ocasión veremos como integrar Racktables con Active Directory

Para mas información:

Inventario de servidores con racktables

Integrar Graylog con Active Directory

3 julio, 201710 diciembre, 2024 rokitoh 1 comentario

En anteriores entradas ya vimos la instalación y configuración de graylog, en esta ocasión vamos a integrar graylog con nuestro controlador de dominio para poder acceder.

Instalación Graylog2 en GNU/Linux Debian

Instalación y configuración de RSYSLOG en Windows

Accedemos a System > Authentication

Seleccionamos la opción Active Directory, rellenamos la ip y un usuario para realizar una prueba de conexión.

Indicamos donde se encuentran los usuarios y grupos en nuestro actrive directory

Realizamos una prueba de conexión.

Una vez configurado y comprobado que realiza la conexión, damos a guardar.

:wq!

Autenticación en Active Directory vía RADIUS GNU/Linux

14 junio, 201710 diciembre, 2024 rokitoh 2 comentarios

RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Service). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones.

Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, y otros parámetros como L2TP, etc.

Integración MediaWIKI con Active Directory

9 junio, 201710 diciembre, 2024 rokitoh 1 comentario

Nos descargamos la extensión LdapAuthentication:

https://www.mediawiki.org/wiki/Special:ExtensionDistributor/LdapAuthentication

También lo podemos descargar mediante git en la siguiente URL:

https://gerrit.wikimedia.org/r/#/q/status%3Aopen+project%3Amediawiki/extensions/LdapAuthentication

En mi casó dado que tengo instalado MediaWiki 1.27 bajo centOS 7 me bajo dicha versión

wget https://extdist.wmflabs.org/dist/extensions/LdapAuthentication-REL1_27-b0dba33.tar.gz

Descomprimimos la paquete

tar -xzf LdapAuthentication-REL1_27-b0dba33.tar.gz -C /var/www/html/extensions