Implementando Confiança Bidirecional 'Forest-to-Forest' com Microsoft Active Directory do Zero

Implementando Confiança Bidirecional 'Forest-to-Forest' com Microsoft Active Directory do Zero

Descubra como a equipe da MULTIDIRECTOR construiu uma solução de confiança bidirecional 'forest-to-forest' do zero, integrando seu diretório MULTIDIRECTORY com o Active Directory da Microsoft. O artigo detalha os desafios técnicos, os protocolos envolvidos e a estratégia para uma migração suave.

MundiX News·21 de maio de 2026·12 min de leitura·👁 15 views

Em projetos de substituição de produtos de TI estrangeiros, um desafio recorrente é a impossibilidade de simplesmente desativar soluções existentes. Isso é particularmente verdadeiro para serviços de diretório e autenticação. Na MULTIDIRECTOR, desenvolvemos nosso próprio serviço de diretório, MULTIDIRECTORY (MD), uma implementação completa que inclui LDAP, ACL, RBAC, lógica de negócios e subsistema de auditoria desenvolvidos do zero. Utilizamos uma versão modificada do MIT Kerberos, PowerDNS para DNS e Kea DHCP para DHCP, com gerenciamento de políticas de grupo via Salt Stack. Nosso serviço foi projetado desde o início para compatibilidade com o ecossistema Microsoft, garantindo que serviços compatíveis com Active Directory (AD) também funcionem com MD.

O MD suporta ambientes híbridos Linux+Windows. No entanto, como muitos clientes possuem ambientes Active Directory completos, a substituição completa em uma única etapa é inviável tanto técnica quanto organizacionalmente. Isso cria a necessidade de garantir uma migração suave, permitindo que ambos os sistemas operem em paralelo por um período prolongado. Sem uma relação de confiança configurada entre o MD e o AD, teríamos dois mundos isolados, onde usuários, serviços e políticas não se cruzariam, e a administração se tornaria exponencialmente mais complexa. A solução é estabelecer uma relação de confiança entre os diretórios, permitindo autenticação e autorização transparentes. Um usuário de um domínio pode acessar recursos do outro sem perceber a distinção.

Existem três tipos principais de relações de confiança com domínios externos: Realm Trust, que é um acordo entre dois realms Kerberos para transferência de tickets e autenticação, mas não abrange LDAP, grupos ou lógica de autorização. External Trust é usado para confiança entre domínios individuais fora da mesma floresta, útil para integração pontual, mas com limitações. Forest Trust, por outro lado, é projetado especificamente para o ecossistema Active Directory, abrangendo não apenas Kerberos, mas também todos os mecanismos de autorização associados, como usuários, grupos, SIDs e protocolos Windows. Isso faz com que os dois diretórios sejam percebidos como um sistema unificado, tornando o acesso a recursos transparente.

Inicialmente, a equipe da MULTIDIRECTOR optou pelo Realm Trust para cobrir cenários básicos, como autenticação de usuários e transferência de tickets Kerberos. No entanto, rapidamente ficou claro que isso era insuficiente para infraestruturas complexas, especialmente no que diz respeito à autorização. Embora o Kerberos confirme a identidade do usuário e possa transmitir informações de grupo via PAC (Privilege Attribute Certificate), ele não fornece uma visão completa das permissões, exigindo manipulação manual do administrador para mapeamento de direitos. Para mitigar isso parcialmente, implementaram o LDAP Forward, que redireciona requisições LDAP para o domínio confiável, simplificando alguns cenários, principalmente para sistemas Linux baseados em LDAP. Contudo, o Realm Trust é inerentemente limitado e não atende às reais necessidades de infraestruturas corporativas.

Fora do ecossistema Microsoft, a implementação de confiança 'forest-to-forest' geralmente depende da Samba, que reproduziu os protocolos e o código-fonte da Microsoft. Soluções como FreeIPA utilizam componentes Samba como camada de comunicação RPC. Embora conveniente, essa abordagem apresenta desvantagens significativas: dependência de código C de terceiros, difícil controle e adaptação, e sensibilidade a atualizações do Windows que podem desestabilizar os protocolos de confiança. A equipe da MULTIDIRECTOR enfrentou casos em que atualizações do Windows quebraram a confiança, exigindo rollbacks e meses para correções na Samba, tornando soluções baseadas em Samba e FreeIPA reféns da equipe Samba. Essa dependência é inaceitável para um produto de infraestrutura.

Diante disso, a MULTIDIRECTOR decidiu implementar a confiança 'forest-to-forest' do zero, sem depender do código Samba. A escolha do Python, apesar da complexidade, foi deliberada. A principal dificuldade não foi o Kerberos em si, mas sim o complexo conjunto de mecanismos interconectados que a Microsoft utiliza, incluindo Kerberos v5, NTLM v2, EPM (RPC Mapper), Netlogon, DRSUAPI, SAMR, LSARPC (LSAD e LSAT), e SMB v2/v3. Esses mecanismos podem usar diferentes transportes, como SMB ou RPC direto. É importante notar que o NTLM v2 é considerado obsoleto e inseguro, com a Microsoft recomendando sua descontinuação. Portanto, a implementação da MULTIDIRECTOR focou no Kerberos como o único mecanismo de autenticação principal. A documentação, embora detalhada em métodos e interfaces, carecia de informações sobre os formatos de dados reais, exigindo análise de tráfego de rede e comparação com a implementação Samba. Após meses de imersão e análise, a equipe conseguiu entender os protocolos, reconstruir sequências de chamadas e descrever os métodos utilizados, avançando para uma fase de desenvolvimento mais previsível.

Embora a solução utilize o MIT Kerberos como base, ele não é compatível com o modelo Active Directory "out-of-the-box". Uma diferença crucial é a ausência do PAC (Privilege Attribute Certificate), que no AD contém informações essenciais para autorização, como grupos do usuário e SIDs. A implementação do suporte ao PAC foi necessária para garantir a compatibilidade com o Windows e o Forest Trust. Outro ponto importante é a identificação do usuário. No AD, um usuário pode ser identificado por samAccountName (domain\user) e UPN (user@domain.ru). O MIT Kerberos, por padrão, opera apenas com principals no formato username@REALM e é sensível a maiúsculas e minúsculas. Isso exigiu modificações no servidor TGS para processar corretamente as diferentes variantes. A confiança bidirecional opera em duas planos: gerenciamento e uso. O gerenciamento envolve a criação e manutenção da relação de confiança, utilizando protocolos como LSARPC e Netlogon para operações como criação, exclusão, modificação e verificação de confiança. O Netlogon é fundamental para construir o Secure Channel entre controladores de domínio, envolvendo um processo de autenticação com desafios e respostas para estabelecer uma conexão segura. Após o estabelecimento do Secure Channel, protocolos como LogonGetCapabilities e GetForestTrustInformation são usados para negociar capacidades e trocar informações sobre a floresta confiada. A atualização de senhas de confiança, que ocorre a cada 30 dias no AD, é crucial e realizada via NetrServerPasswordSet2, exigindo a atualização do Trusted Domain Object (TDO) e do principal krbtgt para manter a funcionalidade do Kerberos.

Os protocolos LSAD e LSAT desempenham papéis importantes no uso da confiança. O LSAD gerencia políticas de segurança e objetos de confiança, sendo usado para abrir handles de política, verificar a existência de domínios confiados e obter informações sobre a confiança. O LSAT é responsável pela conversão entre identificadores legíveis por humanos e SIDs, utilizando métodos como LsarLookupNames4 (samAccountName para SID) e LsarLookupSids3 (SID para samAccountName), permitindo que o AD trabalhe corretamente com usuários e grupos de outras florestas. O funcionamento do Forest Trust envolve a interação entre esses protocolos. Por exemplo, ao adicionar um usuário de MULTIDIRECTORY a um grupo do Active Directory, o AD utiliza LSAT para converter o samAccountName do usuário em um SID e, em seguida, o DRSUAPI confirma a existência do objeto e seus atributos. O processo de rede envolve o AD obtendo um TGS do KDC do MD, acessando o serviço SMB do MD, onde o ticket é descriptografado e a autenticidade confirmada. Em seguida, um Secure Channel é estabelecido usando a senha TDO, seguido por chamadas como NetrLogonSamLogonEx, que pode transmitir hashes NTLM ou o PAC Kerberos, dependendo do método de autenticação. Isso conclui o login do usuário do MULTIDIRECTORY no sistema AD. A equipe da MULTIDIRECTOR adquiriu experiência e competências únicas, resultando em uma implementação de confiança bidirecional que é a única escrita do zero nos últimos 20 anos.

Até o início de 2026, a MULTIDIRECTOR concluiu a implementação completa da confiança bidirecional 'forest-to-forest' com o Active Directory. Isso incluiu o suporte aos protocolos necessários, aprimoramentos no Kerberos, implementação de PAC e Global Catalog, e a reprodução da lógica de interação da Microsoft. O principal benefício não é apenas o mecanismo de confiança em si, mas o controle sobre ele. A empresa não depende de implementações de terceiros, podendo se adaptar rapidamente a mudanças no ecossistema e garantir um comportamento previsível nas infraestruturas dos clientes. Isso resolve um problema prático fundamental: a capacidade de construir infraestruturas híbridas e migrar do Active Directory para um diretório Linux sem interrupção dos negócios. Os planos futuros incluem o uso desses mesmos protocolos para implementar um Windows Domain Join completo. Fique atento às novidades!

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.