GWS - Admin Directory Sync
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Tofauti kuu kati ya njia hii ya kuunganisha watumiaji na GCDS ni kwamba GCDS inafanywa kwa mikono kwa kutumia binaries ambazo unahitaji kupakua na kuendesha wakati Admin Directory Sync haina seva inasimamiwa na Google katika https://admin.google.com/ac/sync/externaldirectories.
Wakati wa kuandika hii huduma iko kwenye beta na inasaidia aina 2 za usawazishaji: Kutoka Active Directory na kutoka Azure Entra ID:
Active Directory: Ili kuweka hii unahitaji kutoa ufikiaji kwa Google kwa mazingira yako ya Active Directory. Na kwa kuwa Google ina ufikiaji tu kwa mitandao ya GCP (kupitia VPC connectors) unahitaji kuunda kiunganishi na kisha kufanya AD yako ipatikane kutoka kwa kiunganishi hicho kwa kuwa na VM katika mtandao wa GCP au kutumia Cloud VPN au Cloud Interconnect. Kisha, unahitaji pia kutoa akisi ya akaunti yenye ufikiaji wa kusoma juu ya directory na cheti ili kuwasiliana kupitia LDAPS.
Azure Entra ID: Ili kuunda hii inahitajika tu kuingia kwenye Azure na mtumiaji mwenye ufikiaji wa kusoma juu ya usajili wa Entra ID katika dirisha linaloonyeshwa na Google, na Google itahifadhi tokeni yenye ufikiaji wa kusoma juu ya Entra ID.
Mara tu ikikamilishwa vizuri, chaguzi zote mbili zitawawezesha kusawazisha watumiaji na vikundi kwa Workspace, lakini haitaruhusu kuunda watumiaji na vikundi kutoka Workspace hadi AD au EntraID.
Chaguzi nyingine ambazo zitapatikana wakati wa usawazishaji huu ni:
Tuma barua pepe kwa watumiaji wapya kuingia
Kubadilisha moja kwa moja anwani yao ya barua pepe kuwa ile inayotumika na Workspace. Hivyo kama Workspace inatumia @hacktricks.xyz
na watumiaji wa EntraID wanatumia @carloshacktricks.onmicrosoft.com
, @hacktricks.xyz
itatumika kwa watumiaji walioundwa katika akaunti.
Chagua vikundi vinavyowajumuisha watumiaji ambao watasawazishwa.
Chagua vikundi vya kusawazisha na kuunda katika Workspace (au onyesha kusawazisha vikundi vyote).
Ikiwa unafanikiwa kuathiri AD au EntraID utakuwa na udhibiti kamili wa watumiaji & vikundi ambavyo vitasawazishwa na Google Workspace. Hata hivyo, zingatia kwamba nywila ambazo watumiaji wanaweza kuwa wanatumia katika Workspace zinaweza kuwa zile zile au si.
Wakati usawazishaji unapotokea inaweza kusawazisha watumiaji wote kutoka AD au wale tu kutoka OU maalum au tu watumiaji wanachama wa vikundi maalum katika EntraID. Hii inamaanisha kwamba ili kushambulia mtumiaji aliyeunganishwa (au kuunda mpya anayepata usawazishaji) itabidi kwanza uelewe ni watumiaji gani wanakusanywa.
Watumiaji wanaweza kuwa wanatumia nywila tena au la kutoka AD au EntraID, lakini hii inamaanisha kwamba itabidi uathiri nywila za watumiaji kuingia.
Ikiwa una ufikiaji wa barua pepe za watumiaji, unaweza kubadilisha nywila ya Workspace ya mtumiaji aliyepo, au kuunda mtumiaji mpya, subiri hadi ipate usawazishaji na kuanzisha akaunti hiyo.
Mara tu unapoingia mtumiaji ndani ya Workspace inaweza kutolewa baadhi ya idhini za default.
Unahitaji pia kuelewa kwanza ni vikundi vipi vinavyosawazishwa. Ingawa kuna uwezekano kwamba VIKUNDI VYOTE vinavyosawazishwa (kama Workspace inaruhusu hili).
Kumbuka kwamba hata kama vikundi na uanachama vinapoingizwa katika Workspace, watumiaji ambao hawajasawazishwa katika usawazishaji wa watumiaji hawataundwa wakati wa usawazishaji wa vikundi hata kama ni wanachama wa mojawapo ya vikundi vilivyowekwa.
Ikiwa unajua ni vikundi vipi kutoka Azure vinavyokuwa vimepewa idhini katika Workspace au GCP, unaweza tu kuongeza mtumiaji aliyeathiriwa (au aliyeundwa hivi karibuni) katika kikundi hicho na kupata hizo idhini.
Kuna chaguo lingine la kutumia vikundi vilivyo na mamlaka katika Workspace. Kwa mfano, kikundi gcp-organization-admins@<workspace.email>
kawaida kina mamlaka makubwa juu ya GCP.
Ikiwa usawazishaji kutoka, kwa mfano EntraID, hadi Workspace ume pangwa kubadilisha domaini ya kitu kilichooanishwa na barua pepe ya Workspace, itakuwa inawezekana kwa mshambuliaji kuunda kikundi gcp-organization-admins@<entraid.email>
katika EntraID, kuongeza mtumiaji katika kikundi hiki, na kusubiri hadi usawazishaji wa vikundi vyote ufanyike.
Mtumiaji ataongezwa katika kikundi gcp-organization-admins@<workspace.email>
akipandisha mamlaka katika GCP.
Kumbuka kwamba Workspace inahitaji akisi zenye ufikiaji wa kusoma tu juu ya AD au EntraID ili kusawazisha watumiaji na vikundi. Kwa hivyo, haiwezekani kutumia Google Workspace kufanya mabadiliko yoyote katika AD au EntraID. Hivyo hii haiwezekani kwa wakati huu.
Sijui pia Google inahifadhi wapi akisi za AD au tokeni za EntraID na huwezi kuziokoa kwa kuunda upya usawazishaji (hazionekani katika fomu ya wavuti, unahitaji kuzipatia tena). Hata hivyo, kutoka kwenye wavuti inaweza kuwa inawezekana kutumia kazi ya sasa ili orodhesha watumiaji na vikundi.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)