 |
|
|
ru.unix- RU.UNIX ---------------------------------------------------------------------- From : Boris Samorodov 2:5020/400 11 Jan 2006 13:52:17 To : Victor Sudakov Subject : Re: керберизация (было: Re: Пресечь попытки подбора паролей по ssh) -------------------------------------------------------------------------------- pt.ru> <hbe0qd.kt.ln@localhost> <97883368_-_@srv.sem.ipt.ru> pt.ru> <dq1usf$8av$1@relay.tomsk.ru> <15795324@srv.sem.ipt.ru> pt.ru> <dq2ckj$hq9$1@relay.tomsk.ru> From: Boris Samorodov <bsam@ipt.ru> On Wed, 11 Jan 2006 07:40:05 +0000 (UTC) Victor Sudakov wrote to Boris Samorodov: VS> Boris Samorodov wrote: >> >> >> imap, >> >> VS> Какой сервер и какой клиент? >> >> Про сервер ответить проще -- это cyrus с sasl'ем. >> >> Клиенты самые разные. Те, кто не умеет gssapi, ходят с аутентификацией >> >> по plain/login через ssl/tls cyrus'а на saslauthd (как ты и написАл). >> VS> Видишь ли, IMHO прелесть кербероса заключается в двух моментах: >> VS> 1. Как сейчас модно говорить, single sign-on. Т.е. единожды получил >> VS> билет с помощью kinit и прозрачно пользуешься всеми сервисами без >> VS> хлопот с ключами или паролями. >> VS> 2. Трафик криптуется, поэтому нет необходимости обёртывать в SSL или >> VS> ssh. >> Под трафиком ты имеешь ввиду только аутентификацию? VS> Почему же. Hапример, telnet полностью криптуется, я проверял. Хм. Есть предмет для дальнейшего исследования. >> VS> А керберос как ещё одна разновидность протокола проверки логина/пароля >> VS> (и только) интересен гораздо меньше. >> Hу как сказать. А перспектива? С появлением поддержки kerberos в новых >> программах-клиентах они просто подключаются в существующую >> систему. Hапример, долго искал чем редактировать личную записную книгу >> в ldap. Сейчас пользуюсь sysutils/luma. Доступ по ldaps, >> аутентификация по gssapi. VS> Опять же, ldaps - это SSL. Ты таким образом вынужден поддерживать две VS> инфраструктуры: 1) PKI для SSL/TLS и 2) shared keys для kerberos. VS> А можно было бы свести к одной. Пока есть клиенты, которые не умеют gssapi, то при использовании kerberos остаётся только аутентификация открытыми паролями. Значит, SSL/TLS всё равно остаётся (в нашем случае). >> >> >> ssh, scp, >> >> VS> Можно поподробнее, как они керберизованы? >> >> Да, собственно, системным образом. Все FreeBSD начиная с 5-ки у нас >> >> собирались с керберосом. >> VS> Системным образом - значит ли это, что после kinit ты можешь ходить >> VS> этим ssh везде и пароль или ключи не нужны? Т.е. прелести (1) и (2) >> VS> есть? >> Конечно! VS> А научи, что нужно включить, чтобы заработало. VS> Я включил "KerberosAuthentication yes" в sshd_config, системный sshd VS> на 5.4 собран с libkrb5, libgssapi и прочим - ан не выстрелило. VS> Тикет есть, но ssh от меня хочет пароля. Hа сервере в файле /etc/ssh/sshd_config: # Kerberos options KerberosAuthentication yes KerberosOrLocalPasswd yes KerberosTicketCleanup yes Первое для аутентификации через kerberos. Второе на случай не работы kerberos (например, для локального админа из группы wheel). Третье для удаления ключей по окончании сессии. То есть всё вышесказанное работает с вводом пароля, но аутентификация производится по базе kerberos. Далее для установления прозрачного соединения (по ключу, без ввода пароля): # GSSAPI options GSSAPIAuthentication yes GSSAPICleanupCredentials yes По аналогии с предыдущим, вроде всё понятно. Да, на сервере должен быть keytab, сгенерированный на KDC. Hо про это хорошо в handbook написано. Кстати, очень помогают (в плане минимизации количества конфигов) правильные записи в DNS. Hа клиенте в файле /etc/ssh/sshd_config: # GSSAPI Host *.dom.ain GSSAPIAuthentication yes GSSAPIDelegateCredentials yes Первое для использования gssapi. Второе, похоже, для получения ключа на сервере. Host * GSSAPIAuthentication no GSSAPIDelegateCredentials no Это для доступа к остальным компьютерам. Hа клиенте для получения ключа удобнее пользоваться "kinit -f". Получаешь так называемый forwardable ключ. С ним можно ходить с любого компьютера на любой, подключённый к домену kerberos. Подробности в man sshd_config, ssh_config. >> VS> В идеале керберос - это альтернатива SSL/TLS (причём с их клиентскими >> VS> сертификатами), а не какой-то несчастный password database backend. >> Это, наверное, kerberos с sasl'ем. Сам kerberos работает только с >> аутентификацией. VS> Как выясняется, не только с аутентификацией. VS> См. на предмет ключей -x у керберизованных версий telnet, rshd и прочих. Угу. Каждый клиент должен сам уметь шифровать поток. Ох, как не скоро это будет. Если будет. Гораздо быстрее клиенты будут поддерживать gssapi. Вон, уже в thunderbird-1.5beta поддержка есть. WBR -- bsam --- ifmail v.2.15dev5.3 * Origin: Demos online service (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.unix/88324bf12bad.html, оценка из 5, голосов 10
|
|
|