Kerberos

Milan Kovacik, xkovaci1@fi.muni.cz

Obsah

• Kerberos
• Myslienka
• Princip
• Instalacia
• Konfiguracia
  • konfigurak
  • databaza
  • Spustenie
  • Skuska
• Zdroje

Kerberos je...

• Sietovy protokol autentizacie
• Strasny Pes :)

Myslinenka

Prostrednictvom doveryhodnej tretej strany poskytnut moznost spolahlivej autentizacie v nespolahlivom prostredi:

• vzajomne potvrdenie indentity servra a klienta
• kodovany komunikacny kanal klient - server:
  • Bezpecnost dat
  • Integrita dat

Princip

V hlavnych ulohach:
• A: user - strana ziadajuca o pristup k sluzbe
• B: server - strana poskytujuca sluzbu
• obom ucastnikom (A, B) sa vravi riaditelia
• K: kerberos

Scenar:
• A ziada o listok k sluzbe K-cko:
  • A posle ziadost o sluzbu obsahujucu meno A a meno B do K
  • K overi, ci su mena A a B platne
  • Ak mena platne su, K vytvori listok (ticket): T_AB pre A. Listok obsahuje:
    • Mena A, B
    • Sietovu adresu A-cka: A_addr
    • Cas, kedy bol listok vydany: t_issue
    • Cas pouzitelnosti listku: life
    • A na koniec Heslo sesny: K_AB
  • K zakoduje listok verejnym klucom B-cka - A teda nemoze rozumne padelat listok
  • K teraz posle odpoved na ziadost o sluzbu A-cka. Ta okrem listku T_AB obsahuje (pretoze listok je pre A necitatelny) aj:
    • Meno B-cka
    • Cas vydania listka: t_issue
    • Dobu platnosti listka: life
    • Kod sesny A-cka a B-cka: K_AB
  • Odpoved je zakodovana verejnym klucom A-cka
• A sa autentizuje u B-cka
  • A vytvori z odpovede tzv. Autentikator:
    • Meno A-cka
    • Internetova adresa A-cka: A_addr
    • Aktualny cas: t_current
    • A kontrolny sucet predoslych troch poli: checksum
  • A posle Autentikator zakodovany klucom K_AB spolu s listkom B-cku
  • B dekoduje Autentikator pomocou kluca sesny K_AB z listku (to moze, pretoze listok je zakodovany verejnym klucom B). B dalej porovna obsah Autentikatora s obsahom listku, aby si mohol byt isty identitou A-cka.

Instalacia

• Gentoo a heimdal:
• Skontrolujte zavislosti:

  # emerge --pretend --verbose heimdal

  Heimdal vyzaduje:
  • autoconf a automake
  • lex alebo flex
  • awk
  • yacc alebo bison
  • libc
  • Berkley DB alebo NBDM "to build the server side"
• Upravte USE premennu podla svojich predstav a emergnite:

  # USE="cokolvek" emerge heimdal

• Pozor! Je mozne, ze dopadnete ako ja:
  

   * DANGER WILL ROBINSON!
   * There has been a change in the libgssapi shared library version
   * This means that _EVERYTHING_ that linked against libgssapi.so.1
   * will now be broken.  Examples include, but may not be limited to:
   * samba, mozilla, mozilla-firefox, subversion and neon, cvs,
   * evolution-data-server, and gnome-vfs.  As a consequence:
   * PLEASE PLEASE PLEASE PLEASE PLEASE run revdep-rebuild right now

  dajte si teda pozor na verzie kniznic :)
• dalsia moznost je emergnut balicek mit-krb5; navzajom sa vsak blokuju
• Ostatne systemy (MIT sources; neskusal som):
• Overte, ci mate dostupne GNU nastroje - vraj s inymi nastrojmi by kompilacia mohla byt problemova
• Stiahnite zdrojaky , precitajte README
• instalujte trojicou:

  # ./configure && make && make install

• Heimdal ma dostupne aj binarne balicky pre debian
• MIT Kerberos zas binarky pre MS Windows a Mac OS X ;)

Konfiguracia

Budem sa zaoberat konfiguraciou Heimdalu pod Gentoo

• Vytvorenie realmu

  • Realm je: administrativna?? domena. Zvykne sa pouzivat domenove meno v "uppercase". Toto pomenovanie vraj ma svoju pricinu v jednoduchsej sprave realmu. Vid Setting-up a realm.

  • Konfiguracny subor

    Pre podrobny popis suboru krb5.conf:

    $ man krb5.conf

    • Kazda distribucia heimdalu by mala obsahovat defaultny konfigurak: /etc/krb5.conf. Je rozdeleny na sekcie a subsekcie. Syntax je intuitivna:

      [section1]
                  a-subsection = {
                           var = value1
                           other-var = value with {}
                           sub-sub-section = {
                                   var = 123
                           }
                   }
                   var = some other value
      [section2]
                   var = yet another value

    • Uryvok defaultneho konfiguraku:

      [libdefaults]
              ticket_lifetime = 600
              default_realm = EXAMPLE.COM
              default_etypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5
              default_etypes_des = des3-hmac-sha1 des-cbc-crc des-cbc-md5
      
      [realms]
              EXAMPLE.COM = {
              kdc = kerberos.example.com:88
              admin_server = kerberos.example.com:749
              }
      
      [logging]
               kdc = CONSOLE
               kdc = SYSLOG:INFO:DAEMON

    • Popis niektorych sekcii:

      • [libdefaults]: (Globalne??) nastavenia kniznice - default_realm, zivotnost listku: ticket_lifetime, ...
      • [realms]: specificke informacie o jednotlivych realmoch; napr.: stroj kerbera - kdc (co by mal kdc splnat)
      • [domain_realm]: zoznam mapujuci domenove mena na realmy.
      • Podrobny zoznam sekcii

    • Zakladne nastavenie:

      [libdefaults]
              ticket_lifetime = 600
              default_realm = OSTOPOVICE.ORIOTRADE.CZ
              default_etypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5
              default_etypes_des = des3-hmac-sha1 des-cbc-crc des-cbc-md5
      
      [realms]
              OSTOPOVICE.ORIOTRADE.CZ = {
      	        kdc = nise.ostopovice.oriotrade.cz macIntosh.ostopovice.oriotrade.cz
      	}
      
      [domain_realm]
              .ostopovice.oriotrade.cz = OSTOPOVICE.ORIOTRADE.CZ

  • Vytvorenie databazy

    Kerberos si udrzuje kluce riaditelov v databaze. Defaultne by mala byt v adresari /var/heimdal:

    milan@nise ~ $ ls -la /var/heimdal/
    total 1
    drwxr-xr-x   2 root root  72 Mar 14 11:49 .
    drwxr-xr-x  20 root root 512 Mar 15 15:34 ..
    -rw-r--r--   1 root root   0 Mar 14 11:49 .keep

    Je vhodne mat databazu zasifrovanu. Pre vytvorenie sifrovacieho kluca:

    nise milan # kstash --random-key
    kstash: writing key to `/var/heimdal/m-key'

    Nezabudnite si ale kluc zkopirovat!

    Postup:

    Pre operacie nad databazou sluzi prikaz kadmin
    • Vytvorenie databazy:

      nise milan # kadmin -l   
      kadmin> init ostopovice.oriotrade.cz
      Realm max ticket life [unlimited]:
      Realm max renewable ticket life [unlimited]:

    • Pridanie riaditela milan:

      kadmin> add milan
      Max ticket life [1 day]:
      Max renewable life [1 week]:
      Principal expiration time [never]:
      Password expiration time [never]:
      Attributes []:
      milan@OSTOPOVICE.ORIOTRADE.CZ's Password: 
      Verifying - milan@OSTOPOVICE.ORIOTRADE.CZ's Password:
      kadmin$gt exit

    • Pridanie riaditela ftp

      nise milan # kadmin -l
      kadmin> add --random-key nise.ostopovice.oriotrade.cz
      Max ticket life [1 day]:
      Max renewable life [1 week]:
      Principal expiration time [never]:
      Password expiration time [never]:
      Attributes []:

    • Exportovanie hesla riaditela ftp do suboru /etc/krb5.keytab:

      kadmin> ext nise.ostopovice.oriotrade.cz

• Spustenie kerbera

  • Pridanie kerbera do default runlevelu:

    nise milan # rc-update add heimdal-kdc default
     * heimdal-kdc added to runlevel default
     * Caching service dependencies...
     * rc-update complete.

  • Spustenie kerbera:

    nise milan # /etc/init.d/heimdal-kdc start
     * Starting heimdal kdc...                              [ ok ]

  Top

  ---

  Skuska

  • prihlasenie sa do realmu:

    milan@nise ~ $ kinit
    milan@OSTOPOVICE.ORIOTRADE.CZ's Password: 

  • Vypis obsahu listka:

    milan@nise ~ $ klist 
    Credentials cache: FILE:/tmp/krb5cc_1000
            Principal: milan@OSTOPOVICE.ORIOTRADE.CZ
    
      Issued           Expires          Principal
    Mar 16 04:35:28  Mar 16 04:45:28  krbtgt/OSTOPOVICE.ORIOTRADE.CZ@OSTOPOVICE.ORIOTRADE.CZ

  Top

  ---

  Zdroje

  • Heimdal (domovska)
  • MIT Kerberos (domovska)
  • How to Kerberize your site (kerberos for dummies)
  • Siahodlhy FAQ
  Top