Autentizační systémy -- Kerberos, PAM

Obsah

• Kerberos
  • Kerberos
  • Vlastnosti
  • Architektúra
  • Inštalácia servera Kerberos v debiane
  • Inštalácia programov využívajúcich Kerberos na autentizáciu v Debiane
  • Inštalácia a využívanie klientskych aplikácií(konkrétne rsh), ktoré využívajú autentizáciu cez Kerberos v Debiane
  • Replikácia
  • Heimidal vs. MIT Kerberos
• PAM
  • Konfigurácia
• Literatura

Kerberos

Kerberos je sieťový autentizačný protokol. Umožňuje využívať jednotné prihlasovacie meno a heslo v rôznych systémoch, od operačných systémov až po webové aplikácie.

Kerberos vznikol na MIT, prvé tri verzie boli experimentálne, 4. verzia bola uvoľnená v roku 1987. Momentálne sa používa aktualizovaná verzia 5, ktorá je definovaná aj v RFC4120.

Vlastnosti

• V sieti je centrálny autentizačný server, cez ktorý sa autentizujú užívatelia k všetkým ostatným serverom a službám
• Protokol počíta s nepriateľom vo vlastnej sieti
• Single Sign On - užívateľ sa prihlási len raz na začiatku svojej práce
• Protokol je postavený na symetrickej kryptografii, vyžaduje dôveryhodnú tretiu stranu(sú dostupné rozšírenia pre používanie verejných kľúčov)
• Vzhľadom k tomu, že pri autentifikácii sa používajú časové známky, odporúča sa synchronizácia času na klientských počítačoch aj serveroch cez NTP

Architektúra

• 1. Klient - užívateľ, ktorý chce používať službu
• 2. Server - poskytovateľ služby
• 3. Autentizačný server (KDC) - pozná heslá všetkých užívateľov, delí sa na
  • a) Authentication Server(AS) - overuje identitu
  • b) Ticket Granting Server(TGS) - vydáva tikety(na základe TGT - ticket granting ticket od AS)

Inštalácia servera Kerberos v debiane

• 1. Kerberos sa nachádza v repozitároch, na nainštalovanie stačí apt-get install krb5-{admin-server,kdc}
• 2. Na začiatku treba vytvoriť realm(doménu) kerberosu pomocou príkazu krb5_newrealm
• 3. Predchádzajúci príkaz vytvorí súbor /etc/krb5.conf, ktorý musí byť na všetkých klientoch aj serveroch
• 4. Prihlásime sa do kerbera cez kadmin.local (lokálna verzia administračného programu kadmin) a vytvoríme užívateľa root/admin(potom sa môžeme prihlasovať aj vzdialene cez kadmin)
• 5. Cez kadmin vytvoríme ďalších neprivilegovaných užívateľov pomocou príkazu addprinc -policy user novy_uzivatel

Inštalácia programov využívajúcich Kerberos na autentizáciu v Debiane

Programy môžu podporovať Kerberos natívne alebo cez PAM. Príklad štandardných služieb využívajúcich Kerberos: krb-ftpd, krb5-telnetd and krb5-rsh-server (všetky sa nachádzajú v repozitároch debianu).

Po nainštalovaní týchto služieb treba pridať do Kerberos servera nového užívateľa - aj služba vyžadujúca autentizáciu cez Kerberos musí byť užívateľ Kerbera. Toto pridanie sa vykonáva v kadmin konzole Kerbera cez tieto príkazy:

addprinc -policy service -randkey host/test.cz
pridá užívateľa host s náhodným heslom

ktadd -k /etc/krb5.keytab -norandkey host/test.cz
vytvorí súbor krb5.keytab, ktorý musí byť nakopírovaný na počítač, na ktorom beží služba využívajúca Kerbera

Inštalácia a využívanie klientskych aplikácií(konkrétne rsh), ktoré využívajú autentizáciu cez Kerberos v Debiane

• 1. Balíček krb5-clients sa nachádza v repozitároch
• 2. Pre prihlásenie cez Kerberos treba získať tiket(TGT) z AS, ktorý umožní neskoršie prihlásenie ku všetkých službám využívajúcim Kerberos bez zadávania hesla. Na to slúži príkaz kinit, po jeho zadaní napíšeme heslo.
• 3. Následne sa môžeme prihlásiť pomocou rsh, ktoré využije Kerberovský tiket:

  krb5-rsh -x -PN krb1.test.cz

Replikácia

V rozsiahlych systémoch s mnohými užívateľmi sa odporúča replikácia autentifikačného servera Kerberos. K tomu sa využíva master-slave replikácia cez príkaz kprop, ktorý je spúšťaný pomocou cronu (napr. každých 15 minút), aby zosynchronizoval master so slavom.

Heimidal vs. MIT Kerberos

Vzhľadom k zákazu používania Kerbera mimo USA(platil do roku 2000) bola vytvorená v Royal Institute of Technology v Švédsku voľná implementácia Kerbera - Heimidal. Heimidal je uvoľnený pod licenciou BSD, je plne kompatibilný s Kerberom verzie 4 a 5, až na utilitu kadmin(nie je súčasťou štandardu).

PAM

PAM flexibilný mechanizmus umožňujúci programátorom odtieniť ich programy od autentifikačných procesov. V praxi program nemusí riešiť, či bude podporovať autentifikáciu pomocou hesla, kerberu alebo odtlačkov prstov.

PAM bol vyvinutý firmou SUN Microsystem, neskôr sa stal štandardným modulom unixových systémov. V súčasnosti je možné nájsť ho na AIX, HP-UX, Solaris, Linux, FreeBSD, Max OS X NetBSD, DragonFly BSD. Nenachádza sa v OpenBSD.

Programy, ktoré podporujú PAM sú zlinkované s knižnicou libpam.

Konfigurácia

Konfigurácia PAMu sa nachádza v /etc/pam.conf, prípadne môže byť rozdelená podľa programov v adresári /etc/pam.d.

Konfiguračný súbor obsahuje nastavenia v tvare:
skupina, riadiaca hodnota, modul a argument modulu

Napr:

          auth      prequired   pam_unix.so
          password  required    pam_unix.so
          session   required    pam_unix_session.so
    

Literatura

• Archív referátů
• Inštalácia Kerberosu v Debiane
• Replikácia Kerberosu
• Wikipedia: kerberos
• Wikipedia: PAM
• PAM - konfigurácia