[GTER] Re: Kerberos +ssh - meio offtopic.
Marlon Dutra
marlon at propus.com.br
Sat Aug 28 12:04:12 -03 2004
Olá,
On Thu, Aug 26, 2004 at 06:58:50PM -0300, I guess MARLON BORBA told:
> hummm.. apenas pensando em voz alta.. isso não depende da instalação
> e da configuração dos PAMs (pluggable authentication modules)?
Veja bem. Quando se fala em usar kerberos sobre SSH, ou na verdade sobre
qualquer serviço, isso traz uma grande ambiguidade, algo que aconteceu
nesta thread.
Cenário 1)
O usuário abre uma sessão SSH com um servidor; esse servidor pede a
senha; o usuário manda a senha; o servidor pega a senha enviada E
*via Kerberos* verifica se a senha está ou não correta; o acesso é
então autorizado (ou não).
Cenário 2)
O usuário abre uma sessão SSH com um cliente SSH que suporte
autenticação Kerberos; o servidor SSH vê que o cliente suporta
kerberos e pede o seu ticket (obtido no KDC); o servidor SSH valida
esse ticket; o acesso é então autorizado (ou não).
No cenário 1, não há nenhuma transação kerberos entre o cliente e o
servidor SSH. O servidor SSH apenas utiliza kerberos para validar a
senha do usuário. Nesse caso, o próprio servidor SSH vira um cliente
kerberos, adquirindo um ticket para esse usuário. Como o ticket é
criptografado com a senha do usuário, se o servidor SSH conseguir abrir
o ticket, presume-se que a senha esteja certa, e o acesso é permitido.
Dentro da concepção kerberos, é condenável se utilizar o cenário 1, uma
vez que uma das grandes vantagens do kerberos é possibilitar que nenhuma
senha trafegue pela rede.
Eu não sei se o OpenSSH oficial já suporta autenticação Kerberos entre
cliente e servidor. Eu ouvi falar a um tempo atrás de um patch para tal
função.
No Debian, temos o pacote ssh-krb5, que é um OpenSSH patcheado:
http://packages.debian.org/testing/net/ssh-krb5
No cenário 1, qualquer coisa que autentique contra o PAM pode validar
uma senha contra um kerberos.
Abraços.
--
MARLON DUTRA
Propus
GnuPG ID: 0x3E2060AC pgp.mit.edu
http://www.propus.com.br/
http://hackers.propus.com.br/~marlon/
More information about the gter
mailing list