[GTER] Re: Kerberos +ssh - meio offtopic.

Fernando.SCamargo at mercantil.com.br Fernando.SCamargo at mercantil.com.br
Tue Aug 31 12:37:05 -03 2004 

Consegui resolver o problema,
Compilei tudo na mão com suporte a kerberos5 (./configure --with 
kerberos5)e utilizando GSSAPIAuthetication(setei os parâmetros no 
ssh_config e sshd_config) , basta pegar seu tgt antes de abrir a sessão 
ssh e funciona de primeira, agora estou quebrando a cabeça aqui para fazer 
esse negócio funcionar de Windows-Linux, pois de Linux-Linux funcionou 
perfeitamente.
Já até peguei o pacote necesário do próprio pessoal do MIT para pegar meus 
tgts, funcionou bem para pega -los.
 No pacote do MIT para  windows vem até um gss-client.exe, gss-server.exe 
e gss.exe(Gráfico), vai ver precisar setar alguma nesses tb.
ps:Peguei o putty com suporte a Gssapikerberos5 e tb não funcionou...

Mas é isso ai,
Se alguém souber de algo para windows eu agradeço.
valeu.





Marlon Dutra <marlon at propus.com.br>
Enviado Por: gter-bounces at eng.registro.br
28/08/2004 12:04
Favor responder a Grupo de Trabalho de Engenharia e Operacao de Redes

 
        Para:   gter at eng.registro.br
        cc: 
        Assunto:        [GTER] Re: Kerberos +ssh - meio offtopic.


Olá,

On Thu, Aug 26, 2004 at 06:58:50PM -0300, I guess MARLON BORBA told:
> hummm.. apenas pensando em voz alta..  isso não depende da instalação
> e da configuração dos PAMs (pluggable authentication modules)?

Veja bem. Quando se fala em usar kerberos sobre SSH, ou na verdade sobre
qualquer serviço, isso traz uma grande ambiguidade, algo que aconteceu
nesta thread.

Cenário 1)

  O usuário abre uma sessão SSH com um servidor; esse servidor pede a
  senha; o usuário manda a senha; o servidor pega a senha enviada E
  *via Kerberos* verifica se a senha está ou não correta; o acesso é
  então autorizado (ou não).

Cenário 2)

  O usuário abre uma sessão SSH com um cliente SSH que suporte
  autenticação Kerberos; o servidor SSH vê que o cliente suporta
  kerberos e pede o seu ticket (obtido no KDC); o servidor SSH valida
  esse ticket; o acesso é então autorizado (ou não).

No cenário 1, não há nenhuma transação kerberos entre o cliente e o
servidor SSH. O servidor SSH apenas utiliza kerberos para validar a
senha do usuário. Nesse caso, o próprio servidor SSH vira um cliente
kerberos, adquirindo um ticket para esse usuário. Como o ticket é
criptografado com a senha do usuário, se o servidor SSH conseguir abrir
o ticket, presume-se que a senha esteja certa, e o acesso é permitido.

Dentro da concepção kerberos, é condenável se utilizar o cenário 1, uma
vez que uma das grandes vantagens do kerberos é possibilitar que nenhuma
senha trafegue pela rede.

Eu não sei se o OpenSSH oficial já suporta autenticação Kerberos entre
cliente e servidor. Eu ouvi falar a um tempo atrás de um patch para tal
função.

No Debian, temos o pacote ssh-krb5, que é um OpenSSH patcheado:

http://packages.debian.org/testing/net/ssh-krb5

No cenário 1, qualquer coisa que autentique contra o PAM pode validar
uma senha contra um kerberos.

Abraços.

-- 
MARLON DUTRA
Propus
GnuPG ID: 0x3E2060AC pgp.mit.edu
http://www.propus.com.br/
http://hackers.propus.com.br/~marlon/
--
GTER list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list