Posso passare un hash crittografico della password di un utente a Kerberos durante la creazione dei principal?

3

Sto eseguendo il MIT Kerberos V e vorrei automatizzare la creazione dei principal. La pagina qui spiega come farlo fornendo i nomi principali e le password sulla riga di comando in questo modo:

awk '{ print "ank +needchange -pw", $2, $1 }' < /tmp/princnames | 
    time /usr/sbin/kadmin.local> /dev/null

Dove ank è un sinonimo di add_principal (per kadmin(5) ) e si presume che /tmp/princnames sia del formato:

principal1 password1
principal2 password2
...

L'ovvio inconveniente di ciò è che la password di ciascun principal deve essere fornita in chiaro. C'è un modo in cui posso passare un hash crittografico invece?

Questo è per due motivi:

  1. Sicurezza, ovviamente.
  2. Sto migrando da un vecchio sistema e vorrei che i miei utenti potessero autenticarsi con le loro vecchie password, quindi vorrei passare le loro password con hash dal file shadow a Kerberos.
posta Joseph R. 07.07.2014 - 23:00
fonte

2 risposte

2

Non è possibile utilizzare un hash della password dell'utente; hai bisogno della password stessa. Kerberos è un sistema shared-secret: i server di autenticazione Kerberos (centri di distribuzione delle chiavi o KDC) condividono un segreto con ogni entità nel sistema: per un utente, questo è un insieme di chiavi derivate dalla password.

    
risposta data 08.11.2014 - 07:31
fonte
1

Ho trovato una soluzione parziale a questo. Funziona solo con le implementazioni Heimdal del protocollo Kerberos, che purtroppo non mi aiuta. Qui è nel caso in cui possa aiutare qualcun altro.

L'articolo Oracle chiamato Configurazione dei client Kerberos (il link is to a section intitolata "Come configurare la migrazione automatica degli utenti in un Kerberos Realm") spiega come utilizzare un modulo PAM chiamato pam_krb5_migrate per creare automaticamente i principal di Kerberos V quando un utente shadow esistente accede con il loro vecchio Password Unix.

Su Debian, questo modulo può essere trovato nel pacchetto libpam-krb5-migrate-heimdal .

    
risposta data 14.07.2014 - 17:57
fonte

Leggi altre domande sui tag