Questa è una domanda molto ampia e non esatta. Esistono due modi per utilizzare GSSAPI per gli accessi SSH:
-
Scambio chiave GSSAPI - non implementato in openssh, ma distribuito come patch (parte di RHEL, Fedora , ma probabilmente anche Debians)
-
GSSAPIAuthentication
- parte di openssh
Scambio chiave GSSAPI
Il vantaggio è sicuramente la gestibilità: con lo scambio di chiavi GSSAPI non ti devi nemmeno preoccupare delle chiavi dell'host. Basta registrare l'host nel dominio.
Per lo scambio di chiavi, vengono utilizzati sostanzialmente questi metodi. Il primo è considerato possibilmente vulnerabile, perché usano numeri primi di 1024 b. Si basano sui rispettivi metodi di scambio di chiavi DH.
- GSS-Gruppo 1-sha1 - *
- GSS-group14-sha1 - *
- GSS-Gex-sha1 - *
AUthentication GSSAPI
Informazioni sull'autenticazione GSSAPI, si utilizzano i normali metodi exchahnge della chiave SSH (preferibilmente ECDH), che deve essere gestito in qualche modo (certificati?) per mitigare MitM. Quindi autenticare l'host remoto usando Kerberos. Questa comunicazione è già crittografata, quindi non vi sono domande di sicurezza diverse dall'autenticazione di qualsiasi altro servizio.