So che è possibile integrare gli accessi di Linux / SSH con un Windows AD utilizzando l'autenticazione GSSAPI (Kerberos) invece delle classiche chiavi e / o password ssh.
Tuttavia, non sono riuscito a trovare molte informazioni sulla sicurezza di questa soluzione.
Forse qualcuno potrebbe aiutare spiegando il modello di sicurezza e le eventuali debolezze intrinseche?
Modifica: permettetemi di chiarire che sto cercando specificamente di implementare GSSAPIAuthentication in openssh.
Questa è una domanda molto ampia e non esatta. Esistono due modi per utilizzare GSSAPI per gli accessi SSH:
GSSAPIAuthentication - parte di openssh Il vantaggio è sicuramente la gestibilità: con lo scambio di chiavi GSSAPI non ti devi nemmeno preoccupare delle chiavi dell'host. Basta registrare l'host nel dominio.
Per lo scambio di chiavi, vengono utilizzati sostanzialmente questi metodi. Il primo è considerato possibilmente vulnerabile, perché usano numeri primi di 1024 b. Si basano sui rispettivi metodi di scambio di chiavi DH.
Informazioni sull'autenticazione GSSAPI, si utilizzano i normali metodi exchahnge della chiave SSH (preferibilmente ECDH), che deve essere gestito in qualche modo (certificati?) per mitigare MitM. Quindi autenticare l'host remoto usando Kerberos. Questa comunicazione è già crittografata, quindi non vi sono domande di sicurezza diverse dall'autenticazione di qualsiasi altro servizio.