Quanto è sicuro il single-signon GSSAPI su SSH?

3

So che è possibile integrare gli accessi di Linux / SSH con un Windows AD utilizzando l'autenticazione GSSAPI (Kerberos) invece delle classiche chiavi e / o password ssh.

Tuttavia, non sono riuscito a trovare molte informazioni sulla sicurezza di questa soluzione.

Forse qualcuno potrebbe aiutare spiegando il modello di sicurezza e le eventuali debolezze intrinseche?

Modifica: permettetemi di chiarire che sto cercando specificamente di implementare GSSAPIAuthentication in openssh.

    
posta Niels2000 25.01.2016 - 16:04
fonte

1 risposta

2

Questa è una domanda molto ampia e non esatta. Esistono due modi per utilizzare GSSAPI per gli accessi SSH:

  • Scambio chiave GSSAPI - non implementato in openssh, ma distribuito come patch (parte di RHEL, Fedora , ma probabilmente anche Debians)
  • GSSAPIAuthentication - parte di openssh

Scambio chiave GSSAPI

Il vantaggio è sicuramente la gestibilità: con lo scambio di chiavi GSSAPI non ti devi nemmeno preoccupare delle chiavi dell'host. Basta registrare l'host nel dominio.

Per lo scambio di chiavi, vengono utilizzati sostanzialmente questi metodi. Il primo è considerato possibilmente vulnerabile, perché usano numeri primi di 1024 b. Si basano sui rispettivi metodi di scambio di chiavi DH.

  • GSS-Gruppo 1-sha1 - *
  • GSS-group14-sha1 - *
  • GSS-Gex-sha1 - *

AUthentication GSSAPI

Informazioni sull'autenticazione GSSAPI, si utilizzano i normali metodi exchahnge della chiave SSH (preferibilmente ECDH), che deve essere gestito in qualche modo (certificati?) per mitigare MitM. Quindi autenticare l'host remoto usando Kerberos. Questa comunicazione è già crittografata, quindi non vi sono domande di sicurezza diverse dall'autenticazione di qualsiasi altro servizio.

    
risposta data 25.01.2016 - 16:43
fonte

Leggi altre domande sui tag