Il MIT Kerberos dovrebbe richiedere una password per l'autenticazione con SSH?

Naviga le tue risposte
0

In base alla mia comprensione di Kerberos, un client dovrebbe inserire la sua password una sola volta per ottenere il TGT dal server Kerberos e l'autenticazione contro i servizi Web (ad esempio SSH, Apache, SMB. ..) viene eseguito solo tramite il ticket di servizio ottenuto dal server Kerberos.

Nella mia attuale configurazione (controlla qui per i dettagli), il client viene richiesto per la sua password Kerberos (!) durante l'autenticazione a SSH. Ciò accade dopo il client ha già ottenuto un TGT dal server Kerberos.

Per me, questo comportamento sembra piuttosto strano dato che l'intera idea di Kerberos sembra essere che l'autenticazione di un servizio web viene effettuata tramite ticket anziché password. Ma il mio collega è convinto che questo comportamento è previsto e che il vantaggio di Kerberos è che la password non lascia mai il client. Viene utilizzato solo per convalidare il ticket di servizio sul computer del cliente.

Qualcuno può chiarire se è richiesto o meno un comportamento per una password quando si autentica su SSH tramite MIT Kerberos?

    
posta arne.z 16.06.2017 - 23:17
fonte

1 risposta

2

Probabilmente la risposta più semplice non è.

Osservando la tua attuale configurazione stai provando a usare GSSAPIAuthentication . Se il tuo ambiente Kerberos è impostato correttamente, è necessario non essere obbligato a inserire nuovamente una password dopo aver inizialmente richiesto il tuo TGT. con questo correttamente ricevuto è solo il TGT richiesto per richiedere il ticket di servizio.

Alcuni aspetti da osservare sono i seguenti:

  • Le cose sono più semplici se segui la convenzione di mantenere il nome del tuo regno in MAIUSCOLO.
  • Assicurati che tutti gli SPN nel tuo KDC corrispondano ai nomi di dominio completi degli host a cui stai autenticandoti.
  • Assicurati che tutti gli host siano effettivamente a conoscenza del loro FQDN. Questo può essere ottenuto modificando /etc/hostname , /etc/hosts può anche essere utile.
  • Sembra anche che tu stia ricevendo tentativi di forza bruta contro il tuo demone ssh come root utente, questo può essere aiutato installando qualcosa come fail2ban . In caso contrario, è possibile eseguire un'istanza di sshd in primo piano, su una porta non standard, con output di debug aggiuntivo utilizzando questo comando sudo /usr/sbin/sshd -p 9001 -D -dd . Questo ti darà i registri più puliti.
risposta data 19.06.2017 - 21:44
fonte

Leggi altre domande sui tag

Sono necessarie chiavi pubbliche / private quando si utilizza Diffie-Hellman con TLS TLS_ECDHE_RSA_WITH_RC4_128_SHA è sicuro?