简单地说:我想确保我的身份验证路径在整个路径上都是加密的。
(例如从笔记本电脑加密->SSH 主机;从 SSH 主机加密->身份验证服务器;以及从 SSH 主机加密->其他主机)
我在跑步
- Centos 7 上的 FreeIPA 作为中央身份验证服务器。
- 运行 freeipa-client Ubuntu 软件包 3.3.4-0ubuntu3.1 的 Ubuntu 14.04 客户端
一旦连接到登录服务器,它就配置为使用 Kerberos 票证对我们环境内的服务器进行身份验证。即从登录服务器通过 SSH 连接到环境中的其他服务器。
登录服务器是我最不确定的组件。它的配置如下:
[domain/mydom.example.com]
cache_credentials = True
krb5_store_password_if_offline = True
krb5_realm = MYDOM.EXAMPLE.COM
ipa_domain = mydom.example.com
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = loginhost.mydom.example.com
chpass_provider = ipa
ipa_server = _srv_, ipaserver.mydom.example.com
ldap_tls_cacert = /etc/ipa/ca.crt
[sssd]
services = nss, pam, ssh, sudo
config_file_version = 2
domains = mydom.example.com
[nss]
[pam]
[sudo]
[autofs]
[ssh]
[pac]
答案1
最简单的方法是开始捕获数据包ipaserver.mydom.example.com,并监听来自的流量loginhost.mydom.example.com。
例如,使用 tshark(wireshark 的控制台版本),您可以同时进行拦截和分析:
tshark -w /tmp/t.pcapng -W n -P -V -x host loginhost.mydom.example.com | tee /tmp/t.log
获得 t.log 后,您可以查看它。除了 SSSD 发现 LDAP 服务器功能的几个初始 LDAP 交换外,其余 LDAP 通信不应由 tshark 解析,因为 LDAP 与 SASL GSSAPI 绑定后会对其进行加密。一旦 SSSD 开始使用 SASL GSSAPI,LDAP 通信中的所有流量都将被加密和密封。
这是针对 LDAP 流量的。SSH 流量分析可以采用类似的方式进行。
答案2
扩展一下 abbra 的回答 - SSSD 根本不允许通过未加密的流进行身份验证。因此,虽然您的身份数据(名称、UID、shell、homedir 等)在技术上可以解密,但您可以确保 sssd 永远不会以明文形式通过网络发送您的凭据。