256bit.org Blog

Entries tagged as sso

Entries tagged as sso

Related tags

Sunday, 4. May 2008

Alternative zu Siteminder ?

Welcher Admin kennt das nicht ? Man hat einen Stall von Webapplikationen und würde gerne die dazu gehörigen User nicht
nur zentral verwalten (z.B. mit einem LDAP Server), sondern auch eine applikations- bzw. serverübergreifend authentifizieren.
Das hat nicht nur den Vorteil das sich ein User nur einmal für alle Applikationen einloggen muss, sondern vermeidet auch
das Passwörter über alle beteiligen Server fließen.

Single Sign On (SSO) - manche große Konzerne setzen dafür ziemlich propietäre Software wie z.B. Siteminder - ein Produkt, das wie ich gehört habe wohl seit Jahren total verbugged ist, vom Hersteller auch mit teuren Supportverträgen nur schlecht supported wird, mit Linux-Systemen (besonders 64 Bit) nur schlecht harmoniert und sehr übel zu administrieren ist.

Heute bin ich zufällig bei Freshmeat über "mod_auth_pubtkt" gestolpert - möglicherweise eine leichtgewichtige Alternative zu den "Enterprise Lösungen"

mod_auth_pubtkt is an Apache module that authenticates a user based on a cookie with a ticket that has been issued by a central login server and digitally signed using either RSA or DSA. This means that only the trusted login server has the private key required to generate tickets, while web servers only need the corresponding public key to verify them.

Whenever mod_auth_pubtkt encounters a request without a valid ticket/cookie, it redirects the user to a pre-configured login URL, passing the originally requested URL as a GET parameter. The login server can then prompt the user for credentials, verify them using any authentication backend it chooses, and upon success, generate a login ticket (signed with its private key), return it in a cookie to the client, and finally redirect the user back to the originally requested URL.

Tickets may contain a list of "tokens", and each resource (directory etc.) can be made to require a specific token, thus giving a simple but effective form of authorization (the login server can assign different tokens to different users, e.g. based on group membership).

If the cookie is scoped to the entire domain, all web servers with mod_auth_pubtkt in the domain and configured with the same public key will accept the ticket and not require any further authentication from the client until the ticket expires.

Note that a rogue server could steal a valid ticket provided by a client (or it could be sniffed by an adversary if using plain HTTP); however, the client IP address can be included in the ticket, making it harder for other people to use.


Kennt das jemand, kann man damit was anfangen ?
Welche Erfahrungen habt ihr damit ?

Wenn ich mal wieder etwas Zeit habe, werde ich mir das mal anschauen...
Posted by
mschoechlin
in Admin at 13:43 | Comments (0) | Trackbacks (0)
5289 hits
Defined tags for this entry: , , ,

Saturday, 10. November 2007

SSH keys mit single sign on

Jetzt habe ich bereits beschrieben, wie ssh keys generiert werden, wie man diese ssh keys mit putty benutzen kann und wie man sich die die Entschlüsselung der SSH Schlüssel vereinfachen kann.

Jetzt beschreibe ich, wie mit Single-Sign on bereits beim Einloggen die SSH Schlüssel entschlüsselt werden können.

Zunächst installiert man das Paket libpam-ssh. Dieses Pam-Paket (Die Möglichkeiten von PAM würden den Rahmen dieses Artikels sprengen) ermöglicht es, bereits bei der Anmeldung am System die SSH-Schlüssel zu entschlüsseln und den ssh-agent zu starten. Dafür stellt es die beiden Module pam-ssh-auth (Authentifizierung anhand des ssh-keys) und pam-ssh-session (Start des SSH Agents sowie Laden der Schlüssel) zur Verfügung.

Nach der Installation muß man dann das System so konfigurieren, dass bei bestimmten Aktionen die beiden Module geladen werden. Möchte man z.B. beim Einloggen auf einer Konsole, dass die vorhandenen Schlüssel geladen werden, dann sollte man diese beiden Module in die Datei /etc/pam.d/login (Für den Loginzugriff bei Debian System verantwortlich) hinzufügen. Beim Start des grafischen Loginmanagers ist dann die Datei /etc/pam.d/gdm bzw, kdm, wdm oder xdm für den jeweiligen Loginmanager zuständig. Weitere Module könnten angepasst werden (z.B. ssh für den Login per ssh) In diesen Scripten steht im Prinzip in welcher Reihenfolge bestimmte Pam Module geladen werden sollen

Nun wird in vielen Howtos und Anleitungen empfohlen das Modul pam-ssh-auth vor dem Modul common-auth zu laden. Der Effekt der dadurch erzielt wird, ist, dass man beim Login dann grundsätzlich sein SSH Schlüssel Passwort eingeben muß und nicht sein Standard Unix Passwort. Wer das möchte, der kann das gerne machen, ich finde das nicht so schön, v.a. weil es mich nervt, wenn ich mich als User einlogge, der gar keine SSH Schlüssel besitzt.

Es ist aber auch möglich, sich mit seinem Unix Passwort anzumelden und dennoch die SSH Schlüssel zu laden, vorausgesetzt, die beiden Passwörter stimmen überein. Prinzipiell sollte es auch möglich sein, wenn das Passwort anders ist, denn über den Parameter try_first_pass sollte pam-ssh in der Lage sein, bei einem nicht passenden Passwort extra nachzufragen. Das tut er aber hier nicht:

root@t41:/etc/pam.d# cat pam-ssh-auth
auth sufficient pam_ssh.so try_first_pass keyfiles=id_dsa,id_rsa,identity,id_dsa1,id_dsa2,id_dsa3
root@t41:/etc/pam.d# man libpam-ssh
[...]
try_first_pass This option is similar to the use_first_pass option,
except that if the previously obtained password fails,
the user is prompted for another password.
root@t41:/etc/pam.d#


Wo wir gerade bei den Parametern sind, die weiteren Parameter geben an, in welche SSH Schlüssel beim Start geladen werden sollen. D.h. falls noch mehr Schlüssel geladen werden sollen, müssen hier die Namen angepasst werden.

Ein Beispiel Modul (hier wdm):

root@t41:/etc/pam.d# cat wdm
#%PAM-1.0
auth required pam_nologin.so
auth required pam_env.so
@include common-auth
@include pam-ssh-auth
@include common-account
@include common-session
@include pam-ssh-session


Login sieht ähnlich aus, auch hier wird nach der Zeile @include common-auth die Zeile @include pam-ssh-auth hinzugefügt. Und die Zeile @include pam-ssh-session wird hinter die Zeile @include pam-session eingefügt.

Wenn man das Prinzip verstanden hat, wie pam konfiguriert wird, ist es relativ simpel. Man könnte z.B. auch die obigen Zeilen an das Ende der Dateien common-auth bzw. common-session hinzufügen. Der Vorteil hier ist, dass automatisch alle Services, die diese beiden Module benutzen automatisch die pam-ssh Module benutzen.

Ich muß noch hinzufügen, dass pam-ssh hier bei grafischer Anmeldung nicht funktioniert hat. Es wurden keinerlei Keys geladen. Woran das lag, konnte ich jetzt nicht feststellen. Außerdem sollte man vielleicht noch erwähnen, dass es unter Berücksichtigung der Sicherheit eventuell kein so guter Rat ist, dass alle Schlüssel das gleiche Passwort haben und das diese Schlüssel dann auch alle gleich beim Start geladen werden. Wenn der Zugang kompromittiert wurde, müssen dann nämlich auch die Zugänge zu allen anderen Systemen als kompromittiert gelten, wenn die Schlüssel ohne Passwort benutzbar ist. (Das gilt natürlich im gleichen Maße für keychain).

Vielleicht wäre es auch keine schlechte Idee, wenn ssh-add mit dem Parameter -t gestartet würde. So kann man angeben, dass diese Schlüssel nur eine bestimmte Zeitspanne gültig sind:

cb@t41:~$ ssh-add -t 5 ~/.ssh/id_dsa && ssh-add -l && sleep 5 && ssh-add -l
Enter passphrase for /home/cb/.ssh/id_dsa:
Identity added: /home/cb/.ssh/id_dsa (/home/cb/.ssh/id_dsa)
Lifetime set to 5 seconds
1024 d4:3d:21:a7:fe:16:39:a4:f5:12:d7:cd:8f:aa:6d:10 /home/cb/.ssh/id_dsa (DSA)
The agent has no identities.
cb@t41:~$


Posted by
chrisbra
in Tipps And Tricks at 15:45 | Comments (0) | Trackbacks (0)
16721 hits
Defined tags for this entry: , , , ,
(Page 1 of 1, totaling 2 entries)

Persönliches

chrisbra (Christian Brabandt) : Hier veröffentliche ich dies und das, hauptsächlich was ich für lesens- und wissenswert halte, sowie persönliche Notizen. Informationen über mich finden sich hier, hier und hier.
mschoechlin (Marc Schöchlin) : 35 Jahre alt, mein Erstkontakt mit TCP/IP und Unix lässt sich ungefähr auf das Jahr 1995 datieren. Ich bin bei einer Stuttgarter Agentur als Sysadmin und Entwickler tätig. Ich veröffentliche an dieser Stelle hauptsächlich Sachen die ich im Bereich Linux, Systemadministration und OpenSource interessant finde. Mehr Infos über mich gibts an dieser Stelle
Der Inhalt dieses Blogs ist © Copyright 2004-2010 von Christian Brabandt und Marc Schoechlin. Jegliche Reproduktion und Wiederverwertung nur mit schriftlicher Genehmigung der Autoren.

Kategorien



All categories

Blog abonnieren

Letzte Suche

furzkissen
oracle regexp_like beschreibung
cdspell
exc datei erstellen
katzenkanone

zufälliger Artikel

Preisverdächtige Techno-Balladen
Saturday, May 28 2005
Apfl
Wednesday, December 3 2008
sed revisited
Monday, March 8 2010
Lemminge im Web
Saturday, April 2 2005
Cashcow
Monday, April 28 2008
LaTeX und Tabellen
Friday, April 29 2005
Rätsel
Tuesday, April 18 2006
Die richtige Tastatur für Geeks
Monday, September 26 2005
Günstiges Netzkabel im Angebot
Friday, September 14 2007
Debian Sarge und die Security-Updates
Thursday, June 30 2005

Getaggte Artikel