简单地说:我想确保我的身份验证路径沿整个路径加密。
(例如,从笔记本电脑->SSH 主机加密;从 SSH 主机->身份验证服务器;以及从 SSH 主机->其他主机)
我在跑步
- Centos 7 上的 FreeIPA 作为中央身份验证服务器。
- 运行 freeipa-client Ubuntu 软件包 3.3.4-0ubuntu3.1 的 Ubuntu 14.04 客户端
这被配置为使用 Kerberos 票证对我们环境中的服务器进行身份验证,一旦连接到登录服务器。即从登录服务器到环境中其他服务器的SSH。
登录服务器是我最不确定的组件。它的配置如下:
[domain/mydom.example.com]
cache_credentials = True
krb5_store_password_if_offline = True
krb5_realm = MYDOM.EXAMPLE.COM
ipa_domain = mydom.example.com
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = loginhost.mydom.example.com
chpass_provider = ipa
ipa_server = _srv_, ipaserver.mydom.example.com
ldap_tls_cacert = /etc/ipa/ca.crt
[sssd]
services = nss, pam, ssh, sudo
config_file_version = 2
domains = mydom.example.com
[nss]
[pam]
[sudo]
[autofs]
[ssh]
[pac]
一个最简单的方法是开始捕获数据包
ipaserver.mydom.example.com,监听来自的流量loginhost.mydom.example.com。例如,使用 tshark(wireshark 的控制台版本),您可以同时进行拦截和分析:
一旦你有了 t.log,你就可以查看它。除了 SSSD 发现 LDAP 服务器功能的几个初始 LDAP 交换之外,其余的 LDAP 通信不应由 tshark 解析,因为它会在 LDAP 与 SASL GSSAPI 绑定后被加密。一旦 SSSD 开始使用 SASL GSSAPI,LDAP 通信中的所有流量都将被加密和密封。
这是针对 LDAP 流量的。SSH 流量分析可以用类似的方式完成。
为了扩展 abbra 的答案 - SSSD 根本不允许通过未加密的流进行身份验证。因此,虽然您的身份数据(姓名、UID、shell、homedir 等)在技术上可能是未加密的,但您可以确定 sssd 永远不会通过网络以明文形式发送您的凭据。