Configurazione di Linux con Kerberos e LDAP

linuxPer configurare il client Linux al fine di autenticare e assegnare i profili all’utente si è agito sul Pluggable Authentication Module (PAM) e sul Name Service Switch (NSS). Come accennato precedentemente, il laboratorio è stato effettuato con un client Linux, ma è possibile effettuare la stessa configurazione anche su tutti quei sistemi Unix che dispongono di entrambi i sottosistemi.

Il sottosistema PAM si occupa di autenticare/autorizzare l’utente, ad esempio con la password, limitandolo, ad esempio, a determinati orari o terminali, mentre NSS permette di reperire le informazioni necessarie all’utente ed al sistema, come ad esempio gli attributi utenti e gli host. Sia Linux che altri ambienti Unix necessitano però delle estensioni necessarie al fine di usare PAM e NSS con Kerberos e LDAP: nel nostro caso useremo il modulo Kerberos per PAM e il modulo LDAP per NSS. Si poteva scegliere di Continua a leggere

Configurazione di Cisco con Kerberos

ciscoAnche Cisco supporta nel suo IOS la possibilità di autenticarsi con Kerberos 5. Questa modalità serve da un lato ad acquisire un TGT quando l’utente fa log-on al sistema IOS (ad esempio attraverso una linea seriale), ma soprattutto per permettere una sessione telnet utente senza digitare username e password. Di seguito un esempio di configurazione Kerberos con IOS: Continua a leggere

Configurazione di SSH con Kerberos

monitorSetup del server SSH

Ormai molti sistemi Unix hanno SSH, molti però non dispongono delle funzionalità Kerberos perchè non compilati con questa opzione. SSH con Solaris 9, ad esempio, dispone di un server OpenSSH già incluso nella distribuzione compilato con le estensioni GSSAPI, mentre in Debian Woody esistono due pacchetti ssh, di cui ssh-krb5 ha il supporto GSSAPI incluso. È necessario pertanto verificare che la versione del server e del client SSH incluso con la propria distribuzione Linux o Unix disponga del supporto GSSAPI. Qualora questo non fosse disponibile, è possibile scaricare i sorgenti del programma OpenSSH dal sito http://www.openssh.org e compilarli come segue: Continua a leggere

Kerberos

linuxKerberos è un protocollo di autenticazione sviluppato presso il MIT, il cui nome evoca il famoso cane a tre teste della mitologica greca, e fornisce un meccanismo per una autenticazione reciproca (mutual authentication) tra client e server o tra due server. Il protocollo assume che le transazioni iniziali tra client e server avvengano in una rete insicura, probabilmente sotto monitor di qualche utente smaliziato, e che anche i computer non siano posti in un luogo sicuro, probabilmente saranno collegati a Internet. In un ambiente poco sicuro, sia esso Internet o una intranet, non è escluso poter trovare un attaccante in grado di intercettare le comunicazioni tra client e server e di catturare dati o, peggio, di modificarli. Il sistema di autenticazione Kerberos, così come la figura mitologica, è composto da tre elementi: il Key Distribution Center (KDC), l’utente e il server con il servizio a cui l’utente vuole accedere. Nei prossimi paragrafi si riassumeranno le caratteristiche salienti di Kerberos, ma per maggiori informazioni si suggerisce una lettura approfondita della bibliografia, in particolare del whitepaper “Kerberos: An Authentication Service for Open Network Systems”, presentato a USENIX nel 1988, e del WhitePaper “Windows 2000 Kerberos Authentication”. Continua a leggere

1 11 12 13 14 15 22