Autentizační systémy

Obsah

• Kerberos
• Princip fungování protokolu
• Průběh autentizace
• Dostupné implementace
• Instalace a konfigurace
• Poznámky
• PAM
• Principy
• Konfigurace
• Literatura

Kerberos

Kerberos je síťový autentizační protokol pracující na principu jednotného přihlašování mezi několika různými systémy. Jméno pochází z řecké mytologie, kde označuje bájného trojhlavého psa, jehož úkol bylo střežit vchod do podsvětí.

Protokol byl vyvinut v rámci projektu Athena na MIT a první veřejně dostupná verze 4 pochází z roku 1987. V roce 1993 byla definována v RFC1510 5. verze protokolu. Dnes se používá aktualizovaná protokolu v5, která je popsána v RFC4120 z roku 2005.

Princip fungování protokolu

Kerberos řeší problém centrální autentizace v síťovém prostředí, kde uživatelé ze svých strojů přistupují k mnoha dalším službám dostupných přes síť. Cílem bylo vytvořit systém zajišťující:

• Bezpečnost - počítá se s nepřítelem ve vlastní sítí, odposlech kterékoli části komunikace nesmí umožnit její zneužití.
• Single Sing-On - uživatel zadává heslo jen jednou na začátku práce, další ověřování při přístupu k síťových službám probíhá automaticky.
• Centralizovanou správu - v síti existuje vyhrazený server, který zprostředkovává autentizaci mezi klienty a službami a plní tak úlohu důvěryhodné třetí strany.

Úlohu důvěryhodného prostředníka plní centrální autentizační server, tzv. KDC (Key Distribution Center), které spravuje databázi všech hesel jak uživatelů tak služeb (jde o sdílené tajemství mezi uživatelem/službou a KDC). Realm pak označuje oblast spravovanou jedním KDC. Uživatele i služby identifikuje tzv. principal, který má tvar:

primary/instance@REALM

KDC je rozděleno na dva servery:

• AS (Authentification Server) - ověřuje identitu uživatele.
• TGS (Ticket Granting Server) - vydává lístky (tickets), které se používají k autentizaci u služeb místo hesla a neobsahují žádné tajné informace.

Průběh autentizace

Při autentizaci se využívá tzv. lístek (ticket), který obsahuje session-key služby (pro kterou byl lístek vydán), principal uživatele a služby, časové razítko a dobu platnosti. Nakonec jsou všechny tyto informace zašifrovány pomocí hesla služby. Lístek je v rámci své životnosti znovupoužitelný.

Naopak autentikátor (authenticator) je použitelný pouze jednou, šifrovaný je pomocí session-key dané služby a obsahuje principal uživatele a časovou známku.

Autentizace probíhá přibližně následujícím způsobem:

• Na počátku uživatelova sezení je spuštěn program kinit:
  1. kinit od uživatele vyžádá heslo
  2. kinit pošle na AS žádost obsahující pouze principal uživatele
  3. pokud AS nalezne pro zaslaný principal záznam ve své databázi, odešle zpět ticket-granting-ticket a vygeneruje ticket-granting-session-key, který pošle zpět zašifrovaný pomocí hesla uživatele.
  4. pokud bylo zadané heslo správné, kinit získá ticket-granting-ticket a ticket-granting-session-key pro pozdější použití. Platnost ticket granting lísku je omezena na několik hodin a po jeho expiraci musí uživatel požádat o nový.


• Uživatel poprvé v tomto sezení spustí klienta kerberizované služby:
  1. klient nejprve odešle žádost na TGS obsahující:
     • ticket-granting-authenticator (šifrovaný pomocí ticket-granting-session-key)
     • ticket-granting-ticket
     • principal uživatele
     • principal služby
  2. TGS autentizuje uživatele (pomocí svého hesla rozšifruje ticket-granting-ticket a zněj pak získá ticket-granting-session-key, kterým se pokusí rozšifrovat ticket-granting-authenticator - pak lze porovnat takto získaný uživatelský principal s zaslaným a tím uživatele ověřit) a odešle zpět serv-ticket a serv-session-key pro danou službu, serv-session-key je zašifrovaný pomocí ticket-granting-session-key
  3. klient uchová serv-ticket a serv-session-key pro další použití
  4. klient se autentizuje u služby jak je popsáno dále


• Uživatel spouští klienta kerberizované služby, který už má z dřívějška k dispozici serv-ticket i serv-session-key.
1. klient nejdříve odešle žádost na server své služby obsahující:
   • authenticator (šifrovaný pomocí serv-session-key)
   • serv-ticket
   • principal uživatele
2. server autentizuje uživatele a odešle zpět časovou známku (který získal z autentikátoru) zvětšenou o 1 a zašifrovanou pomocí serv-session-key
3. klient pomocí serv-session-key rozšifruje data od serveru služby a porovnáním časové známky jej autentizuje
4. klient odešle na server služby svůj požadavek

Dostupné imlementace

Mezi nejvýznamnější implementace protokolu Kebreros v5 patří:

• MIT Kerberos
  Referenční implementace vyvinutá přímo na MIT. Od verze 4 byla licencována pod BSD licencí, ale její šíření mimo USA nebylo možné, protože kód z MIT obsahoval šifrovací algoritmus DES. V současnosti již toto omezení neplatí.
• Heimdal
  Z důvodů omezení vývozu šifrovacích technologií vznikla na Královském technologickém institutu v Stokholmu alternativní implementace, kterou bylo možné používat i mimo USA. Heimdal implementuje protokoly verze 4 a 5 a je kompatibilní s MIT verzí až na administrační utilitu kadmin, která nebyla součástí standardu. Heimdal je uvolněn pod BSD licencí.

Některé další projekty implementující Kerberos:

• GNU Shishi
  Jde o projekt FSF vyvíjený pod GPLv3, zatím stále v raném stádiu vývoje.
• J2SE
  Součástí standardní knihovny jazyka Java je podpora pro klientskou a serverovou část protokolu Kerberos.
• Windows
  Kerberos je využit i v rámci tzv. Active Directory používaného ve sítích s Windows.

Instalace a konfigurace

V distribuci Debian je třeba nainstalovat balíčky krb5-admin-server a krb5-kdc, které obsahují MIT implementaci Kerbera.

Důležité konfigurační souboru jsou krb5.conf, který je hlavním konfiguračním souborem - ovlivňuje chování klientů i serveru, a kdc.conf, v kterém se nastavuje KDC server.

krb5.conf

Běžně se nachází v /etc, pokud neurčíme v proměnné prostředí KRB5_CONFIG jinak. Jednoduchý příklad:

# nastavení Kerberos knihovny
[libdefaults]
  # výchozí nastavení realmu pro klienty
  default_realm = ATHENA.MIT.EDU
  # použít DNS SRV záznam při hledání KDC serveru
  dns_lookup_kdc = false
  # použít DNS TXT záznam při určovaní realmu hostitele
  dns_lookup_realm = false

# nastavení pro jednotlivé realmy
[realms]
  ATHENA.MIT.EDU = {
    kdc = kerberos.athena.mit.edu
    admin_server = kerberos.athena.mit.edu
}

# mapování DNS na realmy
[domain_realm]
  .athena.mit.edu = ATHENA.MIT.EDU # cela domena
  athena.mit.edu = ATHENA.MIT.EDU  # hostname

[kdc]
  profile = /var/kerberos/krb5kdc/kdc.conf

[logging]
  kdc = SYSLOG:INFO:DAEMON
  admin_server = FILE:/var/log/kadmin.log
  default = SYSLOG

Sekci [domain_realm] lze vynechat, pokud se DNS doména shoduje s realmem (což je doporučeno). Dále je možné vynechat i [realms], pokud nastavíme odpovídající DNS SRV pro servery v realmu, nicméně útokem na DNS je pak možné dosáhnout např. odepření služby.

Poznámky

Kvůli použití časových známek je nutné zajistit synchronizaci času v celém realmu např. pomocí NTP.

Služba může autentizace s pomocí Kerbera využít, pouze pokud je na to připravená. V praxi je třeba použít tzv. kerberizovanou verzi. Na Debianu mají takové balíčky prefix kbr-, např. krb-ftpd, krb5-telnetd a pod. Dále je pro každou takovou službu vytvořit principal a přenést k ní její klíč (soubor keytab) a konfigurační soubor krb5.conf.

PAM

S autentizačním systémem PAM (Pluggable Authentication Modules) přišla firma Sun a dnes je přítomen na většině systémů unixového typu. Základní myšlenkou je oddělení konkrétní autentizační části programů do jedné společné knihovny. Ta poskytuje obecné rozhraní a odděluje tak programy od implementačních detailů autentizačních metod. To pak umožňuje programům jako XDM používat autentizaci pomocí hesla, otisku prstu nebo čipové karty. Existují implementace pod GPL - Linux-PAM, i BSD licencí - OpenPAM.

Principy

V praxi je každý program, který potřebuje autentizovat uživatele, slinkovaný s knihovnou libpam obalující pluginy (na Linuxu umístěné v /lib/security/), které implementují konkrétní autentizační mechanismy.

Autentizační moduly jsou rozděleny dle činnosti do těchto skupin:

• account - Ověřování účtu: Neexpiroval? Je aktivní? Je povolen přístup ke službě?
• auth - Vlastní autentizace uživatelů, např. pomocí hesla, čipové karty, jednorázového hesla a pod.
• session - Provádí další akce před i po zpřístupnění služby, např. nastavení prostředí nebo auditování.
• password - Zajištění změn autentizačních údajů - např. hesla, tokenu a pod.

Vybrané zajímavé moduly:

• pam_krb5.so - provádí autentizaci Kerberem (uživatel nemusí ručně spouštět program kinit)
• pam_time.so - omezuje přihlášení dle času
• pam_securetty.so - kontrola terminálu dle /etc/securetty
• pam_unix.so - klasická unixová autentizace
• pam_limits.so - nastavení limitů (viz ulimit, ochrana před neopatrnými uživateli)
• pam_deny.so - vždy skončí neúspěšně
• pam_cracklib.so - testuje kvalitu hesla
• pam_exec.so - spustí externí program
• pam_delay.so - zdržuje přihlašování při chybné autentizaci

Konfigurace

Konfigurace je umístěna buď v jednom souboru /etc/pam.conf, nebo rozdělena dle programů v adresáři /etc/pam.d, který pokud existuje, je pam.conf vždy ignorován.

Konfigurační soubor je procházen sekvenčně, na každém řádku je popsán jeden autentizační modul ve tvaru: skupina řídící-hodnota modul [argumenty-modulu]. Řídící hodnoty mohou být:

• required - Položka je povinná, při neúspěchu nakonec celá autentizace selže.
• requisite - Podobně jako předchozí, ale autentizace selže okamžitě.
• sufficient - Dostačuje k autentizaci samo o sobě bez ohledu na ostatní moduly.
• optional - Vždy se provede, ale výsledek má na provedení autentizace vliv jen pokud jde o jediný modul své skupiny.
• include - Vložení pravidel z externího souboru.

Příklad

Následující soubor /etc/pam.d/passwd zajistí, že se při změně hesla nejprve otestuje dle zadaných kritérií jeho kvalita - pokud tento test selže, dál se nepokračuje, jinak se nové heslo se uloží do /etc/shadow s sha512 hashem:

password        required        pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password        required        pam_unix.so sha512 shadow nullok

Nebo /etc/pam.s/sshd:

#auth           required        pam_securetty.so        #Disable remote root
auth            required        pam_unix.so
auth            required        pam_nologin.so
auth            required        pam_env.so
account         required        pam_unix.so
account         required        pam_time.so
password        required        pam_unix.so
session         required        pam_unix_session.so
session         required        pam_limits.so

Literatura

• Archív referátů
• Slidy přednášky PV077
• Designing an Authentication System: a Dialogue in Four Scenes
• Kerberos V5 System Administrator's Guide
• Kerberos: Instalace a použití
• Kerberos: přihlašování snadno a rychle
• Debian GNU: Setting up MIT Kerberos 5
• RFC 1510 a 4120
• manuálové stránky PAMu