Kerberos, PAM

Obsah

• Kerberos
  • Kerberos
  • História
  • Autentizácia
  • Nedostatky
  • Konfigurácia
  • Nástroje
• PAM
  • Konfigurácia
  • Moduly
• Literatura

Kerberos

Kerberos je sieťový protokol, ktorý umožňuje stranám (vačšinou klient-server) bezpečne komunikovať v nezabezpečenej sieti. Jeho hlavnou úlohou je autentizácia jednotlivých strán. Toto sa dosahuje vďaka dôveryhodnej tretej strane (odtiaľ to pomenovanie po mýtickom trojhlavom psovi Kerberovi, strážcovi vchodu do podsvetia). Kerberos je založený hlavne na princípoch symetrickej kryptografie. Používa sa hlavne v UNIXlike systémoch.

História

Protokol bol vyvinutý v 80tych rokoch na MIT za účelom ochrany sieťových služieb projektu Athena (vytvorenie distrubuovaného výpočtového prostredia pre vzdelávacie účely). Prvé tri verzie boli dostupné len v rámci MIT. Až štvrtá verzia bola verejne prístupná, aj keď stále bola určená primárne pre projekt Athena. Piata verzia bola popísaná už aj ako RFC 1510 v roku 1993, následne RFC 4120 v 2005.

Potom, ako vláda USA zakázala zahraničnú distribúciu Kerbera, pretože obsahoval implementáciu algoritmu DES, vznikla na KTH vo Švédsku nezávislá implementácia KTH-KRB. Posledná "neamerická" implementácia sa nazýva Heimdal, implementujúca protokoly verzie 4 a 5, ktorá bola kompatibilná s Kerberom z MIT. Heimdal vydal ten istý tým, ako KTH-KRB.

• Key Distribution Center

  (tretia strana) - spravuje databázu hesiel služieb aj užívateľov. Ďalej sa delí na:

  • Ticket Granting Service - vydáva lístky - tickets. Tieto sa používajú k autentizácii užívateľov a neobsahujú žiadne tajné informácie
  • Authentication Server - autentizácia užívateľov

• Realm - oblasť, ktorú má na starosti KDC
• Principal - identifikátor služby/užívateľa. Má tvar name/instance@realm, kde name je meno služby/užívateľa a instance je voliteľná doplnková informácia (napr. adresa stroja).

Proces autentizácie

• Užívateľ zadá prihlasovacie údaje.
• Klient spočíta hash hesla.
• Klient pošle správu AS, v ktorej požaduje prístup k službe.
• Ak server nájde vyhovujúci záznam, tak AS pošle klientovi 2 lístky:
• klient/TGS session key zašifrovaný hashom užívateľovho hesla.
• ticket granting ticket (TGT) zašifrovaný tajným klúčom TGS. TGT obsahuje klientove id, adresu, dobu platnosti lístka a klient/TGS session key.
• Klient obdrží oba lístky, prvý dešifruje a získa klient/TGS session key. Pretože nepozná tajný klúč TGS, druhý nechá tak.
• Ak klient požaduje prístup k nejakej službe, tak pošle dve správy TGS:
• TGT a id služby ku ktorej chce pristupovať.
• autentizátor - id a časové razítko zašifrované pomocou klient/TGS session key.
• TGS dešifruje autentizátor pomocou klient/TGS session key a klientovi vráti:
• client-to-server ticket - lístok, ktorým sa užívateľ preukáže službe. Skladjúcim sa z id klienta, adresy, doby platnosti a klient/server session key a zašifrovaným tajným klúčom služby, ku ktorej chce užívateľ pristupovať.
• Klient/server session key zašifrované klúčom klient/TGS
• Klient obdrží obe správy a môže autentizovať voči Service Server(SS - klientom požadovaná služba). Klient odošle SS:
• client-to-server ticket zašifrovaný tajným klúčom služby
• nový autentizátor, pozostávajúci z klientovho id a časového razítka, zašifrovaný klient/server session key.
• SS dešifruje lístok client-to-server ticket pomocou svojho klúča a pošle klientovi správu, v ktorej požaduje potvrdenie svojej identity
• časové razítko z autentizátora zvýšnené o 1 a zašifrované klient/server session key.
• Klient dešifruje predchádzajúcu správu a overí, či bolo časové razítko správne navýšené. Ak áno, tak môže začat posielať požiadavky na server.
• Server poskytuje požadovanú službu klientovi

Nedostatky

• vyžaduje trvalú dostupnosť KDC
• vyžaduje presnú synchronizáciu hodín všetkých zúčastnených (napríklad pomocou NTP)
• ak útočník kompromituje KDC, môže predstierať, že je ľubovoľná služba/klient

Konfigurácia

/etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = FI.MUNI.CZ
 dns_lookup_realm = false
 dns_lookup_kdc = false
 forwardable = true

[realms]
 FI.MUNI.CZ = {
  kdc = psisko.fi.muni.cz:88
  admin_server = psisko.fi.muni.cz:749
  default_domain = fi.muni.cz
 }

[domain_realm]
 .example.com = FI.MUNI.CZ
 example.com = FI.MUNI.CZ

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
   forwardable = true
   forward = true
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

Nástroje

• kinit(1) - získanie TGT pre daný principal
• kstash(8)
• kadmin(1) - správa databázy Kerbera
• kdc(8) - key distibution center démon
• kadmind(1) - kerberos admin démon
• klist(1) - zoznam pricipalov a lístkov

PAM

Pluggable Authentication Modules - viac nízkoúrovňových autentizačných protokolov zhrnutých do API. Programy su nezavisle na konkrétnych autentizačných prístupoch. Pri potrebe autentizácie sa použije funkcia z PAM.
Programy, v ktorých je nutná autentizácia musia mať prilinkovanú knižnicu libpam, ktorá zahrňuje jednotlivé pluginy (autentizačné mechanizmy) umiestnené v /lib/security alebo /usr/lib/security.

Konfigurácia

Konfiguračný súbor je /etc/pam.conf.
Jeho formát je nasledovný:

[service] [type] [control] [module-path] [module-args]

Kde:

• [service] - názov služby
• [type]
• account - kontrola existencie účtu, autorizácia
• auth - overenie identity užívateľa
• password - zmena autentizačných mechanizmov
• session - definuje, čo treba vykonať pred a po udelení oprávnenia
• [control]
• required - spôsobí zlyhanie autentizácie po skončení zreťazených modulov
• requisite - spôsobí okamžité zlyhanie autentizácie
• sufficient - úspech modulu postačuje na úspešnú autentizáciu ak nezlyhal required modul
• optional - výsledok je dôležitý len vtedy, ak je to jediný modul daného typu
• include - vloží pravidlá zo súboru v [module-path]
• [module-path] - absolútna/relatívna cesta k modulu (k /lib/security).
• [module-arguments] - parametre modulu oddelené medzerou

#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
auth    optional        pam_gnome_keyring.so
@include common-account
session required        pam_limits.so
@include common-session
session optional        pam_gnome_keyring.so auto_start
@include common-password

Moduly

/lib/security alebo /usr/lib/security

• pam_cracklib.so - kontrola robustnosti hesla
• pam_deny.so - autentizácia vždy zlyhá
• pam_krb5.so - autentizácia Kerberom.
• pam_limits.so - nastavenie systémových limitov
• pam_nologin.so - kontrola existencie /etc/nologin. Ak tento súbor existuje, nikdo okrem roota sa neprihlási
• pam_time.so - obmedzenie možnosti prihlásenia na určitý čas
• pam_unix.so - autentizácia voči /etc/shadow a /etc/passwd
• pam_warn.so - logovanie prístupov.
• pam_securetty.so - kontrola terminálu podľa /etc/securetty

Literatura

• Archív referátu
• Kerberos (protocol) wiki
• Kerberos homepage
• Heimdal homepage
• PAM