Назад | Перейти на главную страницу

Как подтвердить, что IPA + SSSD использует только зашифрованные каналы?

Проще говоря: я хочу убедиться, что мой путь аутентификации зашифрован на всем пути.

(например, зашифровано с ноутбука -> хост SSH; с хоста SSH -> сервер аутентификации; и с хоста SSH -> другие хосты)

Я бегаю

Он настроен на использование билетов Kerberos для аутентификации на серверах в нашей среде после подключения к серверу входа в систему. то есть SSH с сервера входа на другие серверы в среде.

Сервер входа в систему - это компонент, в котором я меньше всего уверен. Он настроен следующим образом:

[domain/mydom.example.com]

cache_credentials = True
krb5_store_password_if_offline = True
krb5_realm = MYDOM.EXAMPLE.COM
ipa_domain = mydom.example.com
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = loginhost.mydom.example.com
chpass_provider = ipa
ipa_server = _srv_, ipaserver.mydom.example.com
ldap_tls_cacert = /etc/ipa/ca.crt
[sssd]
services = nss, pam, ssh, sudo
config_file_version = 2

domains = mydom.example.com
[nss]

[pam]

[sudo]

[autofs]

[ssh]

[pac]

Самый простой способ - начать захват пакетов на ipaserver.mydom.example.com, прислушиваясь к трафику из loginhost.mydom.example.com.

Например, с tshark (консольная версия wirehark) вы можете одновременно выполнять перехват и анализ:

tshark -w /tmp/t.pcapng -W n -P -V -x host loginhost.mydom.example.com | tee /tmp/t.log 

После того, как у вас есть t.log, вы можете посмотреть его. За исключением нескольких начальных обменов LDAP, где SSSD обнаруживает возможности сервера LDAP, остальная часть обмена данными LDAP не должна анализироваться tshark, так как она будет зашифрована после связывания LDAP с SASL GSSAPI. Когда SSSD начинает использовать SASL GSSAPI, весь трафик LDAP-связи будет зашифрован и запечатан.

Это для трафика LDAP. Аналогичным образом можно провести анализ трафика SSH.

Чтобы расширить ответ abbra - SSSD вообще НЕ разрешает аутентификацию через незашифрованный поток. Таким образом, хотя ваши идентификационные данные (имя, UID, оболочка, домашний адрес, ..) технически могут быть незашифрованными, вы можете быть уверены, что sssd никогда не отправит ваши учетные данные по сети в открытом виде.