Як я можу налаштувати аутентифікацію SSH для смарт-карти?

Я хотів би мати можливість SSH на своїй машині, використовуючи смарт-карту Gemalto .NET як метод аутентифікації. Як це можна зробити на машині Fedora 13 (або загальному стилі Red Hat)?

Це грубі кроки, які, на мою думку, потрібні:

1. Надання сертифікату для смарт-картки (і, можливо, ЦО, щоб видати її?)
2. Дістаньте сертифікат на смарт-карту
3. Налаштуйте SSH-сервер, щоб дозволити аутентифікацію смарт-карт та налаштувати його на використання певного сертифіката / CA
4. Клієнт SSH з підтримкою смарт-карт (додаткові бали за безкоштовну Windows)

Тепер я вважаю, що драйвери Gemalto з відкритим кодом. Вони мають вихідний код на своєму веб-сайті.

Вам потрібно буде налаштувати pamмодуль (я не впевнений, як це зробити, але код точно є). Я думаю, що pamконфігурація потребує відображення принципу сертифіката для локального ідентифікатора користувача.

Я вважаю, що GDM зараз підтримує смарт-карти, але я не впевнений, як це виявляє. Я спробую розглянути це пізніше (найпростіший спосіб - це, мабуть, лише заглянути до gdmвихідного коду).

Звичайно, це все вимагає pcscdі libpcscliteвстановлюється. Вам також необхідно скопіювати libgtop11dotnet.soв /usr/lib.

Я б рекомендував kerberos. MIT виробляє клієнт і сервер krb5.

vwduder, чи можете ви порекомендувати зчитувач смарт-карт та джерело карт, сумісних із FIPS-201?

http://csrc.nist.gov/publications/fips/fips201-1/FIPS-201-1-chng1.pdf

У мене є копія на власному сервері, але в даний момент я недостатньо популярний у цьому стек-трек, щоб поділитися нею з вами. Наведене вище лише трохи менш надійне, ніж наші власні сервери, тому ви, ймовірно, зможете отримати їх від них;)

[редагувати] Зараз я досить популярний!

http://www.colliertech.org/state/FIPS-201-1-chng1.pdf

При використанні ключів RSA 1) і 2) є тривіальними, оскільки, як ми побачимо в 3) фактичний сертифікат не має значення в цьому контексті. Просто перейдіть на сторінку cacert.org або створіть сертифікат, який підписали самостійно, і все готово.

Для 3) вам потрібно буде витягнути ваш відкритий ключ та встановити його в $ HOME / .ssh / санкціонований_кейс. Зверніть увагу на право власності на файли та дозволи! (700 для .ssh, 600 для авторизованих_кілів). Автентифікація загальнодоступного відкритого ключа не обмежується, але залишається вправою для допитливих розумів.

Що стосується 4) ви повинні заглянути в PuTTY SC ( http://www.joebar.ch/puttysc/ ) або-переважно - PuTTY-CAC ( http://www.risacher.org/putty-cac/ ), що покращується після PuTTY SC з кращим алгоритмом вилучення відкритих ключів, а також включає підтримку Kerberos-GSSAPI від галузі розвитку PuTTY.

Я зробив відео, щоб показати, як використовувати смарт-карту з сервером Linux за допомогою PuttySC та SecureCRT . Ви можете подивитися тут: Як SSH за допомогою смарт-карти

Я не пояснюю, як надати сертифікат на карту, але якщо це зробити, пам’ятайте, що ключ адміністратора картки слід змінити за допомогою Системи управління картками. Вам буде набагато простіше, якщо ваша компанія надасть вам смарт-карту, так що вам не доведеться турбуватися про цю частину.

Після того, як карта буде створена, вам потрібно витягнути відкритий ключ, а потім додати його до ~ / .sshd / санкціонований_кейк.

Для підключення до сервера можна використовувати такі інструменти, як PuttySC або SecureCRT. Вам потрібно буде придбати бібліотеку PSKC № 11 для картки (від виробника смарт-карт або з відкритим кодом). Налаштуйте інструмент SSH з бібліотекою, він повинен мати можливість його прочитати та знайти сертифікат.

Після автентифікації інструмент запропонує ввести PIN-код смарт-карти.