Como confirmar se o IPA + SSSD está usando somente canais criptografados?

1

Simplificando: desejo garantir que meu caminho de autenticação seja criptografado ao longo de todo o caminho.

(por exemplo, criptografado a partir do laptop- > host SSH; do servidor de autenticação SSH host- > e do host SSH- > outros hosts)

Estou correndo

  • FreeIPA no Centos 7 como o servidor de autenticação central.
  • Clientes do Ubuntu 14.04 que executam o pacote Ubuntu do freeipa-client 3.3.4-0ubuntu3.1

Isso é configurado para usar tíquetes Kerberos para autenticação em servidores em nosso ambiente, assim que um se conecta a um servidor de login. Ou seja, SSH do servidor de login para outros servidores no ambiente.

O servidor de login é o componente do qual tenho menos certeza. Está configurado da seguinte forma:

[domain/mydom.example.com]

cache_credentials = True
krb5_store_password_if_offline = True
krb5_realm = MYDOM.EXAMPLE.COM
ipa_domain = mydom.example.com
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = loginhost.mydom.example.com
chpass_provider = ipa
ipa_server = _srv_, ipaserver.mydom.example.com
ldap_tls_cacert = /etc/ipa/ca.crt
[sssd]
services = nss, pam, ssh, sudo
config_file_version = 2

domains = mydom.example.com
[nss]

[pam]

[sudo]

[autofs]

[ssh]

[pac]
    
por JDS 21.12.2015 / 20:50

2 respostas

3

A maneira mais fácil é iniciar a captura de pacotes em ipaserver.mydom.example.com , ouvindo o tráfego proveniente de loginhost.mydom.example.com .

Por exemplo, com tshark (versão de console do wireshark) você pode fazer interceptação e análise ao mesmo tempo:

tshark -w /tmp/t.pcapng -W n -P -V -x host loginhost.mydom.example.com | tee /tmp/t.log 

Depois de ter o t.log, você pode procurar nele. Além de várias trocas LDAP iniciais em que o SSSD faz a descoberta de recursos do servidor LDAP, o restante da comunicação LDAP não deve ser analisado pelo tshark, pois ele seria criptografado após a ligação LDAP com o SASL GSSAPI. Quando o SSSD começar a usar o SASL GSSAPI, todo o tráfego na comunicação do LDAP será criptografado e lacrado.

Isso é para o tráfego LDAP. A análise de tráfego SSH pode ser feita de maneira semelhante.

    
por 21.12.2015 / 23:20
1

Para expandir a resposta do abbra, o SSSD NÃO permite a autenticação por meio de um fluxo não criptografado. Portanto, embora seus dados de identidade (nome, UID, shell, homedir, ...) possam ser tecnicamente descriptografados, você pode ter certeza de que o sssd nunca enviará suas credenciais por fax.

    
por 22.12.2015 / 14:17