SSH + Kerberos mas SEM DNS

Navegue suas respostas
1

Eu queria saber se existe uma maneira de configurar o SSH com autenticação Kerberos sem usar um servidor DNS?

    
por mak 17.02.2013 / 23:40

3 respostas

1

Mais ou menos.

O Kerberos não funciona corretamente, a menos que os hosts possam resolver um ao outro adequadamente. Isso é quase sempre feito com um servidor DNS. Teoricamente, no entanto, isso poderia ser feito distribuindo-se um arquivo hosts para cada máquina que faria parte do domínio Kerberos. Isso quase certamente não é o que você quer fazer.

Por que a oposição ao servidor DNS?

    
por 18.02.2013 / 05:46
2

Você pode evitar o DNS com o seguinte (assumindo o MIT Kerberos):

1) Forneça os KDCs em krb5.conf em vez de localizá-los por meio de registros SRV e não faça mapeamento de região por meio de registros DNS TXT: 

[libdefaults]
dns_lookup_kdc   = no
dns_lookup_realm = no

[realms]
FOO.COM = {
    kdc = kdc.foo.com
}

2) Certifique-se de que todos os mapeamentos reversos e de endereço do hostname- > estejam em seu arquivo / etc / hosts, e talvez apenas desative o uso do DNS para gethostbyname () etc. em /etc/nsswitch.conf.

Eu não concordo com a afirmação da resposta anterior de que "o comprometimento da infra-estrutura do DNS não compromete (diretamente) a infra-estrutura do Kerberos". Usar registros SRV para localizar os KDCs não, pois os clientes podem autenticar o KDC (eles compartilham um segredo com o KDC ou o KDC deve apresentar um certificado válido se PKINIT for usado) e, em qualquer caso, um KDC falso produzirá tickets falsos que não funciona quando usado. Mas a canonização do nome DNS e o mapeamento de território podem ser perigosos. Um spoofer de DNS pode fazer com que um cliente adquira um tíquete para um serviço diferente daquele que pretende contatar (alterando a parte do nome do host de um nome "serviço baseado em host", o mais comum) - talvez um serviço cujas chaves o invasor tenha previamente comprometido. Comentários semelhantes aplicam-se ao mapeamento de território, embora seja mais difícil aproveitar o fato de enganar o cliente em relação ao domínio.

    
por 28.02.2014 / 07:04
1

Ainda não posso adicionar comentários devido à minha reputação e a pergunta foi respondida.

Mas se o DNS padrão é um problema de segurança para você, talvez você possa dar uma olhada no DNSSEC: link

    
por 28.02.2014 / 09:19

Tags

Criando uma mesclagem de dois diretórios usando o symlink no Windows Como forçar todo o tráfego através de VPN?