Dwuskładnikowe uwierzytelnienie na przykładzie

kontrolera domeny linuksowej

Leszek Miś

Linux Polska Sp. z o.o.

CEL:

SSH-2FA dla systemu Linux

Agenda

●

FreeIPA jako kontroler domeny linuksowej:

●

Wprowadzenie

●

Architektura

●

Funkcjonalność

●

Yubikey

●

2FA z wykorzystaniem Yubikey i FreeIPA

LAB1

Wprowadzenie

●

Linux Identity Management:

●

Baza użytkowników – Identity

●

Polityka bezpieczeństwa – Policy

●

Audyt/Rozliczalność – Audit/Accounting

●

Centralne uwierzytelnienie

●

Kontroler domeny Kerberos/LDAP/DNS/NTPD

Architektura - komponenty

●

Dogtag jako Certificate Server

●

389 Directory Server

●

Kerberos KDC + LDAP backend

●

Apache for Web Services

●

ipa_kpasswd

●

Bind jako serwer DNS

●

NTPD jako serwer czasu

●

SSSD czyli System Security Services Daemon

Architektura - SSSD

●

Demon dostarczający dostęp do zdalnych zasobów
typu “identity and auth”

●

Komunikuje się z systemem poprzez moduł NSS i PAM:

–

Backendy: LDAP,Kerb,IPA,AD,proxy

●

Offline cache:

–

Redukuje load

–

Offline auth

●

Server failover

●

Jedno połączenie do serwera katalogowego

●

Automatyczne pobieranie i odnawianie kerb-ticketów

Agenda

Funkcjonalność - identity

●

Users

●

Groups

●

Hosts

●

Hostsgroups

●

Services

●

Keytabs and certificates

●

DNS

Funkcjonalność - policy

●

Access Control Lists

●

SELinux management

●

SSH pubkeys management

●

Sudo management

●

Host Based Policy management

●

Kerberos based NFS automounts

●

SRV autodiscovery

●

Password Policy management

●

Cross Domain Trusts

LAB2 – dodanie użytkownika i logowanie

Yubikey od Yubico

Yubikey

●

Token wykrywany jako USB HID v1.11 Keyboard

●

Brak baterii, wyświetlacza, dedykowanych sterowników

●

Unikalny klucz AES per każdy Yubikey

●

Dwuskładnikowość w postaci OTP+Password/ssh-privkey

●

Zamiennik RSA Authentication Manager/ACE

LAB3 – pobieranie Yubikey-ID

Yubikey

●

One Time Password:

●

„Podłączamy, uruchamiamy edytor tekstu i

naciskamy”:
cccccccygkkjrctrulfhgutfjkkeuectgfvvdikffkhtr

●

PAM:

●

auth/account/session/password

●

Yubico-pam (online)

●

YubiPAM (offline)

Yubikey

Yubico

●

YubiCloud

●

Yubikey

●

Yubikey Nano

●

YubiHSM

●

YubiRadius VA

●

YK-VAL - Yubi Validation Server

●

YK-KSM – Key Storage Management

Integracja Yubikey z FreeIPA

●

Rozszerzenie schema dla Directory Server

●

Dodanie własnych atrybutów w obrębie LDAP

●

Przypisanie YubiKey-ID do użytkownika

●

Wymagane: Połączenie z internetem celem nawiązania

połączenia z serwerem walidującym OTP (YubiCloud)

LAB 4 & 5

Integracja Yubikey z FreeIPA

Podsumowanie

●

Pojedyncze hasło jest niewystarczające

●

Tokeny HW do tej pory były drogie i trudne w utrzymaniu

●

Yubikey otwiera wiele nowych możliwości

●

Systemów Linux przybywa -> kontroler domeny

●

Najwyższy czas na 2FA

Szkolenia

●

WALLF Web Gateway (3 dni)

●

Modsecurity – skuteczna ochrona aplikacji webowych (3

dni)

●

Red Hat IdM jako kontroler domeny linuksowej (2 dni)

●

SELinux – tworzenie i zarządzanie polityką (4 dni)

●

RH413 – Hardening (4 dni)

●

Puppet Fundamentals/Advanced (3 dni)

●

Mirantis Bootcamp for Openstack (2 dni)