Dwuskładnikowe uwierzytelnienie na przykładzie
kontrolera domeny linuksowej
Leszek Miś
Linux Polska Sp. z o.o.
CEL:
SSH-2FA dla systemu Linux
Agenda
●
FreeIPA jako kontroler domeny linuksowej:
●
Wprowadzenie
●
Architektura
●
Funkcjonalność
●
Yubikey
●
2FA z wykorzystaniem Yubikey i FreeIPA
LAB1
Wprowadzenie
●
Linux Identity Management:
●
Baza użytkowników – Identity
●
Polityka bezpieczeństwa – Policy
●
Audyt/Rozliczalność – Audit/Accounting
●
Centralne uwierzytelnienie
●
Kontroler domeny Kerberos/LDAP/DNS/NTPD
Architektura - komponenty
●
Dogtag jako Certificate Server
●
389 Directory Server
●
Kerberos KDC + LDAP backend
●
Apache for Web Services
●
ipa_kpasswd
●
Bind jako serwer DNS
●
NTPD jako serwer czasu
●
SSSD czyli System Security Services Daemon
Architektura - SSSD
●
Demon dostarczający dostęp do zdalnych zasobów
typu “identity and auth”
●
Komunikuje się z systemem poprzez moduł NSS i PAM:
–
Backendy: LDAP,Kerb,IPA,AD,proxy
●
Offline cache:
–
Redukuje load
–
Offline auth
●
Server failover
●
Jedno połączenie do serwera katalogowego
●
Automatyczne pobieranie i odnawianie kerb-ticketów
Agenda
Funkcjonalność - identity
●
Users
●
Groups
●
Hosts
●
Hostsgroups
●
Services
●
Keytabs and certificates
●
DNS
Funkcjonalność - policy
●
Access Control Lists
●
SELinux management
●
SSH pubkeys management
●
Sudo management
●
Host Based Policy management
●
Kerberos based NFS automounts
●
SRV autodiscovery
●
Password Policy management
●
Cross Domain Trusts
LAB2 – dodanie użytkownika i logowanie
Yubikey od Yubico
Yubikey
●
Token wykrywany jako USB HID v1.11 Keyboard
●
Brak baterii, wyświetlacza, dedykowanych sterowników
●
Unikalny klucz AES per każdy Yubikey
●
Dwuskładnikowość w postaci OTP+Password/ssh-privkey
●
Zamiennik RSA Authentication Manager/ACE
LAB3 – pobieranie Yubikey-ID
Yubikey
●
One Time Password:
●
„Podłączamy, uruchamiamy edytor tekstu i
naciskamy”:
cccccccygkkjrctrulfhgutfjkkeuectgfvvdikffkhtr
●
PAM:
●
auth/account/session/password
●
Yubico-pam (online)
●
YubiPAM (offline)
Yubikey
Yubico
●
YubiCloud
●
Yubikey
●
Yubikey Nano
●
YubiHSM
●
YubiRadius VA
●
YK-VAL - Yubi Validation Server
●
YK-KSM – Key Storage Management
Integracja Yubikey z FreeIPA
●
Rozszerzenie schema dla Directory Server
●
Dodanie własnych atrybutów w obrębie LDAP
●
Przypisanie YubiKey-ID do użytkownika
●
Wymagane: Połączenie z internetem celem nawiązania
połączenia z serwerem walidującym OTP (YubiCloud)
LAB 4 & 5
Integracja Yubikey z FreeIPA
Podsumowanie
●
Pojedyncze hasło jest niewystarczające
●
Tokeny HW do tej pory były drogie i trudne w utrzymaniu
●
Yubikey otwiera wiele nowych możliwości
●
Systemów Linux przybywa -> kontroler domeny
●
Najwyższy czas na 2FA
Szkolenia
●
WALLF Web Gateway (3 dni)
●
Modsecurity – skuteczna ochrona aplikacji webowych (3
dni)
●
Red Hat IdM jako kontroler domeny linuksowej (2 dni)
●
SELinux – tworzenie i zarządzanie polityką (4 dni)
●
RH413 – Hardening (4 dni)
●
Puppet Fundamentals/Advanced (3 dni)
●
Mirantis Bootcamp for Openstack (2 dni)