[Mia Mamma Usa Linux!] Utilizzare ticket Kerberos per l’autenticazione a servizi remoti

Questo articolo descrive come sia possibile configurare il proprio sistema affinché si autentichi verso servizi remoti utilizzando non, come accade di consueto, informazioni di autenticazione (username e password), ma ticket Kerberos. L’obiettivo finale è quello di creare una struttura automatizzata per la gestione di applicazioni che accedano a servizi locali sfruttando i ticket anziché i consueti meccanismi di autenticazione. In particolare l’obiettivo primario è quello di dare la possibilità ad utenti non privilegiati di richiedere ticket, memorizzarli e lanciare applicazioni ad essi associate. Verrà inoltre trattato un caso di studio in cui, mediante l’utilizzo di strumenti di sistema come ktutil e k5start, sarà gestita la scadenza ed il rinnovo automatico dei ticket Kerberos mediante keytab locali.

Scritto da rasca, il 18-10-2013
LinkConsiglia

Nuovi aggiornamenti di MIT Kerberos per Ubuntu 10.10 Maverick Meerkat

mit_kerberos.jpeg Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati. Kerberos previene l'intercettazione e i replay attack, e assicura l'integrità dei dati. I suoi progettisti mirarono soprattutto ad un modello client-server, e fornisce una mutua autenticazione — sia l'utente che il fornitore del servizio possono verificare l'identità dell'altro. Kerberos si basa sulla crittografia simmetrica e richiede una terza parte affidabile. Storia e sviluppo. Il Massachusetts Institute of Technology (MIT) sviluppò Kerberos per proteggere i servizi di rete forniti dal Project Athena. Il protocollo fu battezzato come il personaggio mitologico Cerbero, che nella mitologia greca era il cane a tre teste posto a guardia dell'Ade. Ci sono diverse versioni del protocollo; le versioni dalla 1 alla 3 furono utilizzate solo all'interno del MIT. Steve Miller e Clifford Neuman, i principali sviluppatori di Kerberos versione 4, pubblicarono questa versione alla fine degli anni Ottanta, anche se era stata sviluppata principalmente per il Project Athena. La versione 5, progettata da John Kohl e Clifford Neuman, venne formalizzata nella RFC 1510 nel 1993 (resa obsoleta dalla RFC 4120 nel 2005), con l'intenzione di risolvere i limiti e i problemi di sicurezza della versione 4. Il MIT mette a disposizione una implementazione di Kerberos libera, sotto una licenza simile alla BSD Le autorità degli USA classificarono Kerberos come arma [senza fonte] e ne vietarono l'esportazione poiché utilizzava l'algoritmo di crittazione DES (con chiavi da 56 bit). Una implementazione di Kerberos non statunitense, KTH-KRB sviluppata in Svezia, rese il sistema disponibile anche al di fuori degli Stati Uniti, prima che questi cambiassero la propria legge sull'esportazione degli algoritmi crittografici (attorno al 2000). L'implementazione svedese del protocollo era basata su una versione di Kerberos detta eBones. eBones era basata sulla versione MIT Bones (in pratica una versione di Kerberos priva delle funzioni crittografiche e delle loro chiamate) ricavata da Kerberos 4 patchlevel 9. L'australiano Eric Young, autore di diverse librerie crittografiche, reinserì le chiamate alle funzioni crittografiche utilizzando la propria libreria libdes. Questa versione limitata di Kerberos fu chiamata eBones. Una implementazione della versione 5 di Kerberos, Heimdal, fu rilasciata essenzialmente dallo stesso gruppo che creò KTH-KRB. Windows 2000, Windows XP e Windows Server 2003 usano una variante di Kerberos come sistema predefinito di autenticazione. Alcune aggiunte di Microsoft a Kerberos sono documentate nella RFC 3244 "Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols" (trad.: "Protocolli Kerberos di impostazione password e cambio password in Microsoft Windows 2000"). Anche Mac OS X di Apple utilizza Kerberos sia nella versione client sia in quella server. Nel 2005 il gruppo di lavoro su Kerberos dello IETF ha aggiornato le specifiche. Recenti aggiornamenti includono: * "Encryption and Checksum Specifications" (trad.: "Specifiche di crittazione e calcolo checksum") (RFC 3961) * "Advanced Encryption Standard (AES) Encryption for Kerberos 5" (trad.: "Crittazione con AES in Kerberos 5") (RFC 3962), * Una nuova edizione delle specifiche di Kerberos 5 "The Kerberos Network Authentication Service (V5)" (trad.: "Servizio Kerberos per l'Autenticazione su Reti") (RFC 4120). Questa versione rende obsoleta la RFC 1510, chiarifica alcuni aspetti del protocollo e il suo utilizzo in modo più dettagliato e chiaro, * Una nuova edizione delle specifiche per GSS-API (RFC 4121)

Sistema di Single Sign-On: Samba PDC con LDAP e Kerberos

Vista la mancanza di HOWTO esaustivi sull'argomento dell'integrazione di Samba con LDAP e Kerberos per realizzare una soluzione di Single Sign-On per reti miste Windows/Unix, ho preso spunto da una guida in portoghere e ho realizzato un HOWTO in italiano.

Scritto da Stefano Sasso, il 17-04-2009
LinkConsiglia







Collabora

ZioBudda.net sta crescendo sempre di più, ma mi serve una mano per portare avanti i progetti e per rendere il sito sempre più bello e pieno di informazioni.






Si ringrazia:

Unbit.it Cybernetic.it website counter