Dwuskładnikowe uwierzytelnienie na przykładzie 

kontrolera domeny linuksowej

Leszek Miś

Linux Polska Sp. z o.o.

 

 

CEL:

SSH-2FA dla systemu Linux

 

Agenda

●

FreeIPA jako kontroler domeny linuksowej:

●

Wprowadzenie

●

Architektura

●

Funkcjonalność

●

Yubikey

●

2FA z wykorzystaniem Yubikey i FreeIPA

 

 

LAB1

 

Wprowadzenie

●

Linux Identity Management:

●

Baza użytkowników – Identity

●

Polityka bezpieczeństwa – Policy

●

Audyt/Rozliczalność – Audit/Accounting

●

Centralne uwierzytelnienie

●

Kontroler domeny Kerberos/LDAP/DNS/NTPD

 

Architektura - komponenty

●

Dogtag jako Certificate Server

●

389 Directory Server

●

Kerberos KDC + LDAP backend

●

Apache for Web Services

●

ipa_kpasswd

●

Bind jako serwer DNS

●

NTPD jako serwer czasu

●

SSSD czyli System Security Services Daemon

 

Architektura - SSSD

●

Demon dostarczający dostęp do zdalnych zasobów  
typu “identity and auth”

●

Komunikuje się z systemem poprzez moduł NSS i PAM:

–

Backendy: LDAP,Kerb,IPA,AD,proxy

●

Offline cache:

–

Redukuje load

–

Offline auth

●

Server failover

●

Jedno połączenie do serwera katalogowego

●

Automatyczne pobieranie i odnawianie kerb-ticketów

 

Agenda

 

Funkcjonalność - identity

●

Users

●

Groups

●

Hosts

●

Hostsgroups

●

Services

●

Keytabs and certificates

●

DNS

 

Funkcjonalność - policy

●

Access Control Lists

●

SELinux management

●

SSH pubkeys management

●

Sudo management

●

Host Based Policy management

●

Kerberos based NFS automounts

●

SRV autodiscovery 

●

Password Policy management

●

Cross Domain Trusts

 

 

LAB2 – dodanie użytkownika i logowanie

 

 

Yubikey od Yubico

 

Yubikey

●

Token wykrywany jako USB HID v1.11 Keyboard

●

Brak baterii, wyświetlacza, dedykowanych sterowników

●

Unikalny klucz AES per każdy Yubikey

●

Dwuskładnikowość w postaci OTP+Password/ssh-privkey

●

Zamiennik RSA Authentication Manager/ACE

 

 

LAB3 – pobieranie Yubikey-ID

 

Yubikey

●

One Time Password:

●

„Podłączamy, uruchamiamy edytor tekstu i 

naciskamy”:
cccccccygkkjrctrulfhgutfjkkeuectgfvvdikffkhtr

●

PAM:

●

auth/account/session/password

●

Yubico-pam (online)

●

YubiPAM (offline)

 

Yubikey

 

 

Yubico

●

YubiCloud

●

Yubikey

●

Yubikey Nano

●

YubiHSM

●

YubiRadius VA

●

YK-VAL - Yubi Validation Server

●

YK-KSM – Key Storage Management

 

Integracja Yubikey z FreeIPA

●

Rozszerzenie schema dla Directory Server

●

Dodanie własnych atrybutów w obrębie LDAP

●

Przypisanie YubiKey-ID do użytkownika

●

Wymagane: Połączenie z internetem celem nawiązania 

połączenia z serwerem walidującym OTP (YubiCloud)

 

 

LAB 4 & 5

Integracja Yubikey z FreeIPA

 

Podsumowanie

●

Pojedyncze hasło jest niewystarczające

●

Tokeny HW do tej pory były drogie i trudne w utrzymaniu

●

Yubikey otwiera wiele nowych możliwości

●

Systemów Linux przybywa -> kontroler domeny

●

Najwyższy czas na 2FA

 

Szkolenia

●

WALLF Web Gateway (3 dni)

●

Modsecurity – skuteczna ochrona aplikacji webowych (3 

dni)

●

Red Hat IdM jako kontroler domeny linuksowej (2 dni)

●

SELinux – tworzenie i zarządzanie polityką (4 dni)

●

RH413 – Hardening (4 dni)

●

Puppet Fundamentals/Advanced (3 dni)

●

Mirantis Bootcamp for Openstack (2 dni)