web-dev-qa-db-ja.com

SSH経由のGSSAPIシングルサインオンはどの程度安全ですか?

従来のsshキーやパスワードの代わりにGSSAPI(Kerberos)認証を使用することで、Linux/SSHログインをWindows ADに統合できることを知っています。

ただし、このソリューションのセキュリティに関する多くの情報を見つけることができませんでした。

おそらく、誰かがセキュリティモデルと固有の弱点を説明することで支援できますか?

編集:openshにGSSAPIAuthenticationを実装することを具体的に検討していることを明確にしましょう。

sshkerberosgssapi
3
Niels2000

これは非常に幅広い質問であり、正確ではありません。 SSHログインにGSSAPIを使用する方法は2つあります。

  • GSSAPI Key Exchange -opensshには実装されていませんが、パッチとして配布されています(RHEL、Fedoraの一部、おそらくDebianも)
  • GSSAPIAuthentication-opensshの一部

GSSAPIキー交換

プラスは確かに管理性です。GSSAPIキー交換を使用すると、ホストキーを気にする必要さえありません。ホストをドメインに登録するだけです。

鍵の交換には、基本的にこれらの方法が使用されます。前者は1024 bの素数を使用するため、脆弱である可能性があると考えられています。それらは、それぞれのDH鍵交換方式に基づいています。

  • gss-group1-sha1- *
  • gss-group14-sha1- *
  • gss-gex-sha1- *

GSSAPI AUthentication

GSSAPI認証については、通常のSSH鍵交換方法(ECDHが望ましい)を使用します。これは、MitMを軽減するために何らかの方法(証明書?)で管理する必要があります。次に、Kerberosを使用してリモートホストに認証します。この通信はすでに暗号化されているため、他のサービスに対する認証と同じセキュリティの質問はありません。

1
Jakuje