web-dev-qa-db-ja.com

IPA + SSSDが暗号化されたチャネルのみを使用していることを確認するにはどうすればよいですか?

簡単に言えば、認証パスがパス全体で暗号化されていることを確認したいのです。

(例:ラップトップ-> SSHホスト、SSHホスト->認証サーバー、SSHホスト->その他のホストから暗号化)

私は走っています

  • 中央認証サーバーとしてのCentos7上のFreeIPA。
  • Freeipa-clientUbuntuパッケージ3.3.4-0ubuntu3.1を実行しているUbuntu14.04クライアント

これは、ログインサーバーに接続すると、Kerberosチケットを使用して環境内のサーバーを認証するように構成されています。つまり、ログインサーバーから環境内の他のサーバーへのSSH。

ログインサーバーは、私が最も確信が持てないコンポーネントです。次のように構成されます。

[domain/mydom.example.com]

cache_credentials = True
krb5_store_password_if_offline = True
krb5_realm = MYDOM.EXAMPLE.COM
ipa_domain = mydom.example.com
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = loginhost.mydom.example.com
chpass_provider = ipa
ipa_server = _srv_, ipaserver.mydom.example.com
ldap_tls_cacert = /etc/ipa/ca.crt
[sssd]
services = nss, pam, ssh, Sudo
config_file_version = 2

domains = mydom.example.com
[nss]

[pam]

[Sudo]

[autofs]

[ssh]

[pac]
1
JDS

最も簡単な方法は、ipaserver.mydom.example.comでパケットのキャプチャを開始し、loginhost.mydom.example.comからのトラフィックをリッスンすることです。

たとえば、tshark(wiresharkのコンソールバージョン)を使用すると、傍受と分析の両方を同時に実行できます。

tshark -w /tmp/t.pcapng -W n -P -V -x Host loginhost.mydom.example.com | tee /tmp/t.log 

T.logを取得したら、それを調べることができます。 SSSDがLDAPサーバー機能の検出を行ういくつかの初期LDAP交換を除いて、残りのLDAP通信は、LDAPがSASL GSSAPIにバインドされた後に暗号化されるため、tsharkによって解析されるべきではありません。 SSSDがSASLGSSAPIの使用を開始すると、LDAP通信のすべてのトラフィックが暗号化されて封印されます。

これはLDAPトラフィック用です。 SSHトラフィック分析も同様の方法で実行できます。

3
abbra

Abbraの答えを拡張するには-SSSDは、暗号化されていないストリームを介した認証をまったく許可しません。したがって、IDデータ(名前、UID、シェル、homedir、..)は技術的に暗号化されていない可能性がありますが、sssdが資格情報をネットワーク経由で平文で送信することは決してありません。

1
jhrozek