Akıllı kart SSH kimlik doğrulamasını nasıl ayarlayabilirim?

Kimlik doğrulama yöntemi olarak bir Gemalto .NET Akıllı Kart kullanarak makineme SSH yapabilmek istiyorum. Bu bir Fedora 13 (veya jenerik Red Hat tarzı) makinede nasıl yapılabilir?

Bunlar gerekli olduğunu düşündüğüm kaba adımlar:

1. Akıllı kart için (ve muhtemelen bir CA verecek bir CA için provizyon sertifikası?)
2. Sertifikayı akıllı karta alın
3. SSH sunucusunu akıllı kart kimlik doğrulamasına izin verecek şekilde yapılandırın ve belirli bir sertifika / CA kullanacak şekilde yapılandırın
4. Akıllı kart desteği olan bir SSH istemcisi (ücretsiz Windows tabanlı bir istemci için ekstra puan)

Gemalto sürücülerinin artık açık kaynak olduğuna inanıyorum. Web sitelerinde kaynak kodu var.

pamModülü yapılandırmanız gerekecek (bunun nasıl yapılacağından emin değilim, ama kod kesinlikle orada). Hayal pamyapılandırma yerel bir kullanıcı kimliğine bir sertifika ilkesinin bir eşleme gerektirecektir.

GDM Şimdi akıllı kartları desteklediğine inanıyorum, ancak nasıl algıladığından emin değilim. Bunu daha sonra aramaya çalışacağım (en kolay yol muhtemelen gdmkaynak koduna bakmaktır ).

Tabii ki bunların hepsi gerektirir pcscdve libpcsclitekurulur. Ayrıca kopyalamak gerekecektir libgtop11dotnet.soiçin /usr/lib.

Kerberos'u tavsiye ederim. MIT bir krb5 istemcisi ve sunucusu üretir.

vwduder, akıllı kart okuyucusu ve FIPS-201 uyumlu kart kaynağı önerebilir misiniz?

http://csrc.nist.gov/publications/fips/fips201-1/FIPS-201-1-chng1.pdf

Kendi sunucumda bir kopya var, ancak şu anda bu yığın izinde sizinle paylaşmak için yeterince popüler değilim. Yukarıdakiler, kendi sunucularımızdan biraz daha az güvenilirdir, bu yüzden muhtemelen onlardan alabilirsiniz;)

Artık yeterince popülerim!

http://www.colliertech.org/state/FIPS-201-1-chng1.pdf

RSA anahtarlarını kullanırken 1) ve 2) önemsizdir, çünkü 3) 'de göreceğimiz gibi asıl sertifika bu bağlamda önemsizdir. Sadece cacert.org adresine gidin veya kendinden imzalı bir sertifika oluşturun ve hazırsınız.

3) için genel anahtarınızı çıkarmanız ve $ HOME / .ssh / yetkili_anahtarlara yüklemeniz gerekir. Dosya sahipliğine ve izinlerine dikkat edin! (.Ssh için 700, yetkili_anahtarlar için 600). Ana bilgisayar genelinde genel anahtar kimlik doğrulaması önerilmez, ancak meraklı zihinlere yönelik bir alıştırma olarak bırakılır.

4) gelince, PuTTY SC'ye ( http://www.joebar.ch/puttysc/ ) veya -prefably- PuTTY-CAC ( http://www.risacher.org/putty-cac/ ) PuTTY SC, daha iyi bir ortak anahtar çıkarma algoritmasına sahiptir ve PuTTY'nin geliştirme şubesinden Kerberos-GSSAPI desteğini de içerir.

PuttySC ve SecureCRT kullanarak bir Linux sunucusuyla akıllı kart kullanmak için gösterilecek bir video yaptım . Buradan izleyebilirsiniz: Akıllı Kartınızla SSH Nasıl Yapılır

Kartta nasıl sertifika sağlanacağını açıklamıyorum, ancak bunu yaparsanız kartın yönetici anahtarının Kart Yönetim Sistemi kullanılarak değiştirilmesi gerektiğini unutmayın. Şirketiniz size bir akıllı kart sunuyorsa, bu kısım için endişelenmenize gerek kalmayacaksa sizin için çok daha kolay olacaktır.

Kartı sağladıktan sonra, genel anahtarı çıkarmanız ve ardından ~ / .sshd / yetkili_key'e eklemeniz gerekir.

Sunucuya bağlanmak için PuttySC veya SecureCRT gibi araçlar kullanabilirsiniz. Kart için PSKC # 11 kütüphanesini edinmeniz gerekir (akıllı kart üreticisinden veya açık kaynaklı bir sürümden). SSH aracını kütüphaneyle yapılandırın, okuyabilir ve sertifikayı bulabilmelidir.

Kimlik doğrulaması yaptığınızda, araç sizden akıllı kart PIN'ini ister.