Ssl
如何確認 IPA+SSSD 僅使用加密通道?
簡單地說:我想確保我的身份驗證路徑沿整個路徑加密。
(例如,從筆記型電腦->SSH 主機加密;從 SSH 主機->身份驗證伺服器;以及從 SSH 主機->其他主機)
我在跑步
- Centos 7 上的 FreeIPA 作為中央身份驗證伺服器。
- 執行 freeipa-client Ubuntu 軟體包 3.3.4-0ubuntu3.1 的 Ubuntu 14.04 客戶端
這被配置為使用 Kerberos 票證對我們環境中的伺服器進行身份驗證,一旦連接到登錄伺服器。即從登錄伺服器到環境中其他伺服器的SSH。
登錄伺服器是我最不確定的組件。它的配置如下:
[domain/mydom.example.com] cache_credentials = True krb5_store_password_if_offline = True krb5_realm = MYDOM.EXAMPLE.COM ipa_domain = mydom.example.com id_provider = ipa auth_provider = ipa access_provider = ipa ipa_hostname = loginhost.mydom.example.com chpass_provider = ipa ipa_server = _srv_, ipaserver.mydom.example.com ldap_tls_cacert = /etc/ipa/ca.crt [sssd] services = nss, pam, ssh, sudo config_file_version = 2 domains = mydom.example.com [nss] [pam] [sudo] [autofs] [ssh] [pac]
一個最簡單的方法是開始擷取數據包
ipaserver.mydom.example.com
,監聽來自的流量loginhost.mydom.example.com
。例如,使用 tshark(wireshark 的控制台版本),您可以同時進行攔截和分析:
tshark -w /tmp/t.pcapng -W n -P -V -x host loginhost.mydom.example.com | tee /tmp/t.log
一旦你有了 t.log,你就可以查看它。除了 SSSD 發現 LDAP 伺服器功能的幾個初始 LDAP 交換之外,其餘的 LDAP 通信不應由 tshark 解析,因為在 LDAP 與 SASL GSSAPI 綁定後它將被加密。一旦 SSSD 開始使用 SASL GSSAPI,LDAP 通信中的所有流量都將被加密和密封。
這是針對 LDAP 流量的。SSH 流量分析可以用類似的方式完成。