Ssl

如何確認 IPA+SSSD 僅使用加密通道?

  • December 22, 2015

簡單地說:我想確保我的身份驗證路徑沿整個路徑加密。

(例如,從筆記型電腦->SSH 主機加密;從 SSH 主機->身份驗證伺服器;以及從 SSH 主機->其他主機)

我在跑步

  • Centos 7 上的 FreeIPA 作為中央身份驗證伺服器。
  • 執行 freeipa-client Ubuntu 軟體包 3.3.4-0ubuntu3.1 的 Ubuntu 14.04 客戶端

這被配置為使用 Kerberos 票證對我們環境中的伺服器進行身份驗證,一旦連接到登錄伺服器。即從登錄伺服器到環境中其他伺服器的SSH。

登錄伺服器是我最不確定的組件。它的配置如下:

[domain/mydom.example.com]

cache_credentials = True
krb5_store_password_if_offline = True
krb5_realm = MYDOM.EXAMPLE.COM
ipa_domain = mydom.example.com
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = loginhost.mydom.example.com
chpass_provider = ipa
ipa_server = _srv_, ipaserver.mydom.example.com
ldap_tls_cacert = /etc/ipa/ca.crt
[sssd]
services = nss, pam, ssh, sudo
config_file_version = 2

domains = mydom.example.com
[nss]

[pam]

[sudo]

[autofs]

[ssh]

[pac]

一個最簡單的方法是開始擷取數據包ipaserver.mydom.example.com,監聽來自的流量loginhost.mydom.example.com

例如,使用 tshark(wireshark 的控制台版本),您可以同時進行攔截和分析:

tshark -w /tmp/t.pcapng -W n -P -V -x host loginhost.mydom.example.com | tee /tmp/t.log 

一旦你有了 t.log,你就可以查看它。除了 SSSD 發現 LDAP 伺服器功能的幾個初始 LDAP 交換之外,其餘的 LDAP 通信不應由 tshark 解析,因為在 LDAP 與 SASL GSSAPI 綁定後它將被加密。一旦 SSSD 開始使用 SASL GSSAPI,LDAP 通信中的所有流量都將被加密和密封。

這是針對 LDAP 流量的。SSH 流量分析可以用類似的方式完成。

引用自:https://serverfault.com/questions/744580