it-gundan.com

스마트 카드 SSH 인증을 어떻게 설정할 수 있습니까?

Gemalto .NET 스마트 카드를 인증 방법으로 사용하여 내 컴퓨터에 SSH를 가할 수 있기를 원합니다. 이것이 Fedora 13 (또는 일반 적색 모자 스타일) 기계에서 어떻게 수행 될 수 있습니까?

이것들은 내가 필요로하는 거친 단계입니다.

  1. 스마트 카드의 인증서를 제공합니다 (그리고 아마도 아마도 그것을 발행 할 수 있습니까?)
  2. 인증서를 스마트 카드로 가져옵니다
  3. SSH 서버를 구성하여 스마트 카드 인증을 허용하고 특정 인증서/CA를 사용하도록 구성합니다.
  4. 스마트 카드 지원이있는 SSH 클라이언트 (무료 Windows 기반의 여분의 포인트)
9
Geoff Childs

Gemalto 드라이버는 현재 오픈 소스입니다. 그들은 웹 사이트에 소스 코드를 가지고 있습니다.

pam 모듈을 구성해야합니다 (이 작업을 수행하는 방법을 모르지만 코드는 확실히 거기에 있습니다). pam 구성은 인증서 원칙을 로컬 사용자 ID에 매핑해야합니다.

GDM 나는 스마트 카드를 이제 지원한다고 믿지만 그것이 어떻게 그것을 감지하는지 모르겠습니다. 나는 나중에 이것을 보려고 노력할 것입니다 (가장 쉬운 방법은 gdm 소스 코드에서 엿보는 것입니다.

물론이 모든 것은 pcscdlibpcsclite을 설치해야합니다. libgtop11dotnet.so/usr/lib에 복사해야합니다.

2
vwduder

나는 Kerberos를 추천 할거야. MIT KRB5 클라이언트 및 서버가 생성됩니다.

vwduder, 스마트 카드 리더와 FIPS 201p 호환 카드의 소스를 추천 할 수 있습니까?

http://csrc.nist.gov/publications/fips/fips201-1/fips-201-1-chng1.pdf

나는 내 자신의 서버에 사본을 가지고 있지만,이 순간 에이 스택 트레이에서 충분히 인기가 없습니다. 위의 내용은 우리 자신의 서버보다 약간 덜 신뢰할 수 있으므로 아마도 그들로부터 그것을 얻을 수있을 것입니다.)

[편집] 이제는 지금까지 인기가 있습니다!

http://www.colliertech.org/state/fips-201-1-chng1.pdf .

2
cjac

RSA 키를 사용할 때, 1)과 2)는 3) 실제 인증서 가이 맥락에서 무의미한 인증서가 부적합하기 때문입니다. 그냥 cacert.org로 향하거나 자체 서명 된 인증서를 생성하면 모두 설정됩니다.

3)에서는 공개 키를 추출하고 $ home/.ssh/authorized_keys에 설치해야합니다. 파일 소유권 및 권한에주의하십시오! (700, authorized_keys의 경우 600, 600). 호스트 - 와이드 공개 키 인증은 낙담하지만, 호기심에 대한 운동으로 남아 있습니다.

4)와 같이 PUTTY SC (- http://www.joebar.ch/puttysc/ ) 또는 -preferably-putoty-cac (- http://www.risacher.org/putty-cac/ SC (SC $ ===) 퍼티의 개발 분기.

1
codehead

PuttySC 및 SecureCRT 를 사용하여 Linux 서버가있는 스마트 카드를 사용하려면 비디오를 작성했습니다. 당신은 여기에서 그것을 볼 수 있습니다 : 스마트 카드로 ssh하는 방법

카드에서 인증서를 조항하는 방법을 설명하지는 않지만 해당하는 경우 카드 관리 시스템을 사용하여 카드의 관리자 키를 변경해야합니다. 회사가 스마트 카드를 제공 하여이 부분에 대해 걱정할 필요가 없도록 훨씬 쉽습니다.

카드가 프로비저닝되면 공개 키를 추출한 다음 ~/.sshd/authorized_key에 추가해야합니다.

서버에 연결하려면 PuttySC 또는 SecureCRT와 같은 도구를 사용할 수 있습니다. 카드에 대한 PSKC # 11 라이브러리 (스마트 카드 제조업체 또는 오픈 소스 버전에서)를 얻어야합니다. 라이브러리를 사용하여 SSH 도구를 구성하고이를 읽고 인증서를 찾을 수 있어야합니다.

인증하면 도구가 스마트 카드 핀을 묻는 메시지가 표시됩니다.

0
Matthias Buchner