जीएनयू / लिनक्स में दो-कारक प्रमाणीकरण का उपयोग करने के बारे में लंबे समय से जारी विषय को जारी रखते हुए, मैं आपको कार्य योजना के बारे में बताता हूं और कर्बेरोस का उपयोग करके प्रमाणीकरण स्थापित करता हूं। इस लेख में, हम एक यूएसबी टोकन पर स्थित प्रमाण पत्र और प्रमुख जोड़े के साथ उपयोगकर्ताओं को प्रमाणित करने के लिए MIT Kerberos को कॉन्फ़िगर करने की प्रक्रिया को देखेंगे। साथ ही, लेख में प्रस्तुत सामग्री का उपयोग विंडोज डोमेन में प्रमाणीकरण को कॉन्फ़िगर करने के लिए किया जा सकता है।

संक्षिप्त परिचय

शुरुआत करने के लिए, हम केर्बरोस शब्दावली में एक छोटा शैक्षिक कार्यक्रम करेंगे और जीएनयू / लिनक्स-आधारित ओएस में इस प्रोटोकॉल के उपलब्ध कार्यान्वयन पर विचार करेंगे। मुझे तुरंत कहना होगा कि मुझे केर्बरोस में इस्तेमाल की गई शर्तों का अस्पष्ट अनुवाद नहीं मिला, इसलिए मैं भ्रम से बचने के लिए अंग्रेजी में मुख्य शब्दों की नकल करूंगा।
तो चलिए शुरू करते हैं। यदि आप विकिपीडिया को उद्धृत करते हैं, तो

केर्बरोस एक नेटवर्क प्रमाणीकरण प्रोटोकॉल है जो सुरक्षित प्रमाणीकरण के लिए असुरक्षित नेटवर्क पर डेटा प्रसारित करने की अनुमति देता है। यह मुख्य रूप से क्लाइंट-सर्वर मॉडल पर केंद्रित है और पारस्परिक प्रमाणीकरण प्रदान करता है - सर्वर के माध्यम से दोनों उपयोगकर्ता एक दूसरे की पहचान की पुष्टि करते हैं।

यह ध्यान देने योग्य है कि केर्बरोस मुख्य रूप से एक प्रोटोकॉल है, न कि एक विशिष्ट प्रमाणीकरण प्रणाली। किसी डोमेन में उपयोगकर्ताओं को प्रमाणित करने की एक विधि के रूप में, विंडोज सहित विभिन्न ऑपरेटिंग सिस्टम में इसके कार्यान्वयन का उपयोग किया जाता है। करबरोस प्रोटोकॉल के कई खुले स्रोत कार्यान्वयन हैं, उदाहरण के लिए, मूल एमआईटी केर्बरोस और हेइमल्ड। सूचना संरक्षण के क्रिप्टोग्राफिक साधनों के निर्यात पर अमेरिकी प्रतिबंधों के कारण इस तरह का एक चिड़ियाघर पैदा हुआ, आज एमआईटी केर्बरोस के आसपास यह स्थिति पहले से ही कम हो गई है। इस लेख में, हम MIT Kerberos V5 के लिए कॉन्फ़िगरेशन प्रक्रिया को देखेंगे।

कर्बरोस शब्दावली

टिकट (टिकट) - सर्वर पर प्रमाणीकरण के लिए क्लाइंट को जारी किया गया अस्थायी डेटा, जिस पर आवश्यक सेवा स्थित है।
क्लाइंट नेटवर्क (उपयोगकर्ता, होस्ट या सेवा) में एक निश्चित इकाई है जो केर्बरोस से टिकट प्राप्त कर सकता है।
मुख्य वितरण केंद्र (केडीसी) - एक सेवा जो केर्बरोस टिकट जारी करती है।
एक दायरे एक नेटवर्क है जिसका उपयोग केर्बोस द्वारा किया जाता है, जिसमें केडीसी सर्वर और कई क्लाइंट होते हैं। नाम क्षेत्र संवेदनशील है, आमतौर पर ऊपरी मामले में वर्तनी और डोमेन नाम से मेल खाता है।
प्रिंसिपल एक क्लाइंट के लिए एक अनूठा नाम है जिसके लिए केर्बरोस प्रमाणीकरण की अनुमति है। इसे रूट [/ उदाहरण] @REALM के रूप में लिखा गया है।

Kerberos सेटिंग्स फ़ाइलें

सर्वर पर:

/etc/krb5kdc/kdc.conf - KDC सेटिंग

क्लाइंट और सर्वर पर:

/etc/kbr5.conf - प्रमाणीकरण सर्वर सेटिंग्स (स्थानों, डोमेन नाम और अन्य सेटिंग्स का विवरण)

काम के माहौल को स्थापित करना

पहले आपको उस वातावरण को तैनात करने की आवश्यकता है जिसमें प्रमाणीकरण किया जाएगा। ऐसा करने का सबसे आसान तरीका एक ही सबनेट पर दो वर्चुअल मशीनें लेना है। एक वर्चुअल मशीन (यह हमारा सर्वर होगा) पर कुछ उबंटू स्थापित करने के लिए पर्याप्त है, और फिर इसे क्लोन करके क्लाइंट प्राप्त करें। लेख लिखते समय, मैंने ताजा Ubuntu 12.10 (x86) और VMWare वर्चुअल मशीन का उपयोग किया। वर्चुअल मशीनों के लिए नेटवर्क पर एक-दूसरे को देखना आसान बनाने के लिए, यह नेटवर्क कार्ड्स को ब्रिजेड मोड पर स्विच करने के लायक है।
महत्वपूर्ण! सुनिश्चित करें कि क्लाइंट और सर्वर पर समय सिंक्रनाइज़ है, यह केर्बोस के लिए सही ढंग से काम करने के लिए आवश्यक है।

नेटवर्क सेटअप

Kerberos क्लाइंट डोमेन नाम से अपने सर्वर की तलाश करते हैं, इसलिए आपको DNS को कॉन्फ़िगर करने और यह सुनिश्चित करने की आवश्यकता है कि सर्वर नाम सफलतापूर्वक हल हो गए हैं। हमारे उदाहरण में, सर्वर डोमेन नाम / etc / मेजबानों में दर्ज करने के लिए पर्याप्त है, जो मैंने किया था। नेटवर्क आरेख नीचे दिखाया गया है।

आवश्यक पैकेज स्थापित करें

सर्वर पर हमें चाहिए:

krb5-kdc - KDC सेवा
krb5-admin-server - करबरोस प्रशासनिक सर्वर (यह उपयोगकर्ता खातों की निगरानी करता है)
krb5-pkinit - प्रमाणपत्र प्रमाणीकरण के लिए कर्बेरॉस एक्सटेंशन मॉड्यूल

निम्नलिखित पैकेज क्लाइंट पर स्थापित होने चाहिए:

krb5-user - क्लाइंट प्रमाणीकरण के लिए उपयोगिताओं का मूल सेट
krb5-config - Kerberos विन्यास फाइल
krb5-pkinit
libpam-krb5 - कर्बेरॉस प्रमाणीकरण का उपयोग करने के लिए PAM मॉड्यूल
PCcd, Openc, libengine-pkcs11-खोलताsl - टोकन के साथ काम करने के लिए आवश्यक पैकेज

पैकेज स्थापित करते समय, हमें डिफ़ॉल्ट सेटिंग्स के लिए कहा जाएगा, हम निम्नलिखित का उपयोग करेंगे:

डिफ़ॉल्ट क्षेत्र: AKTIV-TEST.RU
सर्वर नाम (व्यवस्थापक सर्वर और KDC): aktiv-test.ru (यह ग्राहक में / आदि / होस्ट में भी पंजीकृत है)
उपयोगकर्ता: testuser@AKTIV-TEST.RU

कर्बरोस को कॉन्फ़िगर करें

मूल सेटिंग्स

सर्वर पर पैकेज स्थापित करने के बाद, आपको कमांड के साथ दायरे को इनिशियलाइज़ करना होगा

$ sudo krb5_newrealm

और क्लाइंट पर - कॉन्फ़िगरेशन फ़ाइलों को अपडेट करें:

 $ sudo dpkg-reconfigure krb5-config

क्लाइंट और सर्वर पर भी /etc/krb5.conf के लिए निम्न पंक्तियाँ जोड़ें:

 [domain_realm] .aktiv-test.ru = AKTIV-TEST.RU aktiv-test.ru = AKTIV-TEST.RU

अब testuser नाम के सर्वर पर एक नया उपयोगकर्ता बनाएं

 $ sudo kadmin.local # username = testuser # password = test #        kadmin.local:$ addprinc testuser # ... kadmin.local:$ quit

क्लाइंट पर, अब आप जांच सकते हैं कि हमने नेटवर्क और केर्बरोस को सही तरीके से कॉन्फ़िगर किया है या नहीं:

 $ kinit testuser@AKTIV-TEST.RU #    $ klist #    ticket,        $ kdestroy

सार्वजनिक कुंजी प्रमाणीकरण कॉन्फ़िगर करें

काम करने के लिए पीकिट मॉड्यूल के लिए, हमें कुंजी जोड़े और क्लाइंट और सर्वर प्रमाण पत्र बनाने के लिए मिनी-सीए के रूप में ओपनसेल का उपयोग करना होगा।

सर्वर पर:

हम एक प्रमुख जोड़ी और हमारे "सीए" का प्रमाण पत्र बनाएंगे। यहां हम CA कुंजी उत्पन्न करेंगे और ओपनस्स्ल का उपयोग करके एक स्व-हस्ताक्षरित प्रमाण पत्र बनाएंगे। वास्तविक दुनिया में, कुंजी को स्वाभाविक रूप से गलत हाथों में गिरने से सुरक्षित रूप से संरक्षित करने की आवश्यकता होती है।

 $ openssl genrsa -out cakey.pem 2048 # ... $ openssl req -key cakey.pem -new -x509 -out cacert.pem # ...

हम केडीसी के लिए एक प्रमुख जोड़ी बनाएंगे, एक प्रमाण पत्र के लिए एक आवेदन और इसे अपने लिए लिखेंगे।
यहां हमें एक विशेष OpenSSL फ़ाइल एक्सटेंशन ( pkinit_extensions ) की आवश्यकता है, जो कि केर्बरोस में उपयोग किए गए प्रमाणपत्रों के अतिरिक्त क्षेत्रों को इंगित करेगा। विशेष रूप से, हम सेट करेंगे:

विस्तारित कुंजी उपयोग (ईकेयू) - एक पहचानकर्ता (ओआईडी) जो बताता है कि आप प्रमाण पत्र का उपयोग करने की योजना कैसे बनाते हैं
अन्य नाम - फ़ील्ड हमारे प्रिंसिपल को निर्दिष्ट करता है जिनके लिए प्रमाणपत्र जारी किया गया है

 $ openssl genrsa -out kdckey.pem 2048 #   $ openssl req -new -out kdc.req -key kdckey.pem #   $ REALM=AKTIV-TEST.RU; export REALM $ CLIENT=aktiv-test.ru; export CLIENT #   pkinit_extensions .    $ openssl x509 -req -in kdc.req -CAkey cakey.pem -CA cacert.pem -out kdc.pem -extfile pkinit_extensions -extensions kdc_cert –CAcreateserial

उसके बाद, निम्न फ़ाइलों को / var / lib / krb5kdc / पर स्थानांतरित करें:

kdc.pem
kdckey.pem
cacert.pem

सर्वर पर, सर्वर और CA की कुंजियों और प्रमाणपत्रों का उपयोग करने के लिए Kerberos सेटिंग्स (फ़ाइल /etc/krb5kdc/kdc.conf) संपादित करें:

 [kdcdefaults]    kdc_tcp_ports = 88    pkinit_identity = FILE:/var/lib/krb5kdc/kdc.pem,/var/lib/krb5kdc/kdckey.pem    pkinit_anchors = FILE:/var/lib/krb5kdc/cacert.pem [realms]    AKTIV-TEST.RU = {        database_name = /var/lib/krb5kdc/principal        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab        acl_file = /etc/krb5kdc/kadm5.acl        key_stash_file = /etc/krb5kdc/stash        max_life = 10h 0m 0s        max_renewable_life = 7d 0h 0m 0s        master_key_type = des3-hmac-sha1        supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3        default_principal_flags = +preauth    }

अगला, सर्वर पर, आपको हमारे उपयोगकर्ता के लिए पूर्व प्रमाणीकरण सक्षम करना होगा।

 $ kadmin.local kadmin.local$: modprinc +requires_preauth testuser

हम क्लाइंट पर आगे की कार्रवाई करेंगे

टोकन को प्रारूपित करें

 $ pkcs15-init --erase-card -p rutoken_ecp $ pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk "" $ pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk "" --so-pin "87654321" –finalize

हम टोकन पर आरएसए 2048 बिट्स की एक प्रमुख जोड़ी उत्पन्न करेंगे और एक प्रमाण पत्र आवेदन बनाएंगे। यह ध्यान रखना महत्वपूर्ण है कि आपके सिस्टम पर engine_pkcs11.so और openc-pkcs11.so पुस्तकालयों के पथ भिन्न हो सकते हैं, इसलिए आपको पहले उनके स्थान की जांच करनी चाहिए।

 #      ID  ,     $ pkcs15-init -G rsa/2048 --auth-id 02 --id 42 --label "testuser's key" --public-key-label "testuser's public key" # ... $ openssl #  multiarch- opensc-pkcs11.so  engine_pkcs11.so      OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/openssl/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:opensc-pkcs11.so (dynamic) Dynamic engine loading support [Success]: SO_PATH:/usr/lib/openssl/engines/engine_pkcs11.so [Success]: ID:pkcs11 [Success]: LIST_ADD:1 [Success]: LOAD [Success]: MODULE_PATH:opensc-pkcs11.so Loaded: (pkcs11) pkcs11 engine OpenSSL> req -engine pkcs11 -new -key 1:42 -keyform engine -out client.req -subj "/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=dev/CN=testuser/emailAddress=testuser@mail.com" engine "pkcs11" set. PKCS#11 token PIN: OpenSSL> quit

उसके बाद, हम client.req एप्लिकेशन फ़ाइल प्राप्त करेंगे, जिसे सर्वर पर रखा जाना चाहिए और CA पर आधारित उपयोगकर्ता प्रमाणपत्र लिखना होगा:

 $ REALM=AKTIV-TEST.RU; export REALM $ CLIENT=testuser; export CLIENT $ openssl x509 -CAkey cakey.pem -CA cacert.pem -req -in client.req -extensions client_cert -extfile pkinit_extensions -out client.pem

फिर यह सर्वर और केडीसी को फिर से शुरू करने के लायक है:

 $ /etc/init.d/krb5-admin-server restart $ /etc/init.d/krb5-kdc restart

ओप्सनल के आउटपुट में, हमें client.pem क्लाइंट सर्टिफिकेट के साथ एक फाइल मिलती है। इसे ग्राहक मशीन में स्थानांतरित किया जाना चाहिए, जिसे / etc / krb5 / में रखा गया है और टोकन को लिखा गया है:

 $ pkcs15-init --store-certificate client.pem --auth-id 02 --id 42 --format pem

अंत में, हमें केर्बरोस कॉन्फ़िगरेशन फ़ाइल में एक सेटिंग बनाने की आवश्यकता है जो यह बताएगी कि प्रमाणीकरण के लिए किस डेटा का उपयोग करना है (हमारे मामले में, यह सीए प्रमाणपत्र है और पीकेसीएस # 11 मॉड्यूल के लिए पथ)। MIT Kerberos प्रलेखन में विभिन्न पैरामीटर हैं जो आपको टोकन पर प्रमाणीकरण डेटा की पसंद को कॉन्फ़िगर करने की अनुमति देते हैं, हमारे मामले में हम केवल PKCS # 11 मॉड्यूल निर्दिष्ट करते हैं, क्योंकि इस स्थिति में यह पर्याप्त है।

 [libdefaults] default_realm = AKTIV-TEST.RU #     pkinit_anchors = FILE:/etc/krb5/cacert.pem #    PKCS#11 pkinit_identities = PKCS11:/usr/lib/opensc-pkcs11.so

अगर हम टोकन से डेटा का उपयोग करके क्लाइंट पर टिकट प्राप्त कर सकते हैं, तो जांचें:

 $ kinit testuser #        PIN-   $ klist

Kerberos का उपयोग करके PAM प्रमाणीकरण को कॉन्फ़िगर करना

इससे पहले, क्लाइंट मशीन स्थापित करते समय, हमने libpam-krb5 पैकेज स्थापित किया था। जब हम लॉग-इन करते हैं, तो सिस्टम प्रमाणीकरण (उदाहरण के लिए, लॉगिन, लाइटमैड, आदि) का उपयोग करने वाले अनुप्रयोगों के साथ यह हमें सर्बेरोस के साथ प्रमाणित करने में मदद करेगा। PAM मॉड्यूल कनेक्ट करने के लिए, बस कमांड चलाएँ

 $ sudo pam-auth-update

और संवाद में आवश्यक प्रमाणीकरण मॉड्यूल का चयन करें। अधिक ठीक-ट्यूनिंग के लिए, आप /etc/pam.d/common-auth फ़ाइल में देख सकते हैं और इसे इच्छानुसार संपादित कर सकते हैं। फ़ाइल संरचना मैंने पिछले लेख में वर्णित की थी।

निष्कर्ष

खातों के भंडारण और वितरण के केंद्रीकृत निर्माण के साथ केंद्रीकृत प्रमाणीकरण के लिए करबरोस प्रोटोकॉल का उपयोग (उदाहरण के लिए, OpenLDAP पर आधारित एक निर्देशिका के माध्यम से) आपको "UNIX डोमेन" बनाने की अनुमति देता है, जिसमें पूरी तरह से मुफ्त सॉफ्टवेयर चलाने वाली मशीनें शामिल हैं। यह समाधान कॉर्पोरेट क्षेत्र में लागू किया जा सकता है, और स्मार्ट कार्ड प्रमाणीकरण कंपनी के नेटवर्क के प्रशासकों और उपयोगकर्ताओं दोनों के लिए एक अच्छा बोनस होगा।

स्मार्ट कार्ड Kerberos प्रमाणीकरण कॉन्फ़िगर करें

संक्षिप्त परिचय

कर्बरोस शब्दावली

Kerberos सेटिंग्स फ़ाइलें

सर्वर पर:

क्लाइंट और सर्वर पर:

काम के माहौल को स्थापित करना

नेटवर्क सेटअप

आवश्यक पैकेज स्थापित करें

सर्वर पर हमें चाहिए:

निम्नलिखित पैकेज क्लाइंट पर स्थापित होने चाहिए:

कर्बरोस को कॉन्फ़िगर करें

मूल सेटिंग्स

सार्वजनिक कुंजी प्रमाणीकरण कॉन्फ़िगर करें

सर्वर पर:

हम क्लाइंट पर आगे की कार्रवाई करेंगे

Kerberos का उपयोग करके PAM प्रमाणीकरण को कॉन्फ़िगर करना

निष्कर्ष

उपयोगी लिंक

More articles: