Chciałbym móc połączyć się z SSH na moim komputerze za pomocą karty inteligentnej Gemalto .NET jako metody uwierzytelnienia. Jak można to zrobić na maszynie Fedora 13 (lub w ogólnym stylu Red Hat)?
Są to trudne kroki, które moim zdaniem są potrzebne:
- Zaświadczenie o dostarczeniu karty inteligentnej (i ewentualnie urzędzie certyfikacji w celu jej wydania?)
- Pobierz certyfikat na kartę inteligentną
- Skonfiguruj serwer SSH, aby zezwolić na uwierzytelnianie kart inteligentnych i skonfiguruj go tak, aby używał określonego certyfikatu / urzędu certyfikacji
- Klient SSH z obsługą kart inteligentnych (dodatkowe punkty za darmowy system Windows)
Poleciłbym Kerberos. MIT produkuje klienta i serwer krb5.
vwduder, czy mógłbyś polecić czytnik kart inteligentnych i źródło kart zgodnych z FIPS-201?
http://csrc.nist.gov/publications/fips/fips201-1/FIPS-201-1-chng1.pdf
Mam kopię na własnym serwerze, ale w tej chwili nie jestem wystarczająco popularna na tym stacktrace, aby się z tobą podzielić. Powyższe jest tylko nieco mniej niezawodne niż nasze własne serwery, więc prawdopodobnie będziesz w stanie je uzyskać;)
[edytuj] Jestem teraz wystarczająco popularny!
http://www.colliertech.org/state/FIPS-201-1-chng1.pdf
źródło
Podczas korzystania z kluczy RSA 1) i 2) są trywialne, ponieważ, jak zobaczymy w 3), rzeczywisty certyfikat nie ma znaczenia w tym kontekście. Po prostu przejdź do cacert.org lub wygeneruj samopodpisany certyfikat i wszystko gotowe.
W przypadku 3) musisz wyodrębnić swój klucz publiczny i zainstalować go w $ HOME / .ssh / author_keys. Zwróć uwagę na własność pliku i uprawnienia! (700 dla .ssh, 600 dla autoryzowanych_kluczy). Uwierzytelnianie kluczem publicznym na całym hoście jest odradzane, ale pozostawione jako ćwiczenie dla dociekliwych umysłów.
Jeśli chodzi o 4), powinieneś zajrzeć do PuTTY SC ( http://www.joebar.ch/puttysc/ ) lub - najlepiej - PuTTY-CAC ( http://www.risacher.org/putty-cac/ ), który poprawia PuTTY SC z lepszym algorytmem wyodrębniania klucza publicznego, a także zawiera obsługę Kerberos-GSSAPI z gałęzi programistycznej PuTTY.
źródło
Zrobiłem film, aby pokazać, jak używać karty inteligentnej z serwerem Linux, używając PuttySC i SecureCRT . Możesz to obejrzeć tutaj: Jak korzystać z SSH za pomocą karty inteligentnej
Nie wyjaśniam, jak udostępnić certyfikat na karcie, ale jeśli to zrobisz, pamiętaj, że klucz administratora karty powinien zostać zmieniony za pomocą Systemu zarządzania kartami. Będzie ci o wiele łatwiej, jeśli Twoja firma dostarczy Ci kartę inteligentną, abyś nie musiał się tym martwić.
Po przygotowaniu karty należy wyodrębnić klucz publiczny, a następnie dodać go do ~ / .sshd / author__key.
Aby połączyć się z serwerem, możesz użyć narzędzi takich jak PuttySC lub SecureCRT. Będziesz musiał uzyskać bibliotekę PSKC # 11 dla karty (od producenta karty inteligentnej lub wersji open source). Skonfiguruj narzędzie SSH z biblioteką, powinno być w stanie je odczytać i znaleźć certyfikat.
Po uwierzytelnieniu narzędzie wyświetli monit o podanie numeru PIN karty inteligentnej.
źródło