Làm cách nào tôi có thể thiết lập xác thực SSH thẻ thông minh?

Tôi muốn có thể SSH vào máy của mình bằng Thẻ thông minh Gemalto .NET làm phương thức xác thực. Làm thế nào điều này có thể được thực hiện trên máy Fedora 13 (hoặc kiểu Red Hat chung)?

Đây là những bước thô mà tôi nghĩ là cần thiết:

1. Giấy chứng nhận cung cấp cho thẻ thông minh (và có thể là CA để cấp nó?)
2. Nhận chứng chỉ vào thẻ thông minh
3. Định cấu hình máy chủ SSH để cho phép xác thực thẻ thông minh và định cấu hình để sử dụng chứng chỉ / CA cụ thể
4. Ứng dụng khách SSH có hỗ trợ thẻ thông minh (thêm điểm cho Windows miễn phí)

Trình điều khiển Gemalto bây giờ là nguồn mở tôi tin. Họ có mã nguồn trên trang web của họ.

Bạn sẽ cần phải định cấu hình pammô-đun (Tôi không chắc chắn cách thực hiện việc này, nhưng mã chắc chắn là có). Tôi tưởng tượng pamcấu hình sẽ yêu cầu ánh xạ một nguyên tắc chứng chỉ đến id người dùng cục bộ.

GDM Tôi tin rằng bây giờ hỗ trợ thẻ thông minh, nhưng tôi không chắc nó phát hiện ra nó như thế nào. Tôi sẽ cố gắng tìm kiếm điều này sau (cách dễ nhất có lẽ là chỉ nhìn vào gdmmã nguồn).

Tất nhiên điều này tất cả yêu cầu pcscdvà libpcsclitephải được cài đặt. Bạn cũng sẽ cần phải sao chép libgtop11dotnet.sovào /usr/lib.

Tôi muốn giới thiệu kerberos. MIT sản xuất máy khách và máy chủ krb5.

vwduder, bạn có thể giới thiệu một đầu đọc thẻ thông minh và một nguồn thẻ tuân thủ Trin-201 không?

http://csrc.nist.gov/publications/fips/fips201-1/FIPS-201-1-chng1.pdf

Tôi có một bản sao trên máy chủ của riêng mình, nhưng tôi không đủ phổ biến trên stacktrace này vào lúc này để chia sẻ nó với bạn. Ở trên chỉ kém tin cậy hơn một chút so với các máy chủ của chúng tôi, vì vậy bạn có thể sẽ có được nó từ họ;)

[sửa] Bây giờ tôi đã đủ nổi tiếng!

http://www.colliertech.org/state/FIPS-201-1-chng1.pdf

Khi sử dụng các khóa RSA, 1) và 2) là không đáng kể, vì như chúng ta sẽ thấy trong 3) chứng chỉ thực tế không liên quan trong bối cảnh này. Chỉ cần truy cập cacert.org hoặc tạo chứng chỉ tự ký và bạn đã hoàn tất.

Đối với 3) bạn sẽ cần trích xuất khóa công khai của mình và cài đặt nó trong $ HOME / .ssh / ủy quyền. Hãy chú ý đến quyền sở hữu tập tin và quyền! (700 cho .ssh, 600 cho ủy quyền). Xác thực khóa công khai trên toàn máy chủ không được khuyến khích nhưng để lại như một bài tập cho những bộ óc tò mò.

Đối với 4), bạn nên xem xét PuTTY SC ( http://www.joebar.ch/puttysc/ ) hoặc -preferingly- PuTTY-CAC ( http://www.risacher.org/putty-cac/ ) để cải thiện PuTTY SC với thuật toán trích xuất khóa công khai tốt hơn và cũng bao gồm hỗ trợ Kerberos-GSSAPI từ nhánh phát triển của PuTTY.

Tôi đã tạo một video để hiển thị để sử dụng thẻ thông minh với máy chủ Linux bằng PuttySC và SecureCRT . Bạn có thể xem tại đây: Cách SSH bằng Thẻ thông minh của bạn

Tôi không giải thích cách cung cấp chứng chỉ trong thẻ, nhưng nếu bạn làm vậy, hãy nhớ khóa quản trị viên của thẻ nên được thay đổi bằng Hệ thống quản lý thẻ. Sẽ dễ dàng hơn cho bạn rất nhiều nếu công ty của bạn cung cấp cho bạn một thẻ thông minh để bạn không phải lo lắng về phần này.

Khi bạn đã cung cấp thẻ, bạn cần trích xuất khóa chung, sau đó thêm nó vào ~ / .sshd / ủy quyền.

Để kết nối với máy chủ, bạn có thể sử dụng các công cụ như PuttySC hoặc SecureCRT. Bạn sẽ cần lấy thư viện PSKC # 11 cho thẻ (từ nhà sản xuất thẻ thông minh hoặc phiên bản nguồn mở). Cấu hình công cụ SSH với thư viện, nó sẽ có thể đọc nó và tìm chứng chỉ.

Khi bạn xác thực, công cụ sẽ nhắc bạn mã PIN thẻ thông minh.