এসএসএইচ দিয়ে কার্বেরোস কীভাবে কাজ করে?

22

ধরুন আমার কাছে চারটি কম্পিউটার, ল্যাপটপ, সার্ভার 1, সার্ভার 2, কার্বেরোস সার্ভার রয়েছে:

  • আমি পিটিটিওয়াই বা এসএসএইচটি এল থেকে এস 1 ব্যবহার করে লগ ইন করছি, আমার ব্যবহারকারী নাম / পাসওয়ার্ড দিয়েছি
  • এস 1 আমি তখন এসএসএইচ থেকে এস 2 এ। কার্বারোস আমাকে অনুমোদন করায় কোনও পাসওয়ার্ডের প্রয়োজন নেই

সমস্ত গুরুত্বপূর্ণ এসএসএইচ এবং কেআরবি 5 প্রোটোকল এক্সচেঞ্জগুলি বর্ণনা করুন: "এল এস 1 এ ব্যবহারকারীর নাম পাঠায়", "কে প্রেরণে ... এস 1 তে" ইত্যাদি etc.

(এই প্রশ্নটি সম্প্রদায়ের সম্পাদিত হতে হবে; অ-বিশেষজ্ঞ পাঠকের জন্য দয়া করে এটি উন্নত করুন ))

linux  ssh  authentication  kerberos 
ফিল
সূত্র

উত্তর:

27

প্রথম লগইন:

  • এল এস 1 এ ব্যবহারকারীর নাম এবং এসএসএইচ প্রমাণীকরণের অনুরোধ প্রেরণ করে
  • এস 1 তাদের উপলব্ধ হিসাবে "পাসওয়ার্ড" সহ উপলভ্য এসএসএইচ প্রমাণীকরণ পদ্ধতিগুলি প্রদান করে
  • এল "পাসওয়ার্ড" বাছাই করে প্লেইন পাসওয়ার্ড এস 1 এ প্রেরণ করে
  • এস 1 পিএএম স্ট্যাকটিতে ব্যবহারকারীর নাম এবং পাসওয়ার্ড দেয়।
  • এস 1-তে, পাম (সাধারণত pam_krb5বা pam_sss) করবেরোস কেডিসি থেকে একটি টিজিটি (টিকিট-মঞ্জুরি দেওয়ার টিকিট) অনুরোধ করে।
    1. এস 1 টিজিটি প্রাপ্ত করে।
      • পুরানো শৈলী (পূর্বসূত্র ছাড়াই): এস 1 একটি এএস-আরইউ প্রেরণ করে এবং টিজিটিযুক্ত একটি এএস-আরইপি প্রাপ্ত করে।
      • নতুন স্টাইল (পূর্বসূত্র সহ): এস 1 বর্তমান পাসওয়ার্ড স্ট্যাম্প এনক্রিপ্ট করার জন্য আপনার পাসওয়ার্ড ব্যবহার করে এবং এটি-এএসইউ-র সাথে সংযুক্ত করে। সার্ভারটি টাইমস্ট্যাম্পটি ডিক্রিপ্ট করে এবং এটি অনুমোদিত সময়ের স্কিউয়ের মধ্যে রয়েছে তা যাচাই করে; যদি ডিক্রিপশন ব্যর্থ হয়, তত্ক্ষণাত পাসওয়ার্ডটি বাতিল হয়ে যায়। অন্যথায়, একটি টিজিটি AS-REP এ ফিরে আসে।
    2. আপনার পাসওয়ার্ড থেকে উত্পন্ন কীটি ব্যবহার করে এস 1 টিজিটি ডিক্রিপ্ট করার চেষ্টা করে। যদি ডিক্রিপশন সফল হয়, পাসওয়ার্ডটি সঠিক হিসাবে গৃহীত হবে।
    3. টিজিটি একটি নতুন তৈরি করা শংসাপত্রের ক্যাশে সঞ্চিত রয়েছে। (আপনি $KRB5CCNAMEসাইকাসটি খুঁজতে পরিবেশের পরিবর্তনশীলটি পরিদর্শন করতে পারেন , বা klistএর সামগ্রীগুলি তালিকাবদ্ধ করতে ব্যবহার করতে পারেন ))
  • অনুমোদনের চেকগুলি (কনফিগারেশন-নির্ভর) সম্পাদন করতে এবং সেশনটি খোলার জন্য এস 1 পিএএম ব্যবহার করে।
    • যদি pam_krb5অনুমোদনের পর্যায়ে ডাকা হয়, এটি ~/.k5loginবিদ্যমান কিনা তা পরীক্ষা করে । যদি এটি হয় তবে এটি অবশ্যই ক্লায়েন্ট কার্বেরোস অধ্যক্ষকে তালিকাবদ্ধ করবে। অন্যথায়, একমাত্র অনুমোদিত অধ্যক্ষ ।username@DEFAULT-REALM

দ্বিতীয় লগইন:

  • এস 1 এস ব্যবহার করে ব্যবহারকারীর নাম এবং এসএসএইচ রচনা অনুরোধ প্রেরণ করে
  • এস 2 উপলব্ধ অথ্যথ মেশগুলি প্রদান করে, তাদের মধ্যে একটি হ'ল "গাসাপি-উইথ মাইক" 1
  • এসডিসি কেডিসিতে টিজিটি-র সাথে একটি টিজিএস-আরইকিউ প্রেরণ করে এবং সেখান থেকে পরিষেবার টিকিট সহ একটি ডিজি-আরইপি প্রাপ্তির জন্য একটি টিকিটের জন্য অনুরোধ করে।host/s2.example.com@EXAMPLE.COM
  • এস 1 একটি "এপি-আরইকিউ" উত্পন্ন করে (প্রমাণীকরণের অনুরোধ) এবং এস 2 এ প্রেরণ করে।
  • এস 2 অনুরোধটি ডিক্রিপ্ট করার চেষ্টা করে। এটি সফল হলে প্রমাণীকরণ সম্পন্ন হয়। (পিএএম প্রমাণীকরণের জন্য ব্যবহৃত হয় না))
    • অন্যান্য প্রোটোকল যেমন এলডিএপি অনুরোধের সাথে অন্তর্ভুক্ত একটি "সেশন কী" দিয়ে আরও ডেটা ট্রান্সমিশন এনক্রিপ্ট করতে পছন্দ করতে পারে; তবে এসএসএইচ ইতিমধ্যে নিজের এনক্রিপশন স্তরটি নিয়ে আলোচনা করেছে।
  • যদি প্রমাণীকরণ সাফল্য পায়, এস 2 অনুমোদনের চেক সম্পাদন করতে এবং এস 1 এর মতো সেশনটি খোলার জন্য পিএএম ব্যবহার করে।
  • যদি শংসাপত্রের ফরওয়ার্ডিং সক্ষম করা থাকে এবং টিজিটির কাছে "ফরওয়ার্ডযোগ্য" পতাকা থাকে, তবে এস 1 ব্যবহারকারীর টিজিটি-র একটি অনুলিপি ("ফরোয়ার্ড" পতাকা সেট সহ) অনুরোধ করে এবং এটি এস 2 এ প্রেরণ করে, যেখানে এটি একটি নতুন ক্যাশে সঞ্চিত হয়। এটি পুনরাবৃত্তির কার্বেরোস-অনুমোদনযুক্ত লগইনগুলিকে অনুমতি দেয়।

মনে রাখবেন আপনি স্থানীয়ভাবেও টিজিটি পেতে পারেন। লিনাক্সে, আপনি এটি ব্যবহার করে এটি করতে পারেন kinit, তারপরে ব্যবহার করে সংযুক্ত করুন ssh -K। উইন্ডোজের জন্য, আপনি যদি উইন্ডোজ এডি ডোমেনে লগ ইন করেন তবে উইন্ডোজ আপনার জন্য এটি করে; অন্যথায়, এমআইটি কার্বেরোস ব্যবহার করা যেতে পারে। পুটি 0.61 উইন্ডোজ (এসএসপিআই) এবং এমআইটি (জিএসএসপিআই) উভয়ই সমর্থন করে যদিও আপনাকে অবশ্যই ফরওয়ার্ডিং (প্রতিনিধি) ম্যানুয়ালি সক্ষম করতে হবে।

1 gssapi-keyex টিও সম্ভব তবে এটি অফিসিয়াল ওপেনএসএসএইচে স্বীকৃত হয়নি।

grawity
সূত্র
আপনি কেডিসির পাসওয়ার্ড, টিজিটি এবং প্রতিক্রিয়ার মধ্যে সম্পর্কের বিষয়ে বিস্তারিত বলতে পারেন? এটি স্পষ্ট নয় যে প্যাম কীভাবে পাসওয়ার্ডটি সঠিক কিনা তা স্থির করে।
ফিল
দ্রষ্টব্য: এই বাক্যটি ভুল: "এস 1 টিজিএস-আরইকিউ প্রেরণ করে এবং টিজিটি সমন্বিত একটি টিজিএস-আরইপি প্রাপ্ত করে।" ভুল হয়েছে কারণ টিজিটি AS_REP এর অংশ হিসাবে এসেছে। একটি সার্ভিস টিকিট TGS_REPn
jouell
1
ওপেনএসএইচ-এর সাম্প্রতিক সংস্করণগুলির কী এক্সচেঞ্জ রয়েছে। আমি মনে করি 4.2p1 হ'ল প্যাচগুলি প্রথম সংস্করণ। ( sxw.org.uk/computing/patches/openssh.html )
কুইনার
না তারা না। সেগুলি তৃতীয় পক্ষের প্যাচগুলি। এটাই আমি "অফিসিয়াল
ওপেনএসএসএইচ
0

দীর্ঘ গল্পের সংক্ষিপ্ত বিবরণ রাখার জন্য: আদর্শভাবে, কার্বেরোস টিকিটগুলি আপনার টার্মিনালে (এল), kinitকমান্ড সহ বা স্থানীয় লগইন ক্রমের অংশ হিসাবে তথাকথিত "একক সাইন-অন" সেটআপে পাওয়া উচিত। রিমোট সিস্টেমগুলি (এস 1, এস 2) তখন পাসওয়ার্ড প্রম্পট ছাড়াই অ্যাক্সেসযোগ্য হবে। "টিকিট ফরোয়ার্ডিং" নামে পরিচিত একটি প্রযুক্তি নিয়োগের মাধ্যমে একটি শৃঙ্খলাবদ্ধ অ্যাক্সেস (এল → এস 1 → এস 2) সম্ভব হবে। এই ধরনের একটি সেটআপের জন্য বিশেষত কেডিসিটি টার্মিনাল (এল) থেকে সরাসরি অ্যাক্সেসযোগ্য হয়।

মাধ্যাকর্ষণ দ্বারা অন্য উত্তর বিশদ এই পদ্ধতির ব্যাখ্যা করে।

yrk
সূত্র
-2

এখানে কেবল অপ্রকাশিত পদক্ষেপটি হ'ল এস 1 এর একটি প্যাম মডিউল রয়েছে যা আপনার শংসাপত্রগুলি একটি সম্পাদন করতে ব্যবহার করে kinitএবং আপনাকে কে (ক্লায়েন্ট প্রমাণীকরণ) থেকে টিকিট মঞ্জুরি দেয়। তারপরে, যখন আপনি এসএসএচ থেকে এস 2 তে কার্বেরোস প্রমাণীকরণ ব্যবহার করেন, তখন একটি ক্লায়েন্ট পরিষেবা প্রমাণীকরণ হয়। সমস্ত ক্লান্তিকর এক্সচেঞ্জের বার্তা বার্তার মাধ্যমে যাওয়ার সুবিধা আমি দেখতে পাচ্ছি না।

-vvvআপনি যদি প্রতিটি বার্তা দেখতে চান এবং কার্বেরোসের উইকিপিডিয়া বিবরণটি পড়তে চান তবে আপনার ssh কমান্ডটিতে একটি নিক্ষেপ করুন ।

themel
সূত্র
2
এমন একটি প্রশ্নের উত্তরে যা বিশদ জিজ্ঞাসা করে "আমি বিশদ বিবরণ দিয়ে লাভ দেখছি না" আমার কাছে বেশ অভদ্র বলে মনে হয়।
ম্যাসিমো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.