openssh
OpenSSH, eine freie Version der SSH Tools
OpenSSH, ein sicherer Ersatz für Telnet, Rlogin, FTP und andere Remote-Zugriffsprogramme, ermöglicht den Remote-Zugriff mit verschlüsselter Datenübertragung. Weitere Informationen hierzu findet man auf der Seite http://www.openssh.com/
OpenSSH - Erweiterung für den Einsatz an der MLU Halle-Wittenberg
Der Einsatz von OpenSSH bietet sich natürlich im Umfeld der Universität an, da hier oft auf Dienste anderer Rechner, z.B. von den Pools auf die Server, Parallelrechner, etc., zugegriffen wird. Da über das SSH-Protokoll eine abhörsichere Verbindung aufgebaut und gleichzeitig eine sichere Nutzerauthentifikation erfolgt, bietet sich OpenSSH als sichere Lösung an.
Für den entsprechenden Komfort und Sicherheit sollte die Nutzer-Authentifikation nach Möglichkeit nicht über Passworte erfolgen. Sicherer ist die Verwendung von Public-Key Authentifikation. Wird hierbei auch noch der auf der Smartcard abgelegte Schlüssel zur Authentifizierung genutzt, lässt sich mit einer Smartcard sowohl die Anmeldung am Rechnersystem als auch die Remote-Zugriff auf weitere Systeme gewährleisten.
In Verbindung mit dem ssh-agenten zur Aufbewahrung der PIN für den Smartcard-Zugriff im Speicher des Computers lässt sich auch eine clientseitige SSO-Lösung aufbauen, bei der die PIN jeweils nur einmal eingegeben werden muss, und - so lange die Smartcard nicht entfernt wird - beliebig oft Verbindungen zu anderen Systemen aufgebaut werden können, ohne dass die PIN erneut eingegeben werden muss.
In Verbindung mit den x509-Patches erlaubt OpenSSH auch die Abfrage der erlaubten Zertifikate über eine entsprechende Serveranbindung.
Patches und Erweiterungen
Die OpenSSH enthält in ihrer jetzigen Version nur rudimentäre Unterstützung für die Benutzung von Smartkarten.
Eine Möglichkeit der Anbindung besteht in der Verwendung der PKCS#11-Patches für OpenSSH in Verbindung mit der PKCS11-Helper Bibliothek. Hierbei gibt es jedoch noch kleinere Probleme mit dem SSH-Agenten, da dieser bisher die Karte für den exklusiven Gebrauch locked und demzufolge keine parallel laufenden Operationen unter Nutzung der Smartcard mit anderen Programmen (die nicht über PKCS#11 laufen) möglich sind. Außerdem ist die Verwendung eines Helper-Programms zur Abfrage der PIN notwendig. Eine Option zum Cachen der PIN ist vorgesehen.
Eine andere sinnvollere Erweiterung besteht in der Verwendung von X.509-Zertifikaten .
Für Token, deren PKCS#11-Unterstützung über OpenSC funktioniert, wurde die in OpenSSH enthaltene opensc-Unterstützung erweitert und um nürtzliche Features ergänzt:
- Cachen der PIN im Agenten
- Kein Lock der Smartcard (diese kann entfernt, wieder eingesetzt oder von anderen Programmen genutzt werden, falls gerade keine Authentifizierrungsoperation erfolgt)
- Abfrage der Pin nur falls notwendig
- Übergabe der Pin beim Login durch pam-pkcs#11, so dass diese nur einmalig einzugeben ist
Debian-Pakete stehen im Downloadbereich und im Repository zur Verfügung.
Es wurden für die einzelnen Patches (mit und ohne PKCS#11-helper und X.509-Patches) Packages erstellt.
Eine genauere Beschreibung folgt.