Martin-Luther-Universität Halle-Wittenberg

content4

Weiteres

Login für Redakteure

libpam-pkcs11

libpam-pkcs11 - ein PAM-Modul für X.509-Zertifikat-basierte Nutzerauthentifizierung

libpam-pkcs11 ermöglicht die zertifikatsbasierte Authentifizierung, indem es den im Zertifikat enthaltenen Schlüssel durch eine Signaturoperation mit dem privaten Schlüssel des Nutzers verifiziert. Das Zertifikat und der enthaltene Schlüssel werden über PCKS#11-Module vom System bzw. vom Nutzer erfragt, z.B. durch Verwendung einer Smartcard und Zugriff über geeignete PKCS#11-Bibliotheken. Ebenfalls durch Aufruf von PKCS#11-Bibliotheksfunktionen für die Signaturfunktion wird das Vorhandensein des privaten Schlüssels -- z.B. durch eine Operation in der Smartcard mit dem dort hinterlegten privaten Schlüssel - überprüft und somit der Nutzer authentifiziert.

Die Separierung der Nutzer nach Autorisation kann natürlich nicht allein durch Überprüfung des Zertifikats und des zugehörigen SecretKeys erfolgen, da beides vom Nutzer sleber - z.B. mit der Smartcard - vorgelegt wird. Deshalb werden gültige und für die Authentifizierung zugelassene Zertifikate anhand der Signatur durch Prüfung mit einem hinterlegtem CA-Schlüssel erkannt. Weiterhin kann die Autorisierung durch die Mapper weiter eingeschränkt werden.


Weitere Infos auf der Maintainer-Seite   

libpam-pkcs#11 authentifiziert die Nutzer anhand des Zertifikats, benötigt demzufolge für das System eine Zuordnung des Zertifikats zum Systemnutzer.  Hierfür setzt libpam-pkcs11 verschiedene Mapper ein.

Die Mapper zur Zuordnung des Zertifkats zum Systemnutzer greifen auf verschiedene Datenquellen zurück. Für den Einsatz im Umfeld der Universität kommt nur die zentralisierte Verwaltung der Nutzer und dafür passende Mapper in Betracht. Beschreibung Mapper

TODO: Auswertung der Zertifikat-Revoke-Listen (CRLs).

libpam-pkcs11 - Erweiterung für den Einsatz an der MLU Halle-Wittenberg

Neu:
In der aktuellen Version 0.6 o.h.  (heißt jetzt wieder pam_pkcs11) wurden unten benannte Änderungen in die offizielle Version aufgenommen. Es besteht also kein weiterer Bedarf für das Einspielen der Patches.

Alt:
Die Version 0.5.3 besitzt einen eingeschränkten LDAP-Mapper. Es fehlen folgende Funktionen:

  • keine Angabe mehrerer LDAP-Server möglich (nachteilig im Sinne der Ausfallsicherheit)
  • keine verschlüsselte Datenübertragung. Es werden zwar keine Passworte, sondern Zertifikate erfragt, allerdings erlaubt das Abhören des Netzverkehrs eine mögliche Auswertung des Nutzerverhaltens, z.B. welcher Nutzer sich an welchem System zu einem bestimmten Zeitpunkt einloggt. Außerdem wird, falls für die Abfrage des Zertifkats kein anonymous-Bind zum LDAP-Server möglich ist, das in diesem Falle erforderliche DN-Passwort im Klartext übertragen, falls nicht auf Authentifiuierung mittels CRAM-MD5 o.ä. ausgewichen werden kann.
  • nur ein Zertifikat pro Nutzer möglich

Die genannten Funktionalitäten wurden für die Version 0.5.3 nachgerüstet und stehen sowohl im Quelltext, als Patch oder als Debian-Paket zur Verfügung.

Zum Seitenanfang