openSSH et certificat

Le
Kevin Denis
Bonjour,

openSSH propose depuis quelques versions l'utilisation de certificats
pour s'authentifier. La doc dispo sur le site d'openBSD ou
d'openSSH est extrêmement succinte:
http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-keygen&sektion=1
voir: CERTIFICATES

Google n'est pas du tout mon ami, car lorsqu'on cherche avec les mots
clés ssh et certificat on tombe sur quantité de docs qui confondent
allégrement un certificat avec une authent par clé RSA.

Avez vous mis ce genre de système en place, ou avez vous une doc
un peu plus fournie que la page de man?

Merci
--
Kevin
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Kevin Denis
Le #23173501
Le 02-03-2011, Kevin Denis
openSSH propose depuis quelques versions l'utilisation de certificats
pour s'authentifier. La doc dispo sur le site d'openBSD ou
d'openSSH est extrêmement succinte:
http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-keygen&sektion=1
voir: CERTIFICATES



Bon, finalement, avec le debug d'openssh et une aspirine, on s'en sort
1/ créer la clé de CA:
cd /root/certs/
ssh-keygen -f CAkey
2/ copier cette clé qqpart dans un fichier:
cat /root/certs/CAkey.pub > /root/certs/CAkeyfile
3/ editer sshd_config pour lui donner le fichier de clé CA
grep TrustedUserCAKeys /etc/ssh/sshd_config
TrustedUserCAKeys /root/certs/CAkeyfile
4/ créer un certificat utilisateur
ssh-keygen -f userkey
ssh-keygen -s /root/certs/CAkey -I joeID -n joe -V +2d userkey.pub
(un fichier userkey-cert.pub est généré)
5/ se logger sans mot de passe et sans conf cliente (ne pas donner
le fichier cert, mais le fichier de clé)
useradd joe
ssh -l joe -i /root/certs/userkey 127.0.0.1

Ca semble intéressant pour gérer les identités. On peut aussi vérifier
la clé du serveur sshd par le client via la CA (même procédé).

Il est dommage que les certifs ne soient pas X.509 (ça permettrait une
super gestion centralisée des users) mais ça semble super intéressant
à mettre en oeuvre.
Et bien sur les certifs, clés etc peuvent être mis sur des tokens
compatibles P11.
--
Kevin
Damien Wyart
Le #23173671
* Kevin Denis
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une
super gestion centralisée des users) mais ça semble super intéressant
à mettre en oeuvre.



Pour info au cas où tu ne connaîtrais pas :
http://www.roumenpetrov.info/openssh/

--
DW
Kevin Denis
Le #23173661
Le 03-03-2011, Damien Wyart
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une
super gestion centralisée des users) mais ça semble super intéressant
à mettre en oeuvre.



Pour info au cas où tu ne connaîtrais pas :
http://www.roumenpetrov.info/openssh/



Je préfère les dépots officiels aux patchs
externes (perennité, revues de codes, tout ça).
Ceci dit, c'est en tombant sur sa page que j'ai voulu mettre
ça en place avec la version des certificats maison d'openSSH.
--
Kevin
Benoit Izac
Le #23173991
Bonjour,

le 03/03/2011 à 18:47, Kevin Denis a écrit dans le message

2/ copier cette clé qqpart dans un fichier:
cat /root/certs/CAkey.pub > /root/certs/CAkeyfile



UUOC ? cp marche plus ?

--
Benoit Izac
Kevin Denis
Le #23174031
Le 03-03-2011, Benoit Izac
cat /root/certs/CAkey.pub > /root/certs/CAkeyfile



UUOC ? cp marche plus ?



On peut utiliser plusieurs clés CA dans le fichier.
(mais UUOC pour le coup, oui)
--
Kevin
Publicité
Poster une réponse
Anonyme