openSSH propose depuis quelques versions l'utilisation de certificats
pour s'authentifier. La doc dispo sur le site d'openBSD ou
d'openSSH est extrêmement succinte:
http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-keygen&sektion=1
voir: CERTIFICATES
Google n'est pas du tout mon ami, car lorsqu'on cherche avec les mots
clés ssh et certificat on tombe sur quantité de docs qui confondent
allégrement un certificat avec une authent par clé RSA.
Avez vous mis ce genre de système en place, ou avez vous une doc
un peu plus fournie que la page de man?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Kevin Denis
Le 02-03-2011, Kevin Denis a écrit :
openSSH propose depuis quelques versions l'utilisation de certificats pour s'authentifier. La doc dispo sur le site d'openBSD ou d'openSSH est extrêmement succinte: http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-keygen&sektion=1 voir: CERTIFICATES
Bon, finalement, avec le debug d'openssh et une aspirine, on s'en sort 1/ créer la clé de CA: cd /root/certs/ ssh-keygen -f CAkey 2/ copier cette clé qqpart dans un fichier: cat /root/certs/CAkey.pub > /root/certs/CAkeyfile 3/ editer sshd_config pour lui donner le fichier de clé CA grep TrustedUserCAKeys /etc/ssh/sshd_config TrustedUserCAKeys /root/certs/CAkeyfile 4/ créer un certificat utilisateur ssh-keygen -f userkey ssh-keygen -s /root/certs/CAkey -I joeID -n joe -V +2d userkey.pub (un fichier userkey-cert.pub est généré) 5/ se logger sans mot de passe et sans conf cliente (ne pas donner le fichier cert, mais le fichier de clé) useradd joe ssh -l joe -i /root/certs/userkey 127.0.0.1
Ca semble intéressant pour gérer les identités. On peut aussi vérifier la clé du serveur sshd par le client via la CA (même procédé).
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une super gestion centralisée des users) mais ça semble super intéressant à mettre en oeuvre. Et bien sur les certifs, clés etc peuvent être mis sur des tokens compatibles P11. -- Kevin
Le 02-03-2011, Kevin Denis <kevin@nowhere.invalid> a écrit :
openSSH propose depuis quelques versions l'utilisation de certificats
pour s'authentifier. La doc dispo sur le site d'openBSD ou
d'openSSH est extrêmement succinte:
http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-keygen&sektion=1
voir: CERTIFICATES
Bon, finalement, avec le debug d'openssh et une aspirine, on s'en sort
1/ créer la clé de CA:
cd /root/certs/
ssh-keygen -f CAkey
2/ copier cette clé qqpart dans un fichier:
cat /root/certs/CAkey.pub > /root/certs/CAkeyfile
3/ editer sshd_config pour lui donner le fichier de clé CA
grep TrustedUserCAKeys /etc/ssh/sshd_config
TrustedUserCAKeys /root/certs/CAkeyfile
4/ créer un certificat utilisateur
ssh-keygen -f userkey
ssh-keygen -s /root/certs/CAkey -I joeID -n joe -V +2d userkey.pub
(un fichier userkey-cert.pub est généré)
5/ se logger sans mot de passe et sans conf cliente (ne pas donner
le fichier cert, mais le fichier de clé)
useradd joe
ssh -l joe -i /root/certs/userkey 127.0.0.1
Ca semble intéressant pour gérer les identités. On peut aussi vérifier
la clé du serveur sshd par le client via la CA (même procédé).
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une
super gestion centralisée des users) mais ça semble super intéressant
à mettre en oeuvre.
Et bien sur les certifs, clés etc peuvent être mis sur des tokens
compatibles P11.
--
Kevin
openSSH propose depuis quelques versions l'utilisation de certificats pour s'authentifier. La doc dispo sur le site d'openBSD ou d'openSSH est extrêmement succinte: http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-keygen&sektion=1 voir: CERTIFICATES
Bon, finalement, avec le debug d'openssh et une aspirine, on s'en sort 1/ créer la clé de CA: cd /root/certs/ ssh-keygen -f CAkey 2/ copier cette clé qqpart dans un fichier: cat /root/certs/CAkey.pub > /root/certs/CAkeyfile 3/ editer sshd_config pour lui donner le fichier de clé CA grep TrustedUserCAKeys /etc/ssh/sshd_config TrustedUserCAKeys /root/certs/CAkeyfile 4/ créer un certificat utilisateur ssh-keygen -f userkey ssh-keygen -s /root/certs/CAkey -I joeID -n joe -V +2d userkey.pub (un fichier userkey-cert.pub est généré) 5/ se logger sans mot de passe et sans conf cliente (ne pas donner le fichier cert, mais le fichier de clé) useradd joe ssh -l joe -i /root/certs/userkey 127.0.0.1
Ca semble intéressant pour gérer les identités. On peut aussi vérifier la clé du serveur sshd par le client via la CA (même procédé).
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une super gestion centralisée des users) mais ça semble super intéressant à mettre en oeuvre. Et bien sur les certifs, clés etc peuvent être mis sur des tokens compatibles P11. -- Kevin
Damien Wyart
* Kevin Denis in fr.comp.os.bsd:
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une super gestion centralisée des users) mais ça semble super intéressant à mettre en oeuvre.
Pour info au cas où tu ne connaîtrais pas : http://www.roumenpetrov.info/openssh/
-- DW
* Kevin Denis <kevin@nowhere.invalid> in fr.comp.os.bsd:
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une
super gestion centralisée des users) mais ça semble super intéressant
à mettre en oeuvre.
Pour info au cas où tu ne connaîtrais pas :
http://www.roumenpetrov.info/openssh/
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une super gestion centralisée des users) mais ça semble super intéressant à mettre en oeuvre.
Pour info au cas où tu ne connaîtrais pas : http://www.roumenpetrov.info/openssh/
-- DW
Kevin Denis
Le 03-03-2011, Damien Wyart a écrit :
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une super gestion centralisée des users) mais ça semble super intéressant à mettre en oeuvre.
Pour info au cas où tu ne connaîtrais pas : http://www.roumenpetrov.info/openssh/
Je préfère les dépots officiels aux patchs externes (perennité, revues de codes, tout ça). Ceci dit, c'est en tombant sur sa page que j'ai voulu mettre ça en place avec la version des certificats maison d'openSSH. -- Kevin
Le 03-03-2011, Damien Wyart <damien.wyart@free.fr> a écrit :
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une
super gestion centralisée des users) mais ça semble super intéressant
à mettre en oeuvre.
Pour info au cas où tu ne connaîtrais pas :
http://www.roumenpetrov.info/openssh/
Je préfère les dépots officiels aux patchs
externes (perennité, revues de codes, tout ça).
Ceci dit, c'est en tombant sur sa page que j'ai voulu mettre
ça en place avec la version des certificats maison d'openSSH.
--
Kevin
Il est dommage que les certifs ne soient pas X.509 (ça permettrait une super gestion centralisée des users) mais ça semble super intéressant à mettre en oeuvre.
Pour info au cas où tu ne connaîtrais pas : http://www.roumenpetrov.info/openssh/
Je préfère les dépots officiels aux patchs externes (perennité, revues de codes, tout ça). Ceci dit, c'est en tombant sur sa page que j'ai voulu mettre ça en place avec la version des certificats maison d'openSSH. -- Kevin
Benoit Izac
Bonjour,
le 03/03/2011 à 18:47, Kevin Denis a écrit dans le message :
2/ copier cette clé qqpart dans un fichier: cat /root/certs/CAkey.pub > /root/certs/CAkeyfile
UUOC ? cp marche plus ?
-- Benoit Izac
Bonjour,
le 03/03/2011 à 18:47, Kevin Denis a écrit dans le message
<slrnimvovb.ffs.kevin@slackwall.local.tux> :
2/ copier cette clé qqpart dans un fichier:
cat /root/certs/CAkey.pub > /root/certs/CAkeyfile
