简单地说:我想确保我的authenticationpath在整个path上被encryption。
(例如,从笔记本电脑→SSH主机;从SSH主机→authentication服务器;从SSH主机→其他主机encryption)
我在跑步
这被configuration为一旦连接到login服务器,就使用Kerberos票据来authentication我们环境中的服务器。 即从login服务器到环境中的其他服务器的SSH。
login服务器是我最不确定的组件。 它configuration如下:
[domain/mydom.example.com] cache_credentials = True krb5_store_password_if_offline = True krb5_realm = MYDOM.EXAMPLE.COM ipa_domain = mydom.example.com id_provider = ipa auth_provider = ipa access_provider = ipa ipa_hostname = loginhost.mydom.example.com chpass_provider = ipa ipa_server = _srv_, ipaserver.mydom.example.com ldap_tls_cacert = /etc/ipa/ca.crt [sssd] services = nss, pam, ssh, sudo config_file_version = 2 domains = mydom.example.com [nss] [pam] [sudo] [autofs] [ssh] [pac] 最简单的方法是开始捕获ipaserver.mydom.example.com数据包,侦听来自loginhost.mydom.example.com的stream量。
例如,使用tshark(wireshark的控制台版本),您可以同时进行拦截和分析:
tshark -w /tmp/t.pcapng -W n -P -V -x host loginhost.mydom.example.com | tee /tmp/t.log
一旦你有t.log,你可以看看它。 除了SSSD发现LDAP服务器function的几个初始LDAP交换之外,其余的LDAP通信不应该由tsharkparsing,因为在LDAP与SASL GSSAPI绑定之后,它将被encryption。 一旦SSSD开始使用SASL GSSAPI,LDAP通信中的所有通信将被encryption和密封。
这是LDAPstream量。 SSHstream量分析可以用类似的方式完成。
要扩展abbra的答案 – SSSD不允许通过未encryption的stream进行身份validation。 因此,尽pipe您的身份数据(名称,UID,shell,homedir,..)在技术上可能是未encryption的,但您可以确定sssd永远不会通过电报以明文forms发送凭证。