Kerberos et interopérabilité

Transcription

1 INRIA Saclay - Ile de France Mardi 24 mai 2010

2 Plan Kerberos, kezaco? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

3 Plan Kerberos, kezaco? Introduction Fonctionnement 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

4 Présentation Kerberos, kezaco? Introduction Fonctionnement Description Kerberos est un protocole d authentification, sécurisé, de type SSO Caractéristiques authentification sécurisé SSO

5 Présentation Kerberos, kezaco? Introduction Fonctionnement Description Kerberos est un protocole d authentification, sécurisé, de type SSO Caractéristiques authentification sécurisé SSO

6 Histoire Kerberos, kezaco? Introduction Fonctionnement projet Athena projet commun MIT, DEC et IBM X Windows Kerberos 4 fin des années 1980 utilisation au sein d AFS Kerberos première spécification

7 Histoire Kerberos, kezaco? Introduction Fonctionnement projet Athena projet commun MIT, DEC et IBM X Windows Kerberos 4 fin des années 1980 utilisation au sein d AFS Kerberos première spécification

8 Histoire Kerberos, kezaco? Introduction Fonctionnement projet Athena projet commun MIT, DEC et IBM X Windows Kerberos 4 fin des années 1980 utilisation au sein d AFS Kerberos première spécification

9 Standardisation Kerberos, kezaco? Introduction Fonctionnement RFCs 1993 : RFC 1510 (kerberos) 2005 : RFC 3961 (encryption) 2005 : RFC 3962 (AES) 2005 : RFC 4120 (kerberos) 2005 : RFC 4121 (GSSAPI) Foire aux acronymes GSSAPI SPNEGO

10 Standardisation Kerberos, kezaco? Introduction Fonctionnement RFCs 1993 : RFC 1510 (kerberos) 2005 : RFC 3961 (encryption) 2005 : RFC 3962 (AES) 2005 : RFC 4120 (kerberos) 2005 : RFC 4121 (GSSAPI) Foire aux acronymes GSSAPI SPNEGO

11 Concepts Kerberos, kezaco? Introduction Fonctionnement Royaume Principal unité d organisation de Kerberos en général, MON.ROYAUME = mon.domaine entité correspondant à un utilisateur ou une machine utilisateur@mon.royaume utilisateur/instance@mon.royaume Key Distribution Center élément central d un royaume base de tous les principaux du royaume serveur d authentification et de distribution des clés

12 Concepts Kerberos, kezaco? Introduction Fonctionnement Royaume Principal unité d organisation de Kerberos en général, MON.ROYAUME = mon.domaine entité correspondant à un utilisateur ou une machine utilisateur@mon.royaume utilisateur/instance@mon.royaume Key Distribution Center élément central d un royaume base de tous les principaux du royaume serveur d authentification et de distribution des clés

13 Concepts Kerberos, kezaco? Introduction Fonctionnement Royaume Principal unité d organisation de Kerberos en général, MON.ROYAUME = mon.domaine entité correspondant à un utilisateur ou une machine utilisateur@mon.royaume utilisateur/instance@mon.royaume Key Distribution Center élément central d un royaume base de tous les principaux du royaume serveur d authentification et de distribution des clés

14 Plan Kerberos, kezaco? Introduction Fonctionnement 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

15 Principe Kerberos, kezaco? Introduction Fonctionnement Acteurs client service KDC Actes le client s authentifie auprès du KDC le client demande un ticket de service au KDC le client accède au service

16 Principe Kerberos, kezaco? Introduction Fonctionnement Acteurs client service KDC Actes le client s authentifie auprès du KDC le client demande un ticket de service au KDC le client accède au service

17 Authentification Kerberos, kezaco? Introduction Fonctionnement

18 Demande de ticket de service Introduction Fonctionnement

19 Accès au service Kerberos, kezaco? Introduction Fonctionnement

20 Points remarquables Introduction Fonctionnement Points forts le mot de passe ne circule jamais limitation des attaques par rejeu Points faibles authentification sujette à attaque hors-ligne

21 Points remarquables Introduction Fonctionnement Points forts le mot de passe ne circule jamais limitation des attaques par rejeu Points faibles authentification sujette à attaque hors-ligne

22 Pré-authentification Kerberos, kezaco? Introduction Fonctionnement

23 Plan Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

24 Ticket vs mot de passe Authentifier, mais comment? Authentifier, mais quoi? Authentification Kerberos utilisation d un ticket support nécessaire au niveau du client et du protocole SSO et sécurité Validation de mot de passe utilisation d un mot de passe pas besoin de support spécifique ni SSO ni sécurité

25 Ticket vs mot de passe Authentifier, mais comment? Authentifier, mais quoi? Authentification Kerberos utilisation d un ticket support nécessaire au niveau du client et du protocole SSO et sécurité Validation de mot de passe utilisation d un mot de passe pas besoin de support spécifique ni SSO ni sécurité

26 Authentification Kerberos Authentifier, mais comment? Authentifier, mais quoi?

27 Validation de mots de passe Authentifier, mais comment? Authentifier, mais quoi?

28 Plan Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

29 Site web Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? Negociate Extension protocole Support serveur Apache + mod_auth_kerb IIS Support client Gecko (Firefox,...) Webkit (Safari,...) IE

30 Site web Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? Negociate Extension protocole Support serveur Apache + mod_auth_kerb IIS Support client Gecko (Firefox,...) Webkit (Safari,...) IE

31 Site web Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? Negociate Extension protocole Support serveur Apache + mod_auth_kerb IIS Support client Gecko (Firefox,...) Webkit (Safari,...) IE

32 Système de fichiers réseau Authentifier, mais comment? Authentifier, mais quoi? NFS support GSSAPI dans NFSv4, backporté en NFSv3 authentification, chiffrement et contrôle d intégrité CIFS implicite au sein d un domaine Active Directory

33 Système de fichiers réseau Authentifier, mais comment? Authentifier, mais quoi? NFS support GSSAPI dans NFSv4, backporté en NFSv3 authentification, chiffrement et contrôle d intégrité CIFS implicite au sein d un domaine Active Directory

34 Ouverture de session utilisateur Authentifier, mais comment? Authentifier, mais quoi? Session distante OpenSSH telnet Session locale via pam sous Linux implicite au sein d un domaine Active Directory

35 Ouverture de session utilisateur Authentifier, mais comment? Authentifier, mais quoi? Session distante OpenSSH telnet Session locale via pam sous Linux implicite au sein d un domaine Active Directory

36 Autres applications Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? Support GSSAPI ftp (proftpd,...) mail (dovecot,... SASL (OpenLDAP, Postfix, etc...)

37 Plan Kerberos, kezaco? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

38 Différentes implémentations MIT Heimdal implémentation originale gros effort de nettoyage en cours multi-plateforme conséquence des restrictions US à l export base Kerberos pour Samba 4 Microsoft depuis windows 2000 extension protocole : PAC

39 Différentes implémentations MIT Heimdal implémentation originale gros effort de nettoyage en cours multi-plateforme conséquence des restrictions US à l export base Kerberos pour Samba 4 Microsoft depuis windows 2000 extension protocole : PAC

40 Différentes implémentations MIT Heimdal implémentation originale gros effort de nettoyage en cours multi-plateforme conséquence des restrictions US à l export base Kerberos pour Samba 4 Microsoft depuis windows 2000 extension protocole : PAC

41 Différentes intégrations Linux clients ligne de commande (kinit, klist,...) clients graphique configuration PAM MacOS implémentation MIT incluse interface graphique native Windows application natives : support intégré à Active Directory certaines application tierces utilisent l implémentation MIT

42 Différentes intégrations Linux clients ligne de commande (kinit, klist,...) clients graphique configuration PAM MacOS implémentation MIT incluse interface graphique native Windows application natives : support intégré à Active Directory certaines application tierces utilisent l implémentation MIT

43 Différentes intégrations Linux clients ligne de commande (kinit, klist,...) clients graphique configuration PAM MacOS implémentation MIT incluse interface graphique native Windows application natives : support intégré à Active Directory certaines application tierces utilisent l implémentation MIT

44 Différents comportements Canonicalisation des principaux de service

45 Différents comportements Principaux de service sans canonicalisation

46 Différents algorithmes de chiffrement Heimdal et MIT AES, RC4, 3DES,... DES, mais plus par défaut Microsoft 2000 : DES 2003R2 : RC : AES

47 Différents algorithmes de chiffrement Heimdal et MIT AES, RC4, 3DES,... DES, mais plus par défaut Microsoft 2000 : DES 2003R2 : RC : AES

48 Différents environnements Base de comptes pas de comptes utilisateur base de comptes Posix base de comptes Windows Royaumes Kerberos royaume unique royaumes multiples

49 Différents environnements Base de comptes pas de comptes utilisateur base de comptes Posix base de comptes Windows Royaumes Kerberos royaume unique royaumes multiples

50 Plan Kerberos, kezaco? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

51 Identifier une resource : problème Identités multiples pour une même resource addresse(s) IP nom(s) local nom(s) pleinement qualifié Objectif du protocole Authentification réciproque

52 Identifier une resource : problème Identités multiples pour une même resource addresse(s) IP nom(s) local nom(s) pleinement qualifié Objectif du protocole Authentification réciproque

53 Identifier une resource : solutions Canonicalisation Résolution du nom en principal coté client Alias Résolution du nom en principal coté serveur Multiplication des principaux Multiple principaux pour un même service

54 Identifier une resource : solutions Canonicalisation Résolution du nom en principal coté client Alias Résolution du nom en principal coté serveur Multiplication des principaux Multiple principaux pour un même service

55 Identifier une resource : solutions Canonicalisation Résolution du nom en principal coté client Alias Résolution du nom en principal coté serveur Multiplication des principaux Multiple principaux pour un même service

56 Domaine Kerberos multiples : problème Problème accéder à une ressource dans un autre domaine obtenir un ticket pour cette ressource de son KDC impossible de s authentifier auprès de ce KDC

57 Service du domaine Kerberos, kezaco?

58 Service d un autre domaine, sans confiance

59 Domaine Kerberos multiples : solution Solution Relation de confiance entre royaumes Kerberos

60 Relation de confiance

61 Service d un autre domaine, avec confiance

62 Confiance entre implémentations différentes Heimdal et MIT Aucun souci Microsoft et non-microsoft configuration base de registre sur chaque client configuration relation de confiance : type de la clé protocole transport (TCP conseillé)

63 Confiance entre implémentations différentes Heimdal et MIT Aucun souci Microsoft et non-microsoft configuration base de registre sur chaque client configuration relation de confiance : type de la clé protocole transport (TCP conseillé)

64 Duplication des données : problème Plusieurs listes d utilisateur compte(s) utilisateur principaux Kerberos Plusieurs mots de passe mot de passe lié au compte mot de passe Kerberos

65 Duplication des données : problème Plusieurs listes d utilisateur compte(s) utilisateur principaux Kerberos Plusieurs mots de passe mot de passe lié au compte mot de passe Kerberos

66 Duplication des données : solutions Synchronisation Les données d un système sont répliquées vers un autre protocole LDAP pour les annuaires protocole kadmin pour Kerberos Intégration Deux système utilisent une même source de données stockage LDAP pour la base Kerberos

67 Duplication des données : solutions Synchronisation Les données d un système sont répliquées vers un autre protocole LDAP pour les annuaires protocole kadmin pour Kerberos Intégration Deux système utilisent une même source de données stockage LDAP pour la base Kerberos

68 Duplication des données : solutions (suite) Délégation Une fonctionalité d un des systèmes est réalisée par un autre authentification pass-through dans OpenLDAP greffon krb5smb pour OpenLDAP altsecurityidentities dans Active Directory Remplacement Un système remplace un autre Active Directory + winbind Active Directory + SFU LDAP + Kerberos + Samba 4?

69 Duplication des données : solutions (suite) Délégation Une fonctionalité d un des systèmes est réalisée par un autre authentification pass-through dans OpenLDAP greffon krb5smb pour OpenLDAP altsecurityidentities dans Active Directory Remplacement Un système remplace un autre Active Directory + winbind Active Directory + SFU LDAP + Kerberos + Samba 4?

70 Plan Kerberos, kezaco? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

71 Kerberos, c est bien(tm) Avantages multiples authentification forte standardisation SSO de bout en bout

72 Mais pas trivial Complexité certaine objectif ambitieux hétérogénéité environnement Non insurmontable peu d impact sur l utilisateur final évolution de la spécification

73 Mais pas trivial Complexité certaine objectif ambitieux hétérogénéité environnement Non insurmontable peu d impact sur l utilisateur final évolution de la spécification

74 Et surtout pas suffisant Solutions plausibles Active Directory + émulation POSIX Active Directory + annuaire LDAP + base Kerberos Contexte utilisateurs systèmes d exploitation modes d administration

75 Et surtout pas suffisant Solutions plausibles Active Directory + émulation POSIX Active Directory + annuaire LDAP + base Kerberos Contexte utilisateurs systèmes d exploitation modes d administration