Могу ли я использовать Kerberos для EAP без получения сервером RADIUS ничего, кроме билета?

342
Demi

Я хотел бы использовать Kerberos с FreeRADIUS, но я не хочу, чтобы FreeRADIUS имел доступ к каким-либо паролям (хешированным или другим), особенно потому, что такие пароли могут не существовать, если используется аутентификация с помощью смарт-карты. Я бы предпочел, чтобы FreeRADIUS имел доступ только к билетам Kerberos. Как я могу это сделать?

2

1 ответ на вопрос

4
Arran Cudbard-Bell

Нет, к сожалению нет. Это не является ограничением в FreeRADIUS, поскольку нет метода EAP, который изначально поддерживает Kerberos. Единственный способ выполнить вход в Kerberos с помощью RADIUS - это использовать метод EAP, который предоставляет учетные данные в открытом виде, а затем использовать их для расшифровки TGT на сервере RADIUS.

Я оплакивал этот факт в течение последних 10 лет, так как единый вход между сетевым уровнем и приложениями был бы потрясающим. К сожалению, в отрасли, по-видимому, так много инерции, что мы вряд ли когда-либо получим такой метод EAP, тем более что мы преодолели пик Kerberos.

Может ли FreeRADIUS быть пропатчен для использования специального метода? Demi 5 лет назад 0
Или билет может быть использован для шифрования одноразового пароля? Demi 5 лет назад 0
Похоже, что есть [старый черновик для EAP-GSS] (https://tools.ietf.org/html/draft-aboba-pppext-eapgss-12), по крайней мере. (Мне также жаль, что никто не заботится о Kerberos, и вместо этого хочет GSS-EAP.) grawity 5 лет назад 0
@ Деми: Если у вас есть смарт-карты, они должны иметь возможность обрабатывать EAP-TLS или какой-либо другой механизм на основе клиентских сертификатов _directly_, нет? grawity 5 лет назад 0
Вам потребуется интеграция со стороны соискателя для устройства чтения смарт-карт, но да, нет абсолютно никаких причин, по которым система на основе смарт-карт не будет работать с EAP-TLS. Arran Cudbard-Bell 5 лет назад 2
@Demi Regarding custom EAP-Methods. No patching necessary in terms of the server core. FreeRADIUS loads pluggable modules (like rlm_eap) on startup, and you can easily develop your own EAP methods (rlm_eap_kerberos) if you wanted to try something custom. I don't know what the state of pluggable modules is on the wpa_supplicant side though. Arran Cudbard-Bell 5 лет назад 0
@ grawity Да, они обязательно должны быть (вы можете использовать один и тот же сертификат и закрытый ключ для входа в EAP-TLS и AD, верно?). Demi 5 лет назад 0
Для EAP-TLS - встроенный соискатель Windows наследует поддержку смарт-карт от системы. wpa_supplicant некоторое время поддерживал PKCS # 11, теперь он принимает URL `pkcs11:` непосредственно в поле certificate =. Так что, пока сертификат имеет необходимый extendedKeyUsage (что он, вероятно, уже делает), то он _should_ работает. grawity 5 лет назад 0

Похожие вопросы