OpenSSH Certificates
17:00 bis 17:50 in Raum W2
Michael Ströder
Wir alle lieben SSH! Und wir verwenden brav Benutzerschlüssel,
installiert als sogenannte »authorized keys«. Allerdings verleiten gut
gemeinte Anleitungen im Internet zu einer bequemen, aber eher
fragwürdigen Nutzung von SSH-Schlüsseln.
Es stellen sich folgende Fragen:
Wie werden private Schlüssel sicher gespeichert?
Smartcards nutzen?
Wie funktioniert die Nutzung auf mehreren Clients und Gateways?
Wie wird die Authentizität der öffentlichen Schlüssel gewährleistet?
Wie werden obsolete Schlüssel wieder zuverlässig entfernt?
Wie erreicht man 2FA?
Eine Lösung sind nur kurzzeitig gültige SSH-Schlüsselzertifikate, welche
einem Benutzer nach erfolgreicher Mehrfaktor-Authentifizierung
ausgestellt werden. Eine solche Implementierung wird vorgestellt und
erläutert, warum eine Nutzung von Smartcards für den Einsatz in einer
grossen RZ-Umgebung nicht geeignet ist.
Vorwissen
Grundkenntnisse Unix/Linux und SSH-Nutzung
Über mich
Michael Ströder ist seit mehr als 20 Jahren als freiberuflicher IT-Berater tätig. Seine Schwerpunkte sind Identity & Access Management (IAM), LDAP-basierte Verzeichnisdienste und angewandte Verschlüsselung.
Auf diesen Gebieten arbeitet er auch an freier Software: Æ-DIR, web2ldap und OATH-LDAP