मैं स्मार्ट कार्ड एसएसएच प्रमाणीकरण कैसे स्थापित कर सकता हूं?

मैं प्रमाणीकरण विधि के रूप में एक Gemalto .NET स्मार्ट कार्ड का उपयोग करके अपनी मशीन में SSH करने में सक्षम होना चाहूंगा। यह फेडोरा 13 (या जेनेरिक रेड हैट) मशीन पर कैसे किया जा सकता है?

मुझे लगता है कि ये जरूरी कदम हैं:

1. स्मार्ट कार्ड के लिए प्रावधान प्रमाण पत्र (और संभवतः इसे जारी करने के लिए सीए?)
2. स्मार्ट कार्ड पर प्रमाण पत्र प्राप्त करें
3. स्मार्ट कार्ड प्रमाणीकरण की अनुमति देने के लिए SSH सर्वर को कॉन्फ़िगर करें और किसी विशेष प्रमाणपत्र / CA का उपयोग करने के लिए इसे कॉन्फ़िगर करें
4. एक SSH क्लाइंट जिसके पास स्मार्ट कार्ड सपोर्ट है (मुफ्त विंडोज आधारित एक के लिए अतिरिक्त अंक)

जेमल्टो ड्राइवर अब खुले स्रोत हैं जिनका मुझे विश्वास है। उनकी वेबसाइट पर स्रोत कोड है।

आपको pamमॉड्यूल को कॉन्फ़िगर करने की आवश्यकता होगी (मुझे यकीन नहीं है कि यह कैसे करना है, लेकिन कोड निश्चित रूप से वहां है)। मुझे लगता है कि pamकॉन्फ़िगरेशन के लिए स्थानीय उपयोगकर्ता आईडी के लिए एक प्रमाणपत्र सिद्धांत की मैपिंग की आवश्यकता होगी।

जीडीएम मेरा मानना ​​है कि अब स्मार्ट कार्ड का समर्थन करता है, लेकिन मुझे यकीन नहीं है कि यह कैसे पता लगाता है। मैं इसे बाद में देखने का प्रयास करूंगा (सबसे आसान तरीका शायद gdmस्रोत कोड पर झांकना है )।

बेशक यह सभी की आवश्यकता है pcscdऔर libpcscliteस्थापित किया जाना है। तुम भी कॉपी करने की आवश्यकता होगी libgtop11dotnet.soकरने के लिए /usr/lib।

मैं kerberos की सिफारिश करेंगे। MIT krb5 क्लाइंट और सर्वर का उत्पादन करता है।

vwduder, क्या आप स्मार्ट कार्ड रीडर और FIPS -2018 आज्ञाकारी कार्ड के स्रोत की सिफारिश कर सकते हैं?

http://csrc.nist.gov/publications/fips/fips201-1/FIPS-201-1-chng1.pdf

मेरे पास अपने स्वयं के सर्वर पर एक प्रति है, लेकिन मैं इस समय इस स्टैकट्रेस पर पर्याप्त रूप से लोकप्रिय नहीं हूं ताकि आप इसे साझा कर सकें। उपरोक्त केवल हमारे स्वयं के सर्वरों की तुलना में थोड़ा कम विश्वसनीय है, इसलिए आप इसे उनसे प्राप्त करने में सक्षम होंगे;)

[संपादित करें] मैं अब काफी लोकप्रिय हो गया हूं!

http://www.colliertech.org/state/FIPS-201-1-chng1.pdf

RSA कुंजियों का उपयोग करते समय, 1) और 2) तुच्छ होते हैं, क्योंकि जैसा कि हम 3 में देखेंगे) वास्तविक प्रमाण इस संदर्भ में अप्रासंगिक है। बस cacert.org पर जाएं या एक स्व-हस्ताक्षरित प्रमाणपत्र बनाएं और आप सभी तैयार हैं।

3 के लिए) आपको अपनी सार्वजनिक कुंजी निकालने और $ HOME / .ssh / अधिकृत_keys में स्थापित करने की आवश्यकता होगी। स्वामित्व और अनुमतियां दर्ज करने पर ध्यान दें! (.Ssh के लिए 700, अधिकृत_की के लिए 600)। होस्ट-वाइड सार्वजनिक कुंजी प्रमाणीकरण को हतोत्साहित किया जाता है लेकिन जिज्ञासु दिमाग के लिए एक अभ्यास के रूप में छोड़ दिया जाता है।

4 के रूप में) आपको PuTTY SC ( http://www.joebar.ch/puttysc/ ) या -pferferably- PuTTY-CAC ( http://www.risacher.org/putty-cac/ ) पर गौर करना चाहिए जो बेहतर बनाता है एक बेहतर सार्वजनिक कुंजी निष्कर्षण एल्गोरिथ्म के साथ PuTTY SC और PuTTY की विकास शाखा से Kerberos-GSSAPI समर्थन भी शामिल है।

मैंने PuttySC और SecureCRT का उपयोग कर लिनक्स सर्वर के साथ स्मार्ट कार्ड का उपयोग करने के लिए एक वीडियो बनाया । आप इसे यहां देख सकते हैं: अपने स्मार्ट कार्ड के साथ SSH कैसे करें

मैं यह नहीं समझाता हूं कि कार्ड में प्रमाण पत्र कैसे दिया जाए, लेकिन यदि आप करते हैं, तो याद रखें कि कार्ड प्रबंधन प्रणाली का उपयोग करके कार्ड की व्यवस्थापक कुंजी को बदल दिया जाना चाहिए। यह आपके लिए बहुत आसान होगा यदि आपकी कंपनी आपको स्मार्ट कार्ड प्रदान करती है ताकि आपको इस हिस्से के बारे में चिंता न करनी पड़े।

एक बार जब आप कार्ड का प्रावधान कर लेते हैं, तो आपको सार्वजनिक कुंजी निकालने की आवश्यकता होती है, फिर इसे ~ / .sshd / अधिकृत_की में जोड़ें।

सर्वर से कनेक्ट करने के लिए, आप PuttySC या SecureCRT जैसे टूल का उपयोग कर सकते हैं। आपको कार्ड के लिए PSKC # 11 पुस्तकालय (या तो स्मार्ट कार्ड निर्माता या एक ओपन सोर्स संस्करण से) प्राप्त करना होगा। लाइब्रेरी के साथ SSH टूल को कॉन्फ़िगर करें, इसे पढ़ने और प्रमाण पत्र खोजने में सक्षम होना चाहिए।

जब आप प्रमाणित करते हैं, तो उपकरण आपको स्मार्ट कार्ड पिन के लिए संकेत देगा।