Kann ich Kerberos für EAP verwenden, ohne dass der RADIUS-Server etwas anderes als ein Ticket erhält?

422
Demi

Ich möchte Kerberos gerne mit FreeRADIUS verwenden, aber ich möchte nicht, dass FreeRADIUS Zugriff auf alle Passwörter hat (gehashed oder anderweitig), insbesondere weil diese Passwörter möglicherweise nicht vorhanden sind, wenn die Smartcard-Authentifizierung verwendet wird. Ich würde es sehr begrüßen, wenn FreeRADIUS nur Zugang zu Kerberos-Tickets hätte. Wie kann ich das machen?

2

1 Antwort auf die Frage

4
Arran Cudbard-Bell

Nein, leider nicht. In FreeRADIUS gibt es keine Einschränkung, da es keine EAP-Methode gibt, die Kerberos nativ unterstützt. Die einzige Möglichkeit, Kerberos mit RADIUS anzumelden, besteht darin, eine EAP-Methode zu verwenden, die die Anmeldeinformationen im Klartext bereitstellt, und dann die TGT auf dem RADIUS-Server zu entschlüsseln.

Ich beklage diese Tatsache in den letzten 10 Jahren, da SSO zwischen der Netzwerkschicht und den Anwendungen fantastisch wäre. Leider scheint es in der Branche so viel Trägheit zu geben, dass es unwahrscheinlich ist, dass eine solche EAP-Methode jemals erreicht wird, zumal wir die Spitze von Kerberos hinter uns haben.

Könnte FreeRADIUS gepatcht werden, um eine maßgeschneiderte Methode zu verwenden? Demi vor 5 Jahren 0
Oder kann das Ticket zur Verschlüsselung eines einmaligen Passworts verwendet werden? Demi vor 5 Jahren 0
Es scheint zumindest [einen alten Entwurf für EAP-GSS] (https://tools.ietf.org/html/draft-aboba-pppext-eapgss-12) zu geben. (Ich finde es auch bedauerlich, dass sich niemand für Kerberos interessiert und stattdessen GSS-EAP möchte.) grawity vor 5 Jahren 0
@Demi: Wenn Sie über Smartcards verfügen, sollten diese in der Lage sein, EAP-TLS oder einen anderen auf einem Client-Zertifikat basierenden Mechanismus _directly_ zu verarbeiten, nein? grawity vor 5 Jahren 0
Sie benötigen eine Supplicant-Side-Integration für den Chipkartenleser, aber es gibt absolut keinen Grund, warum ein Smartcard-basiertes System nicht mit EAP-TLS funktioniert. Arran Cudbard-Bell vor 5 Jahren 2
@Demi Zu benutzerdefinierten EAP-Methoden. Kein Patching in Bezug auf den Server-Core erforderlich. FreeRADIUS lädt beim Start steckbare Module (wie rlm_eap), und Sie können ganz einfach Ihre eigenen EAP-Methoden (rlm_eap_kerberos) entwickeln, wenn Sie etwas benutzerdefiniertes ausprobieren möchten. Ich weiß jedoch nicht, wie der Zustand von steckbaren Modulen auf der Seite von wpa_supplicant ist. Arran Cudbard-Bell vor 5 Jahren 0
@grawity Ja, das sollte absolut sein (Sie können dasselbe Zertifikat und denselben privaten Schlüssel sowohl für die EAP-TLS- als auch für die AD-Anmeldung verwenden, oder?). Demi vor 5 Jahren 0
Für EAP-TLS - Der in Windows integrierte Supplicant erbt die Smartcard-Unterstützung vom System. wpa_supplicant hat seit einiger Zeit die Unterstützung von PKCS # 11, jetzt akzeptiert er `pkcs11:` URLs direkt im Feld certificate =. Solange das Zertifikat über die erforderlichen extendedKeyUsage verfügt (was wahrscheinlich bereits der Fall ist), muss es _should_ funktionieren. grawity vor 5 Jahren 0

Verwandte Probleme