[devel] ScreenLock и kerberos

[devel] ScreenLock и kerberos

[Max Ivanov]

Хочу вынести на обсуждение следующий вопрос.
Сейчас ПП идет семимильными шагами в сторону Kerberos, это хорошо, но
есть  проблема с скринсейверами.

Когда они лочат экран, то введеный пользователем пороль прогоняется
через PAM. Сложность в том, что в случае с Kerberos обычно включают
verify_ap_req_nofail в  krb5.conf (иначе клиент будет слепо доверять
любому представившемуся KDC), что ведет к необходимости иметь
/etc/krb5.keytab с ключами принципала host/<hostname>.<domainname>.
Естественно этот файл имеет права 0400, чтобы юзеры не могли его
потырить и использовать в корыстных целях.

В итоге всё выливается в то, что когда скринсейвер прогоняет пароль
через PAM он делает это от имени пользователя, что ведет к
невозможности его проверки, т.к. /etc/krb5.keytab не доступен на
чтение.

Для себя решил проблему просто - в /etc/pam.d/krb4-kscreensaver делаю
"auth include system-auth-ldap", т.е. проверяю пароль через ldap, где
никаких особых прав пользователю не надо.

Нигде баги не вешаю, т.к. непонятно куда вешать, как это будет решено
в дистрибутиве не знаю, но сейчас из коробки оно нерабочее, учитывая
что lock экранов в корпоративной среде дело не только
распространенное, но и обязательное проблему считаю довольно
серьезной.

Re: [devel] ScreenLock и kerberos

[Michael Shigorin]

On Wed, Aug 19, 2009 at 12:03:18PM +0400, Max Ivanov wrote:
> Нигде баги не вешаю, т.к. непонятно куда вешать

На Desktop/bugs хотя бы, и блокер на 17727.

PS: собираются (в личную почту/жабер на данном этапе)
мнения _системных администраторов_ о тезисе:

---
Никакой энтерпрайзовости в AD уже давно нет, ее используют даже
в офисах на 10 человек. То, что LDAP, а тем более LDAP+Krb
используют реже, объясняется сложностью их настройки в сравнении
с AD для админа средней руки.
---

Пожалуйста, не надо обсуждения здесь (в community@ оно уже
оказалось нежеланным).  Но поскольку мнения уже поступают,
то мне стало интересно, чьё видение вопроса ближе к реальности.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] ScreenLock и kerberos

[Paul Wolneykien]

В Срд, 19/08/2009 в 12:03 +0400, Max Ivanov пишет:
> Естественно этот файл имеет права 0400, чтобы юзеры не могли его
> потырить и использовать в корыстных целях.
> 
> В итоге всё выливается в то, что когда скринсейвер прогоняет пароль
> через PAM он делает это от имени пользователя, что ведет к
> невозможности его проверки, т.к. /etc/krb5.keytab не доступен на
> чтение.

  Эта проблема касается не только хранителей экрана, но и прочих
программ. Например, прокси-сервера squid. Существует по крайней мере 2
общепринятых пути решения этой проблемы:

  1. использование вспомогательных программ (helpers), работающих с
правами суперпользователя (suid root);

  2. использование дополнительного ключевого файла, путь к которому
определяется значением переменной KRB5_KTNAME в окружении процесса.

  В последнем случае использование вспомогательных программ тоже не
исключается, однако получаемые ими привилегии ниже, чем у
суперпользователя.
  Возможно, что имеет смысл разработать схему защиты, аналогичную той,
которая используется в tcb: для доступа к секретной информации процесс
должен обладать привилегиями групп auth и shadow, одна из которых
приобретается посредством sgid.

  Павел.

Re: [devel] ScreenLock и kerberos

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 356 bytes --]

On Wed, Aug 19, 2009 at 12:03:18PM +0400, Max Ivanov wrote:
> Для себя решил проблему просто - в /etc/pam.d/krb4-kscreensaver делаю
> "auth include system-auth-ldap", т.е. проверяю пароль через ldap, где
> никаких особых прав пользователю не надо.
Есть специального вида system-auth-multi.  Пробует kerberos,
потом ldap.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]