Smart Card - prihlaseni do site
Michal Dobes
dobes na tesnet.cz
Pondělí Červenec 29 09:47:06 CEST 2002
Vaclav Dvorsky wrote:
> rad bych se zeptal, jestli si nahodou nekdy nekdo nehral se Smart Card a
> Linuxem.
Jo, hral si. Nakonec jsem to zavrhl, protoze pro omezenost PAM systemu
jsem nedosahl pozadovaneho cile a nemel jsem cas to dal resit.
> Jednak bych to rad rozbehal primo pod Linuxem, ale take bych
> chtel rozchodit prihlasovani do Window(NT) s overovanim na Linux
> Serveru.
> Momentalne mam sit, kde stanice jsou na Windows NT a server (PDC) jim
> dela Linux se Sambou. Nove mam i klavesnice se cteckou cipovych karet,
> pro ktere zatim neni zadne rozumne vyuziti.
> Na strane stanice se bude pravdepodobne pouzivat SW Cyberflex Access,
> ktery umozni prihlaseni do Windows klasicky (jmeno + heslo) nebo s
> pouzitim Smart Card. Zatim je to pro mne novinka a tak nevim, co se bude
> dit pri prihlaseni se Smart Card - momentalne ani zadnou takovou kartu
> nemam. Predpokladam, ze probehne overeni primo v karte a pak pocitac
> posle neco serveru, ktery by ho mel pustit do site. Ja mam server s
> Linuxem a na to neni technicka podpora vubec pripravena.
> Nevite nekdo, co by melo byt na strane serveru nainstalovane a
> zprovoznene, aby to fungovalo?
Chcete slyset sladke tajemnstvi? Nepotrebujete na serveru vubec nic.
Pokud cena toho systemu nebyla takova, ze poslednich 5-6 radu v cene
je zanedbatelnych, tak na 99% v pripade Win NT4 to funguje tak,
ze sice probehne "bezpecne" overeni lokalni pres kartu, ale v dalsim
kroku se z karty precte v ni ulozene heslo k siti, a to se posle dal.
Zkratka misto jmena hesla zadate PIN a heslo se pri
uspechu vezme z karty a pouzije. Ma to aspon tu vyhodu, ze heslo
k siti je nagenerovano jako nahodny retezc na maximalni delku,
takze utok vuci nemu je slozitejsi.
Jsou i systemy, kde je to inteligentne a bezpecne po cele ceste,
vcetne multiplatformniho overovani (vetsinou to dneska podporuje
i linux), ale jejich soucasti byl i patch, co zmenil pulku
WinNT4.
Takze mate urcitou nadeji, ze vam to bude fungovat proti sambe.
Od Win2000 je to uz asi jinak, protoze tam se MS chlubi sirokou
podporou cipovych karet a certifikatu primo v systemu.
> Zatim jsem nenasel nikoho, kdo by o tom
> cokoli vedel a tak budu vdecny za jakekoli posunuti spravnym smerem.
Pro reseni v linuxu (ctecka pripojena k linuxu) a prihlasovani do
komputeru vcetne mozmeho vzdaleneho prihlasovani pres SSH+karta
si prostudujte Smartcard-Netlogin HOWTO:
http://home.zhwin.ch/~sri/smartcard_netlogin/Smartcard-Netlogin-HOWTO/t1.html
> karta: Cyberflex Access 32K - Java Card 2.1
> ctecka: Compaq Smart Card Keyboard SK-3320, cip GemCore 121
Jestli ta ctectka ma vystup na seriovy port, tak by to melo byl
pod linuxem bez problemu. Jestlize to komunikuje pres klabosnicovy
port, tak muzete cekat potize.
Karta by mela byt OK, tu podporuje vyse uvedeny projekt a spousta
dalsich.
Majkl
Další informace o konferenci Linux