OpenSSH Certificates
Wir alle lieben SSH! Und wir verwenden brav Benutzerschlüssel, installiert als sogenannte "authorized keys". Allerdings verleiten gut gemeinte Anleitungen im Internet zu einer bequemen, aber eher fragwürdigen Nutzung von SSH-Schlüsseln.
Es stellen sich folgende Fragen: Wie werden private Schlüssel sicher gespeichert? Smartcards nutzen? Wie wird die Authentizität der öffentlichen Schlüssel gewährleistet? Wie werden obsolete Schlüssel wieder zuverlässig entfernt? Wie erreicht man 2FA?
Eine Lösung sind nur kurzzeitig gültige SSH-Schlüsselzertifikate, welche einem Benutzer nach erfolgreicher Mehrfaktor-Authentifizierung ausgestellt werden. Eine solche Implementierung wird vorgestellt und erläutert, warum eine Nutzung von Smartcards für den Einsatz in einer grossen RZ-Umgebung nicht geeignet ist.
Michael Ströder
Michael Ströder ist seit mehr als 20 Jahren als freiberuflicher IT-Berater tätig. Seine Schwerpunkte sind Identity & Access Management (IAM), LDAP-basierte Verzeichnisdienste und angewandte Verschlüsselung.
Auf diesen Gebieten arbeitet er auch an freier Software: Æ-DIR, web2ldap und OATH-LDAP
Sponsoren
