RADIUS ja PAM Ilmari Puustjärvi

Autentikointi Käyttäjän (tai palvelun) identiteetin varmentamista Käyttäjän (tai palvelun) identiteetin varmentamista Vaihtoehtoisia termejä todennus, aidonnus ja yksilöinti Vaihtoehtoisia termejä todennus, aidonnus ja yksilöinti Osa arkipäivää Osa arkipäivää kumpikin osapuoli on varma toistensa identiteetistä Keskinäinen todennus: kumpikin osapuoli on varma toistensa identiteetistä

Autentikointi Todentamismenettelyjä Todentamismenettelyjä Käyttäjä tietää jotain ( salasana ) Käyttäjä tietää jotain ( salasana ) Käyttäjällä on hallussaan jotain ( älykortti ) Käyttäjällä on hallussaan jotain ( älykortti ) Jokin käyttäjän ominaisuus ( sormenjälki ) Jokin käyttäjän ominaisuus ( sormenjälki ) Menettelyillä omat heikkoutensa Menettelyillä omat heikkoutensa Salasana voidaan arvata Salasana voidaan arvata Älykortti voidaan varastaa Älykortti voidaan varastaa Sormenjälkiskanneri voi erehtyä Sormenjälkiskanneri voi erehtyä

Autentikointiprosessi Käyttäjän kirjautuminen Linux:iin Käyttäjän kirjautuminen Linux:iin 1. Käyttäjä syöttää käyttäjätunnuksen ja salasanan. 2. Järjestelmä kryptaa annetun salasanan ja vertaa kryptattua salasanaa /etc/shadow tiedostossa, annetun käyttäjätunnuksen kohdalla, olevaan kryptattuun salasanaan. 3. Jos kryptatut salasanat ovat identtiset, käyttäjän todennus onnistuu.

PAM Pluggable Authentication Modules Pluggable Authentication Modules Koostuu erilaisia toimintoja suorittavista moduuleista Koostuu erilaisia toimintoja suorittavista moduuleista Apukeino eri ohjelmille autentikoinnin suorittamiseksi Apukeino eri ohjelmille autentikoinnin suorittamiseksi Ohjelmien ja autentikointimenetelmien kehitys voidaan erottaa Ohjelmien ja autentikointimenetelmien kehitys voidaan erottaa

PAM - toiminta Sovelluksen rakentaja käyttää PAM API:a sovelluksen rakentamisessa Sovelluksen rakentaja käyttää PAM API:a sovelluksen rakentamisessa Sovellukset käyttävät moduuleja Sovellukset käyttävät moduuleja Moduulit käyttävät mekanimeja Moduulit käyttävät mekanimeja

PAM - toiminta Ohjelman käyttämät moduulit määritetään asetustiedostossa Ohjelman käyttämät moduulit määritetään asetustiedostossa /etc/pam.conf ( kaikille PAM –ohjelmille yhteinen ) /etc/pam.conf ( kaikille PAM –ohjelmille yhteinen ) /etc/pam.d/ohjelma_nimi ( ohjelmakohtainen ) /etc/pam.d/ohjelma_nimi ( ohjelmakohtainen ) Järjestelmänvalvoja voi päättää autentikointiskeeman sovelluskohtaisesti Järjestelmänvalvoja voi päättää autentikointiskeeman sovelluskohtaisesti Käyttämällä Useampaa moduulia, voidaan todennuksen vahvuutta lisätä Käyttämällä Useampaa moduulia, voidaan todennuksen vahvuutta lisätä

PAM – toiminta /etc/pam.conf /etc/pam.conf loginauthrequiredpam_unix_auth.so nowarn login sessionrequisitepam_unix_session.so loginaccountsufficientpam_unix_account.so loginpasswordoptionalpam_unix_passwd.so

RADIUS Remote Authentication Dial-in User Service Remote Authentication Dial-in User Service Tilaton palvelin/asiakaspohjainen autentikointiprotokolla Tilaton palvelin/asiakaspohjainen autentikointiprotokolla Käytetään autentikoinnin keskittämiseen autentikointipalvelimille Käytetään autentikoinnin keskittämiseen autentikointipalvelimille Määritelty RFC 2865:ssa ja RFC 2866:ssa (Accounting) Määritelty RFC 2865:ssa ja RFC 2866:ssa (Accounting)

RADIUS - toiminta RADIUS –järjestelmä RADIUS –järjestelmä RADIUS -palvelin ( palvelin, jossa RADIUS – palvelinohjelma ) RADIUS -palvelin ( palvelin, jossa RADIUS – palvelinohjelma ) RADIUS -asiakas ( verkon liityntäpiste ) RADIUS -asiakas ( verkon liityntäpiste ) käyttäjä ( verkkoon liittyvä käyttäjä ) käyttäjä ( verkkoon liittyvä käyttäjä ) Palvelin ja asiakas jakavat salaisuuden (shared secret), jota käytetään käyttäjän salasanan salaamiseen Palvelin ja asiakas jakavat salaisuuden (shared secret), jota käytetään käyttäjän salasanan salaamiseen

RADIUS - toiminta Vietinvaihdossa Vietinvaihdossa UDP UDP Portti 1812 (1645) Portti 1812 (1645) Portti 1813 (accounting) Portti 1813 (accounting) RADIUS -paketti RADIUS -paketti

RADIUS - toiminta Tyyppi Tyyppi Esim. Access-Request, Access-Accept, Accounting-Request Esim. Access-Request, Access-Accept, Accounting-Request Tunniste Tunniste Tunnistetaan toisiinsa liittyvät paketit Tunnistetaan toisiinsa liittyvät paketit Pituus Pituus Paketin pituus Paketin pituus Tunnistetieto Tunnistetieto 16 oktettia, pakettien autentikointi ja salasanan suojaus 16 oktettia, pakettien autentikointi ja salasanan suojaus Attribuutit Attribuutit Tietojen välittämiseen Tietojen välittämiseen

RADIUS - toiminta Käyttäjän kirjautuessa järjestelmään, liityntäpiste lähettää palvelimelle Access-Request Käyttäjän kirjautuessa järjestelmään, liityntäpiste lähettää palvelimelle Access-Request Palvelin käsittelee pyynnön ja vastaa joko Access-Accept, Access-Reject tai Access- Challenge Palvelin käsittelee pyynnön ja vastaa joko Access-Accept, Access-Reject tai Access- Challenge Access-Challenge viestiin liityntäpiste generoi uuden Access-accept viestin, jossa lisätietoja käyttäjältä Access-Challenge viestiin liityntäpiste generoi uuden Access-accept viestin, jossa lisätietoja käyttäjältä

RADIUS - asennus Valittiin RADIUS -palvelinohjelmaksi FreeRADIUS Valittiin RADIUS -palvelinohjelmaksi FreeRADIUS # apt-get install freeradius # apt-get install freeradius Asennuksen jälkeen automaattisesti käynnissä Asennuksen jälkeen automaattisesti käynnissä Uudelleen käynnistys Uudelleen käynnistys # freeradius restart Käynnistys debug –tilassa Käynnistys debug –tilassa # freeradius -X

RADIUS - konfigurointi Konfiguroitavia tiedostoja (/etc/freeradius) Konfiguroitavia tiedostoja (/etc/freeradius) clients.conf (määrittelee asiakkaat) clients.conf (määrittelee asiakkaat) radiusd.conf (ohjelman yleiset asetukset) radiusd.conf (ohjelman yleiset asetukset) users (määrittelee käyttäjät) users (määrittelee käyttäjät)

RADIUS - konfigurointi clients.conf clients.conf client /24{ secret = 6218lahiverkot shortname = dmz } client /24{ secret = 6218lahiverkot shortname = sisaverkko }

RADIUS - konfigurointi radiusd.conf radiusd.conf passwd = /etc/passwd shadow = /etc/shadow group = /etc/group

RADIUS - konfigurointi users (testiä varten lisätty käyttäjä) users (testiä varten lisätty käyttäjä) ”Test User”Auth-Type := Local, User-Password == ”123” Reply-Message = ”Hello, %u”

RADIUS - testaus radtest -ohjelma radtest -ohjelma # radtest ”Test User” 123 localhost 0 testing123 NTRadPing NTRadPing RADIUS –palvelimen testiohjelma Windows:lle RADIUS –palvelimen testiohjelma Windows:lle html html

PAM:in RADIUS -moduuli RADIUS:ta käyttävä autentikointimoduuli RADIUS:ta käyttävä autentikointimoduuli Asennus Asennus # apt-get install libpam-radius-auth /etc/freeradius/pam_radius_auth.conf /etc/freeradius/pam_radius_auth.conf testing1233 /etc/pam.d/ssh /etc/pam.d/ssh authsufficientpam_radius_auth.so