[sage] Online-Vortrag "Login mit signierten SSH-Schlüsseln" bei der FRAOSUG am 17.11.2020 (Dienstag)

Sun Nov 15 18:49:04 CET 2020

Hallo allerseits!

Übermorgen ist wieder FRAOSUG-Dienstag!  Einer unserer "Veteranen", näm-
lich Christopher Ruwe, erzählt uns von signierten SSH-Schlüsseln.  Dazu
schreibt er:

  Zugrunde liegt das Problem, daß es aufwendig ist, ssh-Zugriff auf viele
  Hosts aus einem zentral oder sogar aus einem Single-Sign-On System
  auszusteuern. Oft möchte man etwas einfacheres als LDAP/Kerberos-Konstrukte.

  Eine Lösung ist es, ssh public keys zu signieren und die Hosts so zu
  konfigurieren, daß von einer trusted CA signierte publics aus dem bekannten
  public/private Verfahren einen Login auch dann auf einen Host zulassen, wenn
  dort der public key nicht ausgebracht ist.

  Über den Umweg des Signatur-Verfahrens kann man ein SSO-System so erweitern,
  daß Veränderungen an Nutzern (Existenz und Berechtigungen) hinreichend
  schnell auf alle “teilnehmenden” Hosts propagiert werden.

  Hashicorp Vault kann als CA ssh-keys signieren. Keycloak übernimmt die Rolle
  des OIDC IdP. Vault akzeptiert OIDC Tokens von Keycloak als Identität mit
  Berechtigungen. Abhängig von den Berechtigungen dort signiert Vault public
  keys mit zulässigen principals und ssh extensions oder auch nicht.

  Über die OIDC Identität im Zertfikat kann ein Audit-Trail für alle
  Funktionsnutzer erzeugt werden. Die Gültigkeit der signierten keys ist kurz
  – bei mir 15s. Neue von Vault gibt es nur gegen Vault-Token, der gilt auch
  nur kurz und neue Vault-Token gibts nur gegen OIDC-Token vom SSO. Dann gibt
  es 15s nach Berechtigungs-Entzug im SSO auch keine neuen ssh-Sessions mehr.

  Wenn ich die SSH-Session-Dauer noch zwangsweise klein halte, wird
  Berechtigungs-Entzug sehr schnell auf allen Maschinen wirksam – erheblich
  schneller und einfacher als durch wie auch immer angesteuertes Entfernen von
  public keys. Dann isser wech …

Den Jitsi-Link findet Ihr auf https://fraosug.de/ oder hier zum Klicken:

  https://meet.u-v.de/FRAOSUG

Eine Anmeldung ist nicht nötig, aber empfohlen.  Sie dient auch zum Ab-
schätzen der Teilnehmerzahl für den Jitsi-Server.

  https://nc2.qutic.com/index.php/apps/polls/s/fgqEUbtARoMIWzzx

Die meisten werden es wissen, hier wieder unser Nicht-Kleingedrucktes:

Die Veranstaltung ist kostenlos, und wie auch bei den Treffen im RL gilt
online:  Das Verwenden von Solaris ist keine Vorbedingung für die Teil-
nahme... aber wer eine Frage oder eine Anregung zu einem Solaris-spezi-
fischen Thema hat, kann diese gern in der Diskussion stellen!

Viele Grüße -- Volker A. Brandt
-- 
------------------------------------------------------------------------
Volker A. Brandt        Consulting and Support for Solaris-based Systems
Brandt & Brandt Computer GmbH                   WWW: http://www.bb-c.de/
Am Wiesenpfad 6, 53340 Meckenheim, GERMANY            Email: vab at bb-c.de
Handelsregister: Amtsgericht Bonn, HRB 10513              Schuhgröße: 46
Geschäftsführer: Rainer J.H. Brandt und Volker A. Brandt

"When logic and proportion have fallen sloppy dead"