Authentifizierung und Autorisierung unter Linux/Solaris: PAM und NSS

Transkript

1 Authentifizierung und Autorisierung unter Linux/Solaris: PAM und NSS Vortrag im Proseminar Konzepte von Betriebssystemkomponenten 09. Juni 2010 Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 1/22

2 Motivation Problem Linux: Benutzer in der Datei /etc/passwd Setup mit mehreren Rechnern: Authentifizierung von Benutzern ohne Anpassung von /etc/passwd auf jedem Rechner? Herangehensweise Wie funktioniert die Authentifizierung unter Linux? Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 2/22

3 Motivation Problem Linux: Benutzer in der Datei /etc/passwd Setup mit mehreren Rechnern: Authentifizierung von Benutzern ohne Anpassung von /etc/passwd auf jedem Rechner? Herangehensweise Wie funktioniert die Authentifizierung unter Linux? Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 2/22

4 Gliederung 1 Motivation 2 Pluggable Authentication Modules Geschichte Aufbau Konfiguration Funktionsweise Erweiterungen in Linux-PAM 3 Name Service Switch 4 Abschluss Zusammenfassung Quellen Ende Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 3/22

5 Gliederung 1 Motivation 2 Pluggable Authentication Modules Geschichte Aufbau Konfiguration Funktionsweise Erweiterungen in Linux-PAM 3 Name Service Switch 4 Abschluss Zusammenfassung Quellen Ende Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 4/22

6 Problem Problem Lösung Services (z.b. ssh, login, gdm, ftp, screensaver... ) müssen Benutzer authentifizieren Services bestimmen zunächst selbst, welche Authentifizierungsmethoden sie nutzen Neue Authentifizierungsmethoden oder Bugfixes müssen in jedem Programm implementiert werden Abstrahierung der Authentifizierungsmethoden von den Services Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 5/22

7 Problem Problem Lösung Services (z.b. ssh, login, gdm, ftp, screensaver... ) müssen Benutzer authentifizieren Services bestimmen zunächst selbst, welche Authentifizierungsmethoden sie nutzen Neue Authentifizierungsmethoden oder Bugfixes müssen in jedem Programm implementiert werden Abstrahierung der Authentifizierungsmethoden von den Services Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 5/22

8 PAM abstrahiert Authentifizierungsmethoden Was ist PAM? PAM steht für Pluggable Authentication Modules Abstraktionsebene zwischen sog. system-entry services und Authentifizierungsmethoden PAM erlaubt Administratoren Authentifizierungsmethoden zu wählen Entstehungsgeschichte Entwickelt von Sun als interne Komponente von Solaris 1996 durch Samar spezifiziert und publiziert [Sam96] Spezifikation in Linux implementiert Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 6/22

9 PAM abstrahiert Authentifizierungsmethoden Was ist PAM? PAM steht für Pluggable Authentication Modules Abstraktionsebene zwischen sog. system-entry services und Authentifizierungsmethoden PAM erlaubt Administratoren Authentifizierungsmethoden zu wählen Entstehungsgeschichte Entwickelt von Sun als interne Komponente von Solaris 1996 durch Samar spezifiziert und publiziert [Sam96] Spezifikation in Linux implementiert Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 6/22

10 Schematischer Aufbau system-entry services login gdm ssh ftp... PAM Application Programming Interface Configuration (pam.conf) Service Provider Interface pam ldap.so pam unix.so pam pkcs11.so... password databases LDAP /etc/passwd Certificate Storage... Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 7/22

11 Logischer Aufbau Logischer Aufbau Authentifizierung Kontoverwaltung Sitzungsverwaltung Passwortverwaltung Ist der Benutzer, wer er vorgibt zu sein? Ist der Account abgelaufen oder gesperrt? Ist der Benutzer bereits eingeloggt? Wie lange ist der Benutzer eingeloggt? Änderung des Passworts Unabhängig voneinander konfigurierbar Nutzung durch Services optional Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 8/22

12 Stapeln von Modulen system-entry service PAM Framework Session Auth Account session stack auth stack account stack pam unix session.so pam kerberos auth.so pam unix account.so pam unix auth.so pam rsa auth.so vgl. [Sam96, Fig.2] Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 9/22

13 Konfiguration: pam.conf bzw. pam.d/ Beispielkonfiguration von PAM Service Type Flags Module Path Options login auth required pam kerb auth.so debug login auth required pam unix auth.so use mapped pass login auth optional pam rsa auth.so try first pass [Sam96] Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 10/22

14 Funktionsweise aus Anwendungssicht Beispielhafter Ablauf einer Authentifizierungsanforderung pam start() Erzeugen eines PAM Handles pam authenticate() Authentifizierung des Nutzers pam acct mgmt() Prüfen das Kontos des Nutzers pam open session() Benachrichtigung über neue Session pam setcred() Setzen von Eigenschaften, z.b. Starten eines ssh-agent pam end() Beenden des Authentifizierungsprozesses Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 11/22

15 Schnittstelle zum User: Conversation Function Schnittstelle zum User Benutzerinteraktion durch Callback-Funktion 4 Nachrichten möglich: Eingabeaufforderung (versteckt oder sichtbar) Fehlermeldung informative Meldung Authentifizierung (nach dem Standard) nur durch Eingaben z.b. Token/Fingerabdruck nur lokal nutzbar Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 12/22

16 Erweiterungen in Linux-PAM user agent libpamc client machine module libpam authenticating machine client // server [Mor01] Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 13/22

17 Erweiterungen in Linux-PAM: libpamc client-side support für PAM libpamc: Client-seitige Unterstützung für PAM [Mor01] Theoretisch: Token/Fingerabdruck/... durch sog. Agent am Client auch entfernt nutzbar Praktisch: Keine Implementierung Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 14/22

18 Gliederung 1 Motivation 2 Pluggable Authentication Modules Geschichte Aufbau Konfiguration Funktionsweise Erweiterungen in Linux-PAM 3 Name Service Switch 4 Abschluss Zusammenfassung Quellen Ende Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 15/22

19 Name Service Switch Benutzerdatenbank jenseits der Authentifizierung Wie zeigt z.b. ls -l Benutzernamen an? GNU C Library pwd.h libc muss Zugriff auf die Benutzerdatenbank haben Name Service Switch [lib] Konfigurierbare Schnittstelle Leitet Datenbankabfragen an Module weiter Module sind Shared Libraries, z.b. libnss ldap.so Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 16/22

20 Name Service Switch Benutzerdatenbank jenseits der Authentifizierung Wie zeigt z.b. ls -l Benutzernamen an? GNU C Library pwd.h libc muss Zugriff auf die Benutzerdatenbank haben Name Service Switch [lib] Konfigurierbare Schnittstelle Leitet Datenbankabfragen an Module weiter Module sind Shared Libraries, z.b. libnss ldap.so Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 16/22

21 Funktionsweise application getpwnam() name service switch Name Service Switch (nsswitch.conf) libnss mysql.so libnss ldap.so libnss files.so user databases MySQL LDAP /etc/passwd Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 17/22

22 Gliederung 1 Motivation 2 Pluggable Authentication Modules Geschichte Aufbau Konfiguration Funktionsweise Erweiterungen in Linux-PAM 3 Name Service Switch 4 Abschluss Zusammenfassung Quellen Ende Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 18/22

23 Zusammenfassung Ausgangspunkt Mehrbenutzerumgebung Authentifizierung mit PAM Abstrahierung der Authentifizierung von system-entry services, Aufbau, Modul-Stacking, Schnittstelle zum Benutzer, libpamc Name Service Switch Konfigurierbare Datenbankschnittstelle der libc, Funktionsweise Zurück zum Ausgangspunkt Umsetzung von Mehrbenutzersystemen möglich Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 19/22

24 Quellen I The Open Group. X/open single sign-on service (xsso) pluggable authentication modules. X/open preliminary specification, The Open Group, Mar Charlie Lai. Making login services independent of authentication technologies. Presentation published by Linux-PAM on kernel.org, Nov The GNU C Library Manual. Section 28 System Databases and Name Service Switch. Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 20/22

25 Quellen II Andrew G. Morgan and Thorsten Kukuk. The Linux-PAM Guides, edition, Dec Manuals for Linux-PAM. Andrew G. Morgan. Pluggable Authentication Modules (PAM), Dec Draft for the Open-PAM working group PAM standard. Vipin Samar. Unified login with pluggable authentication modules (pam). In CCS 96: Proceedings of the 3rd ACM conference on Computer and communications security, pages 1 10, New York, NY, USA, ACM. Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 21/22

26 Q&A Danke für die Aufmerksamkeit Questions & Answers Authentifizierung & Autorisierung unter Linux/Solaris: PAM und NSS 22/22