인증 방법으로 Gemalto .NET 스마트 카드를 사용하여 내 컴퓨터에 SSH로 연결할 수 있기를 원합니다. Fedora 13 (또는 일반적인 Red Hat 스타일) 머신에서 어떻게이 작업을 수행 할 수 있습니까?
다음은 내가 필요하다고 생각하는 대략적인 단계입니다.
답변:
젬 알토 드라이버는 이제 오픈 소스라고 생각합니다. 웹 사이트에 소스 코드가 있습니다.
pam모듈 을 구성해야 합니다 (이 작업을 수행하는 방법을 모르겠지만 코드가 확실합니다). pam구성에 인증서 원칙을 로컬 사용자 ID에 맵핑해야 한다고 생각합니다 .
GDM 지금은 스마트 카드를 지원한다고 생각하지만 어떻게 감지하는지 잘 모르겠습니다. 나중에 이것을 찾으려고 노력할 것입니다 (가장 쉬운 방법은 아마도 gdm소스 코드를 들여다 보는 것입니다 ).
물론이 모두가 필요 pcscd하고 libpcsclite설치해야합니다. 또한를에 복사해야 libgtop11dotnet.so합니다 /usr/lib.
kerberos를 추천합니다. MIT는 krb5 클라이언트 및 서버를 생성합니다.
vwduder, 스마트 카드 리더 및 FIPS-201 호환 카드 소스를 추천 할 수 있습니까?
http://csrc.nist.gov/publications/fips/fips201-1/FIPS-201-1-chng1.pdf
내 서버에 사본이 있지만 현재이 스택 추적에서 사용자와 공유 할만큼 인기가 없습니다. 위의 내용은 자체 서버보다 약간 덜 안정적이므로 아마도 서버에서 가져올 수 있습니다.)
[편집] 나는 이제 충분히 인기가 있습니다!
RSA 키를 사용할 때는 3)에서 볼 수 있듯이 실제 인증서는이 컨텍스트와 관련이 없기 때문에 1)과 2)는 사소한 것입니다. cacert.org로 이동하거나 자체 서명 인증서를 생성하면 모든 준비가 완료됩니다.
3)의 경우 공개 키를 추출하여 $ HOME / .ssh / authorized_keys에 설치해야합니다. 파일 소유권 및 권한에주의하십시오! (.ssh의 경우 700, authorized_keys의 경우 600). 호스트 전체 공개 키 인증은 권장되지 않지만 호기심 많은 사람들을위한 연습으로 남겨 두십시오.
4) PuTTY SC ( http://www.joebar.ch/puttysc/ ) 또는 바람직하게는 PuTTY-CAC ( http://www.risacher.org/putty-cac/ )를 살펴보아야 합니다. 더 나은 공개 키 추출 알고리즘을 갖춘 PuTTY SC는 PuTTY 개발 브랜치의 Kerberos-GSSAPI 지원도 포함합니다.
PuttySC 및 SecureCRT를 사용하여 Linux 서버에서 스마트 카드를 사용하는 비디오를 만들었습니다 . 여기에서 볼 수 있습니다 : 스마트 카드로 SSH하는 방법
카드에 인증서를 제공하는 방법에 대해서는 설명하지 않지만, 필요한 경우 카드 관리 시스템을 사용하여 카드의 관리 키를 변경해야합니다. 회사에서 스마트 카드를 제공하면이 부분에 대해 걱정할 필요가 없습니다.
카드가 프로비저닝되면 공개 키를 추출한 다음 ~ / .sshd / authorized_key에 추가해야합니다.
서버에 연결하기 위해 PuttySC 또는 SecureCRT와 같은 도구를 사용할 수 있습니다. 카드에 대한 PSKC # 11 라이브러리를 가져와야합니다 (스마트 카드 제조업체 또는 공개 소스 버전). 라이브러리를 사용하여 SSH 도구를 구성하십시오.이를 읽고 인증서를 찾을 수 있어야합니다.
인증하면 도구에 스마트 카드 PIN을 입력하라는 메시지가 표시됩니다.