OpenSSH Erweiterungen
OpenSSH Erweiterungen in Verbindung mit OpenSC
OpenSSH erlaubt die Authentifizierung mittels hinterlegter Public Keys. Der zugehörige Private Key kann entweder im Filesystem (unsicher) oder auf einem Token, z.B. einer Smartcard hinterlegt sein. Im letzteren Fall werden Funktionen zum Zugriff auf das Token und zum Aufruf der kryptographischen Operationen innerhalb des Tokens benötigt.
Hierfür bietet sich die Nutzung eine PKCS#11-Providers oder der direkte Zugriff mittels der OpenSC-Bibliothek an. Diese bietet Unterstützung für verschiedene Smartcards.
Der hier hinterlegte Patch ermöglicht die Nutzung der OpenSSH in Verbindung mit OpenSC (Version 0.11 o.h) zur Authentifizierung mittels Smartcards und erweitert die Funktionen der SSH um folgende Punkte:
- gezielte Auswahl der Schlüssel auf der Karte (nicht alle Schlüssel werden automatisch verwendet)
- Hinterlegung der PIN im SSH-Agenten
- kein zwangsläufiger Lock der Smartcard durch den ssh-agenten: die Karte wird nur bei einer Authentifizierungsoperation angesprochen, es existiert keine Session (diese Funktion ist abstellbar)
- Karte kann entnommen, wieder eingesetzt und weiter verwendet werden
- ask-for-pin-patch eingebaut - PIN wird erfragt, falls notwendig
- kleinere Bugfixes und Beschleunigungen beim Schlüsselmanagement
Getestet wurden diese Patches mit der Version OpenSSH-4.2 und 4.3 für Debian, laufen aber auch mit der Version 4.4 und ggf. 4.5. Letzteres konnte noch nicht getestet werden.
Debian-Pakete und Patches stehen zum Download zur Verfügung.
Anmerkung: aufgrund eines Bugs in Version und 4.4 und 4.5 von OpenSSH funktioniert pam-abl nicht mehr, da der für pam-abl notwendige Aufruf von pam_end() im Falle einer noch nicht erfolgreichen Authentifizierung nicht erfolgt. Hierdurch wird der notwendige Aufruf der pam_cleanup() Funktion verhindert. Da aber gerade diese Funktion die Fehlversuche aufzeichnet, wird im Falle eines Fehlversuchs kein Eintrag erfolgen und pam-abl seinen Sinn nicht erfüllen.
Der ebenfalls auf der Downloadseite zur Verfügung gestellt Session-Patch behebt dieses Problem. In den Debian-Paketen ist er bereits eingepflegt.