Key Distribution Manager
Představení problematiky
Key Distribution Manager (KDM) je software určený pro centralizaci a synchronizaci autentizačních prostředků Public key infrastructure v prostředí Linux/UNIX. Uživatelé těchto operačních systemů k SSH přihlášení typicky nevyužívají heslo, ale ověřují se pomocí svého privátního klíče, jehož veřejná část je nahrána na serveru.
Privátní klíče si uživatelé generují sami a ty mohou být dle jejich preference zašifrovány tzv. passphrase, tedy heslem, které je nutné zadat při každém jednotlivém přihlášení. Existenci nebo sílu passphrase není možné běžnými prostředky kontrolovat, protože klíče jsou uložené na straně klienta, kde hrozí jejich potenciální zneužití. Veřejnou část klíče nahrává na koncový server administrátor a to buď ručně, nebo skriptem.
V prostředí s KDM jsou privátní klíče generovány a bezpečně uchovány na straně serveru. Toto umístění umožňuje programově ohlídat minimální požadavky na sílu privátního klíče a jeho passphrase – např. minimální požadovaný počet znaků.
Veřejné části klíče jsou automaticky synchronizovány na koncové servery, na které uživatelé přistupují. Uživatelé na svých koncových stanicích používají tzv. SSH Agenta, malou aplikaci, která si po přihlášení ke KDM stáhne klíč do paměti. Dále pak ke koncovým serverům přistupují s klíčem uloženým ve svém agentovi, a nemusí tudíž zadávat passphrase při každém přihlášení opakovaně. Řešení KDM je možné kombinovat i se správou účtů, kdy KDM kromě distribuce klíčů zajišťuje i zakládání a modifikace účtů v koncových systémech (provisioning).
Pro více informací navštivte specializovanou microsite.
Základní funkce KDM
- Centrální úložiště a autorita pro generování klíčů uživatelů
- Vynucení síly passphrase dle definované politiky včetně časové platnosti klíče
- Automatická synchronizace veřejné části klíče na koncové servery dle oprávnění uživatele v KDM. Stažení klíče v případě jeho exspirace nebo přegenerování.
- Autentizace uživatele ke KDM s využitím PAM modulů či passphrase
- Stažení privátního klíče do paměti SSH Agenta uživatele – ne na disk
- Kontrola nastavení koncových serverů v pravidelných intervalech – sshd_config, úložiště klíčů atd.
- Podpora sdílených účtů a neinteraktivních úloh
- Prokázání reálné identity uživatele a logování činnosti
Přínosy zavedení KDM
- Snížení nákladů na správu uživatelských účtů v operačních systémech typu Linux/UNIX
- Snížení nákladů na správu autentifikačních prostředků – veřejné klíče
- Urychlení práce uživatelů, kteří přistupují do OS serverů pomocí SSH nebo SCP
- Kontrola nad generováním přístupových klíčů a vynucení síly passphrase
- Posílení bezpečnosti pomocí centrální evidence klíčů s možností rychlé exspirace klíče v případě jeho kompromitace
- Řízení účtů na základě autoritativní informace z jednoho místa
- Sjednocení řízení účtů a distribuce klíčů do jediného procesu a rozhraní
- Aktivní evidence účtů na jediném místě
Srovnání KDM s Kerberos
Alternativní způsob SSO autentizace k serverům Linux/UNIX představuje protokol Kerberos. Do značné míry jsou technologie KDM a Kerberos podobné, obě staví na vydávání privátních klíčů, resp. kerberos ticketů z centrální autority. Nejznámějším Kerberos serverem je Microsoft Active Directory, existují ale i open source produkty.
Vlastnost | KDM | Kerberos |
Implementace mechanismu jednotného přihlášení SSO | Ano, pomocí SSH agenta | Ano, pomocí Kerberos klienta. |
Nastavení koncových serverů | Pomocí nativních prostředků. | Nutná „kerberizace“ systému – může vyžadovat knihovny třetích stran. |
Autentizace uživatele k centrální autoritě | PAM moduly + passphrase privátního klíče. | Většinou pouze heslem. |
Šifrování | Silné prostředky SSH a PKI. Vynucení passphrase a šifry privátního klíče pomocí KDM. | Heslo slouží zároveň jako prvotní šifrovací klíč protokolu, což může být nebezpečné. |
Správa životního cyklu účtů v OS | Ano | Ne |
Závislost řešení na dostupnosti centrální autority | Klíče je možné zálohovat a do vypnutí pracovní stanice uživatele zůstávají v paměti SSH Agenta. | Vysoká. Nedostupnost centrálního serveru znemožní autentizaci uživatelů. |
Podpora pro sdílené uživatelské účty | Ano, je možné prokázat reálnou identitu uživatele | Je možné ze serveru „unést“ tickety ostatních uživatelů sdíleného účtu. |
Kontrola nastavení koncových serverů | Ano, kontrola nastavení SSH démona a úložiště klíčů. | Ne. |
Firewall prostupy | Standardní SSH port 22 | Méně standardní porty (88, 749) |
Proč KDM od AMI Praha
Nabízíme vám provedení analýzy a následné zavedení nástroje KDM. Nástroj KDM je naším vlastním produktem, tudíž můžeme nabídnout 100% znalost produktu i problematiky a odpadá závislost na licenčních politikách velkých SW dodavatelů. Při naší práci vycházíme z několikaletých zkušeností, které jsme získali při realizaci zakázek pro přední české firmy a instituce. Řešení od AMI Praha je vždy navrženo s ohledem na potřeby a možnosti našich klientů.
