¿Puedo pasar un hash criptográfico de la contraseña de un usuario a Kerberos al crear principales?

Navega tus respuestas
3

Estoy ejecutando MIT Kerberos V y me gustaría automatizar la creación de directores. La página aquí explica cómo hacerlo al proporcionar los nombres de los principales y las contraseñas en la línea de comandos, de este modo: 

awk '{ print "ank +needchange -pw", $2, $1 }' < /tmp/princnames | 
    time /usr/sbin/kadmin.local> /dev/null

Donde ank es un sinónimo de add_principal (por kadmin(5) ) y se supone que /tmp/princnames tiene la forma: 

principal1 password1
principal2 password2
...

El inconveniente obvio de esto es que la contraseña de cada principal se debe proporcionar sin cifrar. ¿Hay alguna manera de que pueda pasar un hash criptográfico en su lugar?

Esto es por dos razones:

  1. Seguridad, obviamente.
  2. Estoy migrando de un sistema antiguo y me gustaría que mis usuarios pudieran autenticarse con sus contraseñas antiguas, por lo que me gustaría pasar sus contraseñas con hash del archivo shadow a Kerberos.
pregunta Joseph R. 07.07.2014 - 23:00
fuente

2 respuestas

2

No puede utilizar un hash de la contraseña del usuario; usted necesita la contraseña en sí. Kerberos es un sistema secreto compartido: los servidores de autenticación Kerberos (centros de distribución de claves o KDC) comparten un secreto con cada principal del sistema: para un usuario, es un conjunto de claves derivadas de la contraseña.

    
respondido por el Richard E. Silverman 08.11.2014 - 07:31
fuente
1

He encontrado una solución parcial a esto. Solo funciona para implementaciones Heimdal del protocolo Kerberos, que desafortunadamente no me ayuda. Aquí está en caso de que pueda ayudar a alguien más.

El artículo de Oracle llamado Configuración de clientes Kerberos (el el enlace a una sección titulada "Cómo configurar la migración automática de usuarios en un reino Kerberos") explica cómo se puede usar un módulo PAM llamado pam_krb5_migrate para crear automáticamente los principales de Kerberos V cuando un usuario en la sombra existente inicia sesión con sus antiguos Contraseña de Unix.

En Debian, este módulo se puede encontrar en el paquete libpam-krb5-migrate-heimdal .

    
respondido por el Joseph R. 14.07.2014 - 17:57
fuente

Lea otras preguntas en las etiquetas

¿Las búsquedas de números de tarjetas de crédito son más seguras con una función hash que con un algoritmo de cifrado determinista? ¿Cómo garantiza Mylar que los datos cifrados permanezcan seguros incluso si el código de la aplicación en vivo está comprometido?