Sé que es posible integrar los inicios de sesión de Linux / SSH con Windows AD mediante el uso de la autenticación GSSAPI (Kerberos) en lugar de las claves y / o contraseñas clásicas de ssh.
Sin embargo, no he podido encontrar mucha información sobre la seguridad de esta solución.
¿Quizás alguien podría ayudar explicando el modelo de seguridad y cualquier debilidad inherente?
Editar: Permítame aclarar que estoy considerando específicamente implementar GSSAPIAuthentication en openssh.
Esta es una pregunta muy amplia y no exacta. Hay dos formas de usar GSSAPI para los inicios de sesión de SSH:
GSSAPIAuthentication - parte de openssh La ventaja es ciertamente la capacidad de administración: con el intercambio de claves GSSAPI no tiene que preocuparse por las claves del host. Solo registra el host al dominio.
Para el intercambio de claves, se utilizan básicamente estos métodos. El primero se considera posiblemente vulnerable, porque usan 1024 b primos. Se basan en los respectivos métodos de intercambio de claves DH.
Acerca de la Autenticación GSSAPI, usted utiliza los métodos normales de ejecución de claves SSH (preferiblemente ECDH), que deben administrarse de alguna otra forma (¿certificados?) para mitigar MitM. Luego autentíquese en el host remoto usando kerberos. Esta comunicación ya está encriptada, por lo que no hay una pregunta de seguridad diferente a la autenticación en cualquier otro servicio.