SSH Daemon: Anmeldearten

[geta]

Hallo zusammen,

Man weiss ja, dass es verschiedene Arten der Anmeldung gibt, um sich mit SSH zu identifizieren.
Die zwei wichtigsten Arten der Anmeldung habe ich ja begriffen:
- Die schlüsselbasierende Anmeldung (ohne Passwort, für Hosts oder einzelne Benutzer)
- Die passwortbasierende Anmeldung

Was mich bis jetzt ins Staunen gebracht hat ist jedoch, dass es bei der passwortbasiernden Anmeldung zwei verschieden Arten der Anmeldung gibt. Die eine ist die sogenannte PAM/Challenge-Response und die Andere ist die "PasswordAuthentication". In den Manuals (man sshd_config) und auf dem Netz stehen einige Informationen, jedoch blicke ich bei der Sache nicht ganz durch. Was ist der genaue Unterschied der beiden passwortbasierenden Anmelde-Arten?

Die einzigen Unterschiede, die ich feststellen konnte, sind:

Der Prompt nach dem eingeben von "ssh user@host".
Bei PAM liefert der Prompt einfach "password:" bei der zweiten Anmeldeart liefert der Prompt "user@hosts password:"

Die laufenden Prozesse beim Daemon während der Anmeldung.

PAM-Methode:

[toskala]

schieb diese frage doch einfach auf die sshd mailingliste. oder befrag echt google, das ist _wirklich_ alles dokumentiert :/
_________________
adopt an unanswered post
erst denken, dann posten

[DarKRaveR]

Also,

Normale Passwort Authentication dürfte klar sein: in der password db nachschauen und fertig.

PAM/Challenge Response funktioniert anders.

Ich gehe jetzt der Einfachheit halber mal nur von PAM aus. Wenn Du ein PAM modul verwendest, wird PAM aufgefordert eine Challenge für den client zu erzeugen, der Client antwortet mir einer Response, die an PAM gehen und PAM sagt: Ja oder NÖ.

Stellen wir uns vor, PAM authentisiert gegen eine Passwort Database: Dann erzeugt PAM halt die Cahllenge: Enter Password (oder was auch immer), der client antwortet mit dem passwort als response, dass an PAM geht und fertig.

Nehmen wir mal ein anderes Szenario:

Ein PAM modul hat ein datenbank aus keys der user.
Das modul sendet einen CIPHER + irgendeinen zufallsstring.

Der client kann aus klartext zufallsstring und seinem key, der z.B. in einer chipkarte ist, die den zufallstring bekommt, ihn verschlüsseln kann, also nur den algorithmus exportier aber den key nicht preisgibt ein response erzeugen. die Response wird wieder an PAM geschickt das mit dem erzeugten string + key die antwort vergleichen kann und sagt: Japp stimmt.

Also wurde eine Challenge (Herausforderung) generiert, der client antwortet mit einer response. PAM bietet sich für solche verfahren an, da man es um beliebige authentisierungsmethoden erweitern kann. Andererseits gäbe es auch andere möglichkeiten, mit capabilities (geht wohl auch) kann man noch weiter authenticator (externe programme) wählen.

In dem moment, wo Du halt PAM wählst aber für PAM keine passwort authentication, wird es eben zu einer challenge/response authentisierung.

Das ganze war jetzt nur eine kurz angerissene Ausführung, zum Thema Authentisierung udn Challenge Response gibt es halbe Bücher.

Hoffe es kam aber trotzdem ein wenig rüber

[geta]

[toskala]

eine gute quelle für pam ist immer

http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/

da steht im developers guide wie der kram funktioniert, im admin guide wie mans einrichtet, etc.

http://www.openssh.com/manual.html

hier findest du so ziemlich alles was es über ssh zu sagen gibt.
_________________
adopt an unanswered post
erst denken, dann posten

[geta]

Danke für die Links
_________________
geta - pronounced: "djetta"