Diskless clients met USB-authenticatie - Linux en overige clients

donderdag 29 december 2005 21:48

Acties:

Topicstarter

Ik zou graag een projectje realiseren waarbij men werkt met een centrale server en enkele diskless thin clients. Dit zou bijvoorbeeld kunnen met behulp van LTSP. Aangezien hier eigenlijk grotendeels een howto zal gevolgd worden, is commentaar en/of tips hierover zeer gewenst :-)

Het speciale wat ik zou willen toevoegen is authenticatie met behulp van een USB key. Hier bedoel ik mee:

Gebruiker A steekt zijn USB stick in een client.
De client detecteert dit, probeert de usb stick te mounten, en leest een bepaalde file van de stick.
De client geeft de server een port en zegt dat iemand probeert in te loggen.
De username en de hash van het paswoord, die op de stick staan, worden aan de server doorgespeeld.
De server vergelijkt de hash met de gekende hash.
De server geeft al dan niet groen licht aan de client
De client laat de gebruiker inloggen (door username en paswoord op te geven)

Verder gaat het door alsof er gewoon ingelogd werd.

Hoe kan ik dit het beste doen? Ik heb al een aantal dingen in gedachten (udev event scripts die detecteren dat er iets gebeurt, maar ben nog niet zeker hoe de client de server moet porren en hoe de hash moet doorgespeeld worden, als dit gecombineerd zou kunnen worden (ssh?) zou dat mooi zijn). De rest ziet er allemaal mooi LTSP'ig uit -- alleen de auth over usb stick is misschien een beetje anders :-)

De tekst is misschien een beetje onduidelijk, maar ik geef uiteraard uitleg waar nodig :-)

EDIT1: Hier bespreekt men die udev event scripts in debian:
http://www.debian-administration.org/articles/127

[ Voor 4% gewijzigd door lvh op 29-12-2005 21:49 ]

donderdag 29 december 2005 21:51

Acties:

Gerco

Professional Newbie

Zo even uit mijn hoofd zou ik zeggen dat je bij het insteken van een USB stick een ssh sessie moet opbouwen naar de server. De username en ssh private key van de gebruiker staan dan op de stick.

Zodra de SSH sessie (met X forwarding natuurlijk) is opgebouwd, voer je "startkde &" oid uit en de gebruiker krijgt dus zijn eigen desktop voor zijn neus.

Die terminal is dan gewoon altijd ingelogd met de root user ofzo en heeft X al draaien. Het enige wat je dan nog moet doen is die SSH sessie bouwen. Als je via VNC ofzo wilt werken lijkt het me allemaal wat lastiger worden, maar SSH met X-forwarding lijkt me prima gaan. Wat heb je tenslotte aan zo'n USB auth als vervolgens je hele sessie unencrypted over het netwerk gaat.

[ Voor 42% gewijzigd door Gerco op 29-12-2005 21:53 ]

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

donderdag 29 december 2005 22:28

Acties:

lvh

Topicstarter

Dus, eerst een volledige diskless client en server bouwen zoals gewoonlijk, en dan met X forwarding over SSH werken? Ziet er mooi uit, ik ga naar de tekentafel :-)

donderdag 29 december 2005 22:48

Acties:

VisionMaster

Security!

Ik zou de USB sticks over een tijdje veranderen door een USB hardware token apparaatje.
Zulke dingen kunnen bijv. een public en private key bevatten of een certificaat. De ID wordt dan met een challenge gedaan en de software zal de challenge door de USB stick laten lopen, zodat de private key nooit er uti komt.
Misschien leuk om dat eens te bekijken of dat wat is voor je. Vroeger was RSA de enige die ze had voor 1000 dollar per stuk, nu zijn ze in Tjechie iig al voor 40 a 50 euro per stuk te koop

Maar goed ... misschien is dat een paar stappen verder dan dat je nu wilt bereiken.

[ Voor 8% gewijzigd door VisionMaster op 29-12-2005 22:49 ]

I've visited the Mothership @ Cupertino

donderdag 29 december 2005 23:07

Acties:

smokalot

titel onder

Tot die tijd kun je de boel wel vastbinden aan de USB ID.

En heb je al naar PAM gekeken? daar zijn ook handige modules voor met USB sticks enzo.

It sounds like it could be either bad hardware or software

donderdag 29 december 2005 23:41

Acties:

lvh

Topicstarter

http://www.debian-administration.org/articles/126

USB sticks kunnen dus automatisch gemount worden, maar hoe execute ik scripts pre- of post-mount?

vrijdag 30 december 2005 00:44

Acties:

VisionMaster

Security!

racoontje schreef op donderdag 29 december 2005 @ 23:41:
http://www.debian-administration.org/articles/126

USB sticks kunnen dus automatisch gemount worden, maar hoe execute ik scripts pre- of post-mount?

mmm je probleem wordt niet opgelost, maar toevallig 1 van mij wel

lol ... maaruhm ... zit de trick niet in de /etc/udev/init.d/ scripts die mogelijk zijn?

Ik ga het nog uit proberen, maar in mijn man-page staat zoiets leuks als:

"A sample udev.rules might look like:"

En ik kan een voorbeeld bdenken als:

BUS="scsi" (of BUS="usb"), NAME="<naampje om op te zoeken als die uniform is>", PROGRAM="<een progsel om een test uit te voeren, scriptje ofzo>", RESULT="<weet ik veel>"

Onderaan de man page:
http://linux-hotplug.sourceforge.net/

[ Voor 11% gewijzigd door VisionMaster op 30-12-2005 00:45 ]

I've visited the Mothership @ Cupertino

vrijdag 30 december 2005 14:05

Acties:

daft_dutch

>.< >.< >.< >.<

ltsp werkt met tftp en mount een root via nfs.
daar zit niet veel autorisatie in.

maar als je een usb stick hebt kan je daar het boot image op gooien dus heb je geen tftp nodig.
boot vanaf usb. start een Xserver. en via ssh met autorisation key remote de gui starten.

is niet zo moeilijk.

>.< >.< >.< >.<