3.4 Triển khai giải pháp sử dụng OpenSSH
3.4.3.2 OpenSSH với SSO
Trong các phiên bản hiện tại OpenSSH đã hỗ trợ chứng thực tập trung thông qua giao thức Kerberos. Do đó dƣới đây sẽ trình bày một số nội dung cơ bản liên quan đến giao thức xác thực Kerberos.
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đƣờng truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay giửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình client-server và đảm bảo nhận thực cho cả hai chiều. Kerberos do học viện kỹ thật Massachusetts (MIT) phát triển.
Tuy nhiên, Sử dụng giao thức xác thực Kerberos cũng tồn tại một số nhƣợc điểm nhƣ sau:
Nếu máy chủ trung tâm KDC ngừng hoạt động thì mọi hoạt động sử dụng xác thực thông qua Kerberos sẽ không thể thực hiện. Thực tế có thể khắc phục nhƣợc điểm này bằng cách sử dụng nhiều máy chủ Kerberos.
Giao thức đòi hỏi đồng hồ của tất cả các máy liên quan phải đƣợc đồng bộ. Nếu không đảm bảo điều này, cơ chế nhận thực dựa trên thời hạn sử dụng sẽ không hoạt động. Thiết lập mặc định đòi hỏi các đồng hồ không đƣợc sai lệch quá 10 phút.
Cơ chế thay đổi mật khẩu không đƣợc tiêu chuẩn hoá.
Các phần mềm có thể dùng Kerberos để nhận thực bao gồm: OpenSSH. NFS (từ NFS v3), PAM (với module pam_krb5), SOCKS (từ SOCKS5), Apache (với module mod_auth_kerb), Devecot IMAP4 và POP3. Ngoài ra, Kerberos còn đi kèm với các bộ phần mềm máy chủ và máy khách của rsh, FTP và Telnet...
Để sử dụng OpenSSH với xác thực Kerberos yêu cầu Kerberos phải từ phiên bản V5.[9]
Tuy nhiên, hiện nay các ứng dụng chứng thực tập trung đang đƣợc phát triển nhiều trên nền tảng LDAP, bên cạnh những nhƣợc điểm của giao thức Kerberos cùng với xu hƣớng phát triển, tác giả đã nghiên cứu mã nguồn mở OpenSSH và triển khai tích hợp xác thực tập trung sử dụng giao thức LDAP thay thế cho Kerberos.