BEGIN:VCALENDAR
VERSION:2.0
PRODID:-//German Unix  User Group - ECPv6.15.20//NONSGML v1.0//EN
CALSCALE:GREGORIAN
METHOD:PUBLISH
X-ORIGINAL-URL:https://guug.de
X-WR-CALDESC:Veranstaltungen für German Unix  User Group
REFRESH-INTERVAL;VALUE=DURATION:PT1H
X-Robots-Tag:noindex
X-PUBLISHED-TTL:PT1H
BEGIN:VTIMEZONE
TZID:Europe/Berlin
BEGIN:DAYLIGHT
TZOFFSETFROM:+0100
TZOFFSETTO:+0200
TZNAME:CEST
DTSTART:20190331T010000
END:DAYLIGHT
BEGIN:STANDARD
TZOFFSETFROM:+0200
TZOFFSETTO:+0100
TZNAME:CET
DTSTART:20191027T010000
END:STANDARD
BEGIN:DAYLIGHT
TZOFFSETFROM:+0100
TZOFFSETTO:+0200
TZNAME:CEST
DTSTART:20200329T010000
END:DAYLIGHT
BEGIN:STANDARD
TZOFFSETFROM:+0200
TZOFFSETTO:+0100
TZNAME:CET
DTSTART:20201025T010000
END:STANDARD
BEGIN:DAYLIGHT
TZOFFSETFROM:+0100
TZOFFSETTO:+0200
TZNAME:CEST
DTSTART:20210328T010000
END:DAYLIGHT
BEGIN:STANDARD
TZOFFSETFROM:+0200
TZOFFSETTO:+0100
TZNAME:CET
DTSTART:20211031T010000
END:STANDARD
END:VTIMEZONE
BEGIN:VEVENT
DTSTART;TZID=Europe/Berlin:20201117T190000
DTEND;TZID=Europe/Berlin:20201117T203000
DTSTAMP:20260509T223959
CREATED:20201115T181236Z
LAST-MODIFIED:20201115T181236Z
UID:644-1605639600-1605645000@guug.de
SUMMARY:Virtuelles FRAOSUG-Treffen: Login mit signierten SSH-Schlüsseln
DESCRIPTION:Online-Vortrag von Christopher J. Ruwe \nZugrunde liegt das Problem\, daß es aufwendig ist\, ssh-Zugriff auf viele Hosts aus einem zentral oder sogar aus einem Single-Sign-On System auszusteuern. Oft möchte man etwas einfacheres als LDAP/Kerberos-Konstrukte. \nEine Lösung ist es\, ssh public keys zu signieren und die Hosts so zu konfigurieren\, daß von einer trusted CA signierte publics aus dem bekannten public/private Verfahren einen Login auch dann auf einen Host zulassen\, wenn dort der public key nicht ausgebracht ist.\nÜber den Umweg des Signatur-Verfahrens kann man ein SSO-System so erweitern\, daß Veränderungen an Nutzern (Existenz und Berechtigungen) hinreichend schnell auf alle “teilnehmenden” Hosts propagiert werden. \nHashicorp Vault kann als CA ssh-keys signieren. Keycloak übernimmt die Rolle des OIDC IdP. Vault akzeptiert OIDC Tokens von Keycloak als Identität mit Berechtigungen. Abhängig von den Berechtigungen dort signiert Vault public keys mit zulässigen principals und ssh extensions oder auch nicht. \nÜber die OIDC Identität im Zertfikat kann ein Audit-Trail für alle Funktionsnutzer erzeugt werden. Die Gültigkeit der signierten keys ist kurz – bei mir 15s. Neue von Vault gibt es nur gegen Vault-Token\, der gilt auch nur kurz und neue Vault-Token gibts nur gegen OIDC-Token vom SSO. Dann gibt es 15s nach Berechtigungs-Entzug im SSO auch keine neuen ssh-Sessions mehr. \nWenn ich die SSH-Session-Dauer noch zwangsweise klein halte\, wird Berechtigungs-Entzug sehr schnell auf allen Maschinen wirksam – erheblich schneller und einfacher als durch wie auch immer angesteuertes Entfernen von public keys. Dann isser wech … \nMehr Info und ein Jitsi-Link hier: https://fraosug.de/
URL:https://guug.de/event/virtuelles-fraosug-treffen-login-mit-signierten-ssh-schluesseln/
ORGANIZER;CN="FRAOSUG":MAILTO:members@fraosug.de
END:VEVENT
END:VCALENDAR