2016-09-15 13:37 GMT+03:00 Victor Wagner <vi...@wagner.pp.ru>: > On Thu, 15 Sep 2016 12:53:06 +0300 > Bogdan <bog...@gmail.com> wrote: > > > > > Если я правильно интерпретировал документацию. то готовое решение - > > это Auto Enrollment в Microsoft Active Directory Certification > > Services - > > https://technet.microsoft.com/en-us/library/cc771107(v=ws.11).aspx > > т.е., но к сожалению работает только с AD :/ > > Кстати, возможно что да. Те, кому нужен security theater будут > использовать винду. > > > > > > > Доступные мне протоколы авторизации позволяют передавать только > > плейнтекст, либо заведомо уязвимые хэши паролей (md5 или ntlm) поверх > > TLS-сессии. Защищенность такой сессии зависит исключительно от > > корректности настройки (принудительная проверка "моего" CA) на > > Да, ну и что? Уязвимым местом является все равно не TLS-сессия, а > хранение пароля или закрытго ключа на устройстве пользователя и > возможность внедрения к нему на устройство кейлоггера.
Этот риск в целом принят. Утечка сертификат менее болезненна, т.к. страдает только один сервис. Если утечет пароль - появляется доступ в ряд других, заметно более важных сервисов. > > Использование авторизации по сертификатам как правило, снижает > usability сильнее чем повышает security. > > Если сервис использует публичное доменное имя и публичный CA (хотя бы и > startssl.com или letsencrypt), то mitm-атака, позволяющая получить хеш > от пароля требует серьезной организационной поддержки - компрометация > публичного CA под силу, пожалуй, только спецслужбе государства. > > Понятие доменного имени в принципе не применимо к данном сервису. Теперь по сути вопроса: для автоматизации процессов вокруг CA и сертификатов есть несколько протоколов (СMC, CMP, SCEP) из который SCEP выглядит наиболее "живым". Ряд CA имеют automated SCEP workflow позволяющий в т.ч. и обрабатывать CSR без подтверждения человеком, следовательно нужен SCEP-клиент с веб-интерефейсом, способный авторизовать конечного пользователя LDAP, сформировать SCEP-запрос и передать результат пользователю. Судя по комментариям в #dogtag, требуемый интерфейс есть во FreeIPA, но это очередной комбайн который будет не может пока интегрироваться со внешним LDAP. -- WBR, Bogdan B. Rudas
