Re: User-password y/o OTP
On 06/09/12 19:32, Camaleón wrote: El Thu, 06 Sep 2012 18:57:22 +0200, Troans escribió: tengo un servidor que se usa, básicamente, como repositiorio de información y subversion entre varios usuarios de un grupo. Sin embargo sería útil poder facilitar usuarios temporales, externos al grupo, que pudieran acceder a un cierto directorio donde poder bajar o subir algún fichero mediante scp/sftp. La primera idea que se me ha ocurrido es crear los usuarios según se necesiten según las necesidades pertenecientes a un grupo determinado y establecer un tiempo para que expire la contraseña del mismo (10 días, por ejemplo). No es mala idea: fácil de implementar para ti y de usar para ellos. Sin embargo, googleando un poco he visto lo de One Time Password (OTP) y no me ha parecido una idea descabellada ya que, aunque los usuarios temporales son personas conocidas y confiaría en que siempre accederían desde la empresa o su casa, no descartaría que pudieran hacerlo desde cualquier sitio. Y mis preguntas son las siguientes: 1) ¿Es ir demasiado lejos en materia de seguridad el tratar de usar OTP? No veo por qué... en cuestión de seguridad más vale prevenir. Lo único que necesitarías es un generador de contraseñas que estuviera en posesión de los usuarios (hay llaves con esta función pero son soluciones cerradas) y sincronizado con tu sistema pero hay implementaciones majas para móviles incluso: http://blog.dhampir.no/content/otp-one-time-passwords-on-debian-squeeze-ssh-logins http://www.worksinmymind.com/blog/?p=1083 2) En caso usar OTP, ¿es posible usar simultaneamente el actual sistema de acceso basado en usuario/contraseña (algunos usuarios usan clave asimétrica) para los usuarios del grupo y OTP para los usuarios temporales?. Esto ya no lo sé... lo que sí podrías es hacer es configurar el servidor ssh para que aceptara ambos (autentificación mediante otp y usuario/ contraseña). Los usuarios otp no tendrían cuenta en el sistema así que sin validación otp no pasarían, mientras que los otros tendrían se les preguntaría por la contraseña aleatoria y al no tenerla se pasaría a la autentifiación convencional. 3) ¿Alguna alternativa? Tu primera opción tampoco me parece mal, es más práctica y la contraseña cambiante se la podías generar automáticamente desde algún servidor web previa autentificación, mediante SMS o a través de correo electrónico firmado y cifrado. Perfecto, optaré por la primera solución porque veo que es más sencilla. Muchísimas gracias. Saludos, -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/504b70d6.2010...@gmail.com
User-password y/o OTP
Hola, tengo un servidor que se usa, básicamente, como repositiorio de información y subversion entre varios usuarios de un grupo. Sin embargo sería útil poder facilitar usuarios temporales, externos al grupo, que pudieran acceder a un cierto directorio donde poder bajar o subir algún fichero mediante scp/sftp. La primera idea que se me ha ocurrido es crear los usuarios según se necesiten según las necesidades pertenecientes a un grupo determinado y establecer un tiempo para que expire la contraseña del mismo (10 días, por ejemplo). Sin embargo, googleando un poco he visto lo de One Time Password (OTP) y no me ha parecido una idea descabellada ya que, aunque los usuarios temporales son personas conocidas y confiaría en que siempre accederían desde la empresa o su casa, no descartaría que pudieran hacerlo desde cualquier sitio. Y mis preguntas son las siguientes: 1) ¿Es ir demasiado lejos en materia de seguridad el tratar de usar OTP? 2) En caso usar OTP, ¿es posible usar simultaneamente el actual sistema de acceso basado en usuario/contraseña (algunos usuarios usan clave asimétrica) para los usuarios del grupo y OTP para los usuarios temporales?. 3) ¿Alguna alternativa? Muchas gracias. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5048d5f2.6030...@gmail.com
Re: User-password y/o OTP
On 09/06/2012 06:57 PM, Troans wrote: Hola, tengo un servidor que se usa, básicamente, como repositiorio de información y subversion entre varios usuarios de un grupo. Sin embargo sería útil poder facilitar usuarios temporales, externos al grupo, que pudieran acceder a un cierto directorio donde poder bajar o subir algún fichero mediante scp/sftp. La primera idea que se me ha ocurrido es crear los usuarios según se necesiten según las necesidades pertenecientes a un grupo determinado y establecer un tiempo para que expire la contraseña del mismo (10 días, por ejemplo). Sin embargo, googleando un poco he visto lo de One Time Password (OTP) y no me ha parecido una idea descabellada ya que, aunque los usuarios temporales son personas conocidas y confiaría en que siempre accederían desde la empresa o su casa, no descartaría que pudieran hacerlo desde cualquier sitio. Y mis preguntas son las siguientes: 1) ¿Es ir demasiado lejos en materia de seguridad el tratar de usar OTP? 2) En caso usar OTP, ¿es posible usar simultaneamente el actual sistema de acceso basado en usuario/contraseña (algunos usuarios usan clave asimétrica) para los usuarios del grupo y OTP para los usuarios temporales?. 3) ¿Alguna alternativa? Muchas gracias. Respuestas: 1) No. Es habitual ... sobretodo para accesos ssl-vpn, activación dinámica de reglas de fws, etc. 2) Si, pero no sé como está implantado en Debian (y en linux en general). Debería haber un módulo PAM que te ayudase ... 3) Para accesos temporales, OTP es la solución idónea ... La otra es que utilices bien certificados, bien passwords con caducidad, ... En fin, lo típico, pero la contra es el mantenerlo. Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5048d9a3.1030...@gmail.com
Re: User-password y/o OTP
El Thu, 06 Sep 2012 18:57:22 +0200, Troans escribió: tengo un servidor que se usa, básicamente, como repositiorio de información y subversion entre varios usuarios de un grupo. Sin embargo sería útil poder facilitar usuarios temporales, externos al grupo, que pudieran acceder a un cierto directorio donde poder bajar o subir algún fichero mediante scp/sftp. La primera idea que se me ha ocurrido es crear los usuarios según se necesiten según las necesidades pertenecientes a un grupo determinado y establecer un tiempo para que expire la contraseña del mismo (10 días, por ejemplo). No es mala idea: fácil de implementar para ti y de usar para ellos. Sin embargo, googleando un poco he visto lo de One Time Password (OTP) y no me ha parecido una idea descabellada ya que, aunque los usuarios temporales son personas conocidas y confiaría en que siempre accederían desde la empresa o su casa, no descartaría que pudieran hacerlo desde cualquier sitio. Y mis preguntas son las siguientes: 1) ¿Es ir demasiado lejos en materia de seguridad el tratar de usar OTP? No veo por qué... en cuestión de seguridad más vale prevenir. Lo único que necesitarías es un generador de contraseñas que estuviera en posesión de los usuarios (hay llaves con esta función pero son soluciones cerradas) y sincronizado con tu sistema pero hay implementaciones majas para móviles incluso: http://blog.dhampir.no/content/otp-one-time-passwords-on-debian-squeeze-ssh-logins http://www.worksinmymind.com/blog/?p=1083 2) En caso usar OTP, ¿es posible usar simultaneamente el actual sistema de acceso basado en usuario/contraseña (algunos usuarios usan clave asimétrica) para los usuarios del grupo y OTP para los usuarios temporales?. Esto ya no lo sé... lo que sí podrías es hacer es configurar el servidor ssh para que aceptara ambos (autentificación mediante otp y usuario/ contraseña). Los usuarios otp no tendrían cuenta en el sistema así que sin validación otp no pasarían, mientras que los otros tendrían se les preguntaría por la contraseña aleatoria y al no tenerla se pasaría a la autentifiación convencional. 3) ¿Alguna alternativa? Tu primera opción tampoco me parece mal, es más práctica y la contraseña cambiante se la podías generar automáticamente desde algún servidor web previa autentificación, mediante SMS o a través de correo electrónico firmado y cifrado. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/k2amnb$vdj$1...@ger.gmane.org
Re: OTP for RoundCube
On Sun, 08 May 2011 10:36:58 -0400, Gregory Seidman wrote: (...) I did some Googling and it seems to be theoretically possible to use the http_authentication plugin from the roundcube-plugins package (thank you backports) in conjunction with the libapache2-mod-authn-sasl Apache module to get one-time password support. I haven't been able to figure out how to get that working, however. First off, I can't figure out how to configure OTP for SASL. Second, RoundCube doesn't seem to be picking up the username and password from the HTTP auth. I've reached the end of the resources I could find by Googling, so I'm hoping someone can enlighten me. Help? Maybe this article can give you some hints on what is required to start applying OTP on RoundCube: Yubikey One-Time Password Authentication http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication Greetings, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2011.05.10.13.54...@gmail.com
OTP for RoundCube
I'm trying to do something that may not make a whole lot of sense, but bear with me. My current setup includes courier-imap (and courier-imap-ssl) using /etc/courier/userdb for authentication and apache2 (with a valid SSL cert). I've installed RoundCube and gotten it working nicely with apache, but I'd like to be able to authenticate with one-time passwords as well as a normal password. (I sometimes want to log in from systems I don't trust to type in a replayable password, but it usually isn't an issue.) I want to avoid being forced to use OTP exclusively. If I have to set up separate accounts where one exclusively requires OTP and the other exclusively requires a normal password, that's fine. It's also fine if the OTP sequence is unrelated to the normal password set for the account. I did some Googling and it seems to be theoretically possible to use the http_authentication plugin from the roundcube-plugins package (thank you backports) in conjunction with the libapache2-mod-authn-sasl Apache module to get one-time password support. I haven't been able to figure out how to get that working, however. First off, I can't figure out how to configure OTP for SASL. Second, RoundCube doesn't seem to be picking up the username and password from the HTTP auth. I've reached the end of the resources I could find by Googling, so I'm hoping someone can enlighten me. Help? --Greg P.S. I don't care what variety of OTP it is. Opie, something else, it doesn't matter to me. I'm planning on printing out a sequence of passwords, so I don't need a generator anywhere but on the server itself. -- To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110508143656.ga9...@anthropohedron.net
Re: Using OTP tokens on Debian
Hi all, I found on Vasco's site[1] they say the IDENTIKEY server works on Ubuntu. Have anyone used this server? Is the Digipass GO3/GO6 supported in this version? [1] http://www.vasco.com/products/identikey/identikey_server/identikey_system_requirements.aspx Gabor On Wed, 23 Jun 2010 11:13:06 +0200, Gabor Heja kakaopor1...@stdio.hu wrote: Hi all, I am currently looking for a hardware based OTP solution for PAM authentication on Debian (to use SSH). I have found a few solutions, one looks good (Aladdin eToken PASS) as it is supported by the LinOTP Community Edition, while another one (Aladdin eToken NG–OTP) is only supported by the Enterprise Edition. I have also found Vasco Digipass GO3/GO6, but I was unable to find any Linux references regarding this. Do you have any experiences with hardware based OTP tokens? What do/did you use on the machine for this purpose? Thank you for your suggestions, answers, comments! Gabor -- To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/d7a07fafe3db6b62ddcce1dc92dad...@localhost
Using OTP tokens on Debian
Hi all, I am currently looking for a hardware based OTP solution for PAM authentication on Debian (to use SSH). I have found a few solutions, one looks good (Aladdin eToken PASS) as it is supported by the LinOTP Community Edition, while another one (Aladdin eToken NG–OTP) is only supported by the Enterprise Edition. I have also found Vasco Digipass GO3/GO6, but I was unable to find any Linux references regarding this. Do you have any experiences with hardware based OTP tokens? What do/did you use on the machine for this purpose? Thank you for your suggestions, answers, comments! Gabor -- To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/028feeb7c69cf4c89535fb0e1aba8...@localhost
[OTP] O menino e o cao
Um menino resolve chamar o seu cao de Cu. A mae chateada com o nome , da o cao ao vizinho. O pai chega e pergunta: Onde esta a mae? E o filho responde: Foi dar o Cu ao vizinho. Moral da historia: Nunca dar o Cu ao vizinho porq mta coisa pode acontecer.
opie otp with nxserver 1.5.0?
I have a server set up for PAM authentication using OPIE, and want to get my nxclients to connect with a one-time password. Since the nxclient prompts for a password up-front, I never get the challenge. Can anyone point me to a how-to for PAM+OPIE+NXSERVER, or provide a few tips to get me going? -- Re-Interpreting Historic Miracles with SED #141: %s/water/wine/g -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: opie otp with nxserver 1.5.0?
On Sat, Mar 11, 2006 at 10:50:18AM -0800, Todd A. Jacobs wrote: I have a server set up for PAM authentication using OPIE, and want to get my nxclients to connect with a one-time password. Since the nxclient prompts for a password up-front, I never get the challenge. Just to clarify, the problem isn't so much that PAM isn't being consulted, as that the challenge is never seen. It seems to work if you know what your next OTP is supposed to be, but if you need to use an OTP calculator there doesn't seem to be a way to see the seed number. -- Re-Interpreting Historic Miracles with SED #141: %s/water/wine/g -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Sendmail/Sarge OTP unavailable because . .
I've just upgraded to sarge. I've been running sendmail and am getting these messages repeatedly in my /var/log/auth.log: Jun 22 23:01:05 debian sm-mta[6126]: OTP unavailable because can't read/write key database /etc/opiekeys: No such file or directory There seems to be a bit of discussion about this, but no visible solutions. My /etc/mail/sendmail.mc: divert(-1)dnl divert(0)dnl define(`_USE_ETC_MAIL_')dnl include(`/usr/share/sendmail/cf/m4/cf.m4')dnl VERSIONID(`$Id: sendmail.mc, v 8.12.3-6.6 2003-09-17 18:35:09 cowboy Exp $') OSTYPE(`debian')dnl DOMAIN(`debian-mta')dnl LOCAL_CONFIG FEATURE(`masquerade_envelope')dnl LOCAL_CONFIG FEATURE(`use_cw_file')dnl FEATURE(`use_ct_file')dnl FEATURE(`smrsh')dnl LOCAL_CONFIG FEATURE(`access_db', hash -TTMPF /etc/mail/access)dnl FEATURE(`dnsbl',`combined.njabl.org',`Message from ${client_addr} rejected - see http://njabl.org/lookup?${client_addr}')dnl FEATURE(`dnsbl', `relays.ordb.org', `550 Mail rejected - your mail server is blacklisted: See http://www.ordb.org/faq/\#why_rejected')dnl FEATURE(`dnsbl', `list.dsbl.org',`550 Mail rejected - your mail server is blacklisted: See http://dsbl.org/main')dnl INPUT_MAIL_FILTER(`clmilter',`S=local:/var/run/clamav/clamav-milter.ctl,F=, T=S:4m;R:4m')dnl define(`confINPUT_MAIL_FILTERS', `clmilter')dnl define(`confMAX_MESSAGE_SIZE', 1000)dnl define(`LOCAL_MAILER_PATH', `/usr/bin/procmail')dnl FEATURE(`local_procmail')dnl MASQUERADE_AS(`mydomain.com')dnl define(SMART_HOST, smtp:my.smart.host)dnl MAILER_DEFINITIONS MAILER(`procmail')dnl MAILER(local)dnl MAILER(smtp)dnl NB: mydomain.com and my.smart.host are fictitious. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OTP
Danny Heap [EMAIL PROTECTED] writes: There is (otp) for generating one-time passwords. Is there a debian package for implementing OTP? A quick `apt-cache search password | grep -i time' gives three hits, between them otp - Generator for One Time Passwords, so it would be sufficient to do a `apt-get install otp. `apt-cache show otp' would give you more information. (Maybe this could be woody only, you have to check yourself.) Greetings, joachim
OTP
There is (otp) for generating one-time passwords. Is there a debian package for implementing OTP? Thanks. Danny Heap [EMAIL PROTECTED]