Re: User-password y/o OTP

2012-09-08 Thread Troans 


On 06/09/12 19:32, Camaleón wrote:

El Thu, 06 Sep 2012 18:57:22 +0200, Troans escribió:


tengo un servidor que se usa, básicamente, como repositiorio de
información y subversion entre varios usuarios de un grupo. Sin embargo
sería útil poder facilitar usuarios temporales, externos al grupo, que
pudieran acceder a un cierto directorio donde poder bajar o subir algún
fichero mediante scp/sftp.

La primera idea que se me ha ocurrido es crear los usuarios según se
necesiten según las necesidades pertenecientes a un grupo determinado y
establecer un tiempo para que expire la contraseña del mismo (10 días,
por ejemplo).


No es mala idea: fácil de implementar para ti y de usar para ellos.


Sin embargo, googleando un poco he visto lo de One Time Password (OTP) y
no me ha parecido una idea descabellada ya que, aunque los usuarios
temporales son personas conocidas y confiaría en que siempre accederían
desde la empresa o su casa, no descartaría que pudieran hacerlo desde
cualquier sitio.

Y mis preguntas son las siguientes:

1) ¿Es ir demasiado lejos en materia de seguridad el tratar de usar OTP?


No veo por qué... en cuestión de seguridad más vale prevenir.

Lo único que necesitarías es un generador de contraseñas que estuviera en
posesión de los usuarios (hay llaves con esta función pero son soluciones 
cerradas)
y sincronizado con tu sistema pero hay implementaciones majas para móviles 
incluso:

http://blog.dhampir.no/content/otp-one-time-passwords-on-debian-squeeze-ssh-logins

http://www.worksinmymind.com/blog/?p=1083


2) En caso usar OTP, ¿es posible usar simultaneamente el actual sistema
de acceso basado en usuario/contraseña (algunos usuarios usan clave
asimétrica) para los usuarios del grupo y OTP para los usuarios
temporales?.


Esto ya no lo sé... lo que sí podrías es hacer es configurar el servidor
ssh para que aceptara ambos (autentificación mediante otp y usuario/
contraseña). Los usuarios otp no tendrían cuenta en el sistema así que
sin validación otp no pasarían, mientras que los otros tendrían se les
preguntaría por la contraseña aleatoria y al no tenerla se pasaría a la
autentifiación convencional.


3) ¿Alguna alternativa?


Tu primera opción tampoco me parece mal, es más práctica y la contraseña
cambiante se la podías generar automáticamente desde algún servidor web
previa autentificación, mediante SMS o a través de correo electrónico firmado
y cifrado.


Perfecto, optaré por la primera solución porque veo que es más sencilla.

Muchísimas gracias.




Saludos,




--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/504b70d6.2010...@gmail.com

User-password y/o OTP

2012-09-06 Thread Troans 

Hola,

tengo un servidor que se usa, básicamente, como repositiorio de 
información y subversion entre varios usuarios de un grupo. Sin embargo 
sería útil poder facilitar usuarios temporales, externos al grupo, que 
pudieran acceder a un cierto directorio donde poder bajar o subir algún 
fichero mediante scp/sftp.


La primera idea que se me ha ocurrido es crear los usuarios según se 
necesiten según las necesidades pertenecientes a un grupo determinado y 
establecer un tiempo para que expire la contraseña del mismo (10 días, 
por ejemplo).


Sin embargo, googleando un poco he visto lo de One Time Password (OTP) y 
no me ha parecido una idea descabellada ya que, aunque los usuarios 
temporales son personas conocidas y confiaría en que siempre accederían 
desde la empresa o su casa, no descartaría que pudieran hacerlo desde 
cualquier sitio.


Y mis preguntas son las siguientes:

1) ¿Es ir demasiado lejos en materia de seguridad el tratar de usar OTP?

2) En caso usar OTP, ¿es posible usar simultaneamente el actual sistema 
de acceso basado en usuario/contraseña (algunos usuarios usan clave 
asimétrica) para los usuarios del grupo y OTP para los usuarios temporales?.


3) ¿Alguna alternativa?


Muchas gracias.


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5048d5f2.6030...@gmail.com

Re: User-password y/o OTP

2012-09-06 Thread carlopmart 

On 09/06/2012 06:57 PM, Troans wrote:

Hola,

tengo un servidor que se usa, básicamente, como repositiorio de
información y subversion entre varios usuarios de un grupo. Sin embargo
sería útil poder facilitar usuarios temporales, externos al grupo, que
pudieran acceder a un cierto directorio donde poder bajar o subir algún
fichero mediante scp/sftp.

La primera idea que se me ha ocurrido es crear los usuarios según se
necesiten según las necesidades pertenecientes a un grupo determinado y
establecer un tiempo para que expire la contraseña del mismo (10 días,
por ejemplo).

Sin embargo, googleando un poco he visto lo de One Time Password (OTP) y
no me ha parecido una idea descabellada ya que, aunque los usuarios
temporales son personas conocidas y confiaría en que siempre accederían
desde la empresa o su casa, no descartaría que pudieran hacerlo desde
cualquier sitio.

Y mis preguntas son las siguientes:

1) ¿Es ir demasiado lejos en materia de seguridad el tratar de usar OTP?

2) En caso usar OTP, ¿es posible usar simultaneamente el actual sistema
de acceso basado en usuario/contraseña (algunos usuarios usan clave
asimétrica) para los usuarios del grupo y OTP para los usuarios
temporales?.

3) ¿Alguna alternativa?


Muchas gracias.




Respuestas:

1) No. Es habitual ... sobretodo para accesos ssl-vpn, activación 
dinámica de reglas de fws, etc.


2) Si, pero no sé como está implantado en Debian (y en linux en 
general). Debería haber un módulo PAM que te ayudase ...


3) Para accesos temporales, OTP es la solución idónea ... La otra es que 
utilices bien certificados, bien passwords con caducidad, ... En fin, lo 
típico, pero la contra es el mantenerlo.


Saludos.

--
CL Martinez
carlopmart {at} gmail {d0t} com


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5048d9a3.1030...@gmail.com

Re: User-password y/o OTP

2012-09-06 Thread Camaleón 
El Thu, 06 Sep 2012 18:57:22 +0200, Troans escribió:

 tengo un servidor que se usa, básicamente, como repositiorio de
 información y subversion entre varios usuarios de un grupo. Sin embargo
 sería útil poder facilitar usuarios temporales, externos al grupo, que
 pudieran acceder a un cierto directorio donde poder bajar o subir algún
 fichero mediante scp/sftp.
 
 La primera idea que se me ha ocurrido es crear los usuarios según se
 necesiten según las necesidades pertenecientes a un grupo determinado y
 establecer un tiempo para que expire la contraseña del mismo (10 días,
 por ejemplo).

No es mala idea: fácil de implementar para ti y de usar para ellos.

 Sin embargo, googleando un poco he visto lo de One Time Password (OTP) y
 no me ha parecido una idea descabellada ya que, aunque los usuarios
 temporales son personas conocidas y confiaría en que siempre accederían
 desde la empresa o su casa, no descartaría que pudieran hacerlo desde
 cualquier sitio.
 
 Y mis preguntas son las siguientes:
 
 1) ¿Es ir demasiado lejos en materia de seguridad el tratar de usar OTP?

No veo por qué... en cuestión de seguridad más vale prevenir.

Lo único que necesitarías es un generador de contraseñas que estuviera en 
posesión de los usuarios (hay llaves con esta función pero son soluciones 
cerradas) 
y sincronizado con tu sistema pero hay implementaciones majas para móviles 
incluso:

http://blog.dhampir.no/content/otp-one-time-passwords-on-debian-squeeze-ssh-logins

http://www.worksinmymind.com/blog/?p=1083

 2) En caso usar OTP, ¿es posible usar simultaneamente el actual sistema
 de acceso basado en usuario/contraseña (algunos usuarios usan clave
 asimétrica) para los usuarios del grupo y OTP para los usuarios
 temporales?.

Esto ya no lo sé... lo que sí podrías es hacer es configurar el servidor 
ssh para que aceptara ambos (autentificación mediante otp y usuario/
contraseña). Los usuarios otp no tendrían cuenta en el sistema así que 
sin validación otp no pasarían, mientras que los otros tendrían se les 
preguntaría por la contraseña aleatoria y al no tenerla se pasaría a la 
autentifiación convencional.

 3) ¿Alguna alternativa?

Tu primera opción tampoco me parece mal, es más práctica y la contraseña 
cambiante se la podías generar automáticamente desde algún servidor web 
previa autentificación, mediante SMS o a través de correo electrónico firmado 
y cifrado.

Saludos,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/k2amnb$vdj$1...@ger.gmane.org

Re: OTP for RoundCube

2011-05-10 Thread Camaleón 
On Sun, 08 May 2011 10:36:58 -0400, Gregory Seidman wrote:

(...)

 I did some Googling and it seems to be theoretically possible to use the
 http_authentication plugin from the roundcube-plugins package (thank you
 backports) in conjunction with the libapache2-mod-authn-sasl Apache
 module to get one-time password support. I haven't been able to figure
 out how to get that working, however. First off, I can't figure out how
 to configure OTP for SASL. Second, RoundCube doesn't seem to be picking
 up the username and password from the HTTP auth. I've reached the end of
 the resources I could find by Googling, so I'm hoping someone can
 enlighten me. Help?

Maybe this article can give you some hints on what is required to start 
applying OTP on RoundCube:

Yubikey One-Time Password Authentication
http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication

Greetings,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org 
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/pan.2011.05.10.13.54...@gmail.com

OTP for RoundCube

2011-05-08 Thread Gregory Seidman 
I'm trying to do something that may not make a whole lot of sense, but bear
with me. My current setup includes courier-imap (and courier-imap-ssl)
using /etc/courier/userdb for authentication and apache2 (with a valid SSL
cert). I've installed RoundCube and gotten it working nicely with apache,
but I'd like to be able to authenticate with one-time passwords as well as
a normal password. (I sometimes want to log in from systems I don't trust
to type in a replayable password, but it usually isn't an issue.) I want to
avoid being forced to use OTP exclusively. If I have to set up separate
accounts where one exclusively requires OTP and the other exclusively
requires a normal password, that's fine. It's also fine if the OTP sequence
is unrelated to the normal password set for the account.

I did some Googling and it seems to be theoretically possible to use the
http_authentication plugin from the roundcube-plugins package (thank you
backports) in conjunction with the libapache2-mod-authn-sasl Apache module
to get one-time password support. I haven't been able to figure out how to
get that working, however. First off, I can't figure out how to configure
OTP for SASL. Second, RoundCube doesn't seem to be picking up the
username and password from the HTTP auth. I've reached the end of the
resources I could find by Googling, so I'm hoping someone can enlighten me.
Help?

--Greg
P.S. I don't care what variety of OTP it is. Opie, something else, it
 doesn't matter to me. I'm planning on printing out a sequence of
 passwords, so I don't need a generator anywhere but on the server
 itself.


-- 
To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org 
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20110508143656.ga9...@anthropohedron.net

Re: Using OTP tokens on Debian

2010-06-28 Thread Gabor Heja 

Hi all,

I found on Vasco's site[1] they say the IDENTIKEY server works on Ubuntu.

Have anyone used this server? Is the Digipass GO3/GO6 supported in this
version?

[1]
http://www.vasco.com/products/identikey/identikey_server/identikey_system_requirements.aspx

Gabor


On Wed, 23 Jun 2010 11:13:06 +0200, Gabor Heja kakaopor1...@stdio.hu
wrote:
 
 Hi all,
 
 I am currently looking for a hardware based OTP solution for PAM
 authentication on Debian (to use SSH).
 
 I have found a few solutions, one looks good (Aladdin eToken PASS) as it
 is
 supported by the LinOTP Community Edition, while another one (Aladdin
 eToken NG–OTP) is only supported by the Enterprise Edition.
 
 I have also found Vasco Digipass GO3/GO6, but I was unable to find any
 Linux references regarding this.
 
 Do you have any experiences with hardware based OTP tokens?
 
 What do/did you use on the machine for this purpose?
 
 Thank you for your suggestions, answers, comments!
 
 Gabor
 
 
 



-- 
To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org 
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/d7a07fafe3db6b62ddcce1dc92dad...@localhost

Using OTP tokens on Debian

2010-06-23 Thread Gabor Heja 

Hi all,

I am currently looking for a hardware based OTP solution for PAM
authentication on Debian (to use SSH).

I have found a few solutions, one looks good (Aladdin eToken PASS) as it is
supported by the LinOTP Community Edition, while another one (Aladdin
eToken NG–OTP) is only supported by the Enterprise Edition.

I have also found Vasco Digipass GO3/GO6, but I was unable to find any
Linux references regarding this.

Do you have any experiences with hardware based OTP tokens?

What do/did you use on the machine for this purpose?

Thank you for your suggestions, answers, comments!

Gabor



-- 
To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org 
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/028feeb7c69cf4c89535fb0e1aba8...@localhost

[OTP] O menino e o cao

2006-12-31 Thread CABGOC - Malongo PR GS Kilo Operator 4 (akilo4) 
 
 Um menino resolve chamar o seu cao de Cu. A mae chateada com o nome ,
da o cao ao vizinho. O pai chega e pergunta: Onde esta a mae? E o filho
responde: Foi dar o Cu ao vizinho. 
 
Moral da historia: Nunca dar o Cu ao vizinho porq mta coisa pode
acontecer.

opie otp with nxserver 1.5.0?

2006-03-11 Thread Todd A. Jacobs 
I have a server set up for PAM authentication using OPIE, and want to
get my nxclients to connect with a one-time password. Since the nxclient
prompts for a password up-front, I never get the challenge.

Can anyone point me to a how-to for PAM+OPIE+NXSERVER, or provide a few
tips to get me going?

-- 
Re-Interpreting Historic Miracles with SED #141: %s/water/wine/g


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED] 
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: opie otp with nxserver 1.5.0?

2006-03-11 Thread Todd A. Jacobs 
On Sat, Mar 11, 2006 at 10:50:18AM -0800, Todd A. Jacobs wrote:

 I have a server set up for PAM authentication using OPIE, and want to
 get my nxclients to connect with a one-time password. Since the
 nxclient prompts for a password up-front, I never get the challenge.

Just to clarify, the problem isn't so much that PAM isn't being
consulted, as that the challenge is never seen. It seems to work if you
know what your next OTP is supposed to be, but if you need to use an OTP
calculator there doesn't seem to be a way to see the seed number.

-- 
Re-Interpreting Historic Miracles with SED #141: %s/water/wine/g


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED] 
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Sendmail/Sarge OTP unavailable because . .

2005-06-22 Thread Robert S 
I've just upgraded to sarge.  I've been running sendmail and am getting 
these messages repeatedly in my /var/log/auth.log:

Jun 22 23:01:05 debian sm-mta[6126]: OTP unavailable because can't 
read/write key database /etc/opiekeys: No such file or directory

There seems to be a bit of discussion about this, but no visible solutions.

My /etc/mail/sendmail.mc:

divert(-1)dnl
divert(0)dnl
define(`_USE_ETC_MAIL_')dnl
include(`/usr/share/sendmail/cf/m4/cf.m4')dnl
VERSIONID(`$Id: sendmail.mc, v 8.12.3-6.6 2003-09-17 18:35:09 cowboy Exp $')
OSTYPE(`debian')dnl
DOMAIN(`debian-mta')dnl
LOCAL_CONFIG
FEATURE(`masquerade_envelope')dnl
LOCAL_CONFIG
FEATURE(`use_cw_file')dnl
FEATURE(`use_ct_file')dnl
FEATURE(`smrsh')dnl
LOCAL_CONFIG
FEATURE(`access_db', hash -TTMPF /etc/mail/access)dnl
FEATURE(`dnsbl',`combined.njabl.org',`Message from ${client_addr} 
rejected - see http://njabl.org/lookup?${client_addr}')dnl
FEATURE(`dnsbl', `relays.ordb.org',  `550 Mail rejected - your mail server 
is blacklisted: See http://www.ordb.org/faq/\#why_rejected')dnl
FEATURE(`dnsbl', `list.dsbl.org',`550 Mail rejected - your mail server 
is blacklisted: See http://dsbl.org/main')dnl
INPUT_MAIL_FILTER(`clmilter',`S=local:/var/run/clamav/clamav-milter.ctl,F=, 
T=S:4m;R:4m')dnl
define(`confINPUT_MAIL_FILTERS', `clmilter')dnl
define(`confMAX_MESSAGE_SIZE', 1000)dnl
define(`LOCAL_MAILER_PATH', `/usr/bin/procmail')dnl
FEATURE(`local_procmail')dnl
MASQUERADE_AS(`mydomain.com')dnl
define(SMART_HOST, smtp:my.smart.host)dnl
MAILER_DEFINITIONS
MAILER(`procmail')dnl
MAILER(local)dnl
MAILER(smtp)dnl

NB: mydomain.com and my.smart.host are fictitious. 




-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED] 
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: OTP

2000-10-28 Thread Joachim Trinkwitz 
Danny Heap [EMAIL PROTECTED] writes:

 There is (otp) for generating one-time passwords.  Is there a debian
 package for implementing OTP?

A quick `apt-cache search password | grep -i time' gives three hits,
between them otp - Generator for One Time Passwords, so it would be
sufficient to do a `apt-get install otp.

`apt-cache show otp' would give you more information.

(Maybe this could be woody only, you have to check yourself.)

Greetings,
joachim

OTP

2000-10-20 Thread Danny Heap 
There is (otp) for generating one-time passwords.  Is there a debian
package for implementing OTP?

Thanks.

Danny Heap
[EMAIL PROTECTED]