Mit FreeIPA unter Linux Smartcards provisionieren
Gut geschwenkt
Bekanntlich kann das Identity-Management-Framework FreeIPA Zertifikate für vielerlei Zwecke ausstellen. Mit den OpenSC-Tools lassen sich diese auf eine Smartcard schreiben, um sich etwa an einem System anzumelden oder E-Mails zu signieren.
X.509-Zertifikate sind ein probates Mittel, sich unter einer bestimmten Identität gegenüber einem System zu authentifizieren. Als Alternativen existieren darüber hinaus die klassischen Passwörter oder mittlerweile immer öfter sogenannte OTP-Tokens – also zeitlich begrenzt gültige Passwörter. Das Nutzen von X.509-Zertifikaten erfordert etwas mehr Aufwand, da man Benutzerzertifikate oft auf einer Smartcard speichert, was wiederum ein entsprechendes Lesegerät voraussetzt. Neben der Frage nach der einzusetzenden Hardware gilt es natürlich ebenso zu klären, welchem Einsatzzweck die Zertifikate dienen sollen. Damit einhergehend ist zu beantworten, ob das Ausstellen der Zertifikate innerhalb des Unternehmens oder durch einen externen Dienstleister erfolgen soll.
Der weitere Artikel setzt voraus, dass die Zertifikate zum Anmelden eines Benutzers an einem System dienen sollen. Als Tool zum Ausstellen und Verwalten der Zertifikate dient das Identity-Management-Framework FreeIPA. Darüber lassen sich Services, Hosts und eben auch Benutzer verwalten. Diese landen als Objekt in einem LDAP-Verzeichnisbaum und besitzen viele Attribute. Neben den klassischen POSIX-Attributen für Benutzer kann ein solches LDAP-Objekt zusätzliche Informationen wie einen SSH-Schlüssel oder eben ein X.509-Zertifikat enthalten. Da FreeIPA Benutzer üblicherweise per Kerberos authentifiziert, ist der Principal Name ebenfalls Teil des LDAP-Objekts.