Slutrapport till IIS för projektet Kerberos OTP



Relevanta dokument
Slutrapport Vertikala Sökmotorer Uppdrag från.se:s Internetfond Våren 2008

Slutrapport. APFy.me

2-faktor autentisering

2-faktor autentisering

Mekanismer för mediadistribution

RFC 6106-stöd i Router Advertisment-klienten radns. Michael Cardell Widerkrantz mc@hack.org

Slutrapport för Internetfonden

Utvärdering Kravspecifikation

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Finns SSO på riktigt?

Joakim Jonsson jj222kc. Minesweeper. Individuellt Mjukvaruprojekt Joakim Jonsson

F2 Exchange EC Utbildning AB

Resultatrapport. Utvärdering. Anbudslämnare. Utvärderingskriterium

LIPS 1, 2002 Lätt Interaktiv Projektstyrningsmodell

Slutrapport AD-inloggning med SITHS-kort

Active Directory Self-Service Bundle

Vägledning för implementering av AD-inloggning med SITHS-kort

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q2

Slutrapport för kommunikationsplattform på Internet för förskolan

Towards Blocking---resistant Communication on the Internet

ATTRIBUTLER SLUTRAPPORT

SIL SOAP API 4.0. beta prerelease

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Decentraliserad administration av gästkonton vid Karlstads universitet

tisdag 8 november 11

ANVÄNDARMANUAL HUR INSTALLERAR JAG MOBILEPASS PÅ MIN TELEFON ELLER DATOR

campus.borlänge Förstudie - Beslutsstöd för operativ tågtrafikstyrning

Anpassning av evidensbaserade metoder och styrande dokument

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1

Region Skåne Granskning av IT-kontroller

Referensgrupp MIS 2.0

Omsorgen Användarhandledning

Virtuell arbetsplats VDI Härryda Kommun. Alec Mägi Särnholm

ADITRO LÖSNINGAR FÖR EN ENKLARE JOBBVARDAG SUMMIT 2014 PER JOHANSSON & JOEL KÖHL ADITRO L FRÅN WINDOWS TILL WEB

The Complete Property Management System

Filbeskrivningar Eller på särskild CD skiva

Installation xvis besökssystem, Koncern

Slutrapport Socialförvaltningens kunskapsbank Augusti 2015

Programmering i C++ Kompilering från kommandoraden

MONA-handledning. 1. Inloggning. Version 2 1(5) Användarhandledning - UTKAST MONA-support. 1. Inloggning 2. Användning 3.

Statistiska centralbyrån

Skolmaten. Användarhandledning

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

PROJEKTSTÖD - Slutrapport. A. Uppgifter om stödmottagare. B. Uppgifter om kontaktpersonen. C. Sammanfattning av projektet

Slutrapport projektgenomförande - Aurora Innovation AB

Webbokning Windows 7,8.1 &10 Installationsmanual

Filhanterare med AngularJS

Statistiska centralbyrån

ABAX KÖRJOURNAL FÖR FÖRMÅNSBIL ABAX - problemlösare för alla med bil i arbetet

Ariba Network Förenklad konfigureringsguide för konto

Slutrapport VoteIT Mix

FAQ. SundaHus Miljödata Bedömningskriterier 6.0. Datum: Beskrivning: Frågor och svar om. SundaHus Miljödata Bedömningskriterier 6.

Välkomna till PasIva Årskonferens 2017

eklient i Samverkan Självbetjäning för IT-plattformen Håkan Bengtsson eklient

Anvisningar för ifyllande av ansökningar till Radiohjälpen för internationella ändamål (ver 1.02 oktober 2012)

Backup Premium Snabbguide

SITHS-VPN Fjärranslutning

Manual. Föreningsadministratör i medlemssystemet

SLUTRAPPORT WEBBPROJEKT 1

ADDING VALUE CONSULTING AB ITIL FOUNDATION KURS

Flexi Exchange Connector. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Manual - Storegate Team

Bilaga: Användarrättigheter

UML: Exempel. Ett modelleringsspråk. UML: Ansvar. UML: tre huvudanvändningar. Exempel: En klass position storlek. UML Unified Modelling Language

Projekt KA KA-system v1.0. Projekt KA Siw Bengtsson

Telia SIP-anslutning Samtalsstyrning. Handbok. SIP-anslutning 2.0

SLUTRAPPORT RUNE TENNESMED WEBBSHOP

Exempel på verklig kravspecifikation

Gränssnitt och identiteter. - strategiska frågor inom Ladok3

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business

Verksamhetsplan 2015/2016

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Förändringar i regelverket avseende införande av intygskonverteringstjänst och alternativt tekniskt anslutningsförfarande

Handbok för WiFi-inställningar

Hur kommer man igång med effektiviseringsarbetet? Fredrik Davidsson ECE Network

ANVÄNDARMANUAL HUR INSTALLERAR JAG MOBILEPASS PÅ MIN TELEFON ELLER DATOR

NPÖ konsument över Internet/Kunskapsöversikt NPÖ. Lars Törnblom/ Marita OlssonNarving Sveriges kommuner och landsting

Delprojektbeskrivning

Kalendersynkronisering. med Exchange. Vitec Express juli 2014 INSTRUKTIONSMANUAL FRÅN VITEC

PMM (Process Maturity Metrics) Allmänt. Mätetal för framgångsfaktorer. 1. CM konfigurationsstyrning

GADD Software en introduktion

Kravspecifikation. LiTH Segmentering av MR-bilder med ITK Anders Eklund Version 1.0. Status

Den mobila handelslösningen som förenklar din affär

TDDC74 - Projektspecifikation

KOMPLETT KAMPANJHANTERING FRÅN ARKITEKTKOPIA

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet

Användbarhet och Webbutveckling för mobila enheter. Behovsanalys

Unified Communication. KommITS - 6 maj i Helsingborg IT-chef Richard Lindström och IT-projektledare Ulrika Häggström

NYTTJANDEAVTAL MICROBUTIK PREMIUM

DIG IN TO. Nätverksadministration

Konton skapas normalt av användaren själv, men kan i undantagsfall behöva läggas upp av annan person, exempelvis en junioradmin.

Rapport om Samordnad vård- och omsorgsplanering via distansmöten med uppkoppling via Lync

GÖTEBORG IT Trender och tendenser

Mamut One Innehåll och status

Projektet Windows 10 och molnet. Leif Lagebrand

Installationsanvisningar ProjectWise Explorer

LIPS Kravspecifikation. Institutionen för systemteknik Mattias Krysander

Preliminär specifikation av projekt

Transkript:

Slutrapport till IIS för projektet Kerberos OTP Contents 1 Inledning 1 2 Mål och syfte 1 3 Sammanfattning av utfallet 1 4 Projektbeskrivning 2 4.1 Korrigerad projektplan...................... 2 5 Leverabler 2 6 Resultat 2 6.1 5.2 Specikation av delprojekt/aktiviteter/leverabler..... 3 7 Utvärdering och analys 4 7.1 Utvärdering av resultat...................... 4 7.2 Förslag på förbättringar..................... 4 8 Framtida arbeten 4 1 Inledning 2 Mål och syfte Projektets mål har varit att göra det möjligt att använda ett OTP-token tillsammans med Heimdal eller MIT Kerberos och i mån av resurser andra implementationer av Kerberos. 1

Ett OTP-token är en bit hård- eller mjukvara som genererar ett unikt lösenord varje gång det används. Förkortningen OTP står för One Time Password. Sådana tokens är mycket intressanta eftersom dom ofta är mycket enklare och billigare än andra alternativ till klassiska lösenord inklusive s.k. smarta kort. Kerberos är en mycket spridd säkerhetsteknologi (främst eftersom Kerberos är en central del i Windows Active Directory). Målet med vårt projekt har alltså varit att göra det möjligt att använda ett billig och enkelt alternativ till lösenord i Kerberos. 3 Sammanfattning av utfallet Projektet har i stort lyckats med sina utsatta mål. Det nns en fungerande implementation av en IETF-standard för integration av OTP i Kerberos. Denna implementation har gjorts i MITs Kerberos och kommer med mycket stor sannolikhet att bli accepterad som ociell del av nästa version (1.11) av MIT Kerberos. Projektet har etablerat ett väl fungerande samarbete med bla MIT Kerberos Konsortiet samt med RedHat Inc. Projektet har inte nått riktigt så långt när det gäller paketering och dokumentation som vi hade hoppats. Till stor del beror det på att vi här är beroende av att vissa förändringar i MIT Kerberos skulle slå igenom i ociella releaser vilket av olika skäl (som vi dock inte har kontroll över) inte har hänt ännu. Vi tror dock att det är fullt realistiskt att börja genomföra mer praktiska tester av denna teknologi under 2012. Vi ser fram emot att hjälpa till med detta och hoppas att genom IIS synliggörande av vårt projekt kunna etablera kontakter och nna resurser för vidare arbete inom detta område. Projektet har haft två syften: 1. Implementera stöd (via en plugin-arkitektur) för generella OTP-nycklar i Kerberos baserat på FAST-standarden inom IETF 2. Genom att ta detta tillfälle att inviga en ny utvecklare som kan jobba med Heimdal gör vi det möjligt för sverige att behålla ett visst mått av inytande över detta mycket viktiga projekt. 2

4 Projektbeskrivning 4.1 Korrigerad projektplan Projeketet ska inledas 2011-02-01. Projeketet ska avslutas 2012-02-15. 5 Leverabler Leverans- Förväntat Planerat Nr förteckning resultat lev.datum Utfall 1 Alpha Patchar till Heimdal eller MIT 2011-08-01 2 Beta Publik beta 2011-11-01 3 Upstream Patchar accepterade 2012-01-31 4 Slutrapport 2012-02-15 6 Resultat En plugin till MIT Kerberos har utvecklats och testats och väntar på att infogas som ociellt bidrag till MIT Kerberos. Vårt projekt har gett upphov till en hel del aktivitet inom MIT Kerberos och ett stort antal förändringar (bla våra bidrag) väntas bli del av nästa version (1.11). Projektet har presenterats på en konferens, 2011 Kerberos Conference Interop Event på MIT i Boston, MA. Denna konferens utgör den huvudsakliga mötesplatsen för utvecklare av Kerberos. En tidig version av ramverket FAST (som krävs för OTP-stöd i Kerberos) har under projektets gång tagits fram av utvecklare på Apple för Heimdal men detta blev tyvärr inte klart i tid varför vårt projekt bara har kunnat implementera OTP-stöd för MIT Kerberos. 6.1 5.2 Specikation av delprojekt/aktiviteter/leverabler En användare (principal) ska kunna associeras i KDC:n med en OTP-nyckel och därefter ska alla inloggningar kräva OTP-inloggning. En användare som i kdc:n är associerad med en OTP-nyckel ska kunna göra kinit user@realm på kommandorad och efter lyckad användning av OTP-nyckeln ska det ha skapats en tgt. 3

En administratör ska i förekommande fall kunna återställa en OTPnyckel i KDC:n. NOT: Det är ofta lämpligare att utföra återställning i externt OTPsystem (OTP backend). Utvecklare ska kunna lägga till stöd för nya OTP-nycklar utan att behöva ändra i MIT/Heimdal. Detta delmål ck utgå pga tidsbrist. NOT: Pluginramverket i MIT Kerberos 1.10 tillåter inte komplett outof-tree build (ASN.1 encoding/decoding är inte utbrutet). Detta kommer att åtgärdas i MIT 1.11. En administratör ska kunna lägga till stöd för en ny OTP-nyckel utan att behöva kompilera om MIT/Heimdal. Detta delmål ck utgå pga tidsbrist. NOT: Se förra punkten. En användare vars OTP-nyckel har kommit ur synk ska i normala fall inte behöva byta ut sin OTP-nyckel. Om OTP-nyckeln kräver en PIN-kod så bör ändring av PIN-kod vara integrerat i användargränssnitten (tex kinit). Detta delmål ck utgå pga tidsbrist. Utvecklare av plugins för OTP-nycklar bör ha tillgång till en enkel referensimplementation (dummy-plugin) som visar användningen av abi:et. 7 Utvärdering och analys 7.1 Utvärdering av resultat En stor del av insatsen har varit instudering av ett antal komplicerade protokoll och en omfattande kodbas. Kompetensspridningen har varit mycket framgångsrik. En stor mängd kontaktvägar har etablerats. Samarbetet med RedHat förenklade vissa delar och gjorde andra delar mer komplicerade. Den öppna kommunikationen på mejlinglistor och öppna källkodsarkiv gav era nya kontakter och möjligheter. 4

7.2 Förslag på förbättringar Vi kunde ha lagt mer fokus på paketering och dokumentation, något som nu i viss mån ck stryka på foten till förmån för fokus på utveckling och kontaktbyggande. 8 Framtida arbeten Ett antal moment återstår innan det är möjligt att börja testa OTP för Kerberos i mer praktiska situationier. 1. Portering till ny ASN.1-struktur i MIT Kerberos 1.11 och komplettering av de datastrukturer som ännu ej är implementerade. 2. Implementering av stöd för ändring av PIN. 3. Implementering av en native OTP-metod direkt i KDC. 4. Portering till Heimdal. 5. Användardokumentation. 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss