esra

Beschreibung

Implementation des telnet-Protokolls mit DES-verschlüsselter Datenübertragung unter Verwendung von SRA (Secure RPC Authentication).
Der telnet-Client versucht zuerst mit dem Server (telnetd) auf dem remote Host unter Verwendung des SRA-Verfahrens (Diffie-Hellman Key Exchange) einen DES-Key auszutauschen, der im folgenden zur Verschlüsselung der gesamten Datenübertragung verwendet wird. Wenn sowohl Server (telnetd) als auch Client (telnet) dieses Verfahren beherrschen, wird der gesamte Authentisierungsvorgang bereits vom telnetd abgewickelt. In diesem Fall wird das Login-Programm so gestartet, daß es nicht noch einmal die Passwortprüfung durchführt.

Hat der remote Host noch den systemeignen telnetd installiert bzw. wurde nicht der telnet-Client aus diesem Paket benutzt, so wird der übliche Login-Vorgang mit Authentisierung durch das Login-Programm abgearbeitet.

Der telnetd aus diesem Paket muß also in der Lage sein, das Login-Programm so aufzurufen, daß es erkennt, daß die Authentisierung bereits erfolgt ist. Dazu wird die Option -p verwendet, die jedoch die meisten login-Implementationen der verschiedenen Systeme nicht kennen. Der in diesem Paket enthaltene telnetd startet daher nicht das systemeigne Login-Program (login), sondern ein Programm mit dem Namen sralogin.
Unter diesem Namen muß also ein Login-Programm bereitgestellt werden, welches die Option -p versteht. Dazu eignet sich am besten das Login-Programm aus dem Paket tuclogin. Da dieses Paket noch nicht für alle von uns unterstützten Plattformen verfügbar ist, kann auch das Login-Programm aus Paket S/Key verwendet werden. Das Login-Programm (skeylogin) aus diesem Paket versucht zuerst eine Authentisierung nach einem One-Time-Passwort-Verfahren. Ist der Nutzer, der sich gerade anmeldet, jedoch nicht in der S/Key-Datenbasis auf dem remote Host eingetragen, wird das gewohnte Login-Verfahren benutzt. In einigen Systemen gibt es von diesem Login-Programm zwei Versionen. Das Programm skeylogin besitzt die oben beschriebene Funktionalität, während das Programm skeylogin.afs zusätzlich ein AFS-Token beschafft, sofern das aufgrund des eingegebenen Nutzerkennzeichen/Passworts und der erforderlichen Installation von AFS überhaupt möglich ist.

Für die Systeme, für die auch AFS verfügbar ist, beschafft bereits der im Paket enthaltene telnetd.afs ein AFS-Token für den sich anmeldenden Nutzer, falls dieser einen AFS-Account besitzt und den zum Paket gehörenden telnet-Client benutzt.
Wird ein anderer telnet-Client benutzt, so wird das AFS-Token durch das oben erwähnte Login-Programm aus dem Paket tuclogin beschafft.

Beachten Sie:

Wenn die Vergabe von Nutzerkennzeichen und UIDs/GIDs Ihrer Maschine nicht mit dem URZ abgestimmt ist, sollten Sie die AFS-Varianten des telnetd und der login-Programme nicht benutzen, da diese Programme bei Eingabe des AFS-Passwortes die Authentisierung beenden, wenn das eingegebene Passwort zum angegebenen Nutzerkennzeichen passt.

Andere Login-Varianten (per rlogin oder lokal an der Konsole) werden davon nicht beeinflußt.

Installation/Verwendung

Server-Seite

• SunOS 5.x:
  Installieren von /uni/global/bin/login.noafs (bzw. /uni/global/bin/login.afs) als /usr/bin/sralogin

SunOS 4.1.x:
Installieren von /uni/global/bin/login.noafs (bzw. /uni/global/bin/login.afs) als /usr/bin/sralogin

HP-UX 9.0x, HP-UX 10.0x, Ultrix 4.3/4.4:
Wenn Sie AFS installiert haben und die Vergabe Ihrer Nutzrerkennzeichen und UID's mit dem URZ abgestimmt ist (siehe oben):
Installieren von /usr/afsws/bin/login als /bin/sralogin
Sonst:
Installieren von /uni/global/bin/skeylogin (bzw. /uni/global/bin/skeylogin.afs) als /bin/sralogin

Linux:
Installieren von /uni/global/bin/login.noafs{.noshadow,.shadow} (bzw. /uni/global/bin/login.afs{.noshadow,.shadow} als /bin/sralogin

• SunOS 5.x und Linux:
  Umbennenen von /usr/sbin/in.telnetd in /usr/sbin/in.telnetd.save (um ggf. alles rückgängig machen zu können)

SunOS 4.1.x:
Umbenennen von /usr/etc/in.telnetd in /usr/etc/in.telnetd.save (um ggf. alles rückgängig machen zu können)

HP-UX 9.0x:
Umbenennen von /etc/telnetd in /etc/telnetd.save (um ggf. alles rückgängig machen zu können)

HP-UX 10.0x:
Umbenennen von /usr/lbin/telnetd in /usr/lbin/telnetd.save (um ggf. alles rückgängig machen zu können)

Ultrix 4.3/4.4:
Umbenennen von /usr/etc/telnetd in /usr/etc/telnetd.save (um ggf. alles rückgängig machen zu können)

• SunOS 5.x und Linux:
  Installieren von /uni/global/etc/telnetd (bzw. /uni/global/etc/telnetd.afs) als /usr/sbin/in.telnetd

SunOS 4.1.x:
Installieren von /uni/global/etc/telnetd (bzw. /uni/global/etc/telnetd.afs) als /usr/etc/in.telnetd

HP-UX 9.0x:
es existieren in /uni/global/etc verschiedene Varianten des telnetd, von denen eine ausgewählt werden muss: telnetd.hp-ux9, telnetd.hp-ux9.afs3.3a, telnetd.hp-ux9.afs3.4a
Installieren des ausgwählten Binaries als /etc/telnetd

HP-UX 10.x:
es existieren in /uni/global/etc verschiedene Varianten des telnetd, von denen eine ausgewählt werden muss: telnetd.hp-ux10, telnetd.hp-ux10.afs3.4a
Installieren des ausgwählten Binaries als /usr/lbin/telnetd

Ultrix 4.3/4.4:
Installieren von /uni/global/etc/telnetd (bzw. /uni/global/etc/telnetd.afs) als /usr/etc/telnetd

• Bei Verwendung des TCP-Wrappers müssen die Einträge für den telnet-Dienst in /etc/inetd.conf folgendermaßen aussehen:

SunOS 5.x und Linux:
telnet stream tcp nowait root /path/to/tcpd /usr/sbin/in.telnetd

SunOS 4.1.x:
telnet stream tcp nowait root /path/to/tcpd /usr/etc/in.telnetd

HP-UX 9.0x:
telnet stream tcp nowait root /path/to/tcpd /etc/telnetd

HP-UX 10.0x:
telnet stream tcp nowait root /path/to/tcpd /usr/lbin/telnetd

Ultrix 4.3/4.4:
telnet stream tcp nowait /path/to/tcpd /usr/etc/telnetd

Client-Seite

• Verwenden von /uni/global/bin/telnet

Siehe auch:

telnet , telnetd , S/Key , TCP-Wrappers, libdes