Commit ec1e91ae authored by Sarah Kriesch's avatar Sarah Kriesch 🏆

Add part about password encryption

parent 80ddd29a
......@@ -159,6 +159,33 @@ citestyle=alphabetic
\item Kerberos: \url{https://github.com/saltstack-formulas/kerberos-formula}
\item SSSD: \url{https://github.com/colin-stubbs/salt-formula-sssd}
\end{itemize}
\subsection{Passwort-Verschlüsselung}
Bisher wurde die Erst-Authentifizierung am Kerberos-Server manuell
durchgeführt. Viele Salt-Formulas haben auch die Option der
Benutzer-Authentifizierung. Allerdings werden in den Beispielen
dann die Passwörter als Klartext mit angegeben. Auf der Konferenz
FrOSCon haben wir den Tipp bekommen die Passwörter mit gpg zu
verschlüsseln. Das wird auch an der TU Chemnitz so gehandhabt.\\
Nach diesem Vorschlag wurde uns von Herrn Fischer ein Benutzer
erstellt.\\
Salt hat eine Option mit gpg Passwörter zu entschlüsseln.
Dafür generiert man mit gpg auf dem Salt-Master ein Schlüsselpaar,
worauf Salt ohne Passwort zugreifen kann. Hier gab es das Problem,
dass mit der Aktualisierung auf gpg2 der Befehl geändert hat,
weil es aus Sicherheitsgründen besser ist immer ein Passwort
mit zu übergeben. \\
Dann kann mit Hilfe des Schlüssels das entsprechende Passwort
verschlüsselt werden. Die daraus resultierende PGP-Message wird in
Base64 kodiert ausgegeben und kann dann so als Multiline-String
unterhalb einer Pipe in eine sls-Datei eingefügt werden. \\
Damit Salt weiß, dass hier gpg zur Entschlüsselung verwendet werden soll,
wird in der master-Konfiguration gpg_keydir und decrypt_pillar
entkommentiert. Dort werden dann das Verzeichnis vom Schlüssel
und der entsprechende Pillar-Eintrag mit angegeben. So kann dann
der Salt-Master mit Hilfe von gpg das Passwort aus der PGP-Message lesen.\\
Eine ausführliche Anleitung wurde dazu als Blog-Artikel veröffentlicht:
\url{https://sarah-julia-kriesch.eu/2019/03/09/password-security-with-gpg-in-salt-on-opensuse-leap-15-0/}
\section{Salt-Minion}
Der Salt-Minion ist die Clientseitige Software, welche auf den
......
Markdown is supported
0% or
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment