OSSN/OSSN-0009

组成员关系可能导致令牌吊销滥用

总结

在 Keystone 中删除组会导致组内成员的令牌被吊销。如果组能力被委派给用户，他们可能会滥用这些能力，恶意吊销其他用户的令牌。

受影响的服务 / 软件

Keystone, Grizzly, Havana, Icehouse

讨论

如果从 Keystone 中删除一个组，该组所有成员的所有令牌都会被吊销。通过在用户不知情的情况下将用户添加到组中，然后删除该组，组管理员可以吊销所有用户的令牌。虽然默认策略文件将组管理员角色授予全局管理员，但另一种策略可以将 create_group、add_user_to_group 和 delete_group 能力委派给一组用户。在这种系统中，这些用户也将获得令牌吊销能力。只有使用 Keystone 中的自定义策略文件设置才会受到影响。

建议的操作

Keystone 的默认 policy.json 文件对 create_group、delete_group 和 add_user_to_group 能力使用 admin_required 规则。如果可能，建议使用此默认配置。以下是正确配置的 policy.json 文件的示例片段

   "identity:create_group": "rule:admin_required",
   "identity:delete_group": "rule:admin_required",
   "identity:add_user_to_group": "rule:admin_required",

如果您需要将上述能力委派给非管理员用户，则需要考虑到这些用户将能够通过执行组删除操作来吊销其他用户的令牌。您应该谨慎选择委派这些能力的对象。

联系方式 / 参考文献

• 作者：Nathan Kinder, Red Hat
• 此 OSSN： https://wiki.openstack.org/wiki/OSSN/OSSN-0009
• 原始 LaunchPad Bug： https://bugs.launchpad.net/keystone/+bug/1268751
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg