Sie sind hier
E-Book

Kerberos in heterogenen Netzwerken: Windows und Linux gemeinsam mit Active Directory Services verwalten

AutorReinhard Weber
VerlagDiplomica Verlag GmbH
Erscheinungsjahr2015
Seitenanzahl139 Seiten
ISBN9783842827691
FormatPDF
KopierschutzWasserzeichen/DRM
GerätePC/MAC/eReader/Tablet
Preis34,99 EUR
Welche Voraussetzungen sind zu schaffen, um in heterogenen Netzwerken eine einheitliche, effiziente und sichere Authentifizierung gegenüber einem Active Directory Verzeichnis realisieren zu können? Das vorliegende Buch ist das Ergebnis einer Machbarkeitsstudie zur Evaluierung der Möglichkeiten einer Authentifizierung mittels Kerberos v5 in heterogenen Netzwerken gegenüber einem zentralen Active Directory Verzeichnis. Der Fokus liegt dabei in einer Vereinfachung und Vereinheitlichung des Vorgehens für unterschiedliche Administrationsbereiche (Active Directory, Client, Server, Benutzerverwaltung) sowie einer Auflistung der notwendigen Kriterien für Betriebssysteme und Softwareanwendungen, für die eine sichere und effiziente Authentifizierung erreicht werden sollte. Gerade in größeren Organisationen mit historisch gewachsenen Netzwerkarchitekturen stellt eine solche einheitliche und sichere Authentifizierung der Benutzer eine große Herausforderung dar. Unterschiedliche Implementierungen und Individuallösungen verkomplizieren den Betrieb und verhindern für den operativen Bereich eine effiziente und zentrale Verwaltbarkeit der Benutzeradministration. Hier ist der Einsatz einer breit eingesetzten und erprobten Lösung wie dem Kerberos-Protokoll von Vorteil. Kerberos wurde als ein Internetstandard (RFC) spezifiziert und stellt damit einen universell einsetzbaren Lösungsansatz dar. Kerberos in heterogenen Netzwerken dient dabei als ein einfach nachzuvollziehender Leitfaden für den professionellen Einsatz dieser Authentifizierungsmethode ohne der Notwendigkeit von tiefergehenden Linux- oder Unix-Kenntnissen.

Reinhard Weber studierte Wirtschaftsinformatik an der Ferdinand Porsche Fern-FH in der Wiener Neustadt und ist als Systems Engineer eines großen österreichischen Telekommunikationsunternehmens täglich mit der Problematik eines heterogenen Netzwerkes und dessen Nachteile einer nicht vorhandenen zentralen Benutzeradministration konfrontiert.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe
Textprobe: Kapitel 5.3.8, Test der Implementierung: Der letzte Schritt zur Implementierung eines Linux-Clients in ein Active Directory dient dem Test der durchgeführten Konfiguration. Nach einem Neustart des Computers ist zu verifizieren, ob die benötigten Dienste (Network, Zeitserver, Winbind) verfügbar sind. Mittels # net ads info werden die Serververbindungen zu LDAP, Domain Controller und KDC sowie ein Server Time Offset (Abweichung zwischen lokaler Zeit und jener des Servers) ausgegeben. Mitglieder der Domain-Gruppen AD_UX_Users sowie AD_UX_Admins ist es nun möglich, sich mit den üblichen Windows Credentials der Domäne AUSTRIA am System anzumelden. Die Benutzer, die der Gruppe AD_UX_Admins angehören, haben die Möglichkeit mittels dem sudo Befehl Anweisungen mit erweiterten Rechten durchzuführen und sind dadurch in der Lage, das gesamte System zu administrieren. Dabei kann auch zu lokal definierten Service-Accounts gewechselt werden, ohne deren Passwörter kennen zu müssen. Durch eine Strukturierung der Active Directory-Gruppen und einem entsprechenden Mapping in der sudoers Konfigurationsdatei wird somit eine transparente Zuweisung von Rechten durch eine zentrale Stelle ermöglicht, deren Granularität sich ohne großen Aufwand anpassen lässt. Zusammenfassend zeigt sich, dass durch Editieren von fünf Konfigurationsdateien (siehe Anhang A) eine Anbindung eines Linux/Unix Hosts in ein Active Directory realisiert werden kann: - /etc/krb5.conf. - /etc/samba/smb.conf. - /etc/nsswitch.conf. - /etc/pam.d/system-auth-ac. - /etc/sudoers. Während bei Vorliegen der bereits weiter oben dargelegten administrativen Voraussetzungen die Konfiguration von Kerberos, des NSS-Moduls und der sudoers Datei zielgerichtet vorgenommen werden kann, erfordern die Einstellungen der Module Winbind und PAM eine umfangreichere Kenntnis der jeweiligen Dokumentation. Sollten die Konfigurationen bei abweichenden Distributionen als der in dieser Studie verwendeten erfolgen, empfiehlt es sich, die Änderungen schrittweise nach dem vorliegenden Schema vorzunehmen. Andernfalls wird ein Debugging durch unterschiedlichste Seiteneffekte wesentlich erschwert. Wichtigste Grundvoraussetzung für eine optimale Funktion sind korrekte Netzwerkeinstellungen (im Besondern der FQDN in der /etc/hosts), die Zeitsynchronisierung mit dem KDC sowie ein korrektes Computer-Konto innerhalb der Domäne. Kapitel 5.4, Service Principals im Active Directory: Der vorherige Abschnitt hatte zum Ziel, einen Linux-Client innerhalb eines Corporate Netzwork für eine bestimmte Gruppe von Active Directory-Mitgliedern zugänglich zu machen. Dieser Abschnitt behandelt nun im nächsten Schritt die Implementierung eines Services auf diesem Host. Dazu wird beispielhaft die Konfiguration eines HTTP Service angeführt. Um ein derartiges Service mittels Keberos-Authentifizierung zugänglich zu machen, muss der Dienst dem KDC bekannt sein und sich gegen diesen auch authentisieren können. Weiter oben wurde mit dem Befehl # net ads join -U admin@AUSTRIA.LOCAL createcomputer='Telekom/Graz/Linux' bereits ein Computer-Konto im Active Directory erstellt und im Zuge dessen ein generischer SPN in der Form host/f.q.d.n@REALM vergeben, der für den bisherigen Zugang genügte, um entsprechende Tickets vom KDC zu beziehen. Sollte nun, wie im vorliegenden Fall ein Webservice genutzt werden können, muss in der KDC-Datenbank ein entsprechender SPN vorhanden sein. Im Speziellen muss dieser HTTP/atredhat2015.austria.local@AUSTRIA.LOCAL lauten. Da sich jeder Principal, in der vorliegenden Annahme ein Webserver, gegen das KDC authentisieren muss um Service-Tickets zu beziehen und eine lokale Speicherung von Klartext-Passwortinformationen jeglichem Sicherheitsbestreben widerspricht, kommt zu diesem Zweck ein Keytab File zum Einsatz. Der grundsätzliche Einsatz dieser Dateien sowie deren Speicherort wurde bereits in der Samba (Winbind)-Konfiguration durch die Einträge kerberos method und dedicated keytab file definiert. 5.4.1, Authentisierung mittels Keytab Files: Für eine nahtlose Abfolge der weiteren Implementierung wäre seitens der Net Ads Tools der Samba Suite die Generierung von Keytab Files direkt vom betroffenen Linux oder Unix Host aus vorgesehen. Dafür sollte sich der Active Directory-Administrator per SSH unter Verwendung seines persönlichen Accounts einloggen und die bereits weiter oben realisierte sudo su root Funktion nutzen, um als lokaler Administrator agieren zu können. Die Ausführung der Net Ads-Befehle # net ads keytab create -U adamin@AUSTRIA.LOCAL sowie # net ads keytab add HTTP -U adadmin@AUSTRIA.LOCAL erzeugt zwar ein lokales Keytab File unter /etc/krb5.keytab, welches mittels # net ads keytab list eingesehen werden kann, dennoch schlägt eine Verifizierung mittels kinit unter der Verwendung des Keytab Files fehl, da der Service Principal für den HTTP-Dienst nicht in der KDC-Datenbank hinzugefügt wird und folgende Fehlermeldung retourniert wird: KDC_ERR_S_PRINCIPAL_UNKNOWN. Diese Einschränkung seitens Samba bedingt den Bruch eines nahtlosen Workflows zur effizienten Servicedefinition. Als Workaround muss der Prozess zur Generierung von einem Windows Host aus erfolgen und das Keytab File auf gesichertem Weg über das Netzwerk übertragen werden. Eine weitere Einschränkung ergibt sich dadurch, dass das Windows Tool zur Erzeugung von Keytab Files (ktpass) jeweils nur ein Service zu definieren in der Lage ist - im Zuge dessen Generierung wird aber ein neues Passwort generiert beziehungsweise bei Verwendung desselben Passworts die Key Version Number (KVNO) am KDC inkrementiert. Vorhandene Keytab Files werden somit in jedem Fall unbrauchbar. Als eine mögliche Variante wird in Anlehnung an die Vorgehensweise bei Application Pools des Microsoft Internet Information Server (IIS) vom Active Directory-Administrator ein Dienstkonto erstellt, mit dem der SPN verknüpft werden kann. Im vorliegenden Beispiel wird ein Konto AUSTRIA\dk_atredhat2015 erstellt und anschließend mit der Funktion ktpass der Service Principal erzeugt, mit dem Benutzerobjekt gemappt und ein Keytab File generiert: C:\Users\adadmin>ktpass /princ ? HTTP/atredhat2015.austria.local@AUSTRIA.LOCAL ? mapuser AUSTRIA\dk_atredhat2015 ? +rndPass ? -ptype KRB5_NT_PRINCIPAL ? -crypto RC4-HMAC-NT ? -out keytabs\atredhat2015.keytab. Das Service HTTP/atredhat2015.austria.local ist nun in der KDC-Datenbank mit einem normalen Benutzerkonto verknüpft. Ein Webservice, das dieses Keytab File nun nutzt, verwendet somit die Zugangsinformationen des Domänenbenutzers (in diesem Fall jene des Dienstkontos) um seine Identität gegenüber dem KDC als auch gegenüber dem aufrufenden Principal zu beweisen - ein Widerspruch zum Konzept des Kerberos-Protokolls, da dieses ein Vertrauen gegenüber dem Host voraussetzen würde. Um eine dauerhafte Funktion dieses Kontrukts zu gewährleisten, müssen für das Dienstkonto noch die Optionen 'User cannot change password', 'Password never expires' und 'Trust this user for delegation to any service (Kerberos only)' aktiviert werden. Ansonsten würde eine Group Policy des Active Directory den virtuellen Benutzeraccount nach zum Beispiel 30 Tagen zur Änderung seines Passworts auffordern. Die Option zur Delegation wird notwendig, wenn das Webservice im Namen des aufrufenden Principals beispielsweise auf ein Datenbank-Backend zugreifen müsste.
Blick ins Buch
Inhaltsverzeichnis
Kerberos in heterogenen Netzwerken
1
Einleitung3
Inhaltsverzeichnis
5
1 Einleitung9
1.1 Konventionen10
1.2 Terminologie10
2 Kryptografie in Netzwerken11
2.1 Kryptoanalyse11
2.2 Übermittlung vertraulicher Informationen12
2.3 Integrität von Daten20
2.4 Zusammenfassung23
3 Kerberos im Überblick25
3.1 Kerberos – ein Trusted Third Party System25
3.2 Einsatzgebiete für Kerberos32
3.3 Das Funktionsprinzip von Kerberos35
3.4 Kerberos Delegation43
3.5 Encryption Types51
3.6 Zusammenfassung52
4 Evolution und umgebende Technologien55
4.1 Evolution des Kerberos-Protokolls55
4.2 Microsoft Implementierungen67
4.3 Umgebende Technologien71
4.4 Zusammenfassung80
5 Linux/Unix-Systeme im heterogenen Umfeld81
5.1 Ausgangssituation und Zieldefinition81
5.2 Implementierungskonzept und praktische Umsetzung82
5.3 Anbindung eines Linux/Unix Host an ein Active Directory85
5.4 Service Principals im Active Directory102
5.5 Publikation eines Webservices106
5.6 Kommerzielle Alternativen114
6 Zusammenfassung116
Anhang A - Liste der Konfigurationsdateien119
Abkürzungsverzeichnis126
Abbildungsverzeichnis129
Tabellenverzeichnis131
Listings132
Literaturverzeichnis133

Weitere E-Books zum Thema: Betriebssysteme - Computersoftware

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Sicheres Netzwerkmanagement

E-Book Sicheres Netzwerkmanagement
Konzepte, Protokolle, Tools Format: PDF

Die Administration komplexer Rechnernetzwerke verlangt durch die ständige Weiterentwicklung etablierter Standards und die Integration gänzlich neuer Technologien ein umfassendes technisches Know-how…

Sicheres Netzwerkmanagement

E-Book Sicheres Netzwerkmanagement
Konzepte, Protokolle, Tools Format: PDF

Die Administration komplexer Rechnernetzwerke verlangt durch die ständige Weiterentwicklung etablierter Standards und die Integration gänzlich neuer Technologien ein umfassendes technisches Know-how…

Weitere Zeitschriften

FESTIVAL Christmas

FESTIVAL Christmas

Fachzeitschriften für Weihnachtsartikel, Geschenke, Floristik, Papeterie und vieles mehr! FESTIVAL Christmas: Die erste und einzige internationale Weihnachts-Fachzeitschrift seit 1994 auf dem ...

Arzneimittel Zeitung

Arzneimittel Zeitung

Die Arneimittel Zeitung ist die Zeitung für Entscheider und Mitarbeiter in der Pharmabranche. Sie informiert branchenspezifisch über Gesundheits- und Arzneimittelpolitik, über Unternehmen und ...

FREIE WERKSTATT

FREIE WERKSTATT

Die Fachzeitschrift FREIE WERKSTATT berichtet seit der ersten Ausgaben 1994 über die Entwicklungen des Independent Aftermarkets (IAM). Hauptzielgruppe sind Inhaberinnen und Inhaber, Kfz-Meisterinnen ...

BEHINDERTEPÄDAGOGIK

BEHINDERTEPÄDAGOGIK

Für diese Fachzeitschrift arbeiten namhafte Persönlichkeiten aus den verschiedenen Fotschungs-, Lehr- und Praxisbereichen zusammen. Zu ihren Aufgaben gehören Prävention, Früherkennung, ...

BIELEFELD GEHT AUS

BIELEFELD GEHT AUS

Freizeit- und Gastronomieführer mit umfangreichem Serviceteil, mehr als 700 Tipps und Adressen für Tag- und Nachtschwärmer Bielefeld genießen Westfälisch und weltoffen – das zeichnet nicht ...

Deutsche Hockey Zeitung

Deutsche Hockey Zeitung

Informiert über das nationale und internationale Hockey. Die Deutsche Hockeyzeitung ist Ihr kompetenter Partner für Ihren Auftritt im Hockeymarkt. Sie ist die einzige bundesweite Hockeyzeitung ...

DGIP-intern

DGIP-intern

Mitteilungen der Deutschen Gesellschaft für Individualpsychologie e.V. (DGIP) für ihre Mitglieder Die Mitglieder der DGIP erhalten viermal jährlich das Mitteilungsblatt „DGIP-intern“ ...

filmdienst#de

filmdienst#de

filmdienst.de führt die Tradition der 1947 gegründeten Zeitschrift FILMDIENST im digitalen Zeitalter fort. Wir begleiten seit 1947 Filme in allen ihren Ausprägungen und Erscheinungsformen.  ...