Kerberos in Anwendungen nutzen

Die administrativen Schritte

Abgesehen von den grundlegenden Ansätzen für die Nutzung von Kerberos in Anwendungen können noch administrative Schritte erforderlich sein, um überhaupt die Arbeit damit zu ermöglichen. Die Schritte unterscheiden sich je nach Modus des Active Directory. Nachfolgend wird zunächst die Situation bei allen Modi außer dem Windows Server 2003-Modus besprochen.

Die Konfiguration erfolgt hier an zwei Stellen. Zum einen finden sich Einstellungen zur Delegation bei den Eigenschaften von Benutzern (Bild 1). Die Option Konto wird für Delegierungszwecke vertraut ist bei Dienstkonten erforderlich, die für Anwendungen verwendet werden. Bei einem Benutzerkonto, in dessen Kontext ein Dienst ausgeführt wird, muss die Option aktiviert werden, wenn der Dienst mit der Delegation von Kerberos arbeitet.

Bild 1: Die Einstellungen für die Delegation bei den Eigenschaften eines Benutzers.
Bild 1: Die Einstellungen für die Delegation bei den Eigenschaften eines Benutzers.

Die zweite Option Konto ist vertraulich und kann nicht delegiert werden sollte bei allen Konten aktiviert werden, bei denen die Delegation nicht zugelassen ist. Das gilt beispielsweise für Gastkonten. Für solche Benutzerkonten kann keine Impersonisation erfolgen. Falls es Probleme mit der Delegation für einzelne Benutzer gibt, sollte der Status dieser Option überprüft werden.Wird ein Dienst unter dem lokalen Systemkonto oder als Netzwerkdienst ausgeführt, muss die Konfiguration über die Option Computer für Delegierungszwecke verrtrauen beim Computerkonto erfolgen (Bild 2).

Bild 2: Die Einstellungen für die Delegation bei einem Computerkonto.
Bild 2: Die Einstellungen für die Delegation bei einem Computerkonto.

Falls der Windows Server 2003 zum Einsatz kommt und damit die neuen Funktionen wie die bedingte Delegation unterstützt werden, wird über die Schaltfläche Delegierung gearbeitet. Sie ist bei Computerkonten immer sichtbar. Bei Benutzerkonten ist sie nur sichtbar, wenn mit dem Werkzeug setspn aus den Windows Support-Tools ein so genannter Service Principal Name (SPN) für dieses Konto definiert wurde. Damit wird das Konto bei der Nutzung im Zusammenspiel mit Diensten identifiziert. Die Erstellung von SPNs ist nur erforderlich, wenn weder das lokale Dienstkonto noch ein Netzwerkdienst verwendet wird.

Bild 3: Die Einstellungen für die bedingte Delegation.
Bild 3: Die Einstellungen für die bedingte Delegation.

Bei den Einstellungen im Register Delegierung können Sie auswählen, ob dem System nie, generell oder nur eingeschränkt vertraut werden soll. Im letztgenannten Fall können auch andere Authentifizierungsprotokolle genutzt und Dienste eingetragen werden, auf die zugegriffen werden darf.

Damit lässt sich die Delegation deutlich differenzierter steuern als bisher. An den Konfigurationsschritten wird auch deutlich, dass ein enges Zusammenspiel zwischen Entwicklern und Administratoren erforderlich ist – spätestens wenn es um das Deployment von Anwendungen geht, die mit der Delegation arbeiten.

Das Whitepaper

Das Whitepaper „Planning and Implementing Multitier Applications Using Microsoft Windows Server 2003 Security Services“ geht darauf ein, wie sich mehrschichtige Anwendungen unter Nutzung der Sicherheitsdienste des Windows Server 2003 realisieren lassen – also auch und insbesondere unter Nutzung von Kerberos. Es ist eine gute Lektüre, wenn das Thema Nutzung von Kerberos in Anwendungen vertieft werden soll.