Kerberos in Anwendungen nutzen
Die administrativen Schritte
Abgesehen von den grundlegenden Ansätzen für die Nutzung von Kerberos in Anwendungen können noch administrative Schritte erforderlich sein, um überhaupt die Arbeit damit zu ermöglichen. Die Schritte unterscheiden sich je nach Modus des Active Directory. Nachfolgend wird zunächst die Situation bei allen Modi außer dem Windows Server 2003-Modus besprochen.
Die Konfiguration erfolgt hier an zwei Stellen. Zum einen finden sich Einstellungen zur Delegation bei den Eigenschaften von Benutzern (Bild 1). Die Option Konto wird für Delegierungszwecke vertraut ist bei Dienstkonten erforderlich, die für Anwendungen verwendet werden. Bei einem Benutzerkonto, in dessen Kontext ein Dienst ausgeführt wird, muss die Option aktiviert werden, wenn der Dienst mit der Delegation von Kerberos arbeitet.
Die zweite Option Konto ist vertraulich und kann nicht delegiert werden sollte bei allen Konten aktiviert werden, bei denen die Delegation nicht zugelassen ist. Das gilt beispielsweise für Gastkonten. Für solche Benutzerkonten kann keine Impersonisation erfolgen. Falls es Probleme mit der Delegation für einzelne Benutzer gibt, sollte der Status dieser Option überprüft werden.Wird ein Dienst unter dem lokalen Systemkonto oder als Netzwerkdienst ausgeführt, muss die Konfiguration über die Option Computer für Delegierungszwecke verrtrauen beim Computerkonto erfolgen (Bild 2).
Falls der Windows Server 2003 zum Einsatz kommt und damit die neuen Funktionen wie die bedingte Delegation unterstützt werden, wird über die Schaltfläche Delegierung gearbeitet. Sie ist bei Computerkonten immer sichtbar. Bei Benutzerkonten ist sie nur sichtbar, wenn mit dem Werkzeug setspn aus den Windows Support-Tools ein so genannter Service Principal Name (SPN) für dieses Konto definiert wurde. Damit wird das Konto bei der Nutzung im Zusammenspiel mit Diensten identifiziert. Die Erstellung von SPNs ist nur erforderlich, wenn weder das lokale Dienstkonto noch ein Netzwerkdienst verwendet wird.
Bei den Einstellungen im Register Delegierung können Sie auswählen, ob dem System nie, generell oder nur eingeschränkt vertraut werden soll. Im letztgenannten Fall können auch andere Authentifizierungsprotokolle genutzt und Dienste eingetragen werden, auf die zugegriffen werden darf.
Damit lässt sich die Delegation deutlich differenzierter steuern als bisher. An den Konfigurationsschritten wird auch deutlich, dass ein enges Zusammenspiel zwischen Entwicklern und Administratoren erforderlich ist – spätestens wenn es um das Deployment von Anwendungen geht, die mit der Delegation arbeiten.
Das Whitepaper
Das Whitepaper „Planning and Implementing Multitier Applications Using Microsoft Windows Server 2003 Security Services“ geht darauf ein, wie sich mehrschichtige Anwendungen unter Nutzung der Sicherheitsdienste des Windows Server 2003 realisieren lassen – also auch und insbesondere unter Nutzung von Kerberos. Es ist eine gute Lektüre, wenn das Thema Nutzung von Kerberos in Anwendungen vertieft werden soll.