Kerberos-Interoperabilität

Einer der thematischen Schwerpunkte des Beitrags sind eine Reihe wichtiger Aspekte der Verwendung von Vertrauensstellungen zwischen unterschiedlichen Kerberos-Realms und der Integration zwischen Linux und Windows. Ein weiterer ist das Zusammenspiel zwischen den Kerberos-Komponenten von Novell und Microsoft.

Die grundsätzliche Konfiguration eines Windows-Clients für das Zusammenspiel mit einem KDC unter Linux wurde im vorangegangenen Teil der erie behandelt. Die Authentifizierung erfolgt also in dem definierten KDC, der die erforderlichen Tickets ausstellt. Damit greift man auch auf Ressourcen zu. Wie dieser Zugriff auf Ressourcen auf einem Windows 2000-System genau vonstatten geht, wird nachfolgend dargestellt.

Dazu ist eine gegenseitige Vertrauensstellung zwischen dem KDC und der Windows-Umgebung erforderlich, soweit dort wiederum mit dem Active Directory gearbeitet wird. Dort lassen sich entsprechende Vertrauensstellungen ja relativ einfach konfigurieren. Alternativ dazu kann ein Benutzer auf dem Windows-Server mit dem Active Directory aber auch über die explizite Namenszuordnung zu einem Konto im Active Directory eingefügt werden. Im entsprechenden Dialogfeld (Bild 1) muss der Name des vertrauenswürdigen Nicht-Windows-Kerberos-Realms eingetragen werden.

Bild 1: Gegebenenfalls muss mit der expliziten Zuordnung von Kerberos- Bereichen gearbeitet werden
Bild 1: Gegebenenfalls muss mit der expliziten Zuordnung von Kerberos- Bereichen gearbeitet werden

Diese spezifischen Konfigurationsanforderungen machen deutlich, warum das Modell, mit einem Nicht-Windows-KDC zu arbeiten, wenig Sinn macht, wenn auch auf Windows-Ressourcen zugegriffen werden soll. In diesem Fall bedeutet das nämlich nur unnötigen Konfigurationsaufwand. Sinnvoll wäre der Ansatz allenfalls, wenn mit sehr wenigen Windows-Clients gearbeitet wird. In den meisten Konstellationen ist aber der umgekehrte Weg, also die Verwendung des Active Directory als KDC mit Clients anderer Betriebssysteme, die bessere Lösung.

Synchronisation von Benutzerkonten

Eine weitere Herausforderung ist die Synchronisation von Benutzerkonten zwischen verschiedenen Umgebungen, wenn mit mehr als einem KDC gearbeitet wird. Am einfachsten löst man das mit einer Meta-Directory- oder Provisioning-Lösung, die die Information im Active Directory mit der im vom anderen KDC verwendeten LDAPVerzeichnis abgleicht.

Wenn man aber auf die Verwendung von mehr als einem KDC verzichtet, wie gesagt aus Gründen der Funktionalität bedeutet, dass man tendenziell mit dem Active Directory und dessen KDC arbeitet, erspart man sich auch den Aufwand für die Synchronisation.

Das Zusammenspiel mit Novell-Umgebungen

Mit der zunehmenden Linux-Orientierung von Novell hat das Thema Kerberos deutlich an Bedeutung gewonnen. Es gibt zwei wichtige Kerberos-Komponenten von Novell:

  • Die Kerberos Login Method for NMAS (Novell Modular Authentication Services) ist eine Erweiterung der Authentifizierungsschnittstellen von Novell, mit der auch ein Kerberos-Ticket für die Authentifizierung gegenüber dem Novell eDirectory eingesetzt werden kann. Das eDirectory fungiert damit praktisch als eine „kerberized application“.

  • Es gibt von Novell darüber hinaus auch einen eigenen KDC, der das eDirectory als Verzeichnisdienst verwendet. Diese Komponente gibt es derzeit nur auf Linux.

Die Verwendung des KDC von Novell macht zunächst keinen Unterschied im Vergleich zu irgendeinem anderen Nicht-Windows-KDC. Allerdings lassen sich einige der Einschränkungen, die für Windows-Clients ansonsten entstehen, umgehen. Da der Zugriff auf das eDirectory und darauf basierende Anwendungen über Kerberos funktioniert, kann sich ein Windows-Client an dem Novell-KDC authentifizieren und anschließend auf das eDirectory zugreifen – auch im Kontext von Anwendungen wie Novell ZENworks. Novell ZENworks unterstützt wiederum die Verwendung von Gruppenrichtlinien. Insofern ist das ein praktikabler Ansatz, falls Kerberos und das Novell eDirectory verwendet werden sollen.

Die Konfiguration der Dienste hängt davon ab, mit welchen anderen Systemen zusammengearbeitet werden soll. Der Novell KDC ist, wie erwähnt, fest mit dem Novell eDirectory integriert. Die Kerberos Login Method for NMAS könnte dagegen auch mit dem Active Directory genutzt werden. Je nachdem, mit welchem Verzeichnisdienst gearbeitet wird, muss entweder über die Administrationsprogramme dieses Dienstes oder mit kadmin:addprinc ein Dienstkonto konfiguriert werden. Die weiteren Konfigurationsschritte können über die grafische Schnittstelle des Novell iManager ausgeführt werden.

Wie geht es weiter?

Der abschließende Teil wird sich mit Lösungen von Drittherstellern beschäftigen, mit denen weitere und oftmals einfachere Funktionen für den Aufbau heterogener Kerberos-Umgebungen angeboten werden. Insbesondere die Lösungen von Quest Vintela werden näher betrachtet.