Kerberos-Interoperabilität

Kerberos ist ein Standard, der über die Grenzen von Betriebssystemen hinaus eingesetzt werden kann. So können beispielsweise Linux-Clients mit dem KDC des Active Directory arbeiten. Wichtige Konfigurationsaspekte dazu stellt der vorliegende Artikel vor.

Im dritten Teil der Serie wurden die grundsätzlichen Konzepte für den Aufbau einer Kerberos-Infrastruktur in einem heterogenen Umfeld mit Windows- und Linux-Servern besprochen. Es gibt drei Grundansätze:

  • Linux-Systeme arbeiten gegen Windows-KDCs.

  • Windows-Systeme arbeiten gegen Linux-KDCs.

  • Zwei Infrastrukturen werden durch die Definition von Vertrauensstellungen auf Kerberos-Ebene integriert.

Der erste Ansatz wird in diesem Artikel näher betrachtet, wobei insbesondere auch auf die Konfiguration von Kerberos-Clients unter Linux eingegangen wird.

Kritische Aspekte

Der Zugriff eines Linux- oder UNIX-Systems auf einen KDC unter Windows ist eine der einfacheren Varianten beim Aufbau heterogener Kerberos-Umgebungen. Da Kerberos ein auf Interoperabilität ausgelegtes Protokoll ist, ist die Zusammenarbeit weitgehend gewährleistet.

Weil Kerberos aber eine Authentifizierung durchführt, muss man auch über die dafür erforderlichen Informationen im Verzeichnisdienst verfügen. Je nach Einsatzbereich kann es dabei darum gehen, dass man entweder Linux-/UNIXInformationen bei Benutzerkonten ablegen oder spezielle Host-Konten für die zugreifenden Systeme konfigurieren muss.

Ein wichtiger Punkt ist auch die Synchronisation der Uhren. Kerberos lässt nur eine geringe Abweichung der Uhrzeiten auf verschiedenen Systemen zu. Linux-Clients sind nicht standardmäßig in die Zeitsynchronisation von Windows, wie sie in Active Directory-Domänen genutzt wird, eingebunden. Deshalb muss entweder eine gemeinsame NTP-Infrastruktur aufgebaut oder sowohl Windows als auch Linux werden so konfiguriert werden, dass sich die jeweilige Infrastruktur mit verlässlichen, externen Zeitquellen synchronisiert.