Kerberos-Interoperabilität
Bei der Verbindung von Linux und Windows auf der Ebene von Kerberos lassen sich zwei wichtige Ansätze unterscheiden:
-
Die Integration von bestehenden Kerberos-Infrastrukturen bei Linux und im Active Directory
-
Die Nutzung des Active Directory auch als Verzeichnis für Linux-Systeme, so dass die gesamte KDC-Funktionalität von Windows bereitgestellt wird.
Der erste Ansatz empfiehlt sich in Fällen, in denen bereits eine Kerberos-Infrastruktur im Linux- Umfeld vorhanden ist. Der zweite Ansatz kommt dagegen vor allem dann in Frage, wenn es im Linux- Umfeld noch keine Kerberos-Infrastruktur gibt und das bestehende Active Directory auch für die Authentifizierung von Linux-Clients genutzt werden soll.
KDCs für Linux
Für eine Kerberos-Infrastruktur unter Linux ist ein KDC erforderlich. Sowohl SuSE als auch Red Hat liefern mit ihren Produkten jeweils einen Kerberos 5-Server, der auf der MIT-Implementierung basiert. Diese ist – neben dem Active Directory – die am weitesten verbreitete Implementierung von Kerberos. Der Vorteil ist, dass es dadurch keine Unterschiede zwischen den beiden Linux-Derivaten oder zu anderen Kerberos-Implementierungen auf MIT-Basis gibt.
Das Package der Linux-Server enthält den KDC und die administrativen Werkzeuge für die Implementierung des Systems. Die Implementierung enthält eine Datenbank, in der die sensiblenInformationen verschlüsselt abgelegt werden.
Kerberos-Client-Funktionalität bei Linux
Auf der Client-Seite arbeitet Linux generell mit dem Ansatz der Pluggable Authentication Modules (PAM). Für Kerberos wird das Modul pam_krb verwendet. In dessen Konfigurationsdateiwerden die Informationen für den Zugriff auf die KDCs festgelegt.
Ebenso wie beim KDC ist das Modul generell in den aktuellen Versionen der führenden Linux- Anbieter enthalten, so dass die Nutzung keine Schwierigkeiten bereitet.
Wie geht es weiter?
Mit der konkreten Umsetzung einer Kerberos- Implementierung zwischen Windows und Linux auf Basis der in diesem Artikel diskutierten Komponenten befasst sich Teil 3 unserer Artikelfolge.