Kerberos-Interoperabilität

01.05.2006 von Martin Kuppinger

Kerberos ist ein Standard, der über die Grenzen von Betriebssystemen hinaus eingesetzt werden kann. So können beispielsweise Linux-Clients mit dem KDC des Active Directory arbeiten. Wichtige Konfigurationsaspekte dazu stellt der vorliegende Artikel vor.

Im dritten Teil der Serie wurden die grundsätzlichen Konzepte für den Aufbau einer Kerberos-Infrastruktur in einem heterogenen Umfeld mit Windows- und Linux-Servern besprochen. Es gibt drei Grundansätze:

Linux-Systeme arbeiten gegen Windows-KDCs.

Windows-Systeme arbeiten gegen Linux-KDCs.

Zwei Infrastrukturen werden durch die Definition von Vertrauensstellungen auf Kerberos-Ebene integriert.

Der erste Ansatz wird in diesem Artikel näher betrachtet, wobei insbesondere auch auf die Konfiguration von Kerberos-Clients unter Linux eingegangen wird.

Kritische Aspekte

Der Zugriff eines Linux- oder UNIX-Systems auf einen KDC unter Windows ist eine der einfacheren Varianten beim Aufbau heterogener Kerberos-Umgebungen. Da Kerberos ein auf Interoperabilität ausgelegtes Protokoll ist, ist die Zusammenarbeit weitgehend gewährleistet.

Weil Kerberos aber eine Authentifizierung durchführt, muss man auch über die dafür erforderlichen Informationen im Verzeichnisdienst verfügen. Je nach Einsatzbereich kann es dabei darum gehen, dass man entweder Linux-/UNIXInformationen bei Benutzerkonten ablegen oder spezielle Host-Konten für die zugreifenden Systeme konfigurieren muss.

Ein wichtiger Punkt ist auch die Synchronisation der Uhren. Kerberos lässt nur eine geringe Abweichung der Uhrzeiten auf verschiedenen Systemen zu. Linux-Clients sind nicht standardmäßig in die Zeitsynchronisation von Windows, wie sie in Active Directory-Domänen genutzt wird, eingebunden. Deshalb muss entweder eine gemeinsame NTP-Infrastruktur aufgebaut oder sowohl Windows als auch Linux werden so konfiguriert werden, dass sich die jeweilige Infrastruktur mit verlässlichen, externen Zeitquellen synchronisiert.

Die Konfiguration

Die Konfiguration von Kerberos auf Linux kann über grafische Konfigurationsschnittstellen erfolgen. Alternativ dazu kann die Datei /etc/krb5.conf angepasst werden. Bei SUSE Linux ist das YaST (Yet another Setup Tool). Bei YaST findet sich der Kerberos-Client im Bereich Network Services (Bild 1).

Bild 1: Die Einrichtung eines Kerberos-Clients unter SUSE Linux kann über YaST erfolgen.

Dort kann die Konfiguration dieses Dienstes gestartet werden. Standardmäßig wird Kerberos nicht verwendet. Wenn Kerberos eingesetzt wird, werden im ersten Dialogfeld verschiedene Informationen angefordert. Diese müssen nur eingegeben werden, falls mit der statischen Konfiguration von Kerberos gearbeitet wird. Bei Nutzung von DNS werden diese automatisch vom DNSServer bereitgestellt.

Bild 2: Die Grundeinstellungen zur Kerberos-Konfiguration.

Über die Schaltfläche Erweiterte Einstellungen können weitere Festlegungen vorgenommen werden (Bild 3). Dort finden sich Standardeinträge für die Kerberos-Konfiguration wie die maximale Lebensdauer von Tickets. Diese können analog zu den bei Windows in der Gruppenrichtlinie konfigurierten Werten gesetzt werden.

Bild 3: Die erweiterten Einstellungen für einen Kerberos-Client.

Ein weiterer wichtiger Bereich ist die Lokalisierung der Kerberos-Server. Hierbei wird in der Regel mit DNS gearbeitet. Das Active Directory legt die erforderlichen Service Records automatisch an. Wenn die Linux-Clients auf die gleiche DNS-Infrastruktur zugreifen, sind damit auch keine weiteren Anpassungen in diesem Bereich erforderlich.

Auf die Nutzung von ktpass auf der Windows-Seite für das Mapping von Computernamen und ergänzende Einstellungen wird im folgenden Teil der Serie noch näher eingegangen.

Wie geht es weiter?

Der folgende Teil der Serie befasst sich mit dem umgekehrten Ansatz, also der Verwendung von KDCs unter Linux im Zusammenspiel mit Windows-Clients. Dabei werden auch die funktionalen Einschränkungen, die sich für Windows-Clients in einem solchen Modell ergeben, näher betrachtet. Außerdem wird auf die Verwendung von Vertrauensstellungen zwischen unterschiedlichen Kerberos-Realms eingegangen. Außerdem werden in diesem Teil noch einige speziellere Aspekte der Integration der beiden Welten näher betrachtet.

In den weiteren Teilen wird auf die Integration mit dem Novell eDirectory und hier insbesondere auch der Nutzung von Kerberos-Tickets beim eDirectory über die NMAS Method for Kerberos eingegangen. Der abschließende Teil wird sich mit Lösungen von Drittherstellern beschäftigen, mit denen weitere und oftmals einfachere Funktionen für den Aufbau heterogener Kerberos-Umgebungen geboten werden.