Das wichtigste Werkzeug rund um Kerberos ist Active Directory-Domänen und -Vertrauensstellungen. Damit können neue Vertrauensstellungen zwischen Systemen konfiguriert werden. Bei den Eigenschaften einer Domäne findet man im Register Vertrauensstellungen die Schaltfläche Neue Vertrauensstellung. Darüber kann ein Assistent gestartet werden, mit dem sich Vertrauensstellungen definieren lassen.
Der Assistent bietet bereits auf der Startseite die Option an, eine Vertrauensstellung mit einem Kerberos V5-Bereich aufzubauen (Bild 1). Damit lassen sich Trusts zwischen Domänen im Active Directory und bestehenden Kerberos-Infrastrukturen auf UNIX-/Linux-Basis definieren. Für die Vertrauensstellung muss der Domänenname der entsprechenden Kerberos-Infrastruktur angegeben werden. Wenn es sich um keinen Windows-kompatiblen Namen handelt, schlägt der Assistent automatisch die Definition einer Bereichsvertrauensstellung zwischen zwei Kerberos-Realms vor (Bild 2).
Für diese Vertrauensstellung kann anschließend definiert werden, ob sie transitiv oder nicht transitiv arbeiten soll. Transitive Vertrauensstellungen können auch über die Grenzen der Domäne hinaus arbeiten, für die die Vertrauensstellung aufgebaut wird. Transitive Vertrauensstellung haben den Vorteil, dass gegebenenfalls weniger explizite Vertrauensstellungen zwischen dem Active Directory und der externen Kerberos-Infrastruktur aufgebaut werden müssen. Der Nachteil ist aber die geringere Kontrolle über die Sicherheit, weil damit eine Vertrauensstellung auch für Benutzer aus anderen Domänen gilt. Daher muss genau überlegt werden, ob man mit der Transitivität arbeiten möchte oder nicht.
Anschließend lässt sich die Richtung der Vertrauensstellung konfigurieren. Hier hat man die Option, bidirektionale Vertrauensstellungen aufzubauen oder mit unidirektionalen ein- oder ausgehenden Vertrauensstellungen zu arbeiten. Welche Option hier gewählt wird, hängt ausschließlich davon ab, welche Zugriffe gegen welche Kerberos-Infrastrukturen authentifiziert werden müssen. Für die Vertrauensstellung muss anschließend das Kennwort eingegeben werden.
Die entsprechende Konfiguration muss auch bei der anderen Kerberos-Infrastruktur, also beispielsweise bei einem MIT-Kerberos-Server unter UNIX, durchgeführt werden. Auf die genaue Vorgehensweise werden wir im zweiten Teil der Artikelserie „Kerberos-Interoperabilität“ noch zurückkommen.
Active Directory-Benutzer und -Computer
Das zweite wichtige Werkzeug ist Active Directory-Benutzer und -Computer. Ist dort die Option Ansicht/Erweiterte Funktionen aktiviert, können Sie im Kontextmenü von Benutzern den Befehl Namenszuordnungen auswählen. Das angezeigte Dialogfeld (Bild 3) erlaubt es, einem Benutzerkonto Kerberos-Namen zuzuordnen.
Dieser Konfigurationsschritt ist erforderlich, wenn der Name des Kerberos-Prinzipals – also letztlich der Benutzername – nicht im Active Directory angelegt ist. In diesem Fall muss eine Abbildung auf einen Benutzer des Active Directory erfolgen, da die gesamte Autorisierung über die SIDs des Benutzers bzw. der Gruppen, in denen dieser Mitglied ist, gesteuert wird.
Klist.exe
Ein Werkzeug aus dem Resource Kit ist klist.exe. Das Befehlszeilenwerkzeug ist in der Lage, Kerberos-Tickets, die für die aktuelle Sitzung ausgestellt wurden, zu überwachen und zu löschen. Mit dem Tool werden die TGTs sowohl für Windows- als auch andere Kerberos-KDCs angezeigt. Es wird vor allem für das Troubleshooting benötigt, um nachprüfen zu können, ob die Tickets korrekt ausgestellt werden.
Kerbtray.exe
Ein weiteres Resource-Kit-Tool ist kerbtray.exe. Damit lassen sich weitergehende Informationen über die Kerberos-Tickets anzeigen. Das Tool integriert sich in die Taskleiste. Zu den Informationen gehört die Gültigkeitsdauer, die ein Ticket noch hat. Außerdem kann das Ticket auch hier gelöscht werden. Das Tool ist ebenfalls vor allem beim Troubleshooting interessant, um den Status eines Tickets genau nachvollziehen zu können.
Setspn.exe
Auf das Tool setspn.exe wurde im Zusammenhang mit der bedingten Delegation im Artikel „Die Funktionsweise von Kerberos verstehen“ bereits kurz eingegangen. Es handelt sich um ein Support-Tool, das an der Befehlszeile ausgeführt wird. Mit dem Werkzeug lassen sich Service Principal Names (SPNs) für Active Directory-Konten definieren. Das ist erforderlich, wenn ein Dienst mit Kerberos-Unterstützung im Kontext eines Benutzerkontos und nicht des lokalen Systemkontos ausgeführt wird – was aus Gründen der Sicherheit grundsätzlich sinnvoll ist.
gssMonger.exe
Das Werkzeug gssMonger.exe lässt sich für die Überprüfung der Interoperabilität der Kerberos-Authentifizierung zwischen Windows und anderen Systemplattformen nutzen. Das Tool authentifiziert verschiedene Systeme in einer heterogenen Infrastruktur und protokolliert auftretende Probleme.
TktView-Utility
Im MSDN-Magazin wurde vor einigen Jahren ein weiteres Tool vorgestellt. Die Anwendung Tktview liefert detailliertere Informationen zu den Kerberos-Tickets. Es handelt sich um eine Windows-Anwendung, die die lokalen Informationen ausliest. Auch dieses Tools ist vor allem im Zusammenhang mit dem Troubleshooting von Bedeutung.
Ksetup.exe
Bei den Windows 2000 Resource Kit-Tools findet sich auch die Anwendung ksetup.exe. Damit können Windows-Clients so konfiguriert werden, dass sie einen MIT-Kerberos-Realm statt des Windows-Realms verwenden.
Ktpass.exe
Ebenfalls zu den Windows 2000 Resource Kit Tools gehört Ktpass.exe.Die Anwendung ist ein Konfigurationswerkzeug für die Kerberos-Interoperabilität. Damit können Nicht-Windows-Dienste als Dienst für die Kerberos-Authentifizierung im Active Directory eingerichtet werden.