Kerberos-Interoperabilität

Neben den Standardfunktionen von Windows und anderen Betriebssystemen wie Linux und NetWare sind auch Zusatzprodukte am Markt, mit denen sich Kerberos in heterogenen Umgebungen besser nutzen lässt. Die Lösungen, die Quest Vintela und Centrify in diesem Zusammenhang anbieten, stellen wir in diesem Beitrag vor.

Grundsätzlich lässt sich mit den Bordmitteln von Windows und anderen Betriebssystemen eine Kerberos-Infrastruktur auch im heterogenen Umfeld aufbauen. Das ist allerdings nicht ganz einfach, wie in den vorangegangenen Teilen dieser Serie deutlich wurde. Daher bietet sich ein Blick auf spezialisierte Lösungen an, die eine einfachere Interoperabilität versprechen.

Quest Vintela Authentication Services

Der bekannteste Add-On-Anbieter in diesem Feld ist zweifelsohne Vintela, das inzwischen zu Quest Software gehört. Mit den Vintela Authentication Services (www.quest.com/Vintela_Authentication_Services) wird eine Infrastruktur bereitgestellt, mit der sich Nicht-Windows-Systeme als vertrauter Realm integrieren lassen. Für Unix und Linux werden entsprechende Authentifizierungsfunktionen angeboten.

Zur Infrastruktur von Vintela gehören die erforderlichen Unix- und Linux-Module für folgende Funktionen:

  • SASL (Simple Authentication and Security Layer)

  • GSS-API (Generic Security Services API)

  • PAM (Pluggable Authentication Module)

  • NSS (Name Service Switch)

Unterstützt werden AIX, HP-UX, Sun Solaris, Red Hat Linux und Suse Linux als Betriebssysteme. Mit den Diensten können sich die Linux-Systeme am Active Directory authentifizieren, in dem sie auch verwaltet werden.

Darüber hinaus gibt es auch noch die Möglichkeit, die Unix-Konfigurationen über Gruppenrichtlinien im Active Directory zu verwalten. Mit diesem Ansatz können Richtlinien zentral angepasst und automatisch auf die Zielsysteme unter Linux und Unix verteilt werden.

Anwendungen können sowohl über GSS-API als auch über LDAP und Kerberos mit dem Active Directoy zusammenarbeiten. Für LDAP-Zugriffe wird ein Authentifizierungsproxy gegen das Active Directory verwendet. Die LDAP-Kommunikation wird dadurch über Kerberos gesichert, sodass man nicht mit SSL arbeiten muss. Außerdem bietet Vintela eine Reihe von Erweiterungen an, mit denen gängige Anwendungen wie Open-SSH oder Apache mit der Authentifizierung am Active Directory integriert werden können.

Die Konfiguration erfolgt über eine grafische Schnittstelle, die als MMC-Snap-In realisiert ist und sich damit einfach nutzen lässt. Außerdem werden die Basisfunktionen der Anwendung Active Directory-Benutzer und -Computer erweitert.

Auch komplexere Anforderungen wie die Zeitsynchronisation werden unterstützt. Die Vintela Authentication Services sorgen dafür, dass die für Kerberos kritische Zeitsynchronisation funktioniert.

Weitere Funktionen sind lokale Caching-Mechanismen auf den Unix- und Linux-Systemen und die Umsetzung verschachtelter Gruppen im Active Directory in flache Namensbereiche auf Unix bzw. Linux. Außerdem stehen Migrationswerkzeuge und Scripting-Erweiterungen sowie etliche weitere Komponenten, die für eine Anpassung an spezifische Kundenanforderungen notwenig sein können, zur Verfügung.

Die Nutzung des Active Directory für die zentrale Authentifizierung durch zusätzliche Komponenten auf den Unix- und Linux-Plattformen ist für Umgebungen, in denen das Active Directory als strategische Plattform gesetzt ist, die konsequente Lösung. Letztlich wählt auch Microsoft diesen Ansatz, aber ohne die Integrationstiefe mit Unix und Linux, den Quest Vintela bieten kann.