Kerberos-Interoperabilität

Thema des aktuellen Teils der Artikelserie ist die Verwendung von KDCs unter Linux im Zusammenspiel mit Windows-Clients. Für Windows-Clients ergeben sich in einem solchen Modell funktionale Einschränkungen, die hier genauer betrachtet werden.

Die Konfiguration von Windows-Systemen für den Zugriff auf Nicht-Windows-KDCs erfolgt über das Utility ksetup.exe. Mit diesem kann der Kerberos-Realm konfiguriert werden. Nach der Konfiguration der Einstellungen mit Ksetup muss ein Neustart erfolgen, um die Änderungen wirksam werden zu lassen. Die Konfiguration erfolgt dabei in zwei Schritten:

  • Im ersten Schritt werden der Server und der Realm festgelegt.

  • Im zweiten Schritt erfolgt die Konfiguration des Single Sign-Ons an der Arbeitsstation. Dabei werden lokale Maschinenkonten auf Kerberos-Principals abgebildet, die für die Authentifizierung am KDC genutzt werden.

KSetup.exe

KSetup ist ein Teil der Windows-Support-Tools. Nach Installation dieses Tools kann die Konfiguration erfolgen.

Dabei werden nur wenige Befehle benötigt. Mit

Ksetup /addkdc <Parameter>

wird ein KDC hinzugefügt. Als Parameter müssen der Realm – also der Domänenname – und der Name des KDC angegeben werden. Letzterer ist nur erforderlich, wenn es keine SRV-Records beim DNS-Server für diesen KDC gibt. Da diese Einträge nur beim Active Directory automatisch angelegt werden, muss man aber in der Regel den Namen des KDCs angeben, weil die meisten anderen DNS-Infrastrukturen diese Information nicht automatisiert verwalten. Zusätzlich muss mit ksetup /setcomputerpassword <Kennwort> noch das Computerkennwort für dieses System korrekt gesetzt werden. Nach dem Neustart kann die Konfiguration des Single Sign-Ons erfolgen. Dazu wird mit

ksetup /mapuser <Parameter>

gearbeitet. Als Parameter werden der Benutzername in der Notation user@domaene und der Kerberos-Principal, auf den das Mapping erfolgen soll, angegeben. Letzterer wird als einfacher Name übergeben. Abschließend überprüft man mit

ksetup

den Status der Konfiguration. Die Verwendung von KSetup ist erforderlich, weil die Informationen bei anderen Kerberos-Implementierungen in der Datei krb5.conf gehalten werden, bei Windows aber in der Registry. Um sie zu konfigurieren, modifiziert man mit dem Tool die entsprechenden Registry-Parameter.

Die Einschränkungen

Die Nutzung dieses Verfahrens ist im Grundsatz recht einfach. Im Internet finden sich auch Beispiele dafür, wie man damit Umgebungen ohne Active Directory aufbauen kann. Allerdings muss man die dabei entstehenden Einschränkungen beachten. Wenn mit dem Active Directory gearbeitet wird, sind auch die spezifischen Funktionen dieses Dienstes verfügbar. Dazu gehören beispielsweise die Gruppenrichtlinien oder die umfassenden Funktionen für die Lokalisierung von Domänencontrollern. Auch die Nutzung wandernder Benutzerprofile entfällt. Letztlich fallen alle Funktionen weg, die in direktem Zusammenhang mit der Authentifizierung am Active Directory stehen.

Die meisten davon lassen sich durch etwas höheren Konfigurationsaufwand ersetzen. Die große Ausnahme sind die Gruppenrichtlinien, für die es kein mit überschaubarem Aufwand konfigurierbares Äquivalent gibt. Daher sollte man sich bei der Nutzung von Windows-Clients überlegen, ob man nicht das Active Directory verwendet und die Integration mit anderen Kerberos-Realms auf der Serverebene durchführt.

Wie geht es weiter?

Im nächsten Teil erfahren Sie mehr über die Verwendung von Vertrauensstellungen zwischen unterschiedlichen Kerberos-Realms und einige speziellere Aspekte der Integration der beiden Welten.

Serienfortsetzung

Der folgende Teil der Serie „ADFS: Das WebSSO-Szenario“ wird in der Ausgabe 8/2006 von Expert’s inside Windows NT/2000 erscheinen.