Kerberos-Interoperabilität

Die Konfiguration

Die Konfiguration von Kerberos auf Linux kann über grafische Konfigurationsschnittstellen erfolgen. Alternativ dazu kann die Datei /etc/krb5.conf angepasst werden. Bei SUSE Linux ist das YaST (Yet another Setup Tool). Bei YaST findet sich der Kerberos-Client im Bereich Network Services (Bild 1).

Bild 1: Die Einrichtung eines Kerberos-Clients unter SUSE Linux kann über YaST erfolgen.
Bild 1: Die Einrichtung eines Kerberos-Clients unter SUSE Linux kann über YaST erfolgen.

Dort kann die Konfiguration dieses Dienstes gestartet werden. Standardmäßig wird Kerberos nicht verwendet. Wenn Kerberos eingesetzt wird, werden im ersten Dialogfeld verschiedene Informationen angefordert. Diese müssen nur eingegeben werden, falls mit der statischen Konfiguration von Kerberos gearbeitet wird. Bei Nutzung von DNS werden diese automatisch vom DNSServer bereitgestellt.

Bild 2: Die Grundeinstellungen zur Kerberos-Konfiguration.
Bild 2: Die Grundeinstellungen zur Kerberos-Konfiguration.

Über die Schaltfläche Erweiterte Einstellungen können weitere Festlegungen vorgenommen werden (Bild 3). Dort finden sich Standardeinträge für die Kerberos-Konfiguration wie die maximale Lebensdauer von Tickets. Diese können analog zu den bei Windows in der Gruppenrichtlinie konfigurierten Werten gesetzt werden.

Bild 3: Die erweiterten Einstellungen für einen Kerberos-Client.
Bild 3: Die erweiterten Einstellungen für einen Kerberos-Client.

Ein weiterer wichtiger Bereich ist die Lokalisierung der Kerberos-Server. Hierbei wird in der Regel mit DNS gearbeitet. Das Active Directory legt die erforderlichen Service Records automatisch an. Wenn die Linux-Clients auf die gleiche DNS-Infrastruktur zugreifen, sind damit auch keine weiteren Anpassungen in diesem Bereich erforderlich.

Auf die Nutzung von ktpass auf der Windows-Seite für das Mapping von Computernamen und ergänzende Einstellungen wird im folgenden Teil der Serie noch näher eingegangen.

Wie geht es weiter?

Der folgende Teil der Serie befasst sich mit dem umgekehrten Ansatz, also der Verwendung von KDCs unter Linux im Zusammenspiel mit Windows-Clients. Dabei werden auch die funktionalen Einschränkungen, die sich für Windows-Clients in einem solchen Modell ergeben, näher betrachtet. Außerdem wird auf die Verwendung von Vertrauensstellungen zwischen unterschiedlichen Kerberos-Realms eingegangen. Außerdem werden in diesem Teil noch einige speziellere Aspekte der Integration der beiden Welten näher betrachtet.

In den weiteren Teilen wird auf die Integration mit dem Novell eDirectory und hier insbesondere auch der Nutzung von Kerberos-Tickets beim eDirectory über die NMAS Method for Kerberos eingegangen. Der abschließende Teil wird sich mit Lösungen von Drittherstellern beschäftigen, mit denen weitere und oftmals einfachere Funktionen für den Aufbau heterogener Kerberos-Umgebungen geboten werden.