Kerberos-Interoperabilität

Das Zusammenspiel zwischen Linux- und Windows-Infrastrukturen unter Verwendung von Kerberos für die Authentifizierung lässt sich in unterschiedlicher Weise realisieren. Die Ansätze und die erforderlichen Komponenten werden in diesem Artikel beschrieben.

Bei der Verbindung von Linux und Windows auf der Ebene von Kerberos lassen sich zwei wichtige Ansätze unterscheiden:

  • Die Integration von bestehenden Kerberos-Infrastrukturen bei Linux und im Active Directory

  • Die Nutzung des Active Directory auch als Verzeichnis für Linux-Systeme, so dass die gesamte KDC-Funktionalität von Windows bereitgestellt wird.

Der erste Ansatz empfiehlt sich in Fällen, in denen bereits eine Kerberos-Infrastruktur im Linux- Umfeld vorhanden ist. Der zweite Ansatz kommt dagegen vor allem dann in Frage, wenn es im Linux- Umfeld noch keine Kerberos-Infrastruktur gibt und das bestehende Active Directory auch für die Authentifizierung von Linux-Clients genutzt werden soll.

KDCs für Linux

Für eine Kerberos-Infrastruktur unter Linux ist ein KDC erforderlich. Sowohl SuSE als auch Red Hat liefern mit ihren Produkten jeweils einen Kerberos 5-Server, der auf der MIT-Implementierung basiert. Diese ist – neben dem Active Directory – die am weitesten verbreitete Implementierung von Kerberos. Der Vorteil ist, dass es dadurch keine Unterschiede zwischen den beiden Linux-Derivaten oder zu anderen Kerberos-Implementierungen auf MIT-Basis gibt.

Das Package der Linux-Server enthält den KDC und die administrativen Werkzeuge für die Implementierung des Systems. Die Implementierung enthält eine Datenbank, in der die sensiblenInformationen verschlüsselt abgelegt werden.

Kerberos-Client-Funktionalität bei Linux

Auf der Client-Seite arbeitet Linux generell mit dem Ansatz der Pluggable Authentication Modules (PAM). Für Kerberos wird das Modul pam_krb verwendet. In dessen Konfigurationsdateiwerden die Informationen für den Zugriff auf die KDCs festgelegt.

Ebenso wie beim KDC ist das Modul generell in den aktuellen Versionen der führenden Linux- Anbieter enthalten, so dass die Nutzung keine Schwierigkeiten bereitet.

Wie geht es weiter?

Mit der konkreten Umsetzung einer Kerberos- Implementierung zwischen Windows und Linux auf Basis der in diesem Artikel diskutierten Komponenten befasst sich Teil 3 unserer Artikelfolge.