Kerberos-Tools

Einige ergänzende Tools dienen speziell dem Management von Kerberos. Dazu zählen Standardadministrationswerkzeuge von Windows ebenso wie Resource- Kit-Tools und weitere Lösungen, die Microsoft in der einen oder anderen Form publiziert hat. Der Artikel gibt einen Überblick über die Tools.

Das wichtigste Werkzeug rund um Kerberos ist Active Directory-Domänen und -Vertrauensstellungen. Damit können neue Vertrauensstellungen zwischen Systemen konfiguriert werden. Bei den Eigenschaften einer Domäne findet man im Register Vertrauensstellungen die Schaltfläche Neue Vertrauensstellung. Darüber kann ein Assistent gestartet werden, mit dem sich Vertrauensstellungen definieren lassen.

Der Assistent bietet bereits auf der Startseite die Option an, eine Vertrauensstellung mit einem Kerberos V5-Bereich aufzubauen (Bild 1). Damit lassen sich Trusts zwischen Domänen im Active Directory und bestehenden Kerberos-Infrastrukturen auf UNIX-/Linux-Basis definieren. Für die Vertrauensstellung muss der Domänenname der entsprechenden Kerberos-Infrastruktur angegeben werden. Wenn es sich um keinen Windows-kompatiblen Namen handelt, schlägt der Assistent automatisch die Definition einer Bereichsvertrauensstellung zwischen zwei Kerberos-Realms vor (Bild 2).

Bild 1: Mit dem Assistenten für Vertrauensstellungen können auch Trusts zu Kerberos erstellt werden.
Bild 1: Mit dem Assistenten für Vertrauensstellungen können auch Trusts zu Kerberos erstellt werden.

Bild 2: Der Assistent bietet bei entsprechenden Namen automatisch den Aufbau von Kerberos-Bereichsvertrauensstellungen an.
Bild 2: Der Assistent bietet bei entsprechenden Namen automatisch den Aufbau von Kerberos-Bereichsvertrauensstellungen an.

Für diese Vertrauensstellung kann anschließend definiert werden, ob sie transitiv oder nicht transitiv arbeiten soll. Transitive Vertrauensstellungen können auch über die Grenzen der Domäne hinaus arbeiten, für die die Vertrauensstellung aufgebaut wird. Transitive Vertrauensstellung haben den Vorteil, dass gegebenenfalls weniger explizite Vertrauensstellungen zwischen dem Active Directory und der externen Kerberos-Infrastruktur aufgebaut werden müssen. Der Nachteil ist aber die geringere Kontrolle über die Sicherheit, weil damit eine Vertrauensstellung auch für Benutzer aus anderen Domänen gilt. Daher muss genau überlegt werden, ob man mit der Transitivität arbeiten möchte oder nicht.

Anschließend lässt sich die Richtung der Vertrauensstellung konfigurieren. Hier hat man die Option, bidirektionale Vertrauensstellungen aufzubauen oder mit unidirektionalen ein- oder ausgehenden Vertrauensstellungen zu arbeiten. Welche Option hier gewählt wird, hängt ausschließlich davon ab, welche Zugriffe gegen welche Kerberos-Infrastrukturen authentifiziert werden müssen. Für die Vertrauensstellung muss anschließend das Kennwort eingegeben werden.

Die entsprechende Konfiguration muss auch bei der anderen Kerberos-Infrastruktur, also beispielsweise bei einem MIT-Kerberos-Server unter UNIX, durchgeführt werden. Auf die genaue Vorgehensweise werden wir im zweiten Teil der Artikelserie „Kerberos-Interoperabilität“ noch zurückkommen.

Active Directory-Benutzer und -Computer

Das zweite wichtige Werkzeug ist Active Directory-Benutzer und -Computer. Ist dort die Option Ansicht/Erweiterte Funktionen aktiviert, können Sie im Kontextmenü von Benutzern den Befehl Namenszuordnungen auswählen. Das angezeigte Dialogfeld (Bild 3) erlaubt es, einem Benutzerkonto Kerberos-Namen zuzuordnen.

Bild 3: Mappings von Benutzern können über Active Directory-Benutzer und -Computer definiert werden.
Bild 3: Mappings von Benutzern können über Active Directory-Benutzer und -Computer definiert werden.

Dieser Konfigurationsschritt ist erforderlich, wenn der Name des Kerberos-Prinzipals – also letztlich der Benutzername – nicht im Active Directory angelegt ist. In diesem Fall muss eine Abbildung auf einen Benutzer des Active Directory erfolgen, da die gesamte Autorisierung über die SIDs des Benutzers bzw. der Gruppen, in denen dieser Mitglied ist, gesteuert wird.