Kerberos-Troubleshooting

Prä-Authentifizierung

Ein weiterer potenzieller Fehler in heterogenen Umgebungen steht im Zusammenhang mit der Prä-Authentifizierung. Bei der Prä-Authentifizierung werden vorab bestimmte Authentifizierungsinformationen gesendet, die bestätigen, dass der Client das Kennwort kennt. Damit wird eine zusätzliche Sicherheitsstufe geschaffen, weil Authentifizierungsanforderungen überhaupt nur durchgeführt werden, wenn es wahrscheinlich ist, dass diese erfolgreich sein kann.

Bild 2: Die Kerberos-Präauthentifizierung kann auch deaktiviert werden.
Bild 2: Die Kerberos-Präauthentifizierung kann auch deaktiviert werden.

Die Prä-Authentifizierung ist bei Windows standardmäßig aktiviert, während sie bei Kerberos-Clients auf anderen Plattformen oft nicht als Regelfall genutzt wird. Die meisten Clients reagieren aber auf eine Kerberos-Fehlermeldung, die auf die fehlende Prä-Authentifizierung hinweist, mit dem Senden der erforderlichen Daten. In den Fällen, in denen das nicht funktioniert, hat man zwei Optionen:

  • Der Client wird aktualisiert, so dass er mit Prä-Authentifizierung arbeiten kann.

  • Die Prä-Authentifizierung wird für die Benutzerkonten deaktiviert, die über Clients ohne entsprechende Unterstützung arbeiten. Das reduziert allerdings die Sicherheit des Systems. Die Konfiguration erfolgt über das Register Konto bei den Eigenschaften eines Benutzers und dort die Option Keine Kerberos-Präauthentifizierung erforderlich.

Verschlüsselungsprobleme

Im heterogenen Umfeld treten gelegentlich auch Schwierigkeiten mit der Verschlüsselung auf. Sie entstehen entweder, wenn das UNIX- oder Linux-System mit 3DES (Triple DES) arbeitet. Windows unterstützt nur DES und RC4. In diesem Fall muss die Konfiguration des KDC angepasst werden. Sie können aber auch entstehen, wenn ein Client keinen Schlüssel des richtigen Verschlüsselungsprotokolls besitzt. In diesem Fall lässt sich das Problem in der Regel durch eine Kennwortänderung beseitigen, weil dann neue Schlüssel generiert werden.