Novell Kerberos KDC: Management

Das Management von Principals

Die nächste Aufgabe ist die Verwaltung von Principals. Diese erfolgt mit kadmin. Dabei geht es weniger um die Benutzer als vielmehr um die Dienste. Bei Benutzern geht es nur darum, die Verbindung zwischen einem bereits vorhandenen eDirectory-Benutzerobjekt und der Kerberos-Infrastruktur herzustellen. Das Mapping erfolgt mit der Option add_principal. Gerade hier bietet es sich an, mit der Befehlszeile zu arbeiten, um die Erstellung von Kerberos-Principals für vorhandene Benutzer in einer Batch-Datei durchzuführen.

Die zweite Herausforderung ist die Erstellung von Service-Principals. Jeder Dienst, an dem eine Kerberos-Authentifizierung durchgeführt werden soll, benötigt einen solchen Service-Principal, der explizit erstellt sein muss.

Bei der Erstellung von Principals oder zu einem späteren Zeitpunkt können diesen auch Ticket-Richtlinien zugeordnet werden. Auf diese wird später im Artikel noch eingegangen.

Weitere Befehle für das Management von Principals sind:

• modify_principal für Änderungen an den Einstellungen zu einem Principal;

• delete_principal zum Löschen. Benutzer im eDirectory werden dadurch nicht gelöscht;

• list_principals zur Anzeige einer Liste der Principals;

• change_password für die Durchführung von Kennwortänderungen bei Principals. Damit kann das Kennwort auch erstmalig gesetzt werden.

Wichtig ist außerdem für einige Funktionen das Auslesen von Principal-Informationen in eine so genannte Keytab-Datei. Dazu wird die Option ktadd verwendet. Diese Dateien werden beispielsweise für den Aufbau von Vertrauensstellungen zwischen Realms – auch im heterogenen Umfeld – benötigt.