Kerberos
Als Authentizierungs-System im Computerraum Physik verwenden wir Kerberos. Diese Technik bietet sichere Authentizierung für Client-Server Anwendungen durch die Verwendung von symmetrischen kryptographischen Verfahren.
Bei Verwendung von Kerberos authentizieren sich die Anwender und der Server gegenseitig; Sie können daher auch sicher sein, daß wirklich einer unserer Computer Ihre Anfragen bearbeitet. Das Key Distribution Center (KDC) vergibt Tickets, die den jeweiligen Besitzer zum Benutzen bestimmter Services auf bestimmten Servern autorisieren. Ein besondere Rolle spielt hier das Ticket Granting Ticket (TGT), das beim erstmaligen Authentizieren vergeben wird und mit dem notwendige Tickets für diverse Services (Dateizugriff, Drucken, Zugang zu CVS, ...) angefordert werden können. Sie benötigen daher nur beim Einloggen ihr Passwort, um danach auf alle Anwendungen zugreifen zu können. Das Passwort wird aber nicht zum Server geschickt, sonders als Schlüssel zum Lesen einer verschlüsselten Nachricht vom KDC verwendet.
Das erhaltene Ticket hat eine Lebensdauer von einem Tag, wird aber durch den Bildschirmschoner verlängert, der zum Öffnen der grafischen Benutzeroberfläche ohnehin nach der Eingabe des Passwortes verlangt.
Wenn das Ticket ausläuft, hat der Benutzer keinen Zugriff mehr auf sein homedirectory, das bedeutet, dass keine neuen Fenster mehr geöffnet werden können.
Die Benutzererkennung in Kerberos ist zweiteilig (principal without an instance):
ahi@ITP.TUGRAZ.AT
Neben Ihrem lokalen Benutzernamen wird der realm als Kennung der Kerberos-Domäne angeführt. Der realm (englisch, "Bereich, Gebiet") ist die Einheit, innerhalb welcher die Berechtigungen des jeweiligen Benutzers gelten. Im lokalen Netz wir der realm automatisch gesetzt und es ist daher nicht notwendig, den realm anzugeben. Sie benötigen ihn nur zur Anmeldung in entfernten Kerberos-Domänen.
Benutzerschnittstelle
Zur Kommunikation mit Kerberos verwenden Sie einige Kommandos:
- kinit - erzeugt ein neues Ticket, dabei wird das alte Ticket überschrieben
- klist - zeigt die vorhandenen Tickets an
- kpasswd - ändert das Passworts
- kdestroy - löscht alle Tickets, danach wird der Zugriff auf Anwendungen verweigert, bis wieder ein Ticket erzeugt wird (über kinit oder automatisch beim nächsten Login)
- klog - Erneuern und Verlängern der Tickets und des AFS-Tokens (das ist eine spezifische Adaption des üblichen klog-Kommandos aus OpenAFS und ist sonst nicht in dieser Form vorhanden)
Konfiguration von Kerberos auf eigenen Computern
Sie können die Vorteile der Authentizierung mit Kerberos gegenüber den Computern am Institut und im Computerraum auch von Ihren privaten Rechnern aus nützen. Dabei sind unter anderem diese Einsatz-Szenarien vostellbar:
- automatische Anmeldung zum Schreiben in diesem Wiki: Main Page
- automatische Authentizierung gegenüber dem durch TLS/SSL verschlüsselten Bereich unseres Webservers: https://itp.tugraz.at
- Anmeldung gegenüber dem IMAP-Server für email
- Secure Shell (SSH) - wegen AFS ist die Anmeldung mit RSA-Schlüsseln bei uns nicht möglich. Sie können aber zuhause ein Kerberos Ticket erzeugen und sich bei uns einloggen, wenn sie in der Datei /etc/ssh/ssh_config folgende Zeilen eintragen:
GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
Sie finden die notwendige Konfigurationsdatei in http://itp.tugraz.at/Comp/conf/krb5.conf . Für eine MIT Kerberos Installation kopieren Sie diese Datei einfach nach /etc/krb5.conf, sie sollte aber auch mit Heimdal Kerberos bzw. MacOS X und Microsoft Windows problemlos funktionieren.
Für die verschiedenen Betriebssysteme stehen auf der Kerberos Seite vom MIT Clients zur Verfügung. Erwähnt sei, dass sämtliche modernen Betriebssysteme von sich aus Unterstützung für Kerberos mitbringen.
Bitte beachten Sie, dass die Uhren in den Computern synchronisiert sein müssen, um das Login durchführen zu können - es sind maximal drei Minuten Abweichung zulässig. Das erreichen Sie am einfachsten, indem Sie übers Netzwerk und das Network Time Protocol (NTP) Ihre Computer-Uhr stellen lassen. Als Server für NTP verwenden Sie am besten
server 0.at.pool.ntp.org server 1.at.pool.ntp.org server 0.europe.pool.ntp.org
Weiterführende Informationen
- Kerberos-Webseite am MIT
- Moron's Guide to Kerberos
- Kerberos FAQ
- How to Kerberize your site (eine kleine Anleitung für angehende Administratoren)
- Kerberos Infrastructure HOWTO
- The MIT Kerberos Administrator's How-to Guide: Protocol, Installation and Single Sign On
- The MIT Kerberos Consortium