Kerberos: Unterschied zwischen den Versionen

Aus Physik
Zur Navigation springen Zur Suche springen
 
(19 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Als Authentizierungs-System im [[Computerraum Physik]] verwenden wir [[Kerberos]].
+
Als Authentizierungs-System im [[Computerraum Physik]] verwenden wir [http://web.mit.edu/kerberos/www/ Kerberos]. Diese Technik bietet sichere Authentizierung für Client-Server Anwendungen durch die Verwendung von symmetrischen kryptographischen Verfahren.
   
  +
Bei Verwendung von Kerberos authentizieren sich die Anwender und der Server gegenseitig; Sie können daher auch sicher sein, daß wirklich einer unserer Computer Ihre Anfragen bearbeitet. Das ''Key Distribution Center'' (KDC) vergibt Tickets, die den jeweiligen Besitzer zum Benutzen bestimmter Services auf bestimmten Servern autorisieren. Ein besondere Rolle spielt hier das ''Ticket Granting Ticket'' (TGT), das beim erstmaligen Authentizieren vergeben wird und mit dem notwendige Tickets für diverse Services (Dateizugriff, Drucken, Zugang zu CVS, ...) angefordert werden können. Sie benötigen daher nur beim Einloggen ihr Passwort, um danach auf alle Anwendungen zugreifen zu können. Das Passwort wird aber nicht zum Server geschickt, sonders als Schlüssel zum Lesen einer verschlüsselten Nachricht vom KDC verwendet.
Das Protokoll Kerberos bietet sichere Authentizierung für Client-Server Anwendungen durch die Verwendung von symmetrischen kryptographischen Verfahren.
 
   
  +
Das erhaltene Ticket hat eine Lebensdauer von einem Tag, wird aber durch den Bildschirmschoner verlängert, der zum Öffnen der grafischen Benutzeroberfläche ohnehin nach der Eingabe des Passwortes verlangt.
Bei Verwendung von Kerberos authentizieren sich die Anwender und der Server gegenseitig; Sie können daher sicher sein, daß wirklich einer unserer Computer Ihre Anfragen bearbeitet. Das Key Distribution Center (KDC) vergibt Tickets, die den jeweiligen Besitzer zum Benutzen bestimmter Services auf bestimmten Servern autorisieren. Ein besondere Rolle spielt hier das Ticket Granting Ticket (TGT), das beim erstmaligen Authentizieren vergeben wird und mit dem notwendige Tickets für diverse Services (Dateizugriff, Drucken, Zugang zu CVS, ...) angefordert werden können. Sie benötigen daher nur beim ersten Einloggen ihr Passwort. Das Passwort wird aber nicht zum Server geschickt, sonders als Schlüssel zum Lesen einer verschlüsselten Nachricht vom KDC verwendet.
 
   
  +
Wenn das Ticket ausläuft, hat der Benutzer keinen Zugriff mehr auf sein homedirectory, das bedeutet, dass keine neuen Fenster mehr geöffnet werden können.
Das erhaltene Ticket hat eine Lebensdauer von einem Tag, wird aber durch den Bildschirmschoner, der zum Öffnen der grafischen Benutzeroberfläche ohnehin nach der Eingabe des Passwortes verlangt, verlängert.
 
   
Die Benutzerkennung in Kerberos ist zweiteilig (principal without an instance):
+
Die Benutzererkennung in Kerberos ist zweiteilig (''principal without an instance''):
   
ahi@ITP.TUGRAZ.AT .
+
ahi@ITP.TUGRAZ.AT
   
Neben Ihrem lokalen Benutzernamen wird der realm[*]als Kennung der Kerberos-Domäne angeführt. Der realm (englisch, "Bereich, Gebiet") ist die Einheit, innerhalb welcher die Berechtigungen des jeweiligen Benutzers gelten. Im lokalen Netz ist es nicht notwendig, den realm anzugeben; Sie benötigen ihn nur zur Anmeldung in entfernten Kerberos-Domänen.
+
Neben Ihrem lokalen Benutzernamen wird der ''realm'' als Kennung der Kerberos-Domäne angeführt. Der realm (englisch, "Bereich, Gebiet") ist die Einheit, innerhalb welcher die Berechtigungen des jeweiligen Benutzers gelten. Im lokalen Netz wir der realm automatisch gesetzt und es ist daher nicht notwendig, den realm anzugeben. Sie benötigen ihn nur zur Anmeldung in entfernten Kerberos-Domänen.
 
Zusätzliche Informationen finden sie im [http://www.isi.edu/~brian/security/kerberos.html Morons Guide to Kerberos], in der [http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html Kerberos FAQ] und im [http://web.mit.edu/kerberos/www/ Kerberos User Guide].
 
   
 
== Benutzerschnittstelle ==
 
== Benutzerschnittstelle ==
Zeile 19: Zeile 17:
 
Zur Kommunikation mit Kerberos verwenden Sie einige Kommandos:
 
Zur Kommunikation mit Kerberos verwenden Sie einige Kommandos:
   
* kinit - Anfrage an ein KDC, um ein TGT zu bekommen
+
* kinit - erzeugt ein neues Ticket, dabei wird das alte Ticket überschrieben
* klist - Anzeige der vorhandenen Tickets
+
* klist - zeigt die vorhandenen Tickets an
* kpasswd - Ändern des Passworts
+
* kpasswd - ändert das Passworts
  +
* kdestroy - löscht alle Tickets, danach wird der Zugriff auf Anwendungen verweigert, bis wieder ein Ticket erzeugt wird (über kinit oder automatisch beim nächsten Login)
* kdestroy - Löschen aller Tickets
 
* klog - Erneuern und Verlängern der Tickets und des [[AFS]]-Tokens
+
* klog - Erneuern und Verlängern der Tickets und des [[AFS]]-Tokens (das ist eine spezifische Adaption des üblichen klog-Kommandos aus Open[[AFS]] und ist sonst nicht in dieser Form vorhanden)
  +
  +
== Konfiguration von Kerberos auf eigenen Computern ==
  +
  +
Sie können die Vorteile der Authentizierung mit Kerberos gegenüber den Computern am Institut und im Computerraum auch von Ihren privaten Rechnern aus nützen. Dabei sind unter anderem diese Einsatz-Szenarien vostellbar:
  +
  +
* automatische Anmeldung zum Schreiben in diesem Wiki: [[Main Page]]
  +
* automatische Authentizierung gegenüber dem durch TLS/SSL verschlüsselten Bereich unseres Webservers: https://itp.tugraz.at
  +
* Anmeldung gegenüber dem IMAP-Server für email
  +
* [[Secure Shell]] (SSH) - wegen [[AFS]] ist die Anmeldung mit RSA-Schlüsseln bei uns nicht möglich. Sie können aber zuhause ein Kerberos Ticket erzeugen und sich bei uns einloggen, wenn sie in der Datei <tt>/etc/ssh/ssh_config</tt> folgende Zeilen eintragen:
   
  +
GSSAPIAuthentication yes
  +
GSSAPIDelegateCredentials yes
   
  +
Sie finden die notwendige Konfigurationsdatei in http://itp.tugraz.at/Comp/conf/krb5.conf . Für eine MIT Kerberos Installation kopieren Sie diese Datei einfach nach <tt>/etc/krb5.conf</tt>, sie sollte aber auch mit Heimdal Kerberos bzw. MacOS X und Microsoft Windows problemlos funktionieren.
== Konfiguration von Kerberos ==
 
   
  +
Für die verschiedenen Betriebssysteme stehen auf der Kerberos Seite vom MIT Clients zur Verfügung. Erwähnt sei, dass sämtliche modernen Betriebssysteme von sich aus Unterstützung für Kerberos mitbringen.
Sie finden hier die Konfigurationsdatei http://itp.tugraz.at/Comp/conf/krb5.conf . Für eine MIT Kerberos Standard Konfiguration spielen Sie diese Datei nach /etc/krb5.conf, sie sollte aber auch mit Heimdal Kerberos problemlos funktionieren.
 
   
  +
Bitte beachten Sie, dass die Uhren in den Computern synchronisiert sein müssen, um das Login durchführen zu können - es sind maximal drei Minuten Abweichung zulässig. Das erreichen Sie am einfachsten, indem Sie übers Netzwerk und das [http://www.ntp.org/ Network Time Protocol (NTP)] Ihre Computer-Uhr stellen lassen. Als Server für NTP verwenden Sie am besten
Für die verschiedenen Betriebssysteme stehen auf der Kerberos Seite vom MIT Clients zur Verfügung. Erwähnt sei, dass sämtliche modernen Betriebssysteme von sich aus Unterstützung für Kerberos mitbringen sollten.
 
   
  +
server 0.at.pool.ntp.org
  +
server 1.at.pool.ntp.org
  +
server 0.europe.pool.ntp.org
   
 
== Weiterführende Informationen ==
 
== Weiterführende Informationen ==

Aktuelle Version vom 19. August 2008, 08:04 Uhr

Als Authentizierungs-System im Computerraum Physik verwenden wir Kerberos. Diese Technik bietet sichere Authentizierung für Client-Server Anwendungen durch die Verwendung von symmetrischen kryptographischen Verfahren.

Bei Verwendung von Kerberos authentizieren sich die Anwender und der Server gegenseitig; Sie können daher auch sicher sein, daß wirklich einer unserer Computer Ihre Anfragen bearbeitet. Das Key Distribution Center (KDC) vergibt Tickets, die den jeweiligen Besitzer zum Benutzen bestimmter Services auf bestimmten Servern autorisieren. Ein besondere Rolle spielt hier das Ticket Granting Ticket (TGT), das beim erstmaligen Authentizieren vergeben wird und mit dem notwendige Tickets für diverse Services (Dateizugriff, Drucken, Zugang zu CVS, ...) angefordert werden können. Sie benötigen daher nur beim Einloggen ihr Passwort, um danach auf alle Anwendungen zugreifen zu können. Das Passwort wird aber nicht zum Server geschickt, sonders als Schlüssel zum Lesen einer verschlüsselten Nachricht vom KDC verwendet.

Das erhaltene Ticket hat eine Lebensdauer von einem Tag, wird aber durch den Bildschirmschoner verlängert, der zum Öffnen der grafischen Benutzeroberfläche ohnehin nach der Eingabe des Passwortes verlangt.

Wenn das Ticket ausläuft, hat der Benutzer keinen Zugriff mehr auf sein homedirectory, das bedeutet, dass keine neuen Fenster mehr geöffnet werden können.

Die Benutzererkennung in Kerberos ist zweiteilig (principal without an instance):

   ahi@ITP.TUGRAZ.AT

Neben Ihrem lokalen Benutzernamen wird der realm als Kennung der Kerberos-Domäne angeführt. Der realm (englisch, "Bereich, Gebiet") ist die Einheit, innerhalb welcher die Berechtigungen des jeweiligen Benutzers gelten. Im lokalen Netz wir der realm automatisch gesetzt und es ist daher nicht notwendig, den realm anzugeben. Sie benötigen ihn nur zur Anmeldung in entfernten Kerberos-Domänen.

Benutzerschnittstelle

Zur Kommunikation mit Kerberos verwenden Sie einige Kommandos:

  • kinit - erzeugt ein neues Ticket, dabei wird das alte Ticket überschrieben
  • klist - zeigt die vorhandenen Tickets an
  • kpasswd - ändert das Passworts
  • kdestroy - löscht alle Tickets, danach wird der Zugriff auf Anwendungen verweigert, bis wieder ein Ticket erzeugt wird (über kinit oder automatisch beim nächsten Login)
  • klog - Erneuern und Verlängern der Tickets und des AFS-Tokens (das ist eine spezifische Adaption des üblichen klog-Kommandos aus OpenAFS und ist sonst nicht in dieser Form vorhanden)

Konfiguration von Kerberos auf eigenen Computern

Sie können die Vorteile der Authentizierung mit Kerberos gegenüber den Computern am Institut und im Computerraum auch von Ihren privaten Rechnern aus nützen. Dabei sind unter anderem diese Einsatz-Szenarien vostellbar:

  • automatische Anmeldung zum Schreiben in diesem Wiki: Main Page
  • automatische Authentizierung gegenüber dem durch TLS/SSL verschlüsselten Bereich unseres Webservers: https://itp.tugraz.at
  • Anmeldung gegenüber dem IMAP-Server für email
  • Secure Shell (SSH) - wegen AFS ist die Anmeldung mit RSA-Schlüsseln bei uns nicht möglich. Sie können aber zuhause ein Kerberos Ticket erzeugen und sich bei uns einloggen, wenn sie in der Datei /etc/ssh/ssh_config folgende Zeilen eintragen:
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials yes

Sie finden die notwendige Konfigurationsdatei in http://itp.tugraz.at/Comp/conf/krb5.conf . Für eine MIT Kerberos Installation kopieren Sie diese Datei einfach nach /etc/krb5.conf, sie sollte aber auch mit Heimdal Kerberos bzw. MacOS X und Microsoft Windows problemlos funktionieren.

Für die verschiedenen Betriebssysteme stehen auf der Kerberos Seite vom MIT Clients zur Verfügung. Erwähnt sei, dass sämtliche modernen Betriebssysteme von sich aus Unterstützung für Kerberos mitbringen.

Bitte beachten Sie, dass die Uhren in den Computern synchronisiert sein müssen, um das Login durchführen zu können - es sind maximal drei Minuten Abweichung zulässig. Das erreichen Sie am einfachsten, indem Sie übers Netzwerk und das Network Time Protocol (NTP) Ihre Computer-Uhr stellen lassen. Als Server für NTP verwenden Sie am besten

server 0.at.pool.ntp.org
server 1.at.pool.ntp.org
server 0.europe.pool.ntp.org

Weiterführende Informationen