Kerberos: Unterschied zwischen den Versionen

Aus Physik
Zur Navigation springen Zur Suche springen
Zeile 19: Zeile 19:
 
Zur Kommunikation mit Kerberos verwenden Sie einige Kommandos:
 
Zur Kommunikation mit Kerberos verwenden Sie einige Kommandos:
   
* kinit - Erzeugt neues Ticket, wobei das alte überschrieben wird
+
* kinit - Erzeugt neues Ticket, wobei das alte Ticket überschrieben wird
 
* klist - Anzeige der vorhandenen Tickets
 
* klist - Anzeige der vorhandenen Tickets
 
* kpasswd - Ändern des Passworts
 
* kpasswd - Ändern des Passworts

Version vom 18. August 2008, 11:27 Uhr

Als Authentizierungs-System im Computerraum Physik verwenden wir Kerberos.

Das Protokoll Kerberos bietet sichere Authentizierung für Client-Server Anwendungen durch die Verwendung von symmetrischen kryptographischen Verfahren.

Bei Verwendung von Kerberos authentizieren sich die Anwender und der Server gegenseitig; Sie können daher sicher sein, daß wirklich einer unserer Computer Ihre Anfragen bearbeitet. Das Key Distribution Center (KDC) vergibt Tickets, die den jeweiligen Besitzer zum Benutzen bestimmter Services auf bestimmten Servern autorisieren. Ein besondere Rolle spielt hier das Ticket Granting Ticket (TGT), das beim erstmaligen Authentizieren vergeben wird und mit dem notwendige Tickets für diverse Services (Dateizugriff, Drucken, Zugang zu CVS, ...) angefordert werden können. Sie benötigen daher nur beim Einloggen ihr Passwort, um danach auf alle Anwendungen zugreifen zu können. Das Passwort wird aber nicht zum Server geschickt, sonders als Schlüssel zum Lesen einer verschlüsselten Nachricht vom KDC verwendet.

Das erhaltene Ticket hat eine Lebensdauer von einem Tag, wird aber durch den Bildschirmschoner, der zum Öffnen der grafischen Benutzeroberfläche ohnehin nach der Eingabe des Passwortes verlangt, verlängert.

Wenn das Ticket ausläuft, hat der Benutzer keinen Zugriff mehr auf sein homedirectory, das bedeutet, dass keine neuen Fenster mehr geöffnet werden können.

Die Benutzerkennung in Kerberos ist zweiteilig (principal without an instance):

   ahi@ITP.TUGRAZ.AT    . 

Neben Ihrem lokalen Benutzernamen wird der realm als Kennung der Kerberos-Domäne angeführt. Der realm (englisch, "Bereich, Gebiet") ist die Einheit, innerhalb welcher die Berechtigungen des jeweiligen Benutzers gelten. Im lokalen Netz ist es nicht notwendig, den realm anzugeben; Sie benötigen ihn nur zur Anmeldung in entfernten Kerberos-Domänen.

Benutzerschnittstelle

Zur Kommunikation mit Kerberos verwenden Sie einige Kommandos:

  • kinit - Erzeugt neues Ticket, wobei das alte Ticket überschrieben wird
  • klist - Anzeige der vorhandenen Tickets
  • kpasswd - Ändern des Passworts
  • kdestroy - Löschen aller Tickets, d.h. Zugriff auf Anwendungen wird verweigert (bis zu neuem login)
  • klog - Erneuern und Verlängern der Tickets und des AFS-Tokens

Konfiguration von Kerberos

Sie finden hier die Konfigurationsdatei http://itp.tugraz.at/Comp/conf/krb5.conf . Für eine MIT Kerberos Standard Konfiguration spielen Sie diese Datei nach /etc/krb5.conf, sie sollte aber auch mit Heimdal Kerberos problemlos funktionieren.

Für die verschiedenen Betriebssysteme stehen auf der Kerberos Seite vom MIT Clients zur Verfügung. Erwähnt sei, dass sämtliche modernen Betriebssysteme von sich aus Unterstützung für Kerberos mitbringen sollten.

Es muss außerdem berücksichtigt werden, dass die Synchronizität der Rechneruhren exakter als drei Minuten sein muss, um das login durchführen zu können.

Weiterführende Informationen