Kerberos

Aus Physik
Zur Navigation springen Zur Suche springen

Als Authentizierungs-System im Computerraum Physik verwenden wir Kerberos.

Das Protokoll Kerberos bietet sichere Authentizierung für Client-Server Anwendungen durch die Verwendung von symmetrischen kryptographischen Verfahren.

Bei Verwendung von Kerberos authentizieren sich die Anwender und der Server gegenseitig; Sie können daher sicher sein, daß wirklich einer unserer Computer Ihre Anfragen bearbeitet. Das Key Distribution Center (KDC) vergibt Tickets, die den jeweiligen Besitzer zum Benutzen bestimmter Services auf bestimmten Servern autorisieren. Ein besondere Rolle spielt hier das Ticket Granting Ticket (TGT), das beim erstmaligen Authentizieren vergeben wird und mit dem notwendige Tickets für diverse Services (Dateizugriff, Drucken, Zugang zu CVS, ...) angefordert werden können. Sie benötigen daher nur beim Einloggen ihr Passwort, um danach auf alle Anwendungen zuzugreifen. Das Passwort wird aber nicht zum Server geschickt, sonders als Schlüssel zum Lesen einer verschlüsselten Nachricht vom KDC verwendet.

Das erhaltene Ticket hat eine Lebensdauer von einem Tag, wird aber durch den Bildschirmschoner, der zum Öffnen der grafischen Benutzeroberfläche ohnehin nach der Eingabe des Passwortes verlangt, verlängert.

Die Benutzerkennung in Kerberos ist zweiteilig (principal without an instance):

   ahi@ITP.TUGRAZ.AT    . 

Neben Ihrem lokalen Benutzernamen wird der realm[*]als Kennung der Kerberos-Domäne angeführt. Der realm (englisch, "Bereich, Gebiet") ist die Einheit, innerhalb welcher die Berechtigungen des jeweiligen Benutzers gelten. Im lokalen Netz ist es nicht notwendig, den realm anzugeben; Sie benötigen ihn nur zur Anmeldung in entfernten Kerberos-Domänen.

Zusätzliche Informationen finden sie im Morons Guide to Kerberos, in der Kerberos FAQ und im Kerberos User Guide.

Benutzerschnittstelle

Zur Kommunikation mit Kerberos verwenden Sie einige Kommandos:

  • kinit - Erzeugt neues Ticket, wobei das alte überschrieben wird
  • klist - Anzeige der vorhandenen Tickets
  • kpasswd - Ändern des Passworts
  • kdestroy - Löschen aller Tickets, d.h. Zugriff auf Anwendungen wird verweigert (bis zu neuem login)
  • klog - Erneuern und Verlängern der Tickets und des AFS-Tokens

Konfiguration von Kerberos

Sie finden hier die Konfigurationsdatei http://itp.tugraz.at/Comp/conf/krb5.conf . Für eine MIT Kerberos Standard Konfiguration spielen Sie diese Datei nach /etc/krb5.conf, sie sollte aber auch mit Heimdal Kerberos problemlos funktionieren.

Für die verschiedenen Betriebssysteme stehen auf der Kerberos Seite vom MIT Clients zur Verfügung. Erwähnt sei, dass sämtliche modernen Betriebssysteme von sich aus Unterstützung für Kerberos mitbringen sollten.


Weiterführende Informationen