Mark Pröhl ist als Berater im Themenfeld Identity & Access Management tätig und beschäftigt sich intensiv mit dem Thema Kerberos in heterogenen

Transkript

1

2

3 Kerberos

4 Mark Pröhl ist als Berater im Themenfeld Identity & Access Management tätig und beschäftigt sich intensiv mit dem Thema Kerberos in heterogenen Umgebungen. Seit mehreren Jahren bietet er dazu auch Workshops auf Konferenzen und Fachtagungen an.

5 Mark Pröhl Kerberos Single Sign-on in gemischten Linux/ Windows-Umgebungen

6 Mark Pröhl Lektorat: René Schönfeldt Copy-Editing: Ursula Zimpfer, Herrenberg Satz: Mark Pröhl Herstellung: Nadine Thiele Umschlaggestaltung: Helmut Kraus, Druck und Bindung: M.P. Media-Print Informationstechnologie GmbH, Paderborn Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. ISBN: Buch PDF epub Auflage 2011 Copyright 2011 dpunkt.verlag GmbH Ringstraße 19 B Heidelberg Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen

7 v Über dieses Buch Die Verwaltung von Identitäten und deren Berechtigungen, auch Identity and Access Management genannt, ist eine der Grundlagen für die Sicherheit von IT-Umgebungen. Ein wesentlicher Aspekt dabei ist die Überprüfung und Bestätigung von Anwenderidentitäten, also die Authentisierung bzw. Authentifizierung ein Bereich, in dem sich das Authentisierungsverfahren Kerberos als Standard durchgesetzt hat. Diese Tatsache erkennt man u.a. daran, dass Kerberos heutzutage Bestandteil aller wichtigen Betriebssysteme ist: Unter den verschiedenen Unix- und Linux-Derivaten war Kerberos schon seit jeher vertreten. Aber auch in der Apple-Welt und insbesondere in Microsofts Active Directory spielt Kerberos eine wesentliche Rolle, wenn es um die Authentifizierung von Anwendern geht. Mindestens ebenso wichtig ist die Unterstützung durch Anwendungen und Netzwerkdienste, die für Kerberos großflächig gegeben ist. Hier kann Kerberos durch echtes Single Sign-on (SSO) weiter punkten. Aber auch andere Aspekte der IT-Sicherheit, wie die Integrität und Vertraulichkeit von Nutzdaten, deckt Kerberos ab. Gerade in heterogenen IT-Umgebungen eignet sich Kerberos aufgrund seines sehr hohen Verbreitungs- und Standardisierungsgrades als Authentisierungskomponente innerhalb einer zentralen Benutzer- und Berechtigungsverwaltung. Aus diesem Grund befasst sich dieses Buch neben dem Hauptschwerpunkt Kerberos auch mit den Möglichkeiten, Kerberos durch zusätzliche Infrastrukturdienste zu erweitern und so Kerberos-integrierte Netzwerks- und Verwaltungsumgebungen zu schaffen. Welche Ziele hat dieses Buch? Dieses Buch möchte dem Leser zunächst ein Verständnis für die Funktionsweise des Kerberos-Protokolls vermitteln. Diese theoretischen Inhalte liefern das nötige Hintergrundwissen für die Praxisteile, in denen der Aufbau und die Verwaltung von Kerberos-Infrastrukturen und die Integration von Anwendungen und Netzwerkdiensten (die»kerberisierung«) behandelt wird. Dabei soll das Motto gelten:»nicht mehr Theorie als

8 vi Über dieses Buch nötig, aber auch nicht weniger«. An geeigneten Stellen wird auf weiterführende Literatur verwiesen. Die Praxisteile beschreiben konkrete Implementierungen und sollen dem Leser die Möglichkeit geben, schnell eine funktionierende Kerberos- Umgebung aufsetzen und das theoretisch Gelernte praktisch anwenden zu können. Für wen ist das Buch? Dieses Buch richtet sich in erster Linie an Administratoren heterogener Netzwerkumgebungen, die sich eingehend mit Single Sign-on und Kerberos beschäftigen wollen. Für Anwendungsprogrammierer werden vor allem jene Buchteile interessant sein, die die Funktionsweise des Kerberos-Protokolls und die Kerberisierung existierender Netzwerkdienste beschreiben. Welche Voraussetzungen sollte der Leser mitbringen? Der Leser sollte über allgemeine Grundkenntnisse der Administration von Linux- und Windows-Systemen verfügen, er sollte sich insbesondere nicht vor dem Einsatz der Kommandozeile scheuen und in der Lage sein, mit einem Texteditor Konfigurationsdateien zu erstellen oder anzupassen. Es wird beispielsweise nicht erklärt, wie man unter Linux ein Terminalfenster oder einen Editor startet. Grundkenntnisse in LDAP sind von Vorteil, obwohl die nötigen Voraussetzungen hier geschaffen werden (siehe Anhang A). Leser, die sich bereits mit den Themengebieten Authentisierung, Autorisierung und Zugriffskontrolle beschäftigt haben, wird der Einstieg in die Materie sicherlich leichter fallen, auch wenn diese Grundlagen hier behandelt werden. Kenntnisse in Virtualisierungslösungen sind ebenfalls von Vorteil, wenn es darum geht, die hier beschriebenen Beispielszenarien in einer eigenen virtuellen Infrastruktur nachzuvollziehen. Wie ist das Buch aufgebaut? Teil I befasst sich mit den theoretischen Grundlagen der Authentisierung in Rechnernetzen mit Kerberos. Um diesen theoretischen Stoff nicht zu trocken zu gestalten, bietet Kapitel 3 einen Eindruck von Kerberos aus der Sicht der Anwender. Danach folgt eine eingehende Beschreibung des

9 Über dieses Buch vii Protokollablaufs, wobei fortgeschrittene Themen (Stichworte: Principal- Aliase, KDC-Referrals und Constrained Delegation) in das abschließende Kapitel 6 ausgelagert sind. In Teil II lernt der Leser anhand verschiedener Beispielumgebungen, wie man Kerberos-Infrastrukturen aufbaut und verwaltet. Verschiedene Kapitel von Teil II benötigen zusätzliche Komponenten wie NTP, DNS, LDAP und eine PKI, deren Einrichtung daher vorab in Kapitel 7 behandelt wird. Danach werden die Konzepte und Konfigurationsmöglichkeiten anhand der Kerberos-Implementierung des Massachusetts Institute of Technology (MIT Kerberos) sehr detailliert erläutert (Kapitel 8 13). In anschließenden Kapiteln geht es dann um die alternative Implementierung Heimdal und die Möglichkeiten, die Active Directory als Kerberos-Infrastruktur zu bieten hat. Teil II wird von Kapitel 16 abgeschlossen, das sich fortgeschrittenen Themen der Kerberos-Praxis widmet. In Teil III des Buches geht es darum, wie man Kerberos-Infrastrukturen durch die Integration weiterer Netzwerkdienste erweitern kann. Der Verzeichnisdienst LDAP spielt hier eine tragende Rolle, da dieser Dienst Kerberos um die Verwaltung von Benutzer- und Berechtigungsdaten ergänzt. Ein weiterer Aspekt dabei ist die Integration der Anmeldung am Betriebssystem, wobei LDAP als Namensdienst und Kerberos für die Passwortüberprüfung eingesetzt werden. Dieser Teil beschäftigt sich aber auch grundsätzlich mit dem Vorgang der Kerberisierung von Netzwerkdiensten, die der Leser anhand zahlreicher Beispiele lernen kann. Der Aufbau des Buches erfolgt in der beschriebenen Reihenfolge, es sollte aber auch möglich sein, einzelne Kapitel zu überspringen oder erst später zu lesen, ohne dabei den Gesamtüberblick zu verlieren. Die Beispielumgebung Die Praxisteile II und III beschreiben die verschiedenen Aspekte von Kerberos anhand einer konkreten Beispielumgebung mit dem Namen»EXAMPLE.COM«, die auch aus weiteren Subdomänen besteht. Listing 6.5 auf Seite 109 stellt die Gesamtstruktur dar. Der Aufbau dieser Beispielumgebung wird detailliert beschrieben. Dem Leser steht frei, diese Umgebung oder Teile davon in einem eigenen Testnetz aufzubauen oder nur die Beschreibung zu lesen. Verwendete Benutzernamen In den Beispielumgebungen tauchen zwei Benutzer immer wieder auf: Max Mustermann (maxm) und Erika Musterfrau (erim).

10 viii Über dieses Buch Verwendete Passwörter In vielen Listings wird das Beispielpasswort»DrPig!«verwendet, das sich aus dem Satz»Das root Passwort ist geheim!«ableitet. Derartige Passwörter sollten in realen Umgebungen natürlich nicht verwendet werden, machen aber das Leben im Testlabor einfacher. An anderen Stellen dieses Buches wird dagegen mit»richtigen«passwörtern gearbeitet, die mit einem Passwortgenerator erzeugt werden. Das macht zwar einige Listings etwas unleserlich, soll aber die Sicherheitsrelevanz unterstreichen. Typografische Konventionen Im Text Für die Auszeichnung von Programmein- und -ausgaben, Benutzernamen und Ähnlichem werden verschiedene Schriftarten verwendet, hauptsächlich ist das die Schreibmaschinenschrift. Hier ein paar Beispiele: Die Ausgabe von textbasierten Computerprogrammen wird so dargestellt: Dies ist der Output eines Programms. Befehle auf der Kommandozeile werden im Text wie folgt dargestellt: ssh -l maxm lx01.example.com. Manche Befehle enthalten Platzhalter, die je nach Zusammenhang ersetzt werden müssen. Diese werden kursiv gesetzt. Beispiel: ssh -l Benutzer Hostname. Dabei wären Benutzer und Hostname entsprechend zu ersetzen. Benutzernamen: maxm und erim. DNS-Hostnamen: lx01.example.com. Webadressen (HTTP-URLs): Beschriftungen innerhalb von grafischen Programmelementen. Beispiel: OK oder Cancel. In den Listings Listings werden wie folgt dargestellt: echo 'Hallo Welt' Hallo Welt

11 Über dieses Buch ix Benutzereingaben werden hierbei fett gesetzt. Es gibt aber auch unsichtbare Eingaben (beispielsweise Passwörter). Diese werden fett-kursiv dargestellt: kinit Password for DrPig! Listings mit zu langen Zeilen müssen umgebrochen dargestellt werden. Der Umbruch wird dann mit dem Zeichen» «markiert: echo 'Diese Zeile ist zu lang für ein dpunkt-buch, daher wird sie automatisch umgebrochen' Diese Zeile ist zu lang für ein dpunkt-buch, daher wird sie auto matisch umgebrochen Sehr lange Listings können verkürzt dargestellt werden. Das wird dann durch die Zeichenfolge [...] angedeutet. Beispiel: ls -la total 24 drwxr-xr-x 2 user user :56. drwxr-xr-x 5 root root :55.. -rw user user :56.bash _ history -rw-r--r-- 1 user user :51.bash _ logout -rw-r--r-- 1 user user :30.bashrc -rw-r--r-- 1 user user :51.profile [...] Die gleiche Zeichenfolge wird auch verwendet, um Kommentare in die Listings einzubauen. Im folgenden Beispiel soll zwischen zwei Kommandos neun Minuten gewartet werden: [...] user@lx01:~$ klist -f [...] [...9 Minuten warten...] user@lx01:~$ kinit -R user@lx01:~$ klist -f [...] Der Text [...9 Minuten warten...] ist also kein Teil einer Programmausgabe, sondern ein Kommentar.

12 x Über dieses Buch Der Prompt hängt vom Betriebssystem ab. Befehlszeilen unter Linux werden durch einen Prompt wie dem folgenden eingeleitet: unter Windos geschieht das in dieser Art: C:\> Danksagung Mein Dank gilt in erster Linie meiner Frau und meinen Kindern, ohne deren Unterstützung ich dieses Werk nicht hätte fertigstellen können. Vielen Dank auch an Freunde und Arbeitskollegen für viele anregende Diskussionen. Oliver Tennert gilt ein besonderer Dank für Anregungen und Diskussionen während der Entstehung dieses Buches. Vielen Dank auch an Markus Widmer und Heiko Hütter für Tests der beschriebenen Infrastrukturen und ihre Rückmeldungen zu den LDAP-spezifischen Teilen. René Schönfeldt und dem Team beim dpunkt.verlag sowie allen Gutachtern ebenfalls ein herzliches Dankeschön für die Unterstützung bei der Realisierung dieses Buchprojektes. Kontakt Für Fragen, Anregungen, Kritik und Feedback jeglicher Art ist der Autor unter seiner -Adresse zu erreichen. Im Internet Unter befindet sich die Homepage die- ses Buches. Dort finden Sie Informationen rund um das Kerberos-Buch, insbesondere sind dort sämtliche Listings und Errata verfügbar.

13 xi Inhaltsverzeichnis I Kerberos 1 1 Kerberos im Überblick Ursprung am MIT: Das Athena-Projekt Versionen des Kerberos-Protokolls Standardisierung Implementierungen Kerberos v Kerberos v Interoperabilität Grundlagen der Netzwerkauthentisierung mit Kerberos Authentisierung Authentisierungsmerkmale Problematik der Passwörter Lokale Anmeldung vs. Netzwerkauthentisierung Authentisierung mit Kerberos KDC Realm Principals Tickets Gegenseitige Authentisierung Lokale Anmeldung und Kerberos Delegation Autorisierung, Zugriffskontrolle und Namensdienste Authentisierung ist Voraussetzung Dienste und Identitäten Autorisierung und Kerberos Single Sign-on (SSO) Zusammenfassung

14 xii Inhaltsverzeichnis 3 Kerberos aus Anwendersicht Die Beispielumgebung Lokale Anmeldung Der Credential Cache Anmeldung an Netzwerkdiensten Delegation Eine Demo-Webseite Umgang mit dem Credential Cache Zusammenfassung Sicherheit und Kryptografie Sicherheitsüberlegungen Allgemeine Sicherheitsanforderungen Die beteiligten Systemkomponenten Anforderungen an Kerberos Kryptografie in der Netzwerksicherheit Vertraulichkeit Integrität Authentisierung Passwörter, Schlüssel und Schlüsselaustausch Zusammenfassung Wie funktioniert Kerberos v5? Das Funktionsprinzip im Überblick Voraussetzungen Das einstufige Kerberos-Verfahren Diskussion Das zweistufige Kerberos-Verfahren Zusammenfassung Das Funktionsprinzip im Detail Die KDC-Datenbank Der Authentication Service (AS) Zugriff auf kerberisierte Dienste Der Ticket-Granting Service (TGS) Zusammenfassung Kerberos für Fortgeschrittene KDC-Optionen Optionen für Ticket Renewing Optionen für Ticket Postdating Optionen für die Kerberos-Delegation Sonstige Optionen

15 Inhaltsverzeichnis xiii 6.2 Ticket Flags Flags für Ticket Renewing Flags für Ticket Postdating Flags für die Kerberos-Delegation Sonstige Flags AP-Optionen Tickets automatisiert erneuern Tickets für die Zukunft Delegation zum Ersten Ticket Forwarding Ticket Proxying Authentisierung zwischen Realms Grundsätzliches zu Vertrauensstellung Zwei Realms Mehr als zwei Realms Namenskanonisierung und Referrals Kanonisierung der Client-Principal-Namen Kanonisierung der Dienste-Principal-Namen Verweise an entfernte Realms Kerberos und Autorisierungsdaten User-to-User-Authentisierung Delegation zum Zweiten Constrained Delegation Protocol Transition Diskussion Initiale Authentisierung mit Zertifikaten Eine Lösung für die Passwort-Problematik Das Funktionsprinzip von PKINIT Fazit II Zentrale Infrastrukturen Grundlegende Infrastruktur Überblick DNS-Namensauflösung mit BIND BIND installieren Zonen einrichten Starten und Testen Zeitsynchronisation mit NTP

16 xiv Inhaltsverzeichnis 7.4 Certificate Authority (CA) mit OpenSSL Einrichtung der CA Einen Zertifikats-Request erzeugen Das Zertifikat unterschreiben Verzeichnisdienst mit OpenLDAP Installation und Konfiguration LDAP-Datenbank für dc=example,dc=com Ein erster Test Sicherheit Das Key Distribution Center von MIT Kerberos Übersicht Softwareinstallation Konfiguration Der Master Key der KDC-Datenbank Zeitangaben bei MIT Kerberos Verschlüsselungstypen Die Datei kdc.conf Initialisierung der KDC-Datenbank Die Datenbank mit kdb5 _ util initialisieren Die initiale Datenbank Mit kadmin.local weitere Principals anlegen Master Key in Stash-Datei ablegen Starten des KDC Ein erster Test Die Administration von MIT Kerberos Der Kadmin-Dienst Administrative Zugriffe kontrollieren Der Kpasswd-Dienst Starten der administrativen Dienste Principals verwalten Passwortrichtlinien Principal-Eigenschaften Anwender-Principals anlegen Dienste-Principals anlegen Verschlüsselungstypen der Principals verwalten Keytabs verwalten Service Keys ändern

17 Inhaltsverzeichnis xv 10 Die Clientkommandos von MIT Kerberos Installation und Konfiguration Die Kommandos kinit und klist Tickets holen Ticket-Eigenschaften anzeigen und beeinflussen Protokoll-Requests beeinflussen Sonstige Kommandozeilenoptionen Service Tickets holen Mit Keytabs arbeiten Das Kommando kvno Das Kommando kpasswd Das Kommando kdestroy Die Kommandos k5start und krenew krenew k5start Die Konfiguration der MIT Libraries Die Datei krb5.conf Die Struktur der krb5.conf Konfigurationsabschnitte Parameter im Abschnitt [libdefaults] Parameter im Abschnitt [realms] Parameter im Abschnitt [domain _ realm] Parameter im Abschnitt [appdefaults] Parameter im Abschnitt [logging] Die krb5.conf für den Realm EXAMPLE.COM Konfiguration über DNS SRV Records TXT Records Konfiguration mit Umgebungsvariablen Ausfallsicherheit für MIT Kerberos Backup der KDC-Datenbank Wiederherstellung der KDC-Datenbank Replikation der KDC-Datenbank Möglichkeiten der Kerberos-Replikation Sicherheit der Replikation Replikation bei MIT Kerberos Ein Slave KDC einrichten Schritte auf dem Master KDC Das Slave KDC starten Das Slave KDC bekannt machen Regelmäßig replizieren

18 xvi Inhaltsverzeichnis 13 Ein LDAP-Backend für die MIT-Datenbank Überblick Erweiterte Funktionalitäten Vorgehensweise Sicherheit Software, Schema und Objekte Software installieren Das Schema erweitern Konvention Objekte anlegen Limits für LDAP-Suchvorgänge LDAP-Berechtigungen Das KDC auf LDAP umstellen Vorbereitungen Konfiguration Die KDC-Datenbank im LDAP initialisieren Den Realm einrichten Existierende Nutzerobjekte Principal-Aliase Client-Aliase Dienste-Aliase Ausfallsicherheit mit LDAP OpenLDAP auf kdc01 vorbereiten LDAP-Server auf kdc02 einrichten Ausfallsicherheit für das KDC Die Clientkonfiguration anpassen Lockout Policies Einen Heimdal Realm einrichten Überblick Vorbereitung Das Key Distribution Center von Heimdal Die Datei kdc.conf Master Key Die KDC-Datenbank initialisieren Das KDC starten Die Administration von Heimdal Administrative Zugriffe kontrollieren Principals verwalten Weitere administrative Tätigkeiten Passwörter verwalten Die Heimdal-Werkzeuge

19 Inhaltsverzeichnis xvii 14.6 Ausfallsicherheit für Heimdal Ein Slave KDC einrichten Starten des hpropd auf dem Slave KDC Die Replikation mit Hprop starten Regelmäßig replizieren Ein LDAP-Backend für Heimdal LDAP vorbereiten Das KDC auf LDAP umstellen Ausfallsicherheit mit LDAP Kerberos bei Microsoft Active Directory Active Directory im Überblick Kerberos in Active Directory AD-Version und Functional Level Testlabor Das Key Distribution Center von Active Directory Die Domäne einrichten Grundlegende Dienste Ein erster Test Ausfallsicherheit Kerberos-Administration Administrationswerkzeuge Überblick über den neuen Realm Principals verwalten Verschlüsselungstypen Keytabs erzeugen Kerberos Policies Kerberos-Administration mit LDAP LDAP-Suchen im AD Ein Benutzerobjekt anlegen Diensteobjekte anlegen Maschinenobjekte anlegen Weitere Werkzeuge Kerberos für Fortgeschrittene Verteilte Kerberos-Umgebungen Cross-Realm bei MIT Kerberos Cross-Realm bei Heimdal Cross-Realm bei Active Directory Aufbau der Gesamtstruktur

20 xviii Inhaltsverzeichnis 16.2 Delegation für Fortgeschrittene Vorbereitungen Das Ok-As-Delegate Flag kimpersonate Constrained Delegation und Protocol Transition PKINIT Initiale Authentisierung mit Zertifikaten PKINIT im Testnetz Kerberos, PKINIT und Smartcards III Integrierte Umgebungen Grundlagen Principals und Keytabs verwalten Client Principals anlegen Funktionalität von Client Principals prüfen Dienste-Principals anlegen Funktionalität von Dienste-Principals prüfen Keytab-Dateien anlegen Funktionalität von Keytab-Dateien prüfen Zwischenstand Die nativen Kerberos-Bibliotheken GSS-API SPNEGO SSPI SASL Protokolle Mechanismen Konzepte Cyrus SASL Zusammenfassung LDAP-Infrastruktur LDAP im Überblick Begriffe und Standards Serverimplementierungen Daten Im LDAP Verzeichnisoperationen LDAP-Sicherheit Kerberisierung bei Active Directory

21 Inhaltsverzeichnis xix 18.4 Kerberisierung bei OpenLDAP SASL-Konfiguration Principal und Keytab Identitäts-Mapping Zusammenfassung Client-Anbindung Windows-Clients in Active Directory Ausbau der Gesamtstruktur LDAP-Referrals einrichten Identitäts- und Autorisierungsdaten für Linux Linux-Clients in der Infrastruktur mit Kerberos und OpenLDAP Name Service Switch (NSS) NSS-Module für LDAP Pluggable Authentication Modules (PAM) pam-krb Linux-Clients in Active Directory Linux-Clients in der Gesamtinfrastruktur Problemstellung slapd als lokaler LDAP-Proxy slapd-konfiguration Test der NSS-Anbindung PAM-Kerberos-Konfiguration Ausblick Zusammenfassung Elementare Netzwerkdienste unter Unix und Linux Traditionelle Remote-Dienste Telnet Kerberisierte Remote Shell: krb5-rsh Kerberisierter File Transfer: krb5-ftp Moderne Remote-Dienste mit OpenSSH Vorbereitungen Kerberisierte Secure-Shell-Sitzung Tickets weiterleiten Secure-Shell-Client unter Windows OpenSSH ohne Kerberos Tickets Remote-Dienste in verteilter Umgebung Cross-Realm-Problematik auth_to_local-mappings Heimdal Cross-Realm-Anmeldung ohne Kerberos Tickets

22 xx Inhaltsverzeichnis 21 Kerberisierte Dateisysteme CIFS CIFS-Service unter Windows einrichten Authentisierung bei CIFS CIFS-Client unter Linux CIFS-Service unter Linux: Samba ID Mapping Heimatverzeichnisse für alle Windows-Nutzer NFS Überblick NFSv3 ohne Kerberos NFSv3 und Sicherheit NFSv Kerberisierter NFSv4-Service unter Linux Den Server einrichten Kerberisierter NFSv4-Client unter Linux Den Client einrichten NFSv4 und Sicherheit NFSv4 in Cross-Realm-Umgebung Abschlussarbeiten Single Sign-on für den Apache-Webserver Kerberos und das HTTP-Protokoll Das World Wide Web Authentisierung im HTTP-Protokoll Negotiate (SPNEGO) Den Apache-Server konfigurieren Voraussetzungen Principals und Keytab-Einträge mod _ auth _ kerb konfigurieren Browserkonfiguration Vertrauenswürdige Seiten konfigurieren Zugriff testen Delegation konfigurieren Delegation testen Autorisierungsdaten und Ticket-Größe Autorisierung über LDAP Beispiel MediaWiki Die Anwendung einrichten Kerberisierung Zusammenfassung

23 Inhaltsverzeichnis xxi IV Anhang 499 A Schnelleinstieg in LDAP A.1 LDIF A.1.1 Das LDAP-Datenmodell A.1.2 LDIF-Repräsentation von LDAP-Daten A.1.3 Änderungen mit LDIF A.2 OpenLDAP-Tools A.2.1 Suchen mit ldapsearch A.2.2 Authentisierung A.2.3 Weitere OpenLDAP-Kommandos A.3 Grafische LDAP-Werkzeuge B Konfiguration der Betriebssysteme B.1 Netzwerkparameter B.2 Ubuntu B.3 Windows Server 2008 R B.4 Windows C Softwareinstallationen C.1 Vorbemerkungen C.2 MIT Kerberos C.3 MIT-Kerberos-Applikationen C.4 Heimdal C.5 k5start C.6 msktutil C.7 OpenSC Literaturverzeichnis Index

24

25 Teil I Kerberos

26

27 3 1 Kerberos im Überblick Dieses Kapitel soll Ihnen einen Überblick über den Authentisierungsdienst Kerberos vermitteln. Sie lernen zunächst seine Entstehungsgeschichte kennen, die vor über 25 Jahren mit dem Athena-Projekt begann. Nach einem Überblick über die Versionen des Kerberos-Protokolls und deren Standardisierungen erfahren Sie, welche Implementierungen von Kerberos heutzutage existieren. 1.1 Ursprung am MIT: Das Athena-Projekt In der griechischen Mythologie war Kerberos ein dreiköpfiger Hund, der den Zugang zum Reich der Toten bewachte. Um diesen soll es hier allerdings nicht gehen, sondern um einen Authentisierungsdienst, der zumindest den Namen dieses Hundes geerbt hat. Die Geschichte des Kerberos-Authentisierungsdienstes beginnt in den 80er-Jahren des letzten Jahrhunderts. Damals waren Rechenzentren noch zentral organisiert. Der Großteil der Speicher- und Rechenleistung war auf wenige Großrechner konzentriert, auf die über Terminals zugegriffen wurde. Mit dem Aufkommen von immer günstigeren Mini- und Mikrocomputern, die im Gegensatz zu Terminals vernetzt und mit eigenem Datenspeicher ausgestattet waren, sollte sich die zentrale Struktur der Großrechnernetze bald in eine verteilte Struktur von vernetzten Arbeitsplatzrechnern wandeln. Das Athena-Projekt In dieser Zeit wurde am Massachusetts Institute of Technology (MIT) in Boston, USA, ein Forschungsprojekt ins Leben gerufen, das die Möglichkeiten von Computern in der studentischen Ausbildung untersuchen sollte: das Athena-Projekt. Im Rahmen dieses Forschungsprojektes wurde am Campus des MIT eine verteilte Umgebung von vernetzten Arbeitsplatzrechnern geschaffen. Dieses Athena-Netzwerk kann in vielen Punkten als Vorbild aktueller IT-Umgebungen gelten: Auch heutzutage ist es üblich, Speicher- und Rechenleistung auf viele leistungsfähige

28 4 1 Kerberos im Überblick Rechner zu verteilen. Und die Vernetzung dieser Rechner ist eine Selbstverständlichkeit. Das Athena-Projekt startete im Jahre 1983 und war zunächst auf nur fünf Jahre angelegt. Danach wurde es um weitere drei Jahre verlängert und endete im Jahre Die Unternehmen DEC und IBM unterstützten das Athena-Projekt. Mehr als 100 Softwareprojekte wurden im Rahmen von Athena durchgeführt. Bei den meisten dieser Projekte ging es um die Entwicklung von Software, die ihm Rahmen der Ausbildung von Studenten genutzt werden sollte. Einige widmeten sich aber auch der Aufgabe, Software und Konzepte für die Verwaltung verteilter Rechnernetze zu entwickeln. Der folgende Abschnitt gibt einige Beispiele für Projekte der zweiten Kategorie. Teilprojekte X Window Hesiod In einem Teilprojekt wurde die Möglichkeit einer netzwerkfähigen, grafischen Benutzeroberfläche für die Arbeitsplatzrechner untersucht. Ergebnis dieses Teilprojektes war das Fenstersystem X Window, das auch heute noch das Standardfenstersystem der meisten Unix-Betriebssysteme ist. Auch die sogenannten»athena-widgets«sind ein Ergebnis dieses Athena-Teilprojektes. 1 Mit Hesiod wurde ein netzwerkweiter Namensdienst eingeführt. Dieser stellt eine Erweiterung des DNS-Servers BIND dar. Neben den Informationen über IP-Adressen und zugeordneten Hostnamen stellt Hesiod auch typische Unix-Systeminformationen, die herkömmlicherweise in Dateien wie /etc/passwd, /etc/group oder /etc/printcap gespeichert werden, zentral zur Verfügung. Hesiod konnte sich allerdings nicht gegen Entwicklungen wie NIS oder LDAP durchsetzen. Andere Teilprojekte spielen heutzutage kaum noch eine Rolle, wie z.b. Moira (ein Tool zur zentralen Systemverwaltung), Palladium (ein Druckdienst) oder Zephyr (ein System zur Onlinebenachrichtigung). Auswirkungen auf die Sicherheit Kerberos Die verteilte Struktur dieses Athena-Netzwerks stellte auch ganz neue Herausforderungen an die Sicherheit. Früher musste man sich nur um die Sicherheit der wenigen Großrechner kümmern. In der verteilten Umgebung waren wesentlich mehr Systeme in die Sicherheitsanalyse einzubeziehen. Um dieser Herausforderung zu begegnen, wurde Kerberos entwickelt. Kerberos ist in erster Linie ein Dienst bzw. ein Protokoll zur 1 Von diesen Athena-Widgets stammt das»aw«in der Bibliothek libxaw.so, die auch heute auf jedem Unix- oder Linux-System zu finden ist.

29 1.2 Versionen des Kerberos-Protokolls 5 Authentisierung, deckt aber auch andere Sicherheitsaspekte ab. Welche Aufgaben Kerberos zu erfüllen hat bzw. welche Aspekte eines Sicherheitssystems durch Kerberos abgedeckt werden, wird in den Kapiteln 2 und 4 behandelt. Hier soll zunächst die Entwicklungsgeschichte weiter verfolgt werden. 1.2 Versionen des Kerberos-Protokolls Im Rahmen des Athena-Projektes durchlief Kerberos drei Versionen, die reine Entwicklungsversionen waren und nur innerhalb des MIT eingesetzt wurden (Kerberos v1, Kerberos v2 und Kerberos v3). Erst im Jahre 1989 wurde die vierte Version (Kerberos v4) freigegeben. Kerberos v4 Kerberos v4 wurde auch außerhalb des MIT zum Industriestandard und war viele Jahre lang im Einsatz. Zur gleichen Zeit wurde für das Andrew File System (AFS) un- AFS, kaserver ter dem Namen kaserver ein Kerberos-v4-ähnlicher Authentisierungsdienst entwickelt. Das AFS und der kaserver entstanden im Rahmen des Andrew-Projektes an der Carnegie Mellon University (CMU) und wurden vor Kerberos v4 veröffentlicht. Daher entsprach der kaserver nicht ganz dem Kerberos-v4-Standard. Kerberos v4 und kaserver hatten diverse kryptografische Schwächen, sodass diese Versionen des Protokolls heutzutage als unsicher angesehen werden müssen. Zu diesen Schwächen gehört sicherlich, dass sie nur einen Verschlüsselungsmechanismus kannten, nämlich den Data Encryption Standard (DES), der nicht mehr zeitgemäß ist. Diese und andere Kerberos v5 Schwächen führten schließlich zur heute aktuellen Version Kerberos v5. Spricht man nur von»kerberos«, so meint man in der Regel Kerberos v5. Wenn im weiteren Verlauf dieses Buches der Zusatz»v4«bzw.»v5«weggelassen wird, so soll immer die Version 5 gemeint sein. Die hier genannten Versionsnummern beziehen sich auf das Kerberos-Protokoll. Die Versionsnummern von Kerberos Software haben damit nichts zu tun. Letztere werden in Abschnitt 1.4 behandelt. 1.3 Standardisierung Kerberos v4 wurde am MIT entwickelt und der Allgemeinheit in Form von Quellcode unter dem Namen MIT Kerberos v4 (KRB4) zur Verfügung gestellt. MIT Kerberos v4 stellte die Referenzimplementierung des Kerberos-v4-Protokolls dar. Hersteller von Kerberos-v4-Software konnten die Funktionsweise des Kerberos-v4-Protokolls durch Studium dieses Quellcodes erlernen oder ihre Software gleich auf der MIT- Implementierung aufbauen. Referenzimplementierung: KRB4

30 6 1 Kerberos im Überblick Internetstandard RFC 1510 RFC 4120 Die Herangehensweise an die Standardisierung des Protokolls änderte sich bei der Entwicklung von Kerberos v5 wesentlich. Das Kerberos-v5-Protokoll wurde nämlich als ein Internetstandard (RFC) spezifiziert. Alle Implementierungen von Kerberos v5 basieren daher auf dem RFC 1510 [14] aus dem Jahre An einer neueren Version des RFC 1510 wurde mehrere Jahre unter dem Namen»Kerberos Clarifications«gearbeitet. Das Ergebnis ist der RFC 4120 [25],»The Kerberos Network Authentication Service (V5)«, der im Jahre 2005 veröffentlicht wurde und den RFC 1510 ablöst. Die Beschreibung des Kerberos-v5-Protokolls im RFC 4120 erfolgt durch eine allgemeine Syntaxbeschreibungssprache, die»abstract Syntax Notation number One (ASN.1)«. 1.4 Implementierungen Neben den bereits erwähnten Referenzimplementierungen des MIT existieren weitere Implementierungen von Kerberos (sowohl von Version 4 als auch von Version 5). In Tabelle 1.1 findet man die URLs, unter denen man die im Folgenden vorgestellten Implementierungen beziehen kann. Tabelle 1.1 Kerberos- Implementierungen Implementierung MIT Kerberos v4 Bones MIT Kerberos v5 Heimdal ShiShi kaserver Active Directory Java Apache Directory Server URL ftp://athena-dist.mit.edu/pub/ kerberos/dist/ ftp://athena-dist.mit.edu/pub/ kerberos/bones.tar.z technetwork/java/index.html Kerberos v4 KRB4 Das am MIT entwickelte MIT Kerberos v4 (KRB4) sollte wie alle Kerberos-v4-Implementierungen nur noch von historischem Interesse sein,