LDAP statt Datei. Single-Sign-on mit SSSD, LDAP und Kerberos Tickets aus dem Cache

Größe: px
Ab Seite anzeigen:

Download "LDAP statt Datei. Single-Sign-on mit SSSD, LDAP und Kerberos Tickets aus dem Cache"

Transkript

1 Security SSSD Anja Kaiser, Fotolia Single-Sign-on mit SSSD, LDAP und Kerberos Tickets aus dem Cache Die Kombination aus LDAP und Kerberos erlaubt eine Benutzer-Authentifizierung auch über unsichere IP-Netzwerke. Dumm für mobile User ist, dass dafür eine Verbindung zum LDAP- und Kerberos-Server notwendig ist. Der System Security Services Daemon (SSSD) hilft ihnen aus der Patsche. Thorsten Scherf Meldet sich ein Benutzer an einem Linux-System an, ist der so genannte Name Service Switch (NSS) dafür zuständig, in der entsprechenden Datenbank nach dem Benutzerkonto zu suchen. Bei dieser Benutzerdatenbank handelt es sich klassischerweise um die Datei»/etc/ passwd«. Ist der Account vorhanden, kümmert sich das PAM-Subsystem um die Authentifizierung des Benutzers, etwa durch den Abgleich des eingegebenen Passworts mit dem Gegenstück in der Datei»/ etc/shadow«. Dieser Ablauf stößt natürlich schnell an Grenzen, besonders wenn sehr viele Benutzerkonten vorhanden sind. Diese müssten im vorliegenden Fall auf jeder einzelnen Maschine angelegt werden, da die Benutzer- und Passwortdatenbanken ja lediglich auf dem lokalen Dateisystem vorhanden sind. Das beschriebene Problem lässt sich jedoch leicht durch den Einsatz eines zentralen Verzeichnisdienstes wie NIS oder LDAP lösen. Hierbei liegen die notwendigen Benutzerdaten nicht lokal, sondern auf einem zentralen Server. Alle Systeme mit Zugang zu diesem zentralen Server können die Informationen bei der Anmeldung eines Benutzers abfragen. Da NIS nicht gerade dafür bekannt ist, eine sichere Umgebung bereitzustellen, kommt in diesem Artikel der Verzeichnisdienst LDAP zum Einsatz. Er stellt, anders als NIS, eine hierarchische Baumstruktur zum Speichern von Informationen in so genannten Attributen zur Verfügung. Kombiniert er sie miteinander, entstehen Objekte, etwa ein Benutzerobjekt. Ein Schema bestimmt dabei, welche Informationen (Attribute) gemeinsam verwendet werden dürfen. Für die RFCs 2307 beziehungsweise 2307bis, die die Attribute für Benutzerobjekte bestimmen, existiert beispielsweise auf dem 389-Directory-Server eine entsprechende Schemadatei namens»/etc/dirsrv/schema/10rfc2307.ldif«. Die Objektklasse, von der sich Benutzeraccounts ableiten, heißt»posixaccount«(listing 1). Alle notwendigen Benutzerattribute wie UID-Nummer, Login-Name und primäre Benutzergruppe sind hinter dem Wort»MUST«aufgeführt, optionale Attribute hinter»may«. Für Gruppen existiert eine ähnliche Objektklasse mit dem Namen»posixGroup«(Listing 2). Eine ausführliche Beschreibung der Funktionsweise des Directory-Servers würde zu weit führen. Unter [1] hat der Autor bereits einen umfangreichen Artikel zu genau diesem Thema veröffentlicht. Der folgende Artikel geht im Weiteren davon aus, dass ein LDAP-Server mit Benutzerkonten existiert. Natürlich spielt es dabei keine Rolle, welches Produkt zum Einsatz kommt, solange es die beiden oben erwähnten RFCs unterstützt. LDAP statt Datei Es ist zwar möglich, auch das Benutzerpasswort in einem solchen LDAP-Objekt für einen Benutzer zu speichern, schließlich sieht die Objektklasse»posixAccount«extra ein Attribut mit Namen»userPassword«für diesen Zweck vor. Aber das führt zu einem Sicherheitsproblem: Bei der Anmeldung eines Benutzers wandert sein Passwort nämlich im Klartext zum LDAP-Server. Kommt zwischen Client und Server keine TLS-Verschlüsselung zum Einsatz, ist jedermann in der Lage, 2 Ausgabe Admin

2 SSSD Security das Klartext-Passwort mit Hilfe eines Netzwerkmonitors mitzulesen. Anstatt die Kommunikation zwischen den beteiligten Systemen jedoch mittels TLS zu verschlüsseln, wäre es noch besser, das Benutzerpasswort ginge erst gar nicht über das Netzwerk und würde an einer anderen Stelle als dem LDAP-Server gespeichert. Schließlich stellen fehlerhafte Zugriffsregeln auf das Passwort-Attribut (ACLs) ebenfalls eine nennenswerte Gefahr dar. Eine sichere Alternativlösung stellt das Authentifizierungsprotokoll Kerberos bereit. Dreiköpfiger Hund Statt eines Benutzerpassworts überträgt Kerberos so genannte Tickets übers Netzwerk. Diese werden initial zwischen allen beteiligten Objekten ausgetauscht. Das bietet nicht nur den Vorteil, dass das Passwort selbst nicht mehr übers Netz geht, die Tickets sorgen gleichzeitig auch für die Single-Sign-on-Anmeldung (SSO) eines Benutzers. Im Klartext: Hat ein Benutzer sich erst einmal bei einem Kerberos-Server angemeldet, findet die Authentifizierung an einem anderen Kerberos-basierten Dienst, beispielsweise einem LDAP-Server, komplett transparent statt, der Benutzer muss also nicht erneut sein Passwort angeben. Das Protokoll setzt einen vorhandenen Kerberos-Server, auch Key Distribution Center (KDC) genannt, voraus. Dieser enthält eine Datenbank mit den Passwörtern aller beteiligten Objekte, also der Benutzer, Netzwerkdienste und Maschinen. Zusammengefasst bezeichnet man diese auch als Kerberos-Principals. Die Passwörter dieser Principals unterliegen einem Regelwerk, das festlegt, wie komplex sie sein müssen und welchen Gültigkeitszeitraum sie besitzen. Daneben enthält der Server keine Benutzeroder Systeminformationen, die sind an einer anderen Stelle zu speichern, etwa in einem Directory-Server. Der Ablauf der initialen Kerberos-Anmeldung ist recht einfach: Der Client baut eine initiale Verbindung zu einem Kerberos-Server (KDC) auf. Das geschieht entweder für den User transparent durch das Anmeldeprogramm»login«oder mit Hilfe von»kinit«. Der KDC besteht aus zwei Teilen. Einem Authentication Server (AS) und einem Ticket-Granting Server (TGS). Der AS empfängt die Anfrage des Clients und überprüft seinen Namensraum (Realm) auf den angefragten Usernamen (User Principal). Taucht der Principal in der Kerberos-Datenbank auf, erzeugt der AS einen zufälligen Session Key und ein so genanntes Ticket-Granting Ticket (TGT). Dieses TGT enthält verschiedene Informationen, unter anderem Client-Namen und -IP, eine Gültigkeitsdauer, einen Zeitstempel und den eben erzeugten Session Key. Kerberos kodiert dieses TGT mit einem Schlüssel, der nur dem Authentication Server und dem Ticket-Granting Server bekannt ist. Zusammen mit dem eben erzeugten Session Key geht dieses Ticket nun an den Client. Natürlich nicht im Klartext, sondern mit einem Schlüssel kodiert, der aus dem Passwort des Clients berechnet wurde. Wenn der Client die Antwort des Authentication Servers erhalten hat (kodiertes TGT und Session Key), wird der User dazu aufgefordert, sein Passwort einzugeben. Dieses Passwort wird zu einem Schlüssel konvertiert und dient zur Dekodierung des soeben empfangenen TGT. Der Client speichert das TGT in seinem Credential- Cache und löscht das eingegebene Passwort aus dem Speicher. Mit diesem TGT kann der User für die Gültigkeitsdauer des Tickets seine Identität nachweisen, ohne sich nochmals mit einem Passwort authentifizieren zu müssen. Auf der Workstation ist die Identität eines Benutzers mit Hilfe des TGT nun bereits verifiziert. Möchte der Benutzer jedoch auf einen weiteren Netzwerkdienst, beispielsweise auf den bereits erwähnten LDAP-Server zugreifen, muss er erneut ein Ticket vom KDC anfordern, diesmal vom Ticket-Granting Server. Dieses Service-Ticket (ST) ist für genau den einen Dienst zuständig, für den es angefordert wurde der Server muss dabei Zugriffe auf das GSS-API unterstützen. Die Anforderung an das Service-Ticket ist um einiges komplexer. Der Client sendet eine Anfrage an den TGS, sie besteht aus dem Namen des Dienstes, auf den der Client zugreifen will, einem so genannten Authenticator und dem gespeicherten TGT. Der Authenticator besteht aus dem Namen des Clients, seiner IP-Adresse und einem Zeitstempel (aktuelle Zeit des Clients). Das verschlüsselte TGT wird zusammen mit dem Authenticator an den Ticket-Granting Server geschickt. Der Authenticator wird ebenfalls kodiert, und zwar mit dem Session Key, der mit dem TGT empfangen wurde. Der Ticket- Granting Server dekodiert den Authenticator und das TGT, vergleicht deren Inhalt sowie die IP-Adresse des Clients, von dem die Anfrage kam, und die aktuelle Uhrzeit. Wenn alles zusammenpasst wird ein neuer Session Key generiert, den der Client und der angesprochene Server (etwa der LDAP-Server) künftig benutzen. Dieser neue Session Key ist Bestandteil des Service-Tickets, das der Ticket-Granting-Server ausstellt und verschlüsselt (mit dem Session Key des TGT) an den anfragenden Client sendet. Das Spiel beginnt nun wieder von vorne. Der Client empfängt das Service-Ticket und reicht es an den gewünschten Server (LDAP) weiter, um seine Identität nachzuweisen. Zusätzlich zum Service-Ticket wird ebenfalls wieder ein Authenticator generiert und an den Server geschickt. Stimmen wieder alle Informationen des ST und des Authenticator überein, gilt der Client als echt und somit als authentifiziert, ohne sich nochmals mit Usernamen und Passwort gegen den Server authentifizieren zu müssen. Im Takt Listing 1: Definition von»posixaccount«01 # grep i posixaccount /etc/dirsrv/schema/10rfc2307. ldif 02 objectclasses: ( NAME 'posixaccount' DESC 'Standard LDAP 03 objectclass' SUP top AUXILIARY MUST ( cn $ uid $ uidnumber $ gidnumber $ 04 homedirectory ) MAY ( userpassword $ loginshell $ gecos $ description ) 05 X ORIGIN 'RFC 2307' ) Der Authenticator schützt davor, dass jemand den Netzwerk-Verkehr mitliest, Listing 2: Definition von»posixgroup«01 # grep i posixgroup /etc/dirsrv/schema/10rfc2307. ldif 02 objectclasses: ( NAME 'posixgroup' DESC 'Standard LDAP 03 objectclass' SUP top STRUCTURAL MUST ( cn $ gidnumber ) MAY ( userpassword 04 $ memberuid $ description ) X ORIGIN 'RFC 2307' ) Admin Ausgabe

3 Security SSSD der Admin den Kerberos-Realm ein. Mit dem Kommando»kdb5_util create«erzeugt er die Datenbank im Verzeichnis»/var/kerberos/krb5kdc«. Die Datenbank administriert er entweder lokal mit dem Tool»kadmin.local«oder remote mittels»kadmin«. Allerdings muss hierfür auf dem KDC der Kadmin-Dienst bereits aktiv sein und es muss ein gültiger Admin- Principal in der Datei»/var/kerberos/ krb5kdc/kadm5.acl«existieren. Wird eines der Verwaltungstools aufgerufen, kann»add_principal«einen neuen Principal der Datenbank hinzufügen, beispielsweise»add_principal pw password tscherf«. Für einen Service oder eine Workstation sieht es ähnlich aus:»add_principal randkey ldap/ldap.tuxgeek.de«oder»add_principal randkey host/grobi.tuxgeek.de«. Die Passwörter der Service-Principals müssen auf den entsprechenden Servern bekannt sein. Dies erreicht der Admin, indem er das Passwort für einen Service mit dem folgenden Befehl aus der Kerberos-Datenbank extrahiert:»ktadd k /etc/krb5.keytab host/tiffy.tuxgeek.de«. Die Datei»/etc/krb5.keytab«ist anschließend sicher auf den entsprechenden Service-Rechner zu kopieren, beispielsweise mit»scp«. In der Konfigurationsdatei jedes Kerberos-Dienstes ist dann diese Keytab-Datei mit dem Service-Passwort anzugeben. Meist suchen die Kerberos-Dienste aber bereits nach einer Datei mit dem Defaultein Service-Ticket abfängt und es möglicherweise zu einem späteren Zeitpunkt einem Server anbietet, um sich unberechtigten Zugang zu verschaffen. Ein solcher Angriff ist unter dem Namen Replay-Attacke bekannt. Damit die Authentifizierung des Clients funktioniert, muss natürlich die Uhrzeit auf allen beteiligten System korrekt eingestellt sein. Das lässt sich am einfachsten durch den Einsatz des Network-Time-Protocols (NTP) sicherstellen. Abbildung 1 zeigt noch einmal den Ablauf einer Kerberos-Sitzung im Überblick: 1. Client fordert beim AS ein TGT an 2. AS stellt dieses für den TGS aus und sendet es zum Client zurück 3. Client fordert ein ST an und sendet hier das TGT an den TGS 4. TGS sendet das ST zurück an den Client 5. Client sendet das ST an den Zielserver und authentifiziert diesen 6. Zielserver authentifiziert den Client Der Kerberos-Server führt die Datenbank, in der die Principals gespeichert sind. Dieser Server sollte besonders gesichert sein. Auf keinem Fall sollten zusätzliche Dienste auf diesem Rechner laufen. Es Abbildung 1: Ablauf einer Kerberos-Sitzung. gibt sowohl Principals für Benutzer wie auch für die Kerberos-basierten Dienste und Hosts. Ein Principal hat folgenden wobei»instance«optional ist und lediglich der Gruppierung dient. Beispielsweise könnte ein User-Principal folgendermaßen aussehen:»tscherf/ Ein Beispiel für einen LDAP-Server:»ldap/tiffy.tuxgeek. Der Realm fasst alle Principals eines Bereichs zusammen und entspricht dem versal geschriebenen DNS-Domänennamen. Zusammen mit den Principals sind auch die Passwörter der User und der Dienste in der Datenbank gespeichert. Der Server ist relativ leicht zu konfigurieren. In der Datei»/etc/krb5.conf«trägt Listing 3: Ablauf einer Kerberos-Sitzung 01 # kinit tscherf 02 Password for # klist 5 05 Ticket cache: FILE:/tmp/krb5cc_ Default principal: Valid starting Expires Service principal 09 08/06/10 15:41:50 08/07/10 15:41:50 10 renew until 08/06/10 15:41: # ldapsearch LLL h localhost b "dc=tuxgeek,dc=de" uid=tscherf 13 SASL/GSSAPI authentication started 14 SASL username: 15 SASL SSF: SASL data security layer installed. 17 dn: uid=tscherf,ou=people,dc=tuxgeek, dc=de 18 givenname: Thorsten 19 sn: Scherf 20 loginshell: /bin/bash 21 uidnumber: gidnumber: objectclass: top 24 objectclass: person 25 objectclass: organizationalperson 26 objectclass: inetorgperson 27 objectclass: posixaccount 28 uid: tscherf 29 cn: Thorsten Scherf 30 homedirectory: /home/tscherf # klist 5 33 Ticket cache: FILE:/tmp/krb5cc_ Default principal: Valid starting Expires Service principal 37 08/06/10 15:41:50 08/07/10 15:41:50 38 renew until 08/06/10 15:41: /06/10 15:43:20 08/07/10 15:41:50 40 renew until 08/06/10 15:41:50 4 Ausgabe Admin

4 SSSD Security Abbildung 3: Die Clientsysteme stellen voneinander unabhängige Verbindungen zu den jeweiligen Serversystemen her. Abbildung 2: Mit Hilfe von»system config authentication«gelingt die Konfiguration des PAM- und NSS- Subsystems sehr schnell. namen»/etc/krb5.keytab«. Nachdem der KDC mit»service krb5kdc start«gestartet wurde, ist er betriebsbereit. Damit nun auch der LDAP-Server zur Authentifizierung der Benutzer auf die Kerberos-Datenbank zurückgreifen kann, muss der Administrator für ihn einen entsprechenden Principal auf dem Kerberos-Server erzeugen und auf den Server kopieren: kadmin.local: add_principal randkey U ldap/tiffy.tuxgeek.de kadmin.local: ktadd k /tmp/ds.keytab U ldap/tiffy.tuxgeek.de Nach dem Kopieren der Datei»/tmp/ ds.key«in das Verzeichnis»/etc/dirsrv«, muss der Admin dem Server selbst noch den Pfad zur Datei mitteilen: echo "KRB5_KTNAME=/etc/dirsrv/ds.keytab;U export KRB5_KTNAME" >> /etc/sysconfig/ dirsrv Ein abschließender Neustart des Servers ermöglicht nun die Anmeldung am Server mittels Kerberos (Listing 3). Hierzu ist zuerst ein entsprechendes TGT erforderlich. Beim aktuellen Stand der Konfiguration ist es noch manuell mittels»kinit«vom KDC anzufordern. Beim Zugriff auf einem Kerberos-Dienst fordert jeder einzelne Client im Hintergrund ein entsprechendes Service- Ticket über die Bibliothek»libnss_ldap.so«die Benutzerdaten von einem LDAP-Server ab. Meldet ein Benutzer sich am System an, erhält er direkt ein Kerberos-TGT zugeteilt das dann später für einen passwortlosen Zugriff auf andere Kerberos- Dienste zum Einsatz kommt. Solange der Rechner immer mit dem Netzwerk verbunden ist, funktioniert die beschriebene Prozedur fehlerfrei, denn jeder Client kann sich mit jedem Server verbinden (Abbildung 3). Problematisch wird es, wenn eines der beiden Serversysteme nicht erreichbar ist, im schlimmsten Fall sogar beide es nicht sind. Das kommt beispielsweise vor, wenn es sich bei der Workstation um ein Notebook handelt. Solange es mit dem Firmennetzwerk verbunden ist, kann sich ein Benutzer mit dem Firmenaccount anmelden. Ist der Benutzer jedoch auf Reisen, klappt die Anmeldung mit diesem Konto nicht mehr. Genau deswegen legen viele Benutzer für die mobile Nutzung ihres Geräts oftmals noch ein zweites, lokales Konto auf dem System an. Mit dem recht neuen System Security Services Daemon (SSSD) ist dies jedoch nicht mehr notwendig. Der SSSD ist Teil des Free-IPA-Projekts [2], existiert jedoch ebenfalls als eifür den angefragten Dienst an. Die Authentifizierung findet dann mit Hilfe dieses Service-Tickets statt. Je nach eingesetztem Directory-Server ist darauf zu achten, dass das Mapping zwischen dem Kerberos-Principal des Benutzers und dem entsprechenden Distinguished Name (DN) auf dem LDAP-Server korrekt funktioniert. Für den 389-Directory-Server existiert hierfür bereits ein passendes Plugin. PAM anpassen Damit nun auch die Anmeldung eines Benutzers an seiner Workstation mittels LDAP und Kerberos klappt, muss der Administrator die entsprechenden Konfigurationsdateien der beiden Subsysteme PAM und NSS anpassen. Die Konfigurationsdateien für PAM liegen üblicherweise im Verzeichnis»/etc/pam.d«, der NSS greift auf die Datei»/etc/nsswitch. conf«zurück. Zur Konfiguration dieser Dateien bietet sich das Tool»system config authentication«an (Abbildung 2). Es kümmert sich um die entsprechenden Konfigurationsänderungen. Das Passwort eines Benutzers überprüft von nun an die PAM-Bibliothek»pam_ krb5.so«. Der Name Service Switch fragt Abbildung 4: Ressourcen-schonend: Auch wenn mehrerer Benutzer angemeldet sind, genügt dank SSSD eine einzelne Verbindung zum LDAP-Server. Admin Ausgabe

5 Security SSSD Abbildung 5: Kommt der SSSD zum Einsatz, dann bietet dieser auch ein lokales Interface für die beiden Subsysteme PAM und NSS. tenbank ist in diesem Fall Free IPA auszuwählen, für die Authentifizierung wird ein Kerberos-Server vorrausgesetzt. In der PAM-Konfigurationsdatei (Listing 4) kommt statt»pam_krb5.so«nun»pam_ sssd.so«zum Einsatz. Hierüber erfolgt der Zugriff auf die PAM-Schnittstelle des SSSD. Damit der NSS sich entsprechend an die für ihn gedachte Schnittstelle andockt, erzeugt das Konfigurationstool für die Benutzerdatenbank auch gleich einen Eintrag»sssd«in der Datei»/etc/ nsswitch.conf«. In der Konfigurationsdatei»/etc/sssd/ sssd.conf«für den SSSD sind die einzelnen Abschnitte für den»nss«und»pam«(listing 5) zu erkennen. In der globalen Sektion»sssd«lassen sich Einstellungen für den Dienst selbst vornehmen. Die Angabe von»domains«steuert den Zugenständiges Tool. Beispielsweise hatte bereits die Fedora-Version 11 eine frühe Version mit an Bord, es kommt natürlich auch in aktuellen Versionen zum Einsatz. Benutzer anderer Distributionen installieren den Dienst einfach mit Hilfe des jeweiligen Paketmanagers oder laden das Tool von der Projektseite im Quellcode herunter [3]. Anmeldung ohne Netz Der SSSD stellt verschiedene Funktionen zur Verfügung, von denen drei besonders interessant sind. Zum einen löst das Tool das soeben angesprochene Problem der Offline-Authentifizierung eines Benutzers. Der SSSD hält empfangene Credentials eines zentralen Servers einfach in einem lokalen Cache vor. Meldet sich ein Benutzer also im Fimennetzwerk mit einem Firmenkonto an seinem Notebook an, dann gelangen die Credentials automatisch in den SSSD-Cache. Wie lange diese dort liegen bleiben und gültig sind, Abbildung 6: Auch zur SSSD-Konfiguration bietet sich das Tool»system config authentication«an. lässt sich in einer zentralen Konfigurationsdatei festlegen. Zudem unterstützt der SSSD die Abfrage mehrerer LDAP- oder auch NIS-Server. Damit lässt sich eine Vielzahl unterschiedlicher Benutzerdatenbanken abfragen. Auch aus Performance-Sicht bietet der Einsatz des neuen Daemon einen Vorteil. Statt für jede Abfrage an den LDAP- Server eine eigene Verbindung aufzubauen, ist nur ein Socket vom SSSD zum LDAP-Server nötig (Abbildung 4). Der Daemon bietet dabei eine eigene NSS- und PAM-Schnittstelle für anfragende Clientsysteme an (Abbildung 5). Im Backend sorgen so genannte Security- Provider für Zugriff auf den entsprechenden Identity- oder Authentication-Server. Sind diese nicht zu erreichen, wird der Cache nach bereits vorhandenen Credentials abgefragt. Die Konfiguration des Dienstes geschieht im einfachsten Fall wieder über das bereits erwähnte Tool»system config authentication«(abbildung 6). Für die Benutzerda- Listing 4: PAM-Konfiguration für SSSD 01 /etc/pam.d/system auth 02 auth required pam_env.so 03 auth sufficient pam_unix.so nullok try_first_pass 04 auth requisite pam_succeed_if.so uid >= 500 quiet 05 auth sufficient pam_sss.so use_first_pass 06 auth required pam_deny.so account required pam_unix.so broken_shadow 09 account sufficient pam_localuser.so 10 account sufficient pam_succeed_if.so uid < 500 quiet 11 account [default=bad success=ok user_unknown=ignore] pam_sss.so 12 account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 15 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok 16 password sufficient pam_sss.so use_authtok 17 password required pam_deny.so session optional pam_keyinit.so revoke 20 session required pam_limits.so 21 session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid 22 session required pam_unix.so 23 session optional pam_sss.so 6 Ausgabe Admin

6 SSSD Security griff auf mehrere Benutzerdatenbanken. Diese sind dann im Folgenden durch entsprechende Konfigurationsoptionen näher zu spezifizieren. Die Hilfeseite»man 5 sssd.conf«bietet einen umfassenden Überblick aller zur Verfügung stehenden Konfigurationsoptionen an. Fazit Gerade für mobile Benutzer bietet der Einsatz des System Security Services Daemon (SSSD) große Vorteile. Anstatt mit unterschiedlichen Benutzerkonten arbeiten zu müssen, kommt nun nur Infos [1] Thorsten Scherf, LDAP-Directory-Server 389 : ADMIN-Magazin 01/ 2010, S 72 [2] Free-IPA-Projektseite: [http:// freeipa. org/ page/ Main_Page] [3] SSSD-Projektseite: [https:// fedorahosted. org/ sssd/] noch ein einzelnes Konto zum Einsatz. Im Offline-Modus kommen die Benutzer- Credentials dann einfach aus dem Cache. Auch im Datacenter selbst ist diese Funktion recht hilfreich, hilft sie doch dabei, einen temporären Ausfall eines LDAPoder Kerberos-Servers zu überbrücken. 01 [sssd] 02 config_file_version = 2 03 reconnection_retries = 3 04 sbus_timeout = services = nss, pam 06 domains = tuxgeek [nss] 09 filter_groups = root 10 filter_users = root 11 reconnection_retries = [pam] 14 reconnection_retries = [domain/tuxgeek] Im Vergleich zum bereits existierenden Name Service Cache Daemon (NSCD) bietet der SSSD eine wesentlich genauere Verwaltung der Cache-Einträge an. Auch verfallen diese (jedenfalls in der Default-Konfiguration) nicht, solange ein Benutzer offline ist. (ofr) n Listing 5: SSSD-Konfigurationsdatei 17 auth_provider = krb5 18 cache_credentials = True 19 ldap_id_use_start_tls = False 20 debug_level = 0 21 enumerate = True 22 krb5_kpasswd = tiffy.tuxgeek.de 23 ldap_schema = rfc2307bis 24 ldap_search_base = dc=tuxgeek,dc=de 25 krb5_realm = TUXGEEK.DE 26 chpass_provider = krb5 27 id_provider = ldap 28 ldap_uri = ldap:// / 29 krb5_kdcip = tiffy.tuxgeek.de 30 ldap_tls_cacertdir = /etc/openldap/cacerts 1/2 quer A 210 x 148 mm zzgl. Beschnitt??? Admin Ausgabe

Single-Sign-On mit Kerberos V

Single-Sign-On mit Kerberos V Single-Sign-On mit Kerberos V Jörg Rödel 21. Oktober 2005 Jörg Rödel Was ist Single-Sign-On? oft nur verstanden als ein Nutzer/Passwort-Paar für alle Dienste eines Netzwerkes so wird es

Mehr

Mike Wiesner mike@agile-entwicklung.de. Mike Wiesner 1

Mike Wiesner mike@agile-entwicklung.de. Mike Wiesner 1 Kerberos V5 mit Debian Mike Wiesner mike@agile-entwicklung.de Mike Wiesner 1 Agenda Einführung Implementierungen Installation Kerberized Services Windows Integration Mike Wiesner 2 Über mich Softwareentwickler

Mehr

Zentrale Benutzerverwaltung für Linux im Active Directory

Zentrale Benutzerverwaltung für Linux im Active Directory Zentrale Benutzerverwaltung für Linux im Active Directory 15. März 2007 Inhalt Identitätsmanagement Zugriff über offene Standards Interaktion Linux und Active Directory Linux-Clients im Active Directory

Mehr

Sysadmin Day 2010. Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe)

Sysadmin Day 2010. Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe) Sysadmin Day 2010 Windows & Linux just good friends? friends!!! Ralf Wigand MVP Directory Services KIT (Universität Karlsruhe) Voraussetzungen Sie haben ein Active Directory Sie haben einen Linux Client

Mehr

Kerberos und NFSv4. Alexander Kaiser. 27. November 2012. AG Technische Informatik

Kerberos und NFSv4. Alexander Kaiser. 27. November 2012. AG Technische Informatik Kerberos und NFSv4 Alexander Kaiser AG Technische Informatik 27. November 2012 Einleitung 2 / 23 Übersicht 1 Einleitung 2 Kerberos 3 NFSv4 4 Ausblick Einleitung 3 / 23 Geschichte Kerberos verteilter Authentifizierungsdienst

Mehr

One account to rule them all

One account to rule them all Kerberos und Single Sign-On für Linux One account to rule them all Sebastian tokkee Harl 28. April 2012 Grazer Linuxtage Kerberos: Überblick Sichere Authentifizierung über (unsichere) Netzwerke

Mehr

z/os LDAP ein zentraler Security Service Mit IBM System z in die Zukunft

z/os LDAP ein zentraler Security Service Mit IBM System z in die Zukunft Mit IBM System z in die Zukunft Empalis z/os-tag 2008 IBM Forum Stuttgart, 2008-07-09 Oliver Paukstadt, Millenux GmbH Christian Tatz, Empalis GmbH Agenda LDAP Theorie & Grundlagen Anbindung eines Linux/Unix

Mehr

AD als Benutzerdatenbank für heterogene DV-Systeme

AD als Benutzerdatenbank für heterogene DV-Systeme IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik AD als Benutzerdatenbank für heterogene DV-Systeme Westfälische Wilhelms-Universität Münster Herbsttreffen 2004 Böblingen 15-NOV-2004

Mehr

Kerberos. Markus Schade

Kerberos. Markus Schade Kerberos Markus Schade Agenda Einleitung Authentifizierung Protokoll Implementierungen Anwendungen Vertraust Du mir? Oder mir? Historie 1988 am MIT im Rahmen des Athena Projekts entwickelt Client/Server-Architektur

Mehr

LDAP Vortragsreihe - Teil 1 Konzepte und Möglichkeiten

LDAP Vortragsreihe - Teil 1 Konzepte und Möglichkeiten LDAP Vortragsreihe - Teil 1 Konzepte und Möglichkeiten Jörg Rödel 22. März 2004 Jörg Rödel Was ist LDAP? Lightweight Directory Access Protocoll eigentlich nur ein Protokollstandard allgemein

Mehr

Free IPA (Identity Policy - Audit)

Free IPA (Identity Policy - Audit) Free IPA (Identity Policy - Audit) OSDCM: User Management Jürgen Brunk München, 06.05.2014 Agenda 1. Was ist Free IPA? 2. Übersicht 3. CLI und Web-GUI 4. Windows AD Anbindung 5. Framework 6. Umgebung 7.

Mehr

IT-Symposium 2005 07.04.2005. Am Beispiel der Einbindung von Linux- Rechnern in die Benutzer- und Ressourcenverwaltung eines Active Directory

IT-Symposium 2005 07.04.2005. Am Beispiel der Einbindung von Linux- Rechnern in die Benutzer- und Ressourcenverwaltung eines Active Directory IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster IT-Symposium 2005 Neuss Benutzerverwaltung in heterogenen Betriebssystemumgebungen mit Active

Mehr

Kerberos: Prinzip und Umsetzung. Sascha Klopp

Kerberos: Prinzip und Umsetzung. Sascha Klopp Kerberos: Prinzip und Umsetzung Sascha Klopp Inhalt Prinzip Umsetzung Anwendungen Vor- und Nachteile Sascha Klopp, Kerberos: Prinzip und Umsetzung, 18.11.2008 Seite 2 Historie Das Kerberos-Protokoll wurde

Mehr

Kerberos. Single Sign On. Benutzerauthentisier ung. Holger.Zuleger@hznet.de. 10. Jan 2002 Holger Zuleger 1/28. > c

Kerberos. Single Sign On. Benutzerauthentisier ung. Holger.Zuleger@hznet.de. 10. Jan 2002 Holger Zuleger 1/28. > c Kerberos Single Sign On Benutzerauthentisier ung Holger.Zuleger@hznet.de 10. Jan 2002 Holger Zuleger 1/28 > c Was ist Kerberos? a. Dreiköpfiger Höllenhund aus der griechischen Mythologie b. "Third party"

Mehr

Linux in NWZnet Active Directory- Integration

Linux in NWZnet Active Directory- Integration IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster Einführung in die Administration von Rechnern in der IVV WS 2005/06 Linux in NWZnet Active Directory-

Mehr

Verteilte Authentifizierung und Single Sign-On am Beispiel von Kerberos

Verteilte Authentifizierung und Single Sign-On am Beispiel von Kerberos Verteilte Authentifizierung und Single Sign-On am Beispiel von Hochschule für Technik Zürich MAS Informatik, Verteilte Systeme 9.9.2010 Outline 1 Was ist das Problem? Geschichtlicher Rückblick 2 V Konzepte

Mehr

SSH-Authentifizierung über eine ADS mittels Kerberos 5. Roland Mohl 19. Juli 2007

SSH-Authentifizierung über eine ADS mittels Kerberos 5. Roland Mohl 19. Juli 2007 Roland Mohl 19. Juli 2007 Inhalt Ausgangssituation am RRZE Zielsetzung des Projekts Beschreibung der Testumgebung Funktionsweise von Kerberos 5 Durchführung Test des Gesamtsystems Fazit 22.10.2007 roland.mohl@rrze.uni-erlangen.de

Mehr

Verzeichnisbasiertes Benutzer- und Systemmanagement mit LDAP und Gosa

Verzeichnisbasiertes Benutzer- und Systemmanagement mit LDAP und Gosa Verzeichnisbasiertes Benutzer- und Systemmanagement mit und Gosa Dipl.-Inform. Holger Burbach GONICUS GmbH Arnsberg/Bonn http://www.gonicus.de info@gonicus.de Agenda Über GONICUS Einführung in smöglichkeiten

Mehr

%%& ( ) + ),. ( /, + 010 2&3 %%& 4. 12 ) #3 %%& 4. 1 2#3 %%% 4. 1# 4. #101 & 5,06

%%& ( ) + ),. ( /, + 010 2&3 %%& 4. 12 ) #3 %%& 4. 1 2#3 %%% 4. 1# 4. #101 & 5,06 ! # %%& ( ) + ),. ( /, + 010 2&3 %%& 4. 12 ) #3 %%& 4. 1 2#3 %%% 4. 1# 4. #101 & 5,06 ( 7 38 4 8 9, :.) ;1 )?8 ) Α : )) ). 9 ) ). 9.) = + 9 ), ) 9 ) ( ) Β ) ). 1 9 ).1 9 ) 5, ) 6 ). 1 9. ,

Mehr

Linux Client im Windows AD

Linux Client im Windows AD Linux Client im Windows AD Ein Erfahrungsbericht RBG-Seminar WS 06/07 21.11.2006 Holger Kälberer Übersicht Einleitendes: Infrastruktur und Dienste, was ist AD? 1.Authentifizierung 2.Home Verzeichnisse

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

LDAP Server & Clients Benutzer-Authentifizierung mit LDAP LDAP. Philipp Wendler. IEEE Student Branch Passau. 28. Mai 2009 1 / 29

LDAP Server & Clients Benutzer-Authentifizierung mit LDAP LDAP. Philipp Wendler. IEEE Student Branch Passau. 28. Mai 2009 1 / 29 Server & Clients Benutzer-Authentifizierung mit IEEE Student Branch Passau 28. Mai 2009 1 / 29 Server & Clients Benutzer-Authentifizierung mit Inhalt 1 2 Server & Clients 3 Benutzer-Authentifizierung mit

Mehr

mit LDAP Einführung, Überblick und Anwendung

mit LDAP Einführung, Überblick und Anwendung Effiziente Nutzerverwaltung mit LDAP Einführung, Überblick und Anwendung Reiner Klaproth, Mittelschule Johannstadt-Nord Dresden Maintainer des Arktur-Schulservers V4.0 1. Was ist LDAP? Geschichte Modell

Mehr

Single Sign-On mit Kerberos V5

Single Sign-On mit Kerberos V5 Froscon 2006 Michael Wiesner SOFTCON IT Service GmbH Über mich Softwareentwickler und Sicherheitsexperte bei der Firma SOFTCON Projekte: Enterprise Software, Webportale, Sicherheitslösungen,... Trainings

Mehr

LDAP in der GWDG Einsatzspektrum

LDAP in der GWDG Einsatzspektrum LDAP in der GWDG Einsatzspektrum Konrad Heuer, Andreas Ißleiber Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Einleitung In diesem Vortrag wird dargestellt, wie sich das Einsatzspektrum

Mehr

Zentrales Sicherheitsinformationssystem FreeIPA Identitäts-Voodoo

Zentrales Sicherheitsinformationssystem FreeIPA Identitäts-Voodoo Zentrales Sicherheitsinformationssystem FreeIPA Identitäts-Voodoo Thorsten Scherf Zentrale Lösungen zur Benutzerverwaltung mit Single-Sign-On- Eigenschaften existieren auch im Open-Source-Umfeld in großer

Mehr

FreeIPA. 124 Linux Technical Review, Ausgabe 10

FreeIPA. 124 Linux Technical Review, Ausgabe 10 FreeIPA IPA, das steht für Identity, Policy und Audit. Doch das Open-Source-Identity-Management- System FreeIPA, das diese Abkürzung im Namen führt, soll später sogar noch mehr können: Es wird dann auch

Mehr

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH Single-Sign-On mit Java und Kerberos Michael Wiesner, SOFTCON IT-Service GmbH Über mich Softwareentwickler und Sicherheitsexperte bei der Firma SOFTCON Projekte: Enterprise Software, Webportale, Sicherheitslösungen,...

Mehr

LDAP Grundlagen. als Einführung zum. Workshop

LDAP Grundlagen. als Einführung zum. Workshop als Einführung zum Workshop Inhaltsverzeichnis Was ist ein Verzeichnisdienst?...3 Die aktuelle LDAP Version 3...3 Der Einsatz von LDAP im Netzwerk...3 Aufbau des LDAP Datenmodell...4 Objekte...5 Attribute...6

Mehr

Zentrale Authentifizierungsdienste an der RUB Herbsttreffen zki AK Verzeichnisdienste 09.10.2012

Zentrale Authentifizierungsdienste an der RUB Herbsttreffen zki AK Verzeichnisdienste 09.10.2012 Zentrale Authentifizierungsdienste an der RUB Rechenzentrum der RUB Hans-Ulrich.Beres@rub.de Agenda Identity-Management-System RUBiKS Active Directory LDAP Fragen 2 Ruhr-Universität Bochum 37.000 Studierende

Mehr

HOWTO: Installation eines Samba-PDC mit LDAP-Authentifizierung Version 1.0-21.09.2002 (w) Stefan Peters - stefan@alles-eazy.de

HOWTO: Installation eines Samba-PDC mit LDAP-Authentifizierung Version 1.0-21.09.2002 (w) Stefan Peters - stefan@alles-eazy.de HOWTO: Installation eines Samba-PDC mit LDAP-Authentifizierung Version 1.0-21.09.2002 (w) Stefan Peters - stefan@alles-eazy.de Vorbemerkung Als Grundlage für die Einrichtung des Samba-PDC's diente mir

Mehr

Handschlag zwischen den Welten

Handschlag zwischen den Welten Gemeinsame Benutzerverwaltung in Windows- und Linux-Netzwerken Handschlag zwischen den Welten Quelle: Konstantin Gastmann - aboutpixel.de von Thorsten Scherf Einheitliche Benutzerkonten in gemischten Windows-

Mehr

Linux in NWZnet II ZIV Unix-Integration mit DCE/DFS

Linux in NWZnet II ZIV Unix-Integration mit DCE/DFS IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster Einführung in die Administration von Rechnern in der IVV WS 2005/06 Linux in NWZnet II ZIV Unix-Integration

Mehr

1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS

1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS 1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS Vortrag zum 4. LUGD Tag, am 21.1.2010 form4 GmbH & Co. KG Oliver Charlet, Hajo Passon Tel.: 040.20 93 27 88-0 E-Mail: oliver.charlet@form4.de

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Step by Step LDAP und Samba unter SuSe Linux. von Christian Bartl

Step by Step LDAP und Samba unter SuSe Linux. von Christian Bartl Step by Step LDAP und Samba unter SuSe Linux von LDAP und Samba unter SuSe Linux 1) LDAP-Server Installation und Vorraussetzungen Als Betriebssystem dient SuSe 9.1 um LDAP erfolgreich implementieren zu

Mehr

28.3 Samba verwaltet selbst Konten im LDAP

28.3 Samba verwaltet selbst Konten im LDAP 196 28 Samba als Primary Domain Controller 28.3 Samba verwaltet selbst Konten im LDAP Keine externen Tools mehr notwendig Seit Samba 3.0.25 kann Samba ohne externe Hilfsmittel Benutzer- und Maschinenkonten

Mehr

Inhaltsverzeichnis. I Kerberos 1

Inhaltsverzeichnis. I Kerberos 1 xi Inhaltsverzeichnis I Kerberos 1 1 Kerberos im Überblick..... 3 1.1 Ursprung am MIT: Das Athena-Projekt...... 3 1.2 Versionen des Kerberos-Protokolls...... 5 1.3 Standardisierung.... 5 1.4 Implementierungen......

Mehr

2 Verwalten einer Active Directory

2 Verwalten einer Active Directory Einführung 2 Verwalten einer Active Directory Infrastruktur Lernziele Active Directory und DNS Besonderheiten beim Anmeldevorgang Vertrauensstellungen Sichern von Active Directory Wiederherstellen von

Mehr

Directory Zugriff leicht gemacht LDAP

Directory Zugriff leicht gemacht LDAP Directory Zugriff leicht gemacht LDAP Chris Hübsch, Karsten Petersen 27. Juni 2002 Zusammenfassung Mit Hilfe von LDAP kann eine zentrale Informationsverwaltung realisiert werden. Neben der Nutzung als

Mehr

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus MS Active Directory Services & MS Group Policy Object ITTK A09 Laßnig-Walder Karl Surtmann Klaus Inhaltsverzeichnis Was ist MS Active Directory? Aufbau Struktur DC, GC, Replikation, FSMO Hauptkomponenten

Mehr

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003

Mehr

Ziel: Problemdefinition: Der vorhandene LDAP Dienst kann mit der Verwendung von MSCHAP nicht für die Authentifizierung verwendet werden.

Ziel: Problemdefinition: Der vorhandene LDAP Dienst kann mit der Verwendung von MSCHAP nicht für die Authentifizierung verwendet werden. Ziel: Integration eines Radiusservers in eine LDAP/Active Directory Umgebung. Dies wird anhand eines Beispiels mit Redhat Enterprise Server 5 veranschaulicht. Problemdefinition: Der vorhandene LDAP Dienst

Mehr

Single Sign-On Step 1

Single Sign-On Step 1 Single Sign-On Step 1 Novell Tour 2006 Stefan Stiehl Senior Technology Specialist sstiehl@novell.com Holger Dopp Senior Consultant hdopp@novell.com Was ist Single Sign-On? Eine Befugnisverwaltungstechnologie,

Mehr

Wegweiser durch die TUBVerzeichnisse

Wegweiser durch die TUBVerzeichnisse Wegweiser durch die TUBVerzeichnisse TUBIS, tubit-ldap, Trustcenter LDAP, Active Directory und Kerberos Verwirrungen, Sinn und Unsinn und vielleicht eine Idee, wie alles zusammenhängt und wofür das ist.

Mehr

Umstellung eines Linux-Servers auf einen zentralen Verzeichnisdienst (LDAP)

Umstellung eines Linux-Servers auf einen zentralen Verzeichnisdienst (LDAP) Umstellung eines Linux-Servers auf einen zentralen Verzeichnisdienst (LDAP) Praktikumsaufgabe Fernand Toffa 30.12.2005 2005-12-06 S:\Projekte\Praktikum\Linux-LDAP-Migration\Konzept Linux-LDAP-Migration.odt

Mehr

LDAP verstehen, OpenLDAP einsetzen

LDAP verstehen, OpenLDAP einsetzen Dieter Klünter Jochen Laser LDAP verstehen, OpenLDAP einsetzen Grundlagen, Praxiseinsatz und Single-sign-on-Mechanismen Technische Universität Darmstadt FACHBEREICH INFORMATIK Invanter-Nr, J Standort:

Mehr

OpenVMS in einer Windows Active Directory Domäne

OpenVMS in einer Windows Active Directory Domäne 1A08 OpenVMS in einer Windows Active Directory Domäne Detlef Buerdorff, Landesbank Rheinland-Pfalz 1 Ausgangssituation IT-Landschaft Welt Firewall Mainframe Forest Root.LRP.DE transitive Vertrauensstellung

Mehr

Directory Services für heterogene IT Landschaften. Basierend auf LDAP und OSS

Directory Services für heterogene IT Landschaften. Basierend auf LDAP und OSS Directory Services für heterogene IT Landschaften. Basierend auf LDAP und OSS Bernd@Eckenfels.net Linuxtag 2001, Stuttgart http://eckenfels.net/ldap/ Agenda LDAP Eine Begriffsbestimmung OSS Keyplayer Typische

Mehr

Konfiguration Zentyal 3.3 Inhaltsverzeichnis

Konfiguration Zentyal 3.3 Inhaltsverzeichnis Konfiguration Zentyal 3.3 Inhaltsverzeichnis Installation... 2 Grundkomponenten... 5 Grundkonfiguration... 6 Netzwerk... 6 Domain... 7 Updates installieren... 8 DNS konfigurieren... 10 Anpassungen in DNS

Mehr

Schlüsselspiel Netzsicherheit:?????? Architekturen und Protokolle Kerberos Institut für Telematik www.tm.kit.edu

Schlüsselspiel Netzsicherheit:?????? Architekturen und Protokolle Kerberos Institut für Telematik www.tm.kit.edu Schlüsselspiel Netzsicherheit: Architekturen und Protokolle??????? 1. Einführung 2. Version 4 3. Version 5 Alice Sichere Bob Kommunikation zentrale Frage: Woher kommt das Schlüsselmaterial? 1 Wie kann

Mehr

Samba als Primary Domain Controller

Samba als Primary Domain Controller Samba als Primary Domain Controller 25. Oktober 2004 Diese Kurzanleitung beschreibt die schrittweise Installation von Samba als Primary Domain Controller (PDC), dabei wurde die Samba Version 3.0.7 verwendet.

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

Directory Services mit LDAP

Directory Services mit LDAP Directory Services mit LDAP Dipl.-Chem. Technische Fakultät Universität Bielefeld ro@techfak.uni-bielefeld.de AG Rechnerbetrieb WS 2003/04 Directory Services mit LDAP 1 von 21 Übersicht Directory Services

Mehr

18. September 2005 Linuxweekend Dietrichingen Manuel Schneider

18. September 2005 Linuxweekend Dietrichingen Manuel Schneider Samba-Workshop Ziele - SMB Grundlagen - Komponenten kennenlernen - verschiedenen Passwort-Datenbanken anbinden - Anbindung an andere Systeme Ablauf - Dauer: rund eine Stunde - bei Bedarf mit einer Pause

Mehr

Zeitsynchronisation Windows Server 2008 R2 PDC Master der FRD mit einer externen Zeitquelle

Zeitsynchronisation Windows Server 2008 R2 PDC Master der FRD mit einer externen Zeitquelle Zeitsynchronisation Windows Server 2008 R2 PDC Master der FRD mit einer externen Zeitquelle Wie funktioniert die Zeitsynchronisation in Windows Netzwerken: http://support.microsoft.com/kb/816042 MSDN Blog

Mehr

1. Einstellungen im eigenen Netzwerk

1. Einstellungen im eigenen Netzwerk LDAP / LDAPS Authentifizierung BelWü Moodle 2.X Hinweis: Diese Anleitung bezieht sich auf Moodleinstallationen der Version 2.X Bei Moodle Auftritten der Schulen, die bei Belwue gehostet werden, ist die

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration Active Directory Integration Mac OS X René Meusel Betriebssystemadministration Sommersemester 2009 Gliederung 2 Motivation Was ist Active Directory? Allgemeine Definition Funktionsweise Unterstützung in

Mehr

HOBCOM und HOBLink J-Term/Terminal Edition Single Sign-On mit Kerberos und RACF-PassTicket am 3270-Mainframe

HOBCOM und HOBLink J-Term/Terminal Edition Single Sign-On mit Kerberos und RACF-PassTicket am 3270-Mainframe HOB GmbH & Co. KG Schwadermühlstr. 3 90556 Cadolzburg Tel: 09103 / 715-0 Fax: 09103 / 715-271 E-Mail: support@hob.de Internet: www.hob.de HOBCOM und HOBLink J-Term/Terminal Edition Single Sign-On mit Kerberos

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Praktikum IT-Sicherheit WLAN

Praktikum IT-Sicherheit WLAN Praktikum IT-Sicherheit - Versuchshandbuch - Angriffe auf geschützte WLAN-Topologien WLAN In diesem Versuch sammeln Sie praktische Erfahrung auf dem Gebiet der WLAN-Sicherheit, indem verschiedene Sicherheitsprotokolle

Mehr

Benutzerverwaltung - LDAP

Benutzerverwaltung - LDAP REGIONALES RECHENZENTRUM ERLANGEN [ RRZE ] Benutzerverwaltung - LDAP Systemausbildung - Grundlagen und Aspekte von Betriebssystemen und System-nahen Diensten Andrei Galea, 20.05.2015 AGENDA Einführung

Mehr

Grundlagen der entfernten Authentifizierung und Autorisierung: Kerberos

Grundlagen der entfernten Authentifizierung und Autorisierung: Kerberos Grundlagen der entfernten Authentifizierung und Autorisierung: Kerberos Ausarbeitung im Seminar Konzepte von Betriebssystem-Komponenten Sommersemester 2010 Florian Lukas 21. Juli 2010 Inhaltsverzeichnis

Mehr

Rechteausweitung mittels Antivirensoftware

Rechteausweitung mittels Antivirensoftware Rechteausweitung mittels Antivirensoftware Eine Schwachstelle in der Softwarekomponente McAfee Security Agent, die unter anderem Bestandteil der Antivirensoftware McAfee VirusScan Enterprise ist, kann

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

Seminarvortrag Secure NFS

Seminarvortrag Secure NFS Seminarvortrag Secure NFS Michael Stilkerich michael.stilkerich@informatik.stud.uni-erlangen.de am 12. Mai 2003 Einleitung Das Network File System ist ein sehr eleganter Weg, gemeinsam genutzte Dateisysteme

Mehr

Aufbau eines Metaverzeichnisses

Aufbau eines Metaverzeichnisses Fachhochschule Aachen Abteilung Jülich Aufbau eines Metaverzeichnisses Bachelorarbeit vorgelegt von: Fachbereich: Studiengang: Jaouad Doghmi Medizintechnik und Technomathematik Scientific Programming Matrikelnummer:

Mehr

IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung

IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung Inhalt SSO Account... 1 Erstkontakt mit dem System (Internet / Kundensicht)... 2 Erstkontakt mit dem System (Intranet)... 3 Funktionen

Mehr

wie beispielsweise MD5 oder SHA-1, schickt. Dekodiert

wie beispielsweise MD5 oder SHA-1, schickt. Dekodiert Public-Key-Infrastruktur mit Dogtag Guter Hüter Hat die Systemlandschaft eine gewisse Größe erreicht, möchte man digitale Zertifikate nicht mehr mit Open- SSL verwalten. Hier hilft eine Public-Key-Infrastruktur

Mehr

LDAP-Directory-Server 389 Verzeichnisdienst

LDAP-Directory-Server 389 Verzeichnisdienst Kian Hwi Lim, 123RF, 123RF LDAP-Directory-Server 389 Verzeichnisdienst Mit dem gibt es seit einiger Zeit eine Alternative zu dem guten alten Open LDAP. Der aus dem Fedora-Projekt stammende Server verfügt

Mehr

Benutzerhandbuch für FaxClient für HylaFAX

Benutzerhandbuch für FaxClient für HylaFAX Benutzerhandbuch für FaxClient für HylaFAX Vielen Dank, daß Sie entschlossen haben, dieses kleine Handbuch zu lesen. Es wird Sie bei der Installation und Benutzung des FaxClients für HylaFAX unterstützen.

Mehr

Ein gängiges Szenario aus der Praxis: Penrose: Unterschiedliche Datenquellen via LDAP Bäumchen wechsle dich. Thorsten Scherf

Ein gängiges Szenario aus der Praxis: Penrose: Unterschiedliche Datenquellen via LDAP Bäumchen wechsle dich. Thorsten Scherf PRAXIS Verzeichnisdienste avr.penrose_id17058_ Penrose: Unterschiedliche Datenquellen via LDAP Bäumchen wechsle dich Thorsten Scherf In heutigen IT-Landschaften gestaltet sich die Verwaltung der stark

Mehr

Black Box erklärt: Sicherheit nach IEEE 802.1x?

Black Box erklärt: Sicherheit nach IEEE 802.1x? Black Box erklärt: Sicherheit nach IEEE 802.1x? Bei Wireless LAN Netzwerken kennt jeder die Gefahr einer unbefugten Benutzung der Daten im Netzwerk durch Fremde. Aus diesem Grund gibt es in diesem Bereich

Mehr

IT Asset Management mit LDAP. Boguslaw Sylla

IT Asset Management mit LDAP. Boguslaw Sylla IT Asset Management mit LDAP Boguslaw Sylla 2 1. LDAP-Systeme Übersicht Fedora Directory Server (jetzt 389 Direcrory Server) OpenDS (von Sun als Java-Implementation) ApacheDS (wie meist bei Apache üblich

Mehr

Anbindung von FormsForWeb an einen LDAP Server

Anbindung von FormsForWeb an einen LDAP Server Anbindung von FormsForWeb an einen LDAP Server Version 1.0 Deutsch / August 2006 Nur für internen Gebrauch / Einführung / Inhaltsübersicht Dieser Leitfaden beschreibt die Anbindung eines LDAP-Servers an

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3

TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3 Leibniz Universität IT Services TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3 Workshop TYPO3@RRZN Sep. 2012 Dr. Thomas Kröckertskothen - RRZN Zugangsgeschützte Webbereiche in TYPO3 Was sind zugangsgeschützte

Mehr

Switching. Übung 2 System Management. 2.1 Szenario

Switching. Übung 2 System Management. 2.1 Szenario Übung 2 System Management 2.1 Szenario In der folgenden Übung werden Sie Ihre Konfiguration sichern, löschen und wieder herstellen. Den Switch werden Sie auf die neueste Firmware updaten und die Funktion

Mehr

Einleitung. Enterprise Benutzer

Einleitung. Enterprise Benutzer Betrifft Zentrale Benutzerverwaltung Art der Info Technische Background Info (Februar 2003) Autor Sven Vetter (sven.vetter@trivadis.com) Quelle Aus unserer Schulungs- und Beratungstätigkeit Einleitung

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste

Mehr

Dipl.-Wirtsch.-Inf. Matthias Merz Dienstag, 20.03.2007

Dipl.-Wirtsch.-Inf. Matthias Merz Dienstag, 20.03.2007 Konzeption und Umbau der Mail-Infrastruktur an der Universität Mannheim Dipl.-Wirtsch.-Inf. Matthias Merz Dienstag, 20.03.2007 1 1 2 Dienstag, 20.03.2007 2 Agenda 1. Einrichtung eines zentralen LDAP-Servers

Mehr

1 Outlook 2013-Installation und Konfiguration

1 Outlook 2013-Installation und Konfiguration Outlook 2013-Installation und Konfiguration 1 Outlook 2013-Installation und Konfiguration Outlook kann in zwei Betriebsmodi verwendet werden: Exchange Server-Client: In diesem Modus werden die E-Mails

Mehr

Seite - 1 - 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Seite - 1 - 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung Sie konfigurieren den OOBA, um die Webzugriffe mit HTTP ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten Benutzern

Mehr

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis Cnlab / CSI 2013 Social Business endlich produktiv! Demo Identity Federation in der Praxis Zürich, 11. September 2013 Identity Federation in der Praxis - SSO mittels Kerberos (AD-Integriert) - Federation

Mehr

Nachnutzung des Windows Login in einer SAML-basierten. Föderation mittels Shibboleth Kerberos Login Handler

Nachnutzung des Windows Login in einer SAML-basierten. Föderation mittels Shibboleth Kerberos Login Handler Nachnutzung des Windows Login in einer SAML-basierten Föderation mittels Shibboleth Kerberos Login Handler 56. DFN-Betriebstagung, Forum AAI Berlin, 13. März 2012 Peter Gietz, Martin Haase, DAASI International

Mehr

Kooperation. www.thorsten-butz.de

Kooperation. www.thorsten-butz.de Windows-Linux Kooperation Thorsten Butz www.thorsten-butz.de Kontakt: post@thorsten-butz.de http://www.thorsten-butz.de/public/thorstenbutz.vcf Urheber-Hinweis: Die nachfolgenden Folien stehen jedem Interessierten

Mehr

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping von Thorsten Dahm 08.06.2006 t.dahm@resolution.de 1) Was Euch hier erwartet 1) Was ist 802.1x Wozu braucht man's? Möglichkeiten Artenreichtum: Authentifizierung

Mehr

LDAP-Eine Möglichkeit zur Benutzersynchronisation im KIS/RIS/PACS- Die Verbund neue Präsentation von gap

LDAP-Eine Möglichkeit zur Benutzersynchronisation im KIS/RIS/PACS- Die Verbund neue Präsentation von gap LDAP-Eine Möglichkeit zur Benutzersynchronisation im KIS/RIS/PACS- Die Verbund neue Präsentation von gap warum Benutzersynchronisation Vielzahl von IT-Systemen schützenswerte Daten oder Funktionen Wiederholte

Mehr

Horstbox Professional (DVA-G3342SB)

Horstbox Professional (DVA-G3342SB) Horstbox Professional (DVA-G3342SB) Anleitung zur Einrichtung eines VoIP Kontos mit einem DPH-120S Telefon im Expertenmodus: Vorraussetzung ist, dass die Horstbox bereits mit den DSL Zugangsdaten online

Mehr

Identity Management und 2FA mit (Free)IPA

Identity Management und 2FA mit (Free)IPA Identity Management und 2FA mit (Free)IPA @Chemitzer Linuxtage 2015 Senior Linux Consultant 1 Agenda Wieso eigenlich IdM einsetzen? Authentifizierung und Autorisierung Lokales Usermanagement Zentrales

Mehr

Moodle Authentifizierung mit LDAPS

Moodle Authentifizierung mit LDAPS Lernen Online mit Moodle Vorarlberger Bildungsservice Moodle Authentifizierung mit LDAPS Besuchen Sie uns im Internet unter http://www.vobs.at/ Vorarlberger Bildungsservice 2009 Schulmediencenter des Landes

Mehr

Auf FHEM über Laptop oder Android-Handy aus dem Internet zugreifen:

Auf FHEM über Laptop oder Android-Handy aus dem Internet zugreifen: FHEM Zugriff vom Internet - Seite 1 Auf FHEM über Laptop oder Android-Handy aus dem Internet zugreifen: Hier wird möglichst ausführlich beschrieben, wie man vom Internet auf das auf einer Fritz!Box 7390

Mehr

Oracle Enterprise User Security mit Active Directory

Oracle Enterprise User Security mit Active Directory Oracle Enterprise User Security mit Active Directory Jürgen Kühn Senior Consultant Nürnberg, 19.11.2009 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart

Mehr

SingleSignOn Schnittstelle

SingleSignOn Schnittstelle SingleSignOn Schnittstelle Integration vom Seminar-Shop mit der Partnerseite unter Verwendung der Seminar-Shop Formulare 1 Grundidee: Eine Website übernimmt den Seminar-Shop Content und wünscht, dass ein

Mehr