LDAP statt Datei. Single-Sign-on mit SSSD, LDAP und Kerberos Tickets aus dem Cache

Größe: px
Ab Seite anzeigen:

Download "LDAP statt Datei. Single-Sign-on mit SSSD, LDAP und Kerberos Tickets aus dem Cache"

Transkript

1 Security SSSD Anja Kaiser, Fotolia Single-Sign-on mit SSSD, LDAP und Kerberos Tickets aus dem Cache Die Kombination aus LDAP und Kerberos erlaubt eine Benutzer-Authentifizierung auch über unsichere IP-Netzwerke. Dumm für mobile User ist, dass dafür eine Verbindung zum LDAP- und Kerberos-Server notwendig ist. Der System Security Services Daemon (SSSD) hilft ihnen aus der Patsche. Thorsten Scherf Meldet sich ein Benutzer an einem Linux-System an, ist der so genannte Name Service Switch (NSS) dafür zuständig, in der entsprechenden Datenbank nach dem Benutzerkonto zu suchen. Bei dieser Benutzerdatenbank handelt es sich klassischerweise um die Datei»/etc/ passwd«. Ist der Account vorhanden, kümmert sich das PAM-Subsystem um die Authentifizierung des Benutzers, etwa durch den Abgleich des eingegebenen Passworts mit dem Gegenstück in der Datei»/ etc/shadow«. Dieser Ablauf stößt natürlich schnell an Grenzen, besonders wenn sehr viele Benutzerkonten vorhanden sind. Diese müssten im vorliegenden Fall auf jeder einzelnen Maschine angelegt werden, da die Benutzer- und Passwortdatenbanken ja lediglich auf dem lokalen Dateisystem vorhanden sind. Das beschriebene Problem lässt sich jedoch leicht durch den Einsatz eines zentralen Verzeichnisdienstes wie NIS oder LDAP lösen. Hierbei liegen die notwendigen Benutzerdaten nicht lokal, sondern auf einem zentralen Server. Alle Systeme mit Zugang zu diesem zentralen Server können die Informationen bei der Anmeldung eines Benutzers abfragen. Da NIS nicht gerade dafür bekannt ist, eine sichere Umgebung bereitzustellen, kommt in diesem Artikel der Verzeichnisdienst LDAP zum Einsatz. Er stellt, anders als NIS, eine hierarchische Baumstruktur zum Speichern von Informationen in so genannten Attributen zur Verfügung. Kombiniert er sie miteinander, entstehen Objekte, etwa ein Benutzerobjekt. Ein Schema bestimmt dabei, welche Informationen (Attribute) gemeinsam verwendet werden dürfen. Für die RFCs 2307 beziehungsweise 2307bis, die die Attribute für Benutzerobjekte bestimmen, existiert beispielsweise auf dem 389-Directory-Server eine entsprechende Schemadatei namens»/etc/dirsrv/schema/10rfc2307.ldif«. Die Objektklasse, von der sich Benutzeraccounts ableiten, heißt»posixaccount«(listing 1). Alle notwendigen Benutzerattribute wie UID-Nummer, Login-Name und primäre Benutzergruppe sind hinter dem Wort»MUST«aufgeführt, optionale Attribute hinter»may«. Für Gruppen existiert eine ähnliche Objektklasse mit dem Namen»posixGroup«(Listing 2). Eine ausführliche Beschreibung der Funktionsweise des Directory-Servers würde zu weit führen. Unter [1] hat der Autor bereits einen umfangreichen Artikel zu genau diesem Thema veröffentlicht. Der folgende Artikel geht im Weiteren davon aus, dass ein LDAP-Server mit Benutzerkonten existiert. Natürlich spielt es dabei keine Rolle, welches Produkt zum Einsatz kommt, solange es die beiden oben erwähnten RFCs unterstützt. LDAP statt Datei Es ist zwar möglich, auch das Benutzerpasswort in einem solchen LDAP-Objekt für einen Benutzer zu speichern, schließlich sieht die Objektklasse»posixAccount«extra ein Attribut mit Namen»userPassword«für diesen Zweck vor. Aber das führt zu einem Sicherheitsproblem: Bei der Anmeldung eines Benutzers wandert sein Passwort nämlich im Klartext zum LDAP-Server. Kommt zwischen Client und Server keine TLS-Verschlüsselung zum Einsatz, ist jedermann in der Lage, 2 Ausgabe Admin

2 SSSD Security das Klartext-Passwort mit Hilfe eines Netzwerkmonitors mitzulesen. Anstatt die Kommunikation zwischen den beteiligten Systemen jedoch mittels TLS zu verschlüsseln, wäre es noch besser, das Benutzerpasswort ginge erst gar nicht über das Netzwerk und würde an einer anderen Stelle als dem LDAP-Server gespeichert. Schließlich stellen fehlerhafte Zugriffsregeln auf das Passwort-Attribut (ACLs) ebenfalls eine nennenswerte Gefahr dar. Eine sichere Alternativlösung stellt das Authentifizierungsprotokoll Kerberos bereit. Dreiköpfiger Hund Statt eines Benutzerpassworts überträgt Kerberos so genannte Tickets übers Netzwerk. Diese werden initial zwischen allen beteiligten Objekten ausgetauscht. Das bietet nicht nur den Vorteil, dass das Passwort selbst nicht mehr übers Netz geht, die Tickets sorgen gleichzeitig auch für die Single-Sign-on-Anmeldung (SSO) eines Benutzers. Im Klartext: Hat ein Benutzer sich erst einmal bei einem Kerberos-Server angemeldet, findet die Authentifizierung an einem anderen Kerberos-basierten Dienst, beispielsweise einem LDAP-Server, komplett transparent statt, der Benutzer muss also nicht erneut sein Passwort angeben. Das Protokoll setzt einen vorhandenen Kerberos-Server, auch Key Distribution Center (KDC) genannt, voraus. Dieser enthält eine Datenbank mit den Passwörtern aller beteiligten Objekte, also der Benutzer, Netzwerkdienste und Maschinen. Zusammengefasst bezeichnet man diese auch als Kerberos-Principals. Die Passwörter dieser Principals unterliegen einem Regelwerk, das festlegt, wie komplex sie sein müssen und welchen Gültigkeitszeitraum sie besitzen. Daneben enthält der Server keine Benutzeroder Systeminformationen, die sind an einer anderen Stelle zu speichern, etwa in einem Directory-Server. Der Ablauf der initialen Kerberos-Anmeldung ist recht einfach: Der Client baut eine initiale Verbindung zu einem Kerberos-Server (KDC) auf. Das geschieht entweder für den User transparent durch das Anmeldeprogramm»login«oder mit Hilfe von»kinit«. Der KDC besteht aus zwei Teilen. Einem Authentication Server (AS) und einem Ticket-Granting Server (TGS). Der AS empfängt die Anfrage des Clients und überprüft seinen Namensraum (Realm) auf den angefragten Usernamen (User Principal). Taucht der Principal in der Kerberos-Datenbank auf, erzeugt der AS einen zufälligen Session Key und ein so genanntes Ticket-Granting Ticket (TGT). Dieses TGT enthält verschiedene Informationen, unter anderem Client-Namen und -IP, eine Gültigkeitsdauer, einen Zeitstempel und den eben erzeugten Session Key. Kerberos kodiert dieses TGT mit einem Schlüssel, der nur dem Authentication Server und dem Ticket-Granting Server bekannt ist. Zusammen mit dem eben erzeugten Session Key geht dieses Ticket nun an den Client. Natürlich nicht im Klartext, sondern mit einem Schlüssel kodiert, der aus dem Passwort des Clients berechnet wurde. Wenn der Client die Antwort des Authentication Servers erhalten hat (kodiertes TGT und Session Key), wird der User dazu aufgefordert, sein Passwort einzugeben. Dieses Passwort wird zu einem Schlüssel konvertiert und dient zur Dekodierung des soeben empfangenen TGT. Der Client speichert das TGT in seinem Credential- Cache und löscht das eingegebene Passwort aus dem Speicher. Mit diesem TGT kann der User für die Gültigkeitsdauer des Tickets seine Identität nachweisen, ohne sich nochmals mit einem Passwort authentifizieren zu müssen. Auf der Workstation ist die Identität eines Benutzers mit Hilfe des TGT nun bereits verifiziert. Möchte der Benutzer jedoch auf einen weiteren Netzwerkdienst, beispielsweise auf den bereits erwähnten LDAP-Server zugreifen, muss er erneut ein Ticket vom KDC anfordern, diesmal vom Ticket-Granting Server. Dieses Service-Ticket (ST) ist für genau den einen Dienst zuständig, für den es angefordert wurde der Server muss dabei Zugriffe auf das GSS-API unterstützen. Die Anforderung an das Service-Ticket ist um einiges komplexer. Der Client sendet eine Anfrage an den TGS, sie besteht aus dem Namen des Dienstes, auf den der Client zugreifen will, einem so genannten Authenticator und dem gespeicherten TGT. Der Authenticator besteht aus dem Namen des Clients, seiner IP-Adresse und einem Zeitstempel (aktuelle Zeit des Clients). Das verschlüsselte TGT wird zusammen mit dem Authenticator an den Ticket-Granting Server geschickt. Der Authenticator wird ebenfalls kodiert, und zwar mit dem Session Key, der mit dem TGT empfangen wurde. Der Ticket- Granting Server dekodiert den Authenticator und das TGT, vergleicht deren Inhalt sowie die IP-Adresse des Clients, von dem die Anfrage kam, und die aktuelle Uhrzeit. Wenn alles zusammenpasst wird ein neuer Session Key generiert, den der Client und der angesprochene Server (etwa der LDAP-Server) künftig benutzen. Dieser neue Session Key ist Bestandteil des Service-Tickets, das der Ticket-Granting-Server ausstellt und verschlüsselt (mit dem Session Key des TGT) an den anfragenden Client sendet. Das Spiel beginnt nun wieder von vorne. Der Client empfängt das Service-Ticket und reicht es an den gewünschten Server (LDAP) weiter, um seine Identität nachzuweisen. Zusätzlich zum Service-Ticket wird ebenfalls wieder ein Authenticator generiert und an den Server geschickt. Stimmen wieder alle Informationen des ST und des Authenticator überein, gilt der Client als echt und somit als authentifiziert, ohne sich nochmals mit Usernamen und Passwort gegen den Server authentifizieren zu müssen. Im Takt Listing 1: Definition von»posixaccount«01 # grep i posixaccount /etc/dirsrv/schema/10rfc2307. ldif 02 objectclasses: ( NAME 'posixaccount' DESC 'Standard LDAP 03 objectclass' SUP top AUXILIARY MUST ( cn $ uid $ uidnumber $ gidnumber $ 04 homedirectory ) MAY ( userpassword $ loginshell $ gecos $ description ) 05 X ORIGIN 'RFC 2307' ) Der Authenticator schützt davor, dass jemand den Netzwerk-Verkehr mitliest, Listing 2: Definition von»posixgroup«01 # grep i posixgroup /etc/dirsrv/schema/10rfc2307. ldif 02 objectclasses: ( NAME 'posixgroup' DESC 'Standard LDAP 03 objectclass' SUP top STRUCTURAL MUST ( cn $ gidnumber ) MAY ( userpassword 04 $ memberuid $ description ) X ORIGIN 'RFC 2307' ) Admin Ausgabe

3 Security SSSD der Admin den Kerberos-Realm ein. Mit dem Kommando»kdb5_util create«erzeugt er die Datenbank im Verzeichnis»/var/kerberos/krb5kdc«. Die Datenbank administriert er entweder lokal mit dem Tool»kadmin.local«oder remote mittels»kadmin«. Allerdings muss hierfür auf dem KDC der Kadmin-Dienst bereits aktiv sein und es muss ein gültiger Admin- Principal in der Datei»/var/kerberos/ krb5kdc/kadm5.acl«existieren. Wird eines der Verwaltungstools aufgerufen, kann»add_principal«einen neuen Principal der Datenbank hinzufügen, beispielsweise»add_principal pw password tscherf«. Für einen Service oder eine Workstation sieht es ähnlich aus:»add_principal randkey ldap/ldap.tuxgeek.de«oder»add_principal randkey host/grobi.tuxgeek.de«. Die Passwörter der Service-Principals müssen auf den entsprechenden Servern bekannt sein. Dies erreicht der Admin, indem er das Passwort für einen Service mit dem folgenden Befehl aus der Kerberos-Datenbank extrahiert:»ktadd k /etc/krb5.keytab host/tiffy.tuxgeek.de«. Die Datei»/etc/krb5.keytab«ist anschließend sicher auf den entsprechenden Service-Rechner zu kopieren, beispielsweise mit»scp«. In der Konfigurationsdatei jedes Kerberos-Dienstes ist dann diese Keytab-Datei mit dem Service-Passwort anzugeben. Meist suchen die Kerberos-Dienste aber bereits nach einer Datei mit dem Defaultein Service-Ticket abfängt und es möglicherweise zu einem späteren Zeitpunkt einem Server anbietet, um sich unberechtigten Zugang zu verschaffen. Ein solcher Angriff ist unter dem Namen Replay-Attacke bekannt. Damit die Authentifizierung des Clients funktioniert, muss natürlich die Uhrzeit auf allen beteiligten System korrekt eingestellt sein. Das lässt sich am einfachsten durch den Einsatz des Network-Time-Protocols (NTP) sicherstellen. Abbildung 1 zeigt noch einmal den Ablauf einer Kerberos-Sitzung im Überblick: 1. Client fordert beim AS ein TGT an 2. AS stellt dieses für den TGS aus und sendet es zum Client zurück 3. Client fordert ein ST an und sendet hier das TGT an den TGS 4. TGS sendet das ST zurück an den Client 5. Client sendet das ST an den Zielserver und authentifiziert diesen 6. Zielserver authentifiziert den Client Der Kerberos-Server führt die Datenbank, in der die Principals gespeichert sind. Dieser Server sollte besonders gesichert sein. Auf keinem Fall sollten zusätzliche Dienste auf diesem Rechner laufen. Es Abbildung 1: Ablauf einer Kerberos-Sitzung. gibt sowohl Principals für Benutzer wie auch für die Kerberos-basierten Dienste und Hosts. Ein Principal hat folgenden wobei»instance«optional ist und lediglich der Gruppierung dient. Beispielsweise könnte ein User-Principal folgendermaßen aussehen:»tscherf/ Ein Beispiel für einen LDAP-Server:»ldap/tiffy.tuxgeek. Der Realm fasst alle Principals eines Bereichs zusammen und entspricht dem versal geschriebenen DNS-Domänennamen. Zusammen mit den Principals sind auch die Passwörter der User und der Dienste in der Datenbank gespeichert. Der Server ist relativ leicht zu konfigurieren. In der Datei»/etc/krb5.conf«trägt Listing 3: Ablauf einer Kerberos-Sitzung 01 # kinit tscherf 02 Password for # klist 5 05 Ticket cache: FILE:/tmp/krb5cc_ Default principal: Valid starting Expires Service principal 09 08/06/10 15:41:50 08/07/10 15:41:50 10 renew until 08/06/10 15:41: # ldapsearch LLL h localhost b "dc=tuxgeek,dc=de" uid=tscherf 13 SASL/GSSAPI authentication started 14 SASL username: 15 SASL SSF: SASL data security layer installed. 17 dn: uid=tscherf,ou=people,dc=tuxgeek, dc=de 18 givenname: Thorsten 19 sn: Scherf 20 loginshell: /bin/bash 21 uidnumber: gidnumber: objectclass: top 24 objectclass: person 25 objectclass: organizationalperson 26 objectclass: inetorgperson 27 objectclass: posixaccount 28 uid: tscherf 29 cn: Thorsten Scherf 30 homedirectory: /home/tscherf # klist 5 33 Ticket cache: FILE:/tmp/krb5cc_ Default principal: Valid starting Expires Service principal 37 08/06/10 15:41:50 08/07/10 15:41:50 38 renew until 08/06/10 15:41: /06/10 15:43:20 08/07/10 15:41:50 40 renew until 08/06/10 15:41:50 4 Ausgabe Admin

4 SSSD Security Abbildung 3: Die Clientsysteme stellen voneinander unabhängige Verbindungen zu den jeweiligen Serversystemen her. Abbildung 2: Mit Hilfe von»system config authentication«gelingt die Konfiguration des PAM- und NSS- Subsystems sehr schnell. namen»/etc/krb5.keytab«. Nachdem der KDC mit»service krb5kdc start«gestartet wurde, ist er betriebsbereit. Damit nun auch der LDAP-Server zur Authentifizierung der Benutzer auf die Kerberos-Datenbank zurückgreifen kann, muss der Administrator für ihn einen entsprechenden Principal auf dem Kerberos-Server erzeugen und auf den Server kopieren: kadmin.local: add_principal randkey U ldap/tiffy.tuxgeek.de kadmin.local: ktadd k /tmp/ds.keytab U ldap/tiffy.tuxgeek.de Nach dem Kopieren der Datei»/tmp/ ds.key«in das Verzeichnis»/etc/dirsrv«, muss der Admin dem Server selbst noch den Pfad zur Datei mitteilen: echo "KRB5_KTNAME=/etc/dirsrv/ds.keytab;U export KRB5_KTNAME" >> /etc/sysconfig/ dirsrv Ein abschließender Neustart des Servers ermöglicht nun die Anmeldung am Server mittels Kerberos (Listing 3). Hierzu ist zuerst ein entsprechendes TGT erforderlich. Beim aktuellen Stand der Konfiguration ist es noch manuell mittels»kinit«vom KDC anzufordern. Beim Zugriff auf einem Kerberos-Dienst fordert jeder einzelne Client im Hintergrund ein entsprechendes Service- Ticket über die Bibliothek»libnss_ldap.so«die Benutzerdaten von einem LDAP-Server ab. Meldet ein Benutzer sich am System an, erhält er direkt ein Kerberos-TGT zugeteilt das dann später für einen passwortlosen Zugriff auf andere Kerberos- Dienste zum Einsatz kommt. Solange der Rechner immer mit dem Netzwerk verbunden ist, funktioniert die beschriebene Prozedur fehlerfrei, denn jeder Client kann sich mit jedem Server verbinden (Abbildung 3). Problematisch wird es, wenn eines der beiden Serversysteme nicht erreichbar ist, im schlimmsten Fall sogar beide es nicht sind. Das kommt beispielsweise vor, wenn es sich bei der Workstation um ein Notebook handelt. Solange es mit dem Firmennetzwerk verbunden ist, kann sich ein Benutzer mit dem Firmenaccount anmelden. Ist der Benutzer jedoch auf Reisen, klappt die Anmeldung mit diesem Konto nicht mehr. Genau deswegen legen viele Benutzer für die mobile Nutzung ihres Geräts oftmals noch ein zweites, lokales Konto auf dem System an. Mit dem recht neuen System Security Services Daemon (SSSD) ist dies jedoch nicht mehr notwendig. Der SSSD ist Teil des Free-IPA-Projekts [2], existiert jedoch ebenfalls als eifür den angefragten Dienst an. Die Authentifizierung findet dann mit Hilfe dieses Service-Tickets statt. Je nach eingesetztem Directory-Server ist darauf zu achten, dass das Mapping zwischen dem Kerberos-Principal des Benutzers und dem entsprechenden Distinguished Name (DN) auf dem LDAP-Server korrekt funktioniert. Für den 389-Directory-Server existiert hierfür bereits ein passendes Plugin. PAM anpassen Damit nun auch die Anmeldung eines Benutzers an seiner Workstation mittels LDAP und Kerberos klappt, muss der Administrator die entsprechenden Konfigurationsdateien der beiden Subsysteme PAM und NSS anpassen. Die Konfigurationsdateien für PAM liegen üblicherweise im Verzeichnis»/etc/pam.d«, der NSS greift auf die Datei»/etc/nsswitch. conf«zurück. Zur Konfiguration dieser Dateien bietet sich das Tool»system config authentication«an (Abbildung 2). Es kümmert sich um die entsprechenden Konfigurationsänderungen. Das Passwort eines Benutzers überprüft von nun an die PAM-Bibliothek»pam_ krb5.so«. Der Name Service Switch fragt Abbildung 4: Ressourcen-schonend: Auch wenn mehrerer Benutzer angemeldet sind, genügt dank SSSD eine einzelne Verbindung zum LDAP-Server. Admin Ausgabe

5 Security SSSD Abbildung 5: Kommt der SSSD zum Einsatz, dann bietet dieser auch ein lokales Interface für die beiden Subsysteme PAM und NSS. tenbank ist in diesem Fall Free IPA auszuwählen, für die Authentifizierung wird ein Kerberos-Server vorrausgesetzt. In der PAM-Konfigurationsdatei (Listing 4) kommt statt»pam_krb5.so«nun»pam_ sssd.so«zum Einsatz. Hierüber erfolgt der Zugriff auf die PAM-Schnittstelle des SSSD. Damit der NSS sich entsprechend an die für ihn gedachte Schnittstelle andockt, erzeugt das Konfigurationstool für die Benutzerdatenbank auch gleich einen Eintrag»sssd«in der Datei»/etc/ nsswitch.conf«. In der Konfigurationsdatei»/etc/sssd/ sssd.conf«für den SSSD sind die einzelnen Abschnitte für den»nss«und»pam«(listing 5) zu erkennen. In der globalen Sektion»sssd«lassen sich Einstellungen für den Dienst selbst vornehmen. Die Angabe von»domains«steuert den Zugenständiges Tool. Beispielsweise hatte bereits die Fedora-Version 11 eine frühe Version mit an Bord, es kommt natürlich auch in aktuellen Versionen zum Einsatz. Benutzer anderer Distributionen installieren den Dienst einfach mit Hilfe des jeweiligen Paketmanagers oder laden das Tool von der Projektseite im Quellcode herunter [3]. Anmeldung ohne Netz Der SSSD stellt verschiedene Funktionen zur Verfügung, von denen drei besonders interessant sind. Zum einen löst das Tool das soeben angesprochene Problem der Offline-Authentifizierung eines Benutzers. Der SSSD hält empfangene Credentials eines zentralen Servers einfach in einem lokalen Cache vor. Meldet sich ein Benutzer also im Fimennetzwerk mit einem Firmenkonto an seinem Notebook an, dann gelangen die Credentials automatisch in den SSSD-Cache. Wie lange diese dort liegen bleiben und gültig sind, Abbildung 6: Auch zur SSSD-Konfiguration bietet sich das Tool»system config authentication«an. lässt sich in einer zentralen Konfigurationsdatei festlegen. Zudem unterstützt der SSSD die Abfrage mehrerer LDAP- oder auch NIS-Server. Damit lässt sich eine Vielzahl unterschiedlicher Benutzerdatenbanken abfragen. Auch aus Performance-Sicht bietet der Einsatz des neuen Daemon einen Vorteil. Statt für jede Abfrage an den LDAP- Server eine eigene Verbindung aufzubauen, ist nur ein Socket vom SSSD zum LDAP-Server nötig (Abbildung 4). Der Daemon bietet dabei eine eigene NSS- und PAM-Schnittstelle für anfragende Clientsysteme an (Abbildung 5). Im Backend sorgen so genannte Security- Provider für Zugriff auf den entsprechenden Identity- oder Authentication-Server. Sind diese nicht zu erreichen, wird der Cache nach bereits vorhandenen Credentials abgefragt. Die Konfiguration des Dienstes geschieht im einfachsten Fall wieder über das bereits erwähnte Tool»system config authentication«(abbildung 6). Für die Benutzerda- Listing 4: PAM-Konfiguration für SSSD 01 /etc/pam.d/system auth 02 auth required pam_env.so 03 auth sufficient pam_unix.so nullok try_first_pass 04 auth requisite pam_succeed_if.so uid >= 500 quiet 05 auth sufficient pam_sss.so use_first_pass 06 auth required pam_deny.so account required pam_unix.so broken_shadow 09 account sufficient pam_localuser.so 10 account sufficient pam_succeed_if.so uid < 500 quiet 11 account [default=bad success=ok user_unknown=ignore] pam_sss.so 12 account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 15 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok 16 password sufficient pam_sss.so use_authtok 17 password required pam_deny.so session optional pam_keyinit.so revoke 20 session required pam_limits.so 21 session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid 22 session required pam_unix.so 23 session optional pam_sss.so 6 Ausgabe Admin

6 SSSD Security griff auf mehrere Benutzerdatenbanken. Diese sind dann im Folgenden durch entsprechende Konfigurationsoptionen näher zu spezifizieren. Die Hilfeseite»man 5 sssd.conf«bietet einen umfassenden Überblick aller zur Verfügung stehenden Konfigurationsoptionen an. Fazit Gerade für mobile Benutzer bietet der Einsatz des System Security Services Daemon (SSSD) große Vorteile. Anstatt mit unterschiedlichen Benutzerkonten arbeiten zu müssen, kommt nun nur Infos [1] Thorsten Scherf, LDAP-Directory-Server 389 : ADMIN-Magazin 01/ 2010, S 72 [2] Free-IPA-Projektseite: [http:// freeipa. org/ page/ Main_Page] [3] SSSD-Projektseite: [https:// fedorahosted. org/ sssd/] noch ein einzelnes Konto zum Einsatz. Im Offline-Modus kommen die Benutzer- Credentials dann einfach aus dem Cache. Auch im Datacenter selbst ist diese Funktion recht hilfreich, hilft sie doch dabei, einen temporären Ausfall eines LDAPoder Kerberos-Servers zu überbrücken. 01 [sssd] 02 config_file_version = 2 03 reconnection_retries = 3 04 sbus_timeout = services = nss, pam 06 domains = tuxgeek [nss] 09 filter_groups = root 10 filter_users = root 11 reconnection_retries = [pam] 14 reconnection_retries = [domain/tuxgeek] Im Vergleich zum bereits existierenden Name Service Cache Daemon (NSCD) bietet der SSSD eine wesentlich genauere Verwaltung der Cache-Einträge an. Auch verfallen diese (jedenfalls in der Default-Konfiguration) nicht, solange ein Benutzer offline ist. (ofr) n Listing 5: SSSD-Konfigurationsdatei 17 auth_provider = krb5 18 cache_credentials = True 19 ldap_id_use_start_tls = False 20 debug_level = 0 21 enumerate = True 22 krb5_kpasswd = tiffy.tuxgeek.de 23 ldap_schema = rfc2307bis 24 ldap_search_base = dc=tuxgeek,dc=de 25 krb5_realm = TUXGEEK.DE 26 chpass_provider = krb5 27 id_provider = ldap 28 ldap_uri = ldap:// / 29 krb5_kdcip = tiffy.tuxgeek.de 30 ldap_tls_cacertdir = /etc/openldap/cacerts 1/2 quer A 210 x 148 mm zzgl. Beschnitt??? Admin Ausgabe

Single-Sign-On mit Kerberos V

Single-Sign-On mit Kerberos V Single-Sign-On mit Kerberos V Jörg Rödel 21. Oktober 2005 Jörg Rödel Was ist Single-Sign-On? oft nur verstanden als ein Nutzer/Passwort-Paar für alle Dienste eines Netzwerkes so wird es

Mehr

Mike Wiesner mike@agile-entwicklung.de. Mike Wiesner 1

Mike Wiesner mike@agile-entwicklung.de. Mike Wiesner 1 Kerberos V5 mit Debian Mike Wiesner mike@agile-entwicklung.de Mike Wiesner 1 Agenda Einführung Implementierungen Installation Kerberized Services Windows Integration Mike Wiesner 2 Über mich Softwareentwickler

Mehr

Zentrale Benutzerverwaltung für Linux im Active Directory

Zentrale Benutzerverwaltung für Linux im Active Directory Zentrale Benutzerverwaltung für Linux im Active Directory 15. März 2007 Inhalt Identitätsmanagement Zugriff über offene Standards Interaktion Linux und Active Directory Linux-Clients im Active Directory

Mehr

Kerberos. Kerberos. Folien unter. http://www.tu-berlin.de/zrz/mitarbeiter/stsc4000/tubit_kerberos_infrastruktur.pdf. 1 Stefan Schnieber 23.05.

Kerberos. Kerberos. Folien unter. http://www.tu-berlin.de/zrz/mitarbeiter/stsc4000/tubit_kerberos_infrastruktur.pdf. 1 Stefan Schnieber 23.05. Kerberos Folien unter http://www.tu-berlin.de/zrz/mitarbeiter/stsc4000/tubit_kerberos_infrastruktur.pdf 1 Stefan Schnieber Authentication of Unknown Entities on an Insecure Network of Untrusted Workstations

Mehr

Kerberos: Prinzip und Umsetzung. Sascha Klopp

Kerberos: Prinzip und Umsetzung. Sascha Klopp Kerberos: Prinzip und Umsetzung Sascha Klopp Inhalt Prinzip Umsetzung Anwendungen Vor- und Nachteile Sascha Klopp, Kerberos: Prinzip und Umsetzung, 18.11.2008 Seite 2 Historie Das Kerberos-Protokoll wurde

Mehr

z/os LDAP ein zentraler Security Service Mit IBM System z in die Zukunft

z/os LDAP ein zentraler Security Service Mit IBM System z in die Zukunft Mit IBM System z in die Zukunft Empalis z/os-tag 2008 IBM Forum Stuttgart, 2008-07-09 Oliver Paukstadt, Millenux GmbH Christian Tatz, Empalis GmbH Agenda LDAP Theorie & Grundlagen Anbindung eines Linux/Unix

Mehr

Sysadmin Day 2010. Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe)

Sysadmin Day 2010. Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe) Sysadmin Day 2010 Windows & Linux just good friends? friends!!! Ralf Wigand MVP Directory Services KIT (Universität Karlsruhe) Voraussetzungen Sie haben ein Active Directory Sie haben einen Linux Client

Mehr

Kerberos und NFSv4. Alexander Kaiser. 27. November 2012. AG Technische Informatik

Kerberos und NFSv4. Alexander Kaiser. 27. November 2012. AG Technische Informatik Kerberos und NFSv4 Alexander Kaiser AG Technische Informatik 27. November 2012 Einleitung 2 / 23 Übersicht 1 Einleitung 2 Kerberos 3 NFSv4 4 Ausblick Einleitung 3 / 23 Geschichte Kerberos verteilter Authentifizierungsdienst

Mehr

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Guido Söldner guido@netlogix.de. Überblick über das Kerberos-Protokoll Ein Standardvorgang in der Computersicherheit

Mehr

One account to rule them all

One account to rule them all Kerberos und Single Sign-On für Linux One account to rule them all Sebastian tokkee Harl 28. April 2012 Grazer Linuxtage Kerberos: Überblick Sichere Authentifizierung über (unsichere) Netzwerke

Mehr

Linux Benutzer-Authentifizierung mit dem Oracle Internet Directory

Linux Benutzer-Authentifizierung mit dem Oracle Internet Directory Linux Benutzer-Authentifizierung mit dem Oracle Internet Directory Autor: Frank Berger DOAGNews Q4_2004 Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die der

Mehr

Dateninseln. Andere Applikationen: Calendar Server Web Server Telefonbücher...

Dateninseln. Andere Applikationen: Calendar Server Web Server Telefonbücher... Das Problem Dateninseln Andere Applikationen: Calendar Server Web Server Telefonbücher... NIS Flache Datenstruktur Alle Benutzerinformationen in einem File Zugriff auf alles oder nichts Nicht oder schwer

Mehr

AD als Benutzerdatenbank für heterogene DV-Systeme

AD als Benutzerdatenbank für heterogene DV-Systeme IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik AD als Benutzerdatenbank für heterogene DV-Systeme Westfälische Wilhelms-Universität Münster Herbsttreffen 2004 Böblingen 15-NOV-2004

Mehr

NDS-Anmeldung und Zugriff auf das NetWare-Dateisystem unter Linux

NDS-Anmeldung und Zugriff auf das NetWare-Dateisystem unter Linux Linux Dominik Volkamer 28. März 2008 1 Gliederung Begriffserklärung Ziel Einstellungen am Server Dateirechte vergeben Einstellungen am Client Verzeichnisse einhängen Vor- und Nachteile 2 Begriffserklärung

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

Free IPA (Identity Policy - Audit)

Free IPA (Identity Policy - Audit) Free IPA (Identity Policy - Audit) OSDCM: User Management Jürgen Brunk München, 06.05.2014 Agenda 1. Was ist Free IPA? 2. Übersicht 3. CLI und Web-GUI 4. Windows AD Anbindung 5. Framework 6. Umgebung 7.

Mehr

AD als Benutzerdatenbank für heterogene DV- Systeme

AD als Benutzerdatenbank für heterogene DV- Systeme IT-Symposium 200 20.0.200 Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik AD als Benutzerdatenbank für heterogene DV- Systeme Westfälische Wilhelms-Universität Münster IT-Symposium 200 Bonn

Mehr

LDAP für Benutzer-Accounts Vorteile, technische Umsetzung und Risiken

LDAP für Benutzer-Accounts Vorteile, technische Umsetzung und Risiken LDAP für Benutzer-Accounts Vorteile, technische Umsetzung und Risiken 25. Januar 2006 Karsten Reineck Björn Wontora Agenda Motivation und Vorteile Technische Umsetzung Benutzer-Accounts für Linux Benutzer-Accounts

Mehr

Linux in NWZnet Active Directory- Integration

Linux in NWZnet Active Directory- Integration IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster Einführung in die Administration von Rechnern in der IVV SS 2006 Linux in NWZnet Active Directory-

Mehr

Kerberos. Single Sign On. Benutzerauthentisier ung. Holger.Zuleger@hznet.de. 10. Jan 2002 Holger Zuleger 1/28. > c

Kerberos. Single Sign On. Benutzerauthentisier ung. Holger.Zuleger@hznet.de. 10. Jan 2002 Holger Zuleger 1/28. > c Kerberos Single Sign On Benutzerauthentisier ung Holger.Zuleger@hznet.de 10. Jan 2002 Holger Zuleger 1/28 > c Was ist Kerberos? a. Dreiköpfiger Höllenhund aus der griechischen Mythologie b. "Third party"

Mehr

Verzeichnisbasiertes Benutzer- und Systemmanagement mit LDAP und Gosa

Verzeichnisbasiertes Benutzer- und Systemmanagement mit LDAP und Gosa Verzeichnisbasiertes Benutzer- und Systemmanagement mit und Gosa Dipl.-Inform. Holger Burbach GONICUS GmbH Arnsberg/Bonn http://www.gonicus.de info@gonicus.de Agenda Über GONICUS Einführung in smöglichkeiten

Mehr

Kerberos. Markus Schade

Kerberos. Markus Schade Kerberos Markus Schade Agenda Einleitung Authentifizierung Protokoll Implementierungen Anwendungen Vertraust Du mir? Oder mir? Historie 1988 am MIT im Rahmen des Athena Projekts entwickelt Client/Server-Architektur

Mehr

Modul 8 Kerberos. Fachhochschule Bonn-Rhein-Sieg. Prof. Dr. Martin Leischner Fachbereich Informatik

Modul 8 Kerberos. Fachhochschule Bonn-Rhein-Sieg. Prof. Dr. Martin Leischner Fachbereich Informatik Modul 8 Kerberos M. Leischner Sicherheit in Netzen Folie 1 Steckbrief Kerberos Woher kommt der Name "Kerberos" aus der griechischen Mythologie - dreiköpfiger Hund, der den Eingang des Hades bewacht. Wagt

Mehr

IT-Symposium 2005 07.04.2005. Am Beispiel der Einbindung von Linux- Rechnern in die Benutzer- und Ressourcenverwaltung eines Active Directory

IT-Symposium 2005 07.04.2005. Am Beispiel der Einbindung von Linux- Rechnern in die Benutzer- und Ressourcenverwaltung eines Active Directory IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster IT-Symposium 2005 Neuss Benutzerverwaltung in heterogenen Betriebssystemumgebungen mit Active

Mehr

LDAP Vortragsreihe - Teil 1 Konzepte und Möglichkeiten

LDAP Vortragsreihe - Teil 1 Konzepte und Möglichkeiten LDAP Vortragsreihe - Teil 1 Konzepte und Möglichkeiten Jörg Rödel 22. März 2004 Jörg Rödel Was ist LDAP? Lightweight Directory Access Protocoll eigentlich nur ein Protokollstandard allgemein

Mehr

Einrichten von LDAP. 1. Erstellen der Haupt-Konfigurationsdatei ldapmaster:~ # cat /etc/openldap/slapd.conf grep -v ^# uniq

Einrichten von LDAP. 1. Erstellen der Haupt-Konfigurationsdatei ldapmaster:~ # cat /etc/openldap/slapd.conf grep -v ^# uniq Einrichten von LDAP Konfiguration des Servers 1. Erstellen der HauptKonfigurationsdatei ldapmaster:~ # cat /etc/openldap/slapd.conf grep v ^# uniq /etc/openldap/schema/core.schema /etc/openldap/schema/cosine.schema

Mehr

Linux in NWZnet Active Directory- Integration

Linux in NWZnet Active Directory- Integration IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster Einführung in die Administration von Rechnern in der IVV WS 2005/06 Linux in NWZnet Active Directory-

Mehr

Kerberos - Single Sign On ganz einfach

Kerberos - Single Sign On ganz einfach Kerberos - Single Sign On ganz einfach Jürgen Kühn Trivadis GmbH Düsseldorf Schlüsselworte: Kerberos, Advanced Security Option, Key Distribution Center, Ticket Granting Ticket, Service Ticket, Realm, External

Mehr

SSH-Authentifizierung über eine ADS mittels Kerberos 5. Roland Mohl 19. Juli 2007

SSH-Authentifizierung über eine ADS mittels Kerberos 5. Roland Mohl 19. Juli 2007 Roland Mohl 19. Juli 2007 Inhalt Ausgangssituation am RRZE Zielsetzung des Projekts Beschreibung der Testumgebung Funktionsweise von Kerberos 5 Durchführung Test des Gesamtsystems Fazit 22.10.2007 roland.mohl@rrze.uni-erlangen.de

Mehr

Verteilte Authentifizierung und Single Sign-On am Beispiel von Kerberos

Verteilte Authentifizierung und Single Sign-On am Beispiel von Kerberos Verteilte Authentifizierung und Single Sign-On am Beispiel von Hochschule für Technik Zürich MAS Informatik, Verteilte Systeme 9.9.2010 Outline 1 Was ist das Problem? Geschichtlicher Rückblick 2 V Konzepte

Mehr

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Fachhochschule Bonn-Rhein-Sieg

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Fachhochschule Bonn-Rhein-Sieg Modul 8 Kerberos M. Leischner Sicherheit in Netzen Folie 1 Steckbrief Kerberos Woher kommt der Name "Kerberos" aus der griechischen Mythologie - dreiköpfiger Hund, der den Eingang des Hades bewacht. Wagt

Mehr

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003

Mehr

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg Modul 8 Kerberos Auch den Kerberos sah ich, mit bissigen Zähnen bewaffnet Böse rollt er die Augen, den Schlund des Hades bewachend. Wagt es einer der Toten an ihm vorbei sich zu schleichen, So schlägt

Mehr

Internet APM 3. Holger Albert

Internet APM 3. Holger Albert Internet APM 3 Holger Albert June 6, 2004 LDAP - Lightweight Directory Access Protocol Author : Holger Albert 1 Contents I Was ist LDAP 2 II Funktionsweise 4 III Allgemeines 7 IV Installation 9 V Abschliesend

Mehr

%%& ( ) + ),. ( /, + 010 2&3 %%& 4. 12 ) #3 %%& 4. 1 2#3 %%% 4. 1# 4. #101 & 5,06

%%& ( ) + ),. ( /, + 010 2&3 %%& 4. 12 ) #3 %%& 4. 1 2#3 %%% 4. 1# 4. #101 & 5,06 ! # %%& ( ) + ),. ( /, + 010 2&3 %%& 4. 12 ) #3 %%& 4. 1 2#3 %%% 4. 1# 4. #101 & 5,06 ( 7 38 4 8 9, :.) ;1 )?8 ) Α : )) ). 9 ) ). 9.) = + 9 ), ) 9 ) ( ) Β ) ). 1 9 ).1 9 ) 5, ) 6 ). 1 9. ,

Mehr

LDAP und Kerberos. Folien unter http://ca.tu-berlin.de/docs/pdf/ldap-vortrag.pdf. 1 Gerd Schering 29.05.07

LDAP und Kerberos. Folien unter http://ca.tu-berlin.de/docs/pdf/ldap-vortrag.pdf. 1 Gerd Schering 29.05.07 LDAP und Kerberos Folien unter http://ca.tu-berlin.de/docs/pdf/ldap-vortrag.pdf 1 Gerd Schering LDAP: Agenda Was ist LDAP? LDAP Strukturen / Datenmodell LDAP Operationen LDAP Anwendungen tubit LDAP Server

Mehr

Realisierung und Einführungskonzept einer standortübergreifenden Vereinheitlichung der Benutzerverwaltung mit LDAP

Realisierung und Einführungskonzept einer standortübergreifenden Vereinheitlichung der Benutzerverwaltung mit LDAP Realisierung und Einführungskonzept einer standortübergreifenden Vereinheitlichung der Benutzerverwaltung mit LDAP Diplomarbeit bei Continental Temic in Ingolstadt 30. 5. 2005 Bernhard Geier Vorstellung

Mehr

Kerberos Geheimnisse in der Oracle Datenbank Welt

Kerberos Geheimnisse in der Oracle Datenbank Welt Kerberos Geheimnisse in der Oracle Datenbank Welt Helmut Eckstein Pepperl+Fuchs GmbH Mannheim Suvad Sahovic ORACLE Deutschland B.V. & Co. KG Potsdam Schlüsselworte: Oracle Datenbank Server, Kerberos, Oracle

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

LDAP in der GWDG Einsatzspektrum

LDAP in der GWDG Einsatzspektrum LDAP in der GWDG Einsatzspektrum Konrad Heuer, Andreas Ißleiber Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Einleitung In diesem Vortrag wird dargestellt, wie sich das Einsatzspektrum

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Das Kerberos-Protokoll Florian Wallner wallner@balumba.org Juli 2008 Das Kerberos-Protokoll ermöglicht das sichere Authentifizieren in unsicheren Computer- Netzwerken. Es wurde in den 80 er Jahren des

Mehr

http://timof.qipc.org/ldap Timo Felbinger 20.09.2006 Eine kleine Einführung LDAP

http://timof.qipc.org/ldap Timo Felbinger 20.09.2006 Eine kleine Einführung LDAP LDAP Eine kleine Einführung Timo Felbinger 20.09.2006 http://timof.qipc.org/ldap LDAP: Überblick und einige Anwendungen 2 Server < LDAP > (Lightweight Directory Access Protocol) Client(s) Kommandozeilenbefehle:

Mehr

LDAP Server & Clients Benutzer-Authentifizierung mit LDAP LDAP. Philipp Wendler. IEEE Student Branch Passau. 28. Mai 2009 1 / 29

LDAP Server & Clients Benutzer-Authentifizierung mit LDAP LDAP. Philipp Wendler. IEEE Student Branch Passau. 28. Mai 2009 1 / 29 Server & Clients Benutzer-Authentifizierung mit IEEE Student Branch Passau 28. Mai 2009 1 / 29 Server & Clients Benutzer-Authentifizierung mit Inhalt 1 2 Server & Clients 3 Benutzer-Authentifizierung mit

Mehr

Konzepte von Betriebssystem-Komponenten Schwerpunkt Sicherheit. Unix-Benutzerverwaltung: Grundlagen, OpenLDAP. Daniel Bast daniel.bast@gmx.

Konzepte von Betriebssystem-Komponenten Schwerpunkt Sicherheit. Unix-Benutzerverwaltung: Grundlagen, OpenLDAP. Daniel Bast daniel.bast@gmx. Konzepte von Betriebssystem-Komponenten Schwerpunkt Sicherheit Unix-Benutzerverwaltung: Grundlagen, OpenLDAP Daniel Bast daniel.bast@gmx.net Überblick Klassische Benutzerverwaltung OpenLDAP Verzeichnisdienste

Mehr

Cloud Control, Single Sign On in Active Directory Umfeld

Cloud Control, Single Sign On in Active Directory Umfeld Cloud Control, Single Sign On in Active Directory Umfeld Abdi Mohammadi ORACLE Deutschland B.V. & Co. KG Hamburg Schlüsselworte Cloud Control, SSO, SPNEGO,, Enterprise User Security, Web SSO, Oracle Access

Mehr

Linux Client im Windows AD

Linux Client im Windows AD Linux Client im Windows AD Ein Erfahrungsbericht RBG-Seminar WS 06/07 21.11.2006 Holger Kälberer Übersicht Einleitendes: Infrastruktur und Dienste, was ist AD? 1.Authentifizierung 2.Home Verzeichnisse

Mehr

1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS

1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS 1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS Vortrag zum 4. LUGD Tag, am 21.1.2010 form4 GmbH & Co. KG Oliver Charlet, Hajo Passon Tel.: 040.20 93 27 88-0 E-Mail: oliver.charlet@form4.de

Mehr

Fernwartung des Schulservers übers Internet Anleitung ssh - putty winscp - für Arktur v.3.5.2 bzw. v.3.5.6 -

Fernwartung des Schulservers übers Internet Anleitung ssh - putty winscp - für Arktur v.3.5.2 bzw. v.3.5.6 - Fernwartung des Schulservers übers Internet Anleitung ssh - putty winscp - für Arktur v.3.5.2 bzw. v.3.5.6 - Die folgende Anleitung beschreibt die Fernwartung des Schulservers z.b. von zu Hause über das

Mehr

Konfiguration Zentyal 3.3 Inhaltsverzeichnis

Konfiguration Zentyal 3.3 Inhaltsverzeichnis Konfiguration Zentyal 3.3 Inhaltsverzeichnis Installation... 2 Grundkomponenten... 5 Grundkonfiguration... 6 Netzwerk... 6 Domain... 7 Updates installieren... 8 DNS konfigurieren... 10 Anpassungen in DNS

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Zentrale Authentifizierungsdienste an der RUB Herbsttreffen zki AK Verzeichnisdienste 09.10.2012

Zentrale Authentifizierungsdienste an der RUB Herbsttreffen zki AK Verzeichnisdienste 09.10.2012 Zentrale Authentifizierungsdienste an der RUB Rechenzentrum der RUB Hans-Ulrich.Beres@rub.de Agenda Identity-Management-System RUBiKS Active Directory LDAP Fragen 2 Ruhr-Universität Bochum 37.000 Studierende

Mehr

ict-infrastruktur für bildungsaufgaben Sommersemester 2015 Juni 11, 2015

ict-infrastruktur für bildungsaufgaben Sommersemester 2015 Juni 11, 2015 ict-infrastruktur für bildungsaufgaben. Sommersemester 2015 Juni 11, 2015 0 Authentifizierung von Nutzern: PAM, NSS und LDAP 1 authentifizierung Authentifizierung spielt bei Computersystemen eine beinahe

Mehr

Netzsicherheit: Architekturen und Protokolle Kerberos. 1. Einführung 2. Kerberos Version 4 3. Kerberos Version 5

Netzsicherheit: Architekturen und Protokolle Kerberos. 1. Einführung 2. Kerberos Version 4 3. Kerberos Version 5 Netzsicherheit: Architekturen und Protokolle 1. Einführung 2. Version 4 3. Version 5 Schlüsselspiel?????? Alice? Sichere Kommunikation Bob zentrale Frage: Woher kommt das Schlüsselmaterial? 1 Einführung

Mehr

[11-4] https://de.wikipedia.org/wiki/lightweight_directory_access_protocol

[11-4] https://de.wikipedia.org/wiki/lightweight_directory_access_protocol Literatur [11-1] http://www.syn-wiki.de/lan-wan- Analysis/htm/ger/_0/Namensdienst.htm [11-2] https://de.wikipedia.org/wiki/remote_method_invocation [11-3] https://de.wikipedia.org/wiki/verzeichnisdienst

Mehr

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH Single-Sign-On mit Java und Kerberos Michael Wiesner, SOFTCON IT-Service GmbH Über mich Softwareentwickler und Sicherheitsexperte bei der Firma SOFTCON Projekte: Enterprise Software, Webportale, Sicherheitslösungen,...

Mehr

Step by Step LDAP und Samba unter SuSe Linux. von Christian Bartl

Step by Step LDAP und Samba unter SuSe Linux. von Christian Bartl Step by Step LDAP und Samba unter SuSe Linux von LDAP und Samba unter SuSe Linux 1) LDAP-Server Installation und Vorraussetzungen Als Betriebssystem dient SuSe 9.1 um LDAP erfolgreich implementieren zu

Mehr

SecurityGateway. Installationsanleitung

SecurityGateway. Installationsanleitung Installationsanleitung Inhaltsverzeichnis Installationsanleitung 3 Schritt 1 Download der Installationsdateien 3 Schritt 2 Willkommensbildschirm 4 Schritt 3 Lizenzbestimmungen 4 Schritt 4 Installationsverzeichnis

Mehr

Rechnernetze Praktikum Versuch 2: MySQL und VPN

Rechnernetze Praktikum Versuch 2: MySQL und VPN Rechnernetze Praktikum Versuch 2: MySQL und VPN Ziel Absicherung einer MySQL Verbindung mittels VPN Vorbereitung Warum muss eine MySQL Verbindung gesichert werden? Was versteht man unter MySQL Injektion?

Mehr

Zur Person. Michael Ströder. Freiberuflicher Berater Schwerpunkte Verzeichnisdienste & IT Sicherheit. OSS Projekte im LDAP Umfeld

Zur Person. Michael Ströder. Freiberuflicher Berater Schwerpunkte Verzeichnisdienste & IT Sicherheit. OSS Projekte im LDAP Umfeld Zur Person Michael Ströder Freiberuflicher Berater Schwerpunkte Verzeichnisdienste & IT Sicherheit LDAP / X.500 Benutzerverwaltung (Identity Management / Provisioning) PKI / X.509, Verschlüsselung, Digitale

Mehr

2 Verwalten einer Active Directory

2 Verwalten einer Active Directory Einführung 2 Verwalten einer Active Directory Infrastruktur Lernziele Active Directory und DNS Besonderheiten beim Anmeldevorgang Vertrauensstellungen Sichern von Active Directory Wiederherstellen von

Mehr

OP-LOG www.op-log.de

OP-LOG www.op-log.de Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server

Mehr

LDAP Grundlagen. als Einführung zum. Workshop

LDAP Grundlagen. als Einführung zum. Workshop als Einführung zum Workshop Inhaltsverzeichnis Was ist ein Verzeichnisdienst?...3 Die aktuelle LDAP Version 3...3 Der Einsatz von LDAP im Netzwerk...3 Aufbau des LDAP Datenmodell...4 Objekte...5 Attribute...6

Mehr

Guide DynDNS und Portforwarding

Guide DynDNS und Portforwarding Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch

Mehr

mit LDAP Einführung, Überblick und Anwendung

mit LDAP Einführung, Überblick und Anwendung Effiziente Nutzerverwaltung mit LDAP Einführung, Überblick und Anwendung Reiner Klaproth, Mittelschule Johannstadt-Nord Dresden Maintainer des Arktur-Schulservers V4.0 1. Was ist LDAP? Geschichte Modell

Mehr

1 Outlook 2013-Installation und Konfiguration

1 Outlook 2013-Installation und Konfiguration Outlook 2013-Installation und Konfiguration 1 Outlook 2013-Installation und Konfiguration Outlook kann in zwei Betriebsmodi verwendet werden: Exchange Server-Client: In diesem Modus werden die E-Mails

Mehr

HOWTO: Installation eines Samba-PDC mit LDAP-Authentifizierung Version 1.0-21.09.2002 (w) Stefan Peters - stefan@alles-eazy.de

HOWTO: Installation eines Samba-PDC mit LDAP-Authentifizierung Version 1.0-21.09.2002 (w) Stefan Peters - stefan@alles-eazy.de HOWTO: Installation eines Samba-PDC mit LDAP-Authentifizierung Version 1.0-21.09.2002 (w) Stefan Peters - stefan@alles-eazy.de Vorbemerkung Als Grundlage für die Einrichtung des Samba-PDC's diente mir

Mehr

Handschlag zwischen den Welten

Handschlag zwischen den Welten Gemeinsame Benutzerverwaltung in Windows- und Linux-Netzwerken Handschlag zwischen den Welten Quelle: Konstantin Gastmann - aboutpixel.de von Thorsten Scherf Einheitliche Benutzerkonten in gemischten Windows-

Mehr

28.3 Samba verwaltet selbst Konten im LDAP

28.3 Samba verwaltet selbst Konten im LDAP 196 28 Samba als Primary Domain Controller 28.3 Samba verwaltet selbst Konten im LDAP Keine externen Tools mehr notwendig Seit Samba 3.0.25 kann Samba ohne externe Hilfsmittel Benutzer- und Maschinenkonten

Mehr

4 Zugriffskontrolle mit ACLs

4 Zugriffskontrolle mit ACLs 4 Zugriffskontrolle mit ACLs In diesem Kapitel lernen Sie wie man mit ACLs Zugriffsrechte auf einzelne Ressourcen vergibt. Unter einer ACL (Access Control List) versteht man eine Liste mit Zugriffsrechten.

Mehr

Single Sign-On mit Kerberos V5

Single Sign-On mit Kerberos V5 Froscon 2006 Michael Wiesner SOFTCON IT Service GmbH Über mich Softwareentwickler und Sicherheitsexperte bei der Firma SOFTCON Projekte: Enterprise Software, Webportale, Sicherheitslösungen,... Trainings

Mehr

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen

Mehr

09.01.2014. Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34

09.01.2014. Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34 09.01.2014 Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34 Inhaltsverzeichnis 1 Der Auftrag... 3 2 Ist-Zustand... 3 3 Soll-Zustand...

Mehr

FreeIPA. 124 Linux Technical Review, Ausgabe 10

FreeIPA. 124 Linux Technical Review, Ausgabe 10 FreeIPA IPA, das steht für Identity, Policy und Audit. Doch das Open-Source-Identity-Management- System FreeIPA, das diese Abkürzung im Namen führt, soll später sogar noch mehr können: Es wird dann auch

Mehr

Kerberos im Einsatz mit Oracle: Starke und existente Windows- Authentisierung nutzen

Kerberos im Einsatz mit Oracle: Starke und existente Windows- Authentisierung nutzen Kerberos im Einsatz mit Oracle: Starke und existente Windows- Authentisierung nutzen Suvad Sahovic und Carsten Mützlitz, ORACLE Deutschland B.V. & Co KG Kerberos ist ein sicheres Authentisierungsverfahren

Mehr

Zentrales Sicherheitsinformationssystem FreeIPA Identitäts-Voodoo

Zentrales Sicherheitsinformationssystem FreeIPA Identitäts-Voodoo Zentrales Sicherheitsinformationssystem FreeIPA Identitäts-Voodoo Thorsten Scherf Zentrale Lösungen zur Benutzerverwaltung mit Single-Sign-On- Eigenschaften existieren auch im Open-Source-Umfeld in großer

Mehr

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com.

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com. O&O DiskImage Copyrights Text, Abbildungen und Beispiele wurden mit größter Sorgfalt erstellt. Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen weder eine juristische noch irgendeine

Mehr

Nutzerverwaltung für Moodle über LDAP

Nutzerverwaltung für Moodle über LDAP Ralf Krause 20100112 MoodleTref der Bezirksregierung Düsseldorf Bertha-von-Suttner-Gesamtschule Dormagen Nutzerverwaltung für Moodle über LDAP Arbeitsgruppenmanager von Mac OS X 10.6 Server Im Arbeitsgruppenmanager

Mehr

1. Einstellungen im eigenen Netzwerk

1. Einstellungen im eigenen Netzwerk LDAP / LDAPS Authentifizierung BelWü Moodle 2.X Hinweis: Diese Anleitung bezieht sich auf Moodleinstallationen der Version 2.X Bei Moodle Auftritten der Schulen, die bei Belwue gehostet werden, ist die

Mehr

Benutzerzertifikate für Java Webstart

Benutzerzertifikate für Java Webstart Benutzerzertifikate für Java Webstart Benutzerdokumentation Wien 5. Dezember 2011 Florian Bruckner, Florian Heinisch 3kraft IT GmbH & Co KG Wasagasse 26/2 1090 Wien Österreich Tel: +43 1 920 45 49 Fax

Mehr

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 23.05.2014

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 23.05.2014 Version 2.0.1 Deutsch 23.05.2014 In diesem HOWTO wird beschrieben wie Sie verschiedene Backend's wie SQL Server, Radius Server, Active Directory etc. zur Authentifizierung der Benutzer an die IAC-BOX anbinden.

Mehr

Geschichte und Überlick über Authentifizierungsmechanismen unter UNIX

Geschichte und Überlick über Authentifizierungsmechanismen unter UNIX Unix-, shadow- und md5- Passwörter, PAM Geschichte und Überlick über Authentifizierungsmechanismen unter UNIX Thomas Glanzmann (sithglan@stud.uni-erlangen.de) Lehrstuhl 4 Informatik - FAU Erlangen-Nürnberg

Mehr

LDAP Informationsmodell

LDAP Informationsmodell LDAP Informationsmodell von Präsentation im Rahmen der Vorlesung im WS 05/06 bei Prof. Dr. Martin Leischner. Gliederung LDAP Modelle LDAP Informationsmodell Anwendungsdaten Schemadaten Beispiel FH Fachbereichs

Mehr

Version 2.0.1 Deutsch 03.06.2014. In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.

Version 2.0.1 Deutsch 03.06.2014. In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen. Version 2.0.1 Deutsch 03.06.2014 In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen. Inhaltsverzeichnis... 1 1. Hinweise... 2 2. Konfiguration... 3 2.1. Generische

Mehr

Linux in NWZnet II ZIV Unix-Integration mit DCE/DFS

Linux in NWZnet II ZIV Unix-Integration mit DCE/DFS IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster Einführung in die Administration von Rechnern in der IVV WS 2005/06 Linux in NWZnet II ZIV Unix-Integration

Mehr

Ziel: Problemdefinition: Der vorhandene LDAP Dienst kann mit der Verwendung von MSCHAP nicht für die Authentifizierung verwendet werden.

Ziel: Problemdefinition: Der vorhandene LDAP Dienst kann mit der Verwendung von MSCHAP nicht für die Authentifizierung verwendet werden. Ziel: Integration eines Radiusservers in eine LDAP/Active Directory Umgebung. Dies wird anhand eines Beispiels mit Redhat Enterprise Server 5 veranschaulicht. Problemdefinition: Der vorhandene LDAP Dienst

Mehr

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains.

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains. Wie bereite ich SmartLaw für die Online-Arbeit Damit Sie SmartLaw aus dem Internet und nicht nur lokal nutzen können muss gewährleistet werden, dass der Datenbankserver vom Internet aus zu erreichen ist.

Mehr

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver Mit Hilfe des Programmes pzmadmin v1.6.x Inhaltsverzeichnis Inhaltsverzeichnis...2 Voraussetzungen...3 Schritt 1: Verbindungsdaten

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration Active Directory Integration Mac OS X René Meusel Betriebssystemadministration Sommersemester 2009 Gliederung 2 Motivation Was ist Active Directory? Allgemeine Definition Funktionsweise Unterstützung in

Mehr

Einrichtung eines email-postfaches

Einrichtung eines email-postfaches Um eingerichtete E-Mail-Adressen mit Ihrem persönlichen E-Mail-Programm herunterzuladen und lokal verwalten zu können, ist es notwendig, neue E-Mail-Adressen in die Liste der verwalteten Adressen der Programme

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

MVB3. Einrichtungsvarianten und Update auf v3.5. Admin-Dokumentation. Inhalt V3.05.001

MVB3. Einrichtungsvarianten und Update auf v3.5. Admin-Dokumentation. Inhalt V3.05.001 V3.05.001 MVB3 Admin-Dokumentation Einrichtungsvarianten und Update auf v3.5 Inhalt Serveranpassung für die Lizenzverwaltung (v3.5)... 1 Updates der Clients auf die neue Version... 1 Einrichtungsvarianten...

Mehr

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg Übersicht Stand: 14.04.2010 1. Voraussetzungen... 2 2. Erweiterungen an der ASG Firewall... 3 3. Moodle LDAPS Authentifizierung... 8 4. Organisatorische Hinweise... 16 5. Empfehlungen für die Umstellung

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten

Mehr

Hilfen & Dokumentationen

Hilfen & Dokumentationen Hilfen & Dokumentationen 1. WibuKey Konfiguration für camquix In dieser Anleitung erfahren Sie wie Sie Ihren WibuKey updaten und konfigurieren. 1.1. Was ist ein Wibu-Key und wozu wird er verwendet? WibuKey

Mehr

Benutzerhandbuch. Marco Wegner [14.05.09]

Benutzerhandbuch. Marco Wegner [14.05.09] Benutzerhandbuch Marco Wegner [14.05.09] Inhaltsverzeichnis Inhaltsverzeichnis...2 1. Login...3 2. Navigation...4 2.1 Menü...5 2.2 Das Logfile...5 3. Dokumentenverwaltung...6 3.1 Hochladen von Dateien...6

Mehr

bla bla Guard Benutzeranleitung

bla bla Guard Benutzeranleitung bla bla Guard Benutzeranleitung Guard Guard: Benutzeranleitung Veröffentlicht Mittwoch, 03. September 2014 Version 1.0 Copyright 2006-2014 OPEN-XCHANGE Inc. Dieses Werk ist geistiges Eigentum der Open-Xchange

Mehr

18. September 2005 Linuxweekend Dietrichingen Manuel Schneider

18. September 2005 Linuxweekend Dietrichingen Manuel Schneider Samba-Workshop Ziele - SMB Grundlagen - Komponenten kennenlernen - verschiedenen Passwort-Datenbanken anbinden - Anbindung an andere Systeme Ablauf - Dauer: rund eine Stunde - bei Bedarf mit einer Pause

Mehr