Inhaltsverzeichnis. I Kerberos 1

Transkript

1 xi Inhaltsverzeichnis I Kerberos 1 1 Kerberos im Überblick Ursprung am MIT: Das Athena-Projekt Versionen des Kerberos-Protokolls Standardisierung Implementierungen Kerberos v Kerberos v Interoperabilität Grundlagen der Netzwerkauthentisierung mit Kerberos Authentisierung Authentisierungsmerkmale Problematik der Passwörter Lokale Anmeldung vs. Netzwerkauthentisierung Authentisierung mit Kerberos KDC Realm Principals Tickets Gegenseitige Authentisierung Lokale Anmeldung und Kerberos Delegation Autorisierung, Zugriffskontrolle und Namensdienste Authentisierung ist Voraussetzung Dienste und Identitäten Autorisierung und Kerberos Single Sign-on (SSO) Zusammenfassung... 25

2 xii Inhaltsverzeichnis 3 Kerberos aus Anwendersicht Die Beispielumgebung Lokale Anmeldung Der Credential Cache Anmeldung an Netzwerkdiensten Delegation Eine Demo-Webseite Umgang mit dem Credential Cache Zusammenfassung Sicherheit und Kryptografie Sicherheitsüberlegungen Allgemeine Sicherheitsanforderungen Die beteiligten Systemkomponenten Anforderungen an Kerberos Kryptografie in der Netzwerksicherheit Vertraulichkeit Integrität Authentisierung Passwörter, Schlüssel und Schlüsselaustausch Zusammenfassung Wie funktioniert Kerberos v5? Das Funktionsprinzip im Überblick Voraussetzungen Das einstufige Kerberos-Verfahren Diskussion Das zweistufige Kerberos-Verfahren Zusammenfassung Das Funktionsprinzip im Detail Die KDC-Datenbank Der Authentication Service (AS) Zugriff auf kerberisierte Dienste Der Ticket-Granting Service (TGS) Zusammenfassung Kerberos für Fortgeschrittene KDC-Optionen Optionen für Ticket Renewing Optionen für Ticket Postdating Optionen für die Kerberos-Delegation Sonstige Optionen

3 Inhaltsverzeichnis xiii 6.2 Ticket Flags Flags für Ticket Renewing Flags für Ticket Postdating Flags für die Kerberos-Delegation Sonstige Flags AP-Optionen Tickets automatisiert erneuern TicketsfürdieZukunft Delegation zum Ersten Ticket Forwarding Ticket Proxying Authentisierung zwischen Realms Grundsätzliches zu Vertrauensstellung Zwei Realms Mehr als zwei Realms Namenskanonisierung und Referrals Kanonisierung der Client-Principal-Namen Kanonisierung der Dienste-Principal-Namen Verweise an entfernte Realms Kerberos und Autorisierungsdaten User-to-User-Authentisierung Delegation zum Zweiten Constrained Delegation Protocol Transition Diskussion Initiale Authentisierung mit Zertifikaten Eine Lösung für die Passwort-Problematik Das Funktionsprinzip von PKINIT Fazit II Zentrale Infrastrukturen Grundlegende Infrastruktur Überblick DNS-Namensauflösung mit BIND BIND installieren Zonen einrichten Starten und Testen Zeitsynchronisation mit NTP

4 xiv Inhaltsverzeichnis 7.4 Certificate Authority (CA) mit OpenSSL Einrichtung der CA Einen Zertifikats-Request erzeugen Das Zertifikat unterschreiben Verzeichnisdienst mit OpenLDAP Installation und Konfiguration LDAP-Datenbank für dc=example,dc=com Ein erster Test Sicherheit Das Key Distribution Center von MIT Kerberos Übersicht Softwareinstallation Konfiguration Der Master Key der KDC-Datenbank Zeitangaben bei MIT Kerberos Verschlüsselungstypen Die Datei kdc.conf Initialisierung der KDC-Datenbank Die Datenbank mit kdb5 _ util initialisieren Die initiale Datenbank Mit kadmin.local weitere Principals anlegen Master Key in Stash-Datei ablegen StartendesKDC Ein erster Test Die Administration von MIT Kerberos Der Kadmin-Dienst Administrative Zugriffe kontrollieren Der Kpasswd-Dienst Starten der administrativen Dienste Principals verwalten Passwortrichtlinien Principal-Eigenschaften Anwender-Principals anlegen Dienste-Principals anlegen Verschlüsselungstypen der Principals verwalten Keytabs verwalten Service Keys ändern

5 Inhaltsverzeichnis xv 10 Die Clientkommandos von MIT Kerberos Installation und Konfiguration Die Kommandos kinit und klist Tickets holen Ticket-Eigenschaften anzeigen und beeinflussen Protokoll-Requests beeinflussen Sonstige Kommandozeilenoptionen Service Tickets holen Mit Keytabs arbeiten Das Kommando kvno Das Kommando kpasswd Das Kommando kdestroy Die Kommandos k5start und krenew krenew k5start Die Konfiguration der MIT Libraries Die Datei krb5.conf Die Struktur der krb5.conf Konfigurationsabschnitte Parameter im Abschnitt [libdefaults] Parameter im Abschnitt [realms] Parameter im Abschnitt [domain _ realm] Parameter im Abschnitt [appdefaults] Parameter im Abschnitt [logging] Die krb5.conf für den Realm EXAMPLE.COM Konfiguration über DNS SRV Records TXT Records Konfiguration mit Umgebungsvariablen Ausfallsicherheit für MIT Kerberos Backup der KDC-Datenbank Wiederherstellung der KDC-Datenbank Replikation der KDC-Datenbank Möglichkeiten der Kerberos-Replikation Sicherheit der Replikation Replikation bei MIT Kerberos Ein Slave KDC einrichten Schritte auf dem Master KDC Das Slave KDC starten Das Slave KDC bekannt machen Regelmäßig replizieren

6 xvi Inhaltsverzeichnis 13 Ein LDAP-Backend für die MIT-Datenbank Überblick Erweiterte Funktionalitäten Vorgehensweise Sicherheit Software, Schema und Objekte Software installieren Das Schema erweitern Konvention Objekte anlegen Limits für LDAP-Suchvorgänge LDAP-Berechtigungen Das KDC auf LDAP umstellen Vorbereitungen Konfiguration Die KDC-Datenbank im LDAP initialisieren Den Realm einrichten Existierende Nutzerobjekte Principal-Aliase Client-Aliase Dienste-Aliase Ausfallsicherheit mit LDAP OpenLDAP auf kdc01 vorbereiten LDAP-Server auf kdc02 einrichten Ausfallsicherheit für das KDC Die Clientkonfiguration anpassen Lockout Policies Einen Heimdal Realm einrichten Überblick Vorbereitung Das Key Distribution Center von Heimdal Die Datei kdc.conf Master Key Die KDC-Datenbank initialisieren Das KDC starten Die Administration von Heimdal Administrative Zugriffe kontrollieren Principals verwalten Weitere administrative Tätigkeiten Passwörter verwalten Die Heimdal-Werkzeuge

7 Inhaltsverzeichnis xvii 14.6 Ausfallsicherheit für Heimdal Ein Slave KDC einrichten Starten des hpropd aufdemslavekdc Die Replikation mit Hprop starten Regelmäßig replizieren Ein LDAP-Backend für Heimdal LDAP vorbereiten Das KDC auf LDAP umstellen Ausfallsicherheit mit LDAP Kerberos bei Microsoft Active Directory Active Directory im Überblick Kerberos in Active Directory AD-Version und Functional Level Testlabor Das Key Distribution Center von Active Directory Die Domäne einrichten Grundlegende Dienste Ein erster Test Ausfallsicherheit Kerberos-Administration Administrationswerkzeuge Überblick über den neuen Realm Principals verwalten Verschlüsselungstypen Keytabs erzeugen Kerberos Policies Kerberos-Administration mit LDAP LDAP-Suchen im AD Ein Benutzerobjekt anlegen Diensteobjekte anlegen Maschinenobjekte anlegen Weitere Werkzeuge Kerberos für Fortgeschrittene Verteilte Kerberos-Umgebungen Cross-Realm bei MIT Kerberos Cross-Realm bei Heimdal Cross-Realm bei Active Directory Aufbau der Gesamtstruktur

8 xviii Inhaltsverzeichnis 16.2 Delegation für Fortgeschrittene Vorbereitungen Das Ok-As-Delegate Flag kimpersonate Constrained Delegation und Protocol Transition PKINIT Initiale Authentisierung mit Zertifikaten PKINIT im Testnetz Kerberos, PKINIT und Smartcards III Integrierte Umgebungen Grundlagen Principals und Keytabs verwalten Client Principals anlegen Funktionalität von Client Principals prüfen Dienste-Principals anlegen Funktionalität von Dienste-Principals prüfen Keytab-Dateien anlegen Funktionalität von Keytab-Dateien prüfen Zwischenstand Die nativen Kerberos-Bibliotheken GSS-API SPNEGO SSPI SASL Protokolle Mechanismen Konzepte Cyrus SASL Zusammenfassung LDAP-Infrastruktur LDAP im Überblick Begriffe und Standards Serverimplementierungen Daten Im LDAP Verzeichnisoperationen LDAP-Sicherheit Kerberisierung bei Active Directory

9 Inhaltsverzeichnis xix 18.4 Kerberisierung bei OpenLDAP SASL-Konfiguration Principal und Keytab Identitäts-Mapping Zusammenfassung Client-Anbindung Windows-Clients in Active Directory Ausbau der Gesamtstruktur LDAP-Referrals einrichten Identitäts- und Autorisierungsdaten für Linux Linux-Clients in der Infrastruktur mit Kerberos und OpenLDAP Name Service Switch (NSS) NSS-Module für LDAP Pluggable Authentication Modules (PAM) pam-krb Linux-Clients in Active Directory Linux-Clients in der Gesamtinfrastruktur Problemstellung slapd als lokaler LDAP-Proxy slapd-konfiguration Test der NSS-Anbindung PAM-Kerberos-Konfiguration Ausblick Zusammenfassung Elementare Netzwerkdienste unter Unix und Linux Traditionelle Remote-Dienste Telnet Kerberisierte Remote Shell: krb5-rsh Kerberisierter File Transfer: krb5-ftp Moderne Remote-Dienste mit OpenSSH Vorbereitungen Kerberisierte Secure-Shell-Sitzung Tickets weiterleiten Secure-Shell-Client unter Windows OpenSSH ohne Kerberos Tickets Remote-Dienste in verteilter Umgebung Cross-Realm-Problematik auth_to_local-mappings Heimdal Cross-Realm-Anmeldung ohne Kerberos Tickets

10 xx Inhaltsverzeichnis 21 Kerberisierte Dateisysteme CIFS CIFS-Service unter Windows einrichten Authentisierung bei CIFS CIFS-Client unter Linux CIFS-Service unter Linux: Samba ID Mapping Heimatverzeichnisse für alle Windows-Nutzer NFS Überblick NFSv3 ohne Kerberos NFSv3 und Sicherheit NFSv Kerberisierter NFSv4-Service unter Linux Den Server einrichten Kerberisierter NFSv4-Client unter Linux Den Client einrichten NFSv4 und Sicherheit NFSv4 in Cross-Realm-Umgebung Abschlussarbeiten Single Sign-on für den Apache-Webserver Kerberos und das HTTP-Protokoll Das World Wide Web Authentisierung im HTTP-Protokoll Negotiate (SPNEGO) Den Apache-Server konfigurieren Voraussetzungen Principals und Keytab-Einträge mod _ auth _ kerb konfigurieren Browserkonfiguration Vertrauenswürdige Seiten konfigurieren Zugriff testen Delegation konfigurieren Delegation testen Autorisierungsdaten und Ticket-Größe Autorisierung über LDAP Beispiel MediaWiki Die Anwendung einrichten Kerberisierung Zusammenfassung

11 Inhaltsverzeichnis xxi IV Anhang 499 A Schnelleinstieg in LDAP A.1 LDIF A.1.1 Das LDAP-Datenmodell A.1.2 LDIF-Repräsentation von LDAP-Daten A.1.3 Änderungen mit LDIF A.2 OpenLDAP-Tools A.2.1 Suchen mit ldapsearch A.2.2 Authentisierung A.2.3 Weitere OpenLDAP-Kommandos A.3 Grafische LDAP-Werkzeuge B Konfiguration der Betriebssysteme B.1 Netzwerkparameter B.2 Ubuntu B.3 Windows Server 2008 R B.4 Windows C Softwareinstallationen C.1 Vorbemerkungen C.2 MIT Kerberos C.3 MIT-Kerberos-Applikationen C.4 Heimdal C.5 k5start C.6 msktutil C.7 OpenSC Literaturverzeichnis Index

12